比特币会被破解吗？了解抗量子计算机破解的数字签名！

椭圆曲线是不是可以被破解的，这件事情被讨论了无数次，但始终被更多的热点所掩盖，站在多事之秋的 2020 回头看，真正获得众人追捧的往往还是那些有重大技术突破的项目，抗量子破解的数字签名是不是答案？欢迎大家一起关注讨论！

Henry: Cypher Money 的观众朋友大家好，今天非常荣幸我们邀请到 ABC Mint 基金会的主席刘进——我都叫他 Andy 老师——来跟大家分享一下最近的算法以及他们基金会的一些计划，还有现在抗量子计算机破解的算法的一些相关的信息。

Andy: 你好 Henry。

Henry: 首先第一个问题请教 Andy 就是能不能够跟大家介绍一下，您的背景以及你们基金会平常是在做哪方面的工作？

Andy: 我叫刘进，是「算法，区块链，密码学和数学国际基金会」的主席，这个基金会注册在瑞士，主要是在全球范围支持抗量子计算机破解的算法的运用和研究。所谓支持抗量子计算机破解算法的研究，主要是指找新的算法，然后发现、发明支持它的发展，做到更快的算法、更小的算法，这是支持抗量子计算机破解算法的研究。

如果有一些算法时间很长没有办法破解，我们就悬赏破解。譬如说我们当前悬赏破解一个椭圆曲线签名的破解，同时我们在全球悬赏一种抗量子计算机破解的数字签名——彩虹签名。这两种签名的破解我们都在全球悬赏 40 万美金，这个是支持抗量子计算机破解算法的研究。

所谓支持抗量子计算机破解算法的应用，是指我们支持新的足够安全的，足够稳定的抗量子计算机破解的签名，应用在数字货币为主或者区块链方面。我们支持的一个团队，开发了一种新的，类似于比特币这样的数字货币，是抗量子计算机破解的。我们也正准备找人去做一种抗量子计算机破解的智能合约。相当于抗量子的比特币，和抗量子的以太坊，这是我们当前做的事情。简单的说我们支持 PQC 算法的研究，支持 PQC 算法在全球的应用。

Henry: 接下来想要跟 Andy 请教一下现在在全球范围抗量子计算机的发展，以及抗量子计算机破解的算法，大概近程是什么样子的？

Andy: OK，Henry 你刚才讲到两方面的问题，第一方面的问题是量子计算机，第二方面的问题是抗量子计算机破解的算法。量子计算机是物理的部分，然后我们对这一部分不是很精通，多少了解一点。然后抗量子计算机破解的算法是数学的部分，这是我们最精通的部分。简单说一下量子计算机吧，我们知道比特币是在2009年發发布的，然后一直到 2013 年、2014 年、2015 年量子计算机基本上都没有什么发展。

到 2014 年、2015 年就开始声音非常大，那时候比特币已经出来有 5、6 年了。一个关键的抗量子计算机破解的签名的标志性事情是，2015年8月19号美国国家技术标准局（属于美国国防部的NSA，他是一个不存在的机构）在它的网站上发了一个网页，这个网页上写的是：建议美国相关的敏感部门全部用上抗量子计算机破解的算法，无论你是公钥交换还是你数字签名全部用。这个页面发布以后，全世界的数学家就觉得：发生什么事了，为什么全世界最牛逼的NRC，它要发布这样的一个页面？


大家开始猜测是不是 2015 年 8 月 19 号美国国家安全局，他们已经知道一些事情。所以从 2015 年 8 月 19 号开始抗量子计算机破解的算法的学名我们基本把它定为 PQC——Post-quantum cryptography，意思是量子计算机出现之后的密码学。但比较诡异的事情是，美国国家安全局发布这个页面以后过了一个星期左右，这个页面被撤掉了，所以一般人没有看到过这个页面。

