吴枭 16020150024
【嵌牛导读】比特币
【嵌牛鼻子】量子计算机
【嵌牛提问】比特币安全性如何保障
【嵌牛正文】
2017 年已经接近尾声,如果盘点在今年大放异彩的科技热点,绝对少不了量子计算和比特币。但是,如果量子计算有可能在未来十年内“杀死”比特币呢?
这不是危言耸听。根据安全专家的最新研究,量子计算机的强大计算能力将在 10 年内攻破比特币的安全性,而安全性正是比特币作为虚拟代币的根基之一。这一结论来自新加坡国立大学的戴夫士·加沃尔(Divesh Aggarwal)团队的工作。他们研究了量子计算机对比特币构成的威胁后表示,这一危险真实而紧迫。
比特币(Bitcoin)是通过密码保护的分散数字货币,比特币系统也已经被证明是极其成功和安全的系统,它的诞生推动了其后目前价值 1500 亿元的其他加密货币和区块链技术的发展。
独立性是比特币如此受欢迎的原因之一。比特币免于政府干预,由一个开放的 p2p 网络运营。不依赖特定的货币发行机构,而是根据特定的算法通过大量计算产生,其总数非常有限,因此也具有很强的稀缺性。
比特币的一个重要特征是它的安全性。比特币有两个重要的安全特性,以防止它们被偷窃或抄袭。两个特性都建立在难以破解的密码协议的基础上。
但根据戴夫士·加沃尔团队的研究,量子计算机能轻易地解决这些问题。而且,全球各大科技巨头已经在紧锣密鼓地研发第一批量子计算机了。
图 | IBM 50Q 系统:针对 50 量子比特制造 IBM 的低温恒温器
具体而言,上文提到的比特币的两个重要安全特性,分别来自于其协议中的两个特征PoW(proof-of-work,工作量证明)和加密签名的不对称性上。所谓不对称性,指的是运算可以从一个方向容易地进行,却难以从另一个方向进行。
工作量证明的目的是不让一方单独操纵区块链,以造成双重花费。工作量证明的基本原理就是客户端需要做出一定难度的工作得出一个结果,而验证方却可以很容易地通过结果来检查客户端是不是真的做了相应的工作。它的核心正是不对称性:相比于请求方完成工作的难度,验证方验证的难度小得多。目前,比特币系统使用的工作证明函数是由 Adam Back 发明的 Hashcash(哈希现金)。
在比特币系统中,矿工将未处理的交易捆绑到一个块中,并通过做 PoW 任务获得一定比特币的奖励。而处在比特币网络中任何一个节点,如果想生成一个新的区块并写入区块链,必须先解出比特币网络出的工作量证明的问题。
验证区块声明的头文件满足 PoW 条件则非常简单,它只需要对 Hash(散列)函数进行一次评估。而完成工作量证明则没有那么容易。比特币系统中使用的工作量证明函是 SHA256。也就是说,这个哈希函数有 2^256 种输出。
至于第二特征——加密签名,则是用来授权交易。在一个交易被广播但是加入到区块链中之前是最容易被攻击的。如果在此时可以通过广播的公钥破解出密钥,就可以利用这个密钥从原地址广播一个新的交易给自己的地址,并让这一交易先进入区块链之中,就可以取走原地址中所有的比特币。目前比特币使用椭圆曲线数字签名算法(ECDSA),利用 secp256k1 生成密钥。
如果可以在特定的时间内完成对以上两个问题的破解,也就攻破了比特币的安全系统。对于当前计算的计算能力来说,这是不可能的,但对于远远超过普通计算机计算能力的量子计算机而言却完全不在话下。
好了,那量子计算机破解这两大问题又能产生什么影响呢?
我们知道,比特币交易被储存在一个分布式账簿中,它会核对特定时段(通常为 10 分钟)发生的所有交易。这种集合体叫一个区块,它还包含前一个区块的加密哈希,而前一个区块包含在它之前的那个区块的加密哈希,如此形成一条链。于是就有了区块链这个词。(哈希是一种数学函数,将一组任意长度的数据映射为固定长度。)
新的区块一定还包含一个具有特殊属性的随机数。在挖矿的过程中,矿工想将一个区块加入到区块链中,需要找到一个随机数。有的时候两个挖矿组会发现不同的随机数,宣布两个不同的区块。针对这种情况,比特币协议规定,被处理得更多的那个区块将被并入区块链,而另一个区块作废。
这个过程有一个致命弱点,这个过程有一个问题,如果一个矿组控制了网络上 50% 以上的计算能力,它将总是能比控制剩余 49% 的矿机组更快地处理区块,也就能有效地控制整个账簿。
图丨整个比特币网络的哈希率 vs. 单个量子计算机的哈希率
如果这个矿机组是恶意的,它能通过删除交易用比特币进行两次支付,这样它们就永远不会被并入区块链。另外 49% 的矿机对此一无所知,因为它们无法监督挖矿过程。
这给一个量子计算机的恶意主人创造了一个作为比特币矿机来工作的机会。如果它的计算能力超出了 50% 这个临界值,它就能为所欲为了。
因此,Aggarwal 团队专门研究了量子计算机在这种网络上变得如此强大的可能性。
最后的结论是,Nvidia 等公司制造的专用集成电路(ASICs)是挖矿最多的硬件,尽管十年后量子计算机解决 PoW 问题的速度会比目前快 100 倍,但 ASICs 在未来 10 年左右仍能保持胜过量子计算机的速度优势。因此在这个问题上,比特币系统的使用者们不必太紧张。
图 | 对量子计算机破解加密签名所需时间的预估。单位:秒。预计 2027 年达到十分钟(600 秒)
而在加密签名方面则没有那么乐观。目前用于生成密钥的椭圆曲线数字签名算法,就曾被舒尔算法(Shor’s algorithm)破解,乐观估计的话,大约在 2027 年,量子计算机就可以实现对密钥的破解。也就是说,加密签名方面的威胁更让人担忧。
另外,需要紧张起来的不只有比特币系统而已,量子计算机对所有使用同类技术的网络、财政交易的加密系统构成了相似的风险,其中包括很多普通加密形式,当然有些公共密钥方案还是能够抵御量子计算机的攻击。
但也并不是没有办法。研究人员表示,量子计算机算法的应用范围目前还比较有限,通过更改比特币协议,选择量子计算机没有明显优势的算法或许可以填补这些安全漏洞。
一直颇受争议的比特币在安全性这个问题上经受住了各种风波,但是,谁都不能保证它将来也能安然无恙。有一件事是可以肯定的:随着第一批强大的量子计算机在几年后上线,改变的压力会更大。
转自黑科技女博士