谷歌量子论文引发金融安全危机,已有实验室提出“救赎方案”
来源:Decrypt & blocmates
综编:Felix, PANews
本周两篇新的研究论文(一篇来自谷歌,另一篇来自加州理工学院旗下初创公司 Oratomic 的研究人员),重新引发了加密领域一个由来已久的问题:当量子计算强大到足以破解现代密码学时,会发生什么?
研究人员警告称,该领域的进展可能会比预期更快地威胁到支撑加密货币和其他数字基础设施的密码系统。研究表明,未来的机器或能够用比以往认为的更少的量子比特(qubits)和计算步骤来破解椭圆曲线密码(ECC)。加州理工学院估计,所需的量子比特数量仅为 1 万到 2 万个。
这两篇论文都表明,破解 ECC 所需的资源可能低于之前的估计,缩短了许多人认为还很遥远的期限。
针对这些发现,比特币安全研究员 Justin Drake 表示,到 2032 年,至少有 10% 的可能性会出现能够破解密码学的量子计算机。谷歌研究员 Craig Gidney 也认为,到 2030 年,能够破解密码的量子计算机被制造出来的概率为 10%。
量子计算为什么能破解钱包?
量子计算机的运行方式与传统计算机不同。它们不使用只有 0 或 1 两种状态的比特,而是使用量子比特,量子比特可以同时存在于多种状态。这一特性使得它们能够运行某些算法(最著名的是 Shor 算法),理论上,这些算法可以比当今的计算机更高效地解决支撑现代加密的数学难题。
这些数学问题构成了比特币、以太坊和大部分互联网的基础。基于 ECC 的系统被设计为易于验证,但极难逆向推导。目前 MetaMask 等主流钱包都是基于 BIP32 标准,其优势在于 12/24 个助记词即可派生所有密钥;仅凭公钥即可生成新地址,无需暴露私钥。这种设计的数学基础是 ECC。
然而,一台足够强大的量子计算机或能从公钥推导出私钥,从而可能暴露资金、身份和加密通信。而这种情况成为现实的那一刻,通常被称为“Q日(Q-Day)”。
Galaxy Digital 公司研究主管 Alex Thorn 表示,量子计算机在未来五年内攻击比特币的概率很低,但“谷歌的这项研究表明,从今天到最终的‘Q 日’之间的距离可能比之前想象的要近。”尽管如此,比特币开发者们正在加紧研究缓解措施和新的后量子加密集成方案”。
不同网络挑战不同,而且传统金融会首当其中
Dynamic 联合创始人兼首席执行官 Itai Turbahn 表示,区块链行业“现在必须行动起来”,但他同时提醒,并非所有区块链都面临相同的风险。
“如果地址不被重复使用,比特币的 UTXO 模型可以提供短期保护——以太坊的账户模型没有类似的替代方案。但每个曾经进行过交易的账户,其公钥都会永久保存在链上”。“机构需要明白,这并非统一的风险,他们现在就需要着手应对”。
不同网络对这一挑战的评估各不相同,不同专家对具体项目的影响也持有不同的看法。Sygnum 数字资产生态系统研究主管 Lucas Schweiger 认为,以太坊“通过账户抽象和对量子问题的认真对待,处于有利地位”,而“比特币的路径更多的是一个治理和协调问题,而非技术问题,但它是可以应对的”。
Boundless 首席执行官 Shiv Shankar 则不认为这是一个区块链特有的问题。“如果量子计算机真的在这个时间范围内恢复了一组私钥,那么整个互联网都将面临风险”。
Lucas Schweiger 也认为, “如果真的出现了具有密码学意义的量子计算机,那么对手的经济动机首先会指向传统的金融基础设施:银行、托管机构和支付网络,它们在全球范围内保障着约 154 万亿美元的固定收益资产和 128 万亿美元的股票资产”。“相比之下,加密技术的影响微乎其微,而且在成为主要目标之前,加密生态会收到大量的预警”。
Project Eleven 曾提出的两套方案
值得一提的是,Project Eleven 实验室的几位科学家此前发表过一篇研究论文,提出过两套尝试性解决方案。
方案一是使用美国国家标准与技术研究院(NIST)标准下的 ML-DSA 钱包。ML-DSA 钱包支持强化派生,这意味着用户仍可以从父私钥派生子密钥,保持密钥之间的不可关联性(因此没有人能分辨出两个地址属于同一个钱包),并实现可证明的不可伪造性(因此没有人能伪造您的签名)。
然而,其局限性在于不支持非强化派生。ML-DSA 的公钥是取整的,破坏了用户所需的线性特性。因此,您将无法使用仅监视钱包,也无法仅使用公钥生成新地址。
而方案二则使用 Raccoon-G,这是 Raccoon 签名方案的一个修改版,使用高斯分布的密钥。Raccoon-G 解决了两个问题。首先,团队修改了 Raccoon-G,使其发布完整的、未取整的公钥。这保留了子密钥派生所需的线性结构。你仍然可以像使用 ECC 一样,向公钥添加信息并得到另一个有效的公钥。
其次,高斯分布有一个优美的数学性质:两个高斯分布之和仍然是一个高斯分布,但方差可预测且略大。因此,当您通过向父密钥添加随机性来导出子密钥时,子密钥的秘密分布仍然是高斯分布。
当然,它的分布范围会更广一些,但在统计学上与新生成的密钥无法区分,因此攻击者无法察觉其中的差异。这就像混合两杯温度略有不同的水。结果仍然是水,只是温度略有不同,没有人能将其与新倒出的水区分开来。
不过,Raccoon-G 尚未标准化,但是证明了在不牺牲用户体验的情况下,实现抗量子迁移是有可能的。
那么,量子风险究竟是近期的工程问题,还是长期的生存威胁?Schweiger 认为,这两种说法都不能完全概括它。“量子计算目前不会对现有的区块链或公钥密码构成威胁,而且在量子计算机强大到足以破解现有签名方案之前,这些方案几乎肯定会被替换掉”。
Schweiger 乐观的表示,虽然这使其成为一项“长期工程挑战”,但并非生存威胁。“密码学界(包括 NIST 的后量子标准)以及区块链项目,已经在着手制定预防措施并测试迁移路径。”
相关阅读:谷歌量子论文预警:2029年,9分钟就可以破解加密钱包?