2017 年美国商务部所属的美国国家技术标准局（简称NIST，National Institute of Standards and Technology，网站：NIST.GOV） 在全球征集了 89 个算法（还是 110 个算法）。世界各地的数学家，把他的算法递交上来然后再公开，同行评审数学家一个一个看，哪一些算法是合适的可用的。比较有趣的是有一个算法交上去，24 小时就被破解。 到2019 年的 1 月份，这 80 多个算法（或 100 多个算法，印象中应该是 89 个算法）只剩下 27 个算法，其他 60 多个算法都被破解了、或者不能用了。又过了一年多，现在是第二轮，剩下 26 个算法，其中 17 个算法是抗量子计算破解的公钥交换的算法，9 个是抗量子计算机破解的数字签名的算法。这里我着重提一下这9 个抗量子计算机破解的数字签名的算法，他们决定了未来几十年，所有的数字货币，全球所有的区块链能够用的底层签名算法。

Henry: 我可不可以问一个比较小白的问题，如果一个数字签名的算法，它被破解了，比如某一个币，它用的数字签名算法被破解了，这意味着什么？

Andy: 首先需要说明的是，所有数字货币和区块链用的数字签名，都是椭圆曲线签名 ECC，所以今天无论你是哪一个数字货币，无论它算法叫什么名字，所有的都是叫椭圆曲线签名。随便举一个例子—— RSA签名，没有数字货币是用 RSA 签名的 。这里有一个很有趣的故事，刚才我们提到 2009 年中本聪发布比特币，它需要用到签名，而签名相当于一个大楼的地基，如果签名被破坏，那整个大楼就倒了。中本聪在写比特币的时候，就要考虑用哪一个签名，2009年最有名的签名是 RSA 签名，然后就是椭圆曲线签名 Koblizt，它是华盛顿西雅图附近的一个数学家发明的，到底选哪一种签名呢。 RSA 非常有名，椭圆曲线签名名气不是特别高，所以中本聪考虑的是因为类似于比特币，这样的一个无许可加入是全网广播的，它有一点特别的要求是签名长度要愈短愈稳定愈好，同样长度的签名椭圆曲线比 RSI 要强悍的多，并且它足够稳定，所以中本聪选了椭圆曲线签名，椭圆曲线签名总共长度只有80个字节，非常短。所以今天我们看到的，几乎所有的数字货币全是椭圆曲线签名，你可以随便举例。

Henry: 有一个好像说很厉害叫 Schnorr 的。

Andy: BCH 用的是 Schnorr 签名，Schnorr 签名也是一种椭圆曲线签名，Schnorr 签名它有一个很不好的特性，一般人是没有办法搞定它的。


Henry: 还有一个是 GRIN 用的 Mimblewimble。

Andy: Mimblewimble 签名也是椭圆曲线签名。

我们说第二个问题，什么样的情况叫做被破解，中本聪 2009 年发布比特币的时候用的是椭圆曲线签名。挖矿是解哈希 SHA256，哈希函数有一个中文名字叫杂凑函数，椭圆曲线签名的公钥经过两次哈希得到一个比特币地址，但从比特币的地址是没有办法反推到公钥，每一次你用公钥去发送比特币的时候是全网广播的，不需要地址就可以获得你的公钥，所以有人说比特币是抗量子的，它的意思只是公钥经过两次哈希得到比特币地址，根据比特币的地址是没法算到公钥，因此比特币是抗量子计算机破解，这是错误的！因为我们关心的拿不拿到公钥，跟地址没有关系，我只要从公钥能够算出私钥就好了。私钥到公钥中间的保护，在比特币上就是由椭圆曲线签名提供的，给 GRIN 提供保护的也是一种椭圆曲线签名叫 Mimblewimble。

Henry: 那所以说如果被破解的话，是不是就意味着这些资产随时都会被转走？

Andy: 你这个问的有一点局限，我先把怎么破解解释一下，怎麽破解呢？这涉及到椭圆曲线签名的一段历史，我相信绝大多数的人都不知道的一个事实是，椭圆曲线签名是 1985 年一个数学教授叫 Koblizt，应美国的军需要来研发的，所以 Koblizt 至今从来不谈他的椭圆曲线签名。1994 年，今天的麻省理工的一个数学教授叫做 Peter Shor，发明了一个算法叫 Shor's algorithm，秀尔演算法能够破解椭圆曲线签名， 意思就是说椭圆曲线签名理论上 1994 年就被破解了。

那么 2009 年中本聪在想的是什么呢，中本聪想的是全网广播我们需要最小的公钥，所以采用的是椭圆曲线签名
他认为从 199 几年一直到 2009 年（中本聪在写比特币的代码的时候），量子计算机几乎没有发展。 2014 年、 2015 年的时候才有美国国家安全局发布这个网页，大家才知道量子计算机在 2014 年左右发展飞快。所以中本聪在 2009 年要选一个抗量子计算机破解的签名，如果是量子计算机出来了，把算法换一换就好。所以中本聪有两个问题，第一个问题是选用了椭圆曲线签名，第二个问题是他认为，如果量子计算机出来，就换一个抗量子计算机破解的签名，而在我们看来，换一个签名几乎没有任何可能。我们认为比特币没有办法更换抗量子计算机破解的签名，这是另外一个问题，待会我们再来聊。

因此如果是有可实用的量子计算机能够破解椭圆曲线签名，通过这个曝露的公钥能够把私钥给算出来，有可能我能拿走你的比特币拿走你的 BCH，拿走你所有的数字货币，因为你所有的东西都是用椭圆曲线保护的，除非数字货币是采用抗量子计算机破解的签名来保护。

那么什么叫可实用的量子计算机呢？意思是指量子计算机的逻辑量子比特达到 3000 多（具体多少我们不知道），假设我们就把它定义成为 4000 个逻辑量子比特的时候，它就可以在十分钟内抓住一个全网广播过的公钥，就把你的私钥破解掉，那麽当前公开的消息，无论是 Google、IBM、Harry Weller，大到我们能看的，就是 50 多个 70 多个逻辑量子比特，达到 4000 个我们认为有很多年。我们不是量子计算机的这个专业，但是以我们今天所瞭解到的公开或者非公开的消息，我认为 2027 年有 50%的可能量子计算机發展到，能够实践破解比特币的曝露过的公钥，这是我个人的观点。


Henry: 听到这边大家应该还是有一点震撼，因为我们都想说，代码即正义，代码即法律，但是这个代码在 Andy 的解说之下，我们看到未来可能在量子计算机的协助之下，有可能会發生一些改变，能不能请ANDY稍微跟我们聊一下
或预测一下你认为 10 年后的加密货币产业会是怎麽样子的？以及你们这个基金会的未来發展方向。

Andy: 涉及到数字货币的未来，我觉得还是从技术层面上来看，首先来看到我们第一个看到的是共识的层面，我们认为 Proof of Work，PoW 我们是非常看好我们认为它足够的简单，足够的安全，足够的有利于整个数字货币系统这一个生态，无论你说 Bitcoin，还是所谓的 Ethereum 等等，我们对于 PoW 是非常认可，在 PoW 的情况下，因为它的技术特点主要的在我个人看来是签名的大小，会导致未来有两个方面的特点，第一个特点是因为你 PoW 你只要有一台机器在挖，这整个系统都死不了，所以 PoW 的数字货币不太可能会消失，无论你是哪一个政府或什麽强力机构，几乎不可能消失的，所以我个人的观点认为是，PoW 为主数字货币不可能消失。然后第二点我认为数字货币，几乎不可能取代任何一个国家的法币，这也是技术方面的原因，技术方面的原因主要是因为刚才谈到 PoW 足够有利于整个生态系统，PoW 足够的相对来说公平分散，很多方面的原因，但是 PoW 有一个特点或者是弱点，只要是 PoW 你採用一个签名，最小像椭圆曲线签名最大就是 80 兆，如果以后要换抗量子计算机破解的签名，基本上只有两类，签名的大小只有两个数量及一个是 400 个字节，比椭圆曲线的 80 个字节大五倍，一个是 4 万个字节大五百倍，这当然可以缩小，所以刚才我们讲到 ABCMint 我们这个基金会呢，其中有一项支持 PQC 的研究，主要是指把签名缩小，签名愈小愈好，因为签名无论怎麽缩小，椭圆曲线是 80 个字节，可以到 70 个字节，然后抗量子计算机破解的签名400个字节可以到 200 个字节，然后比 200 个字节再低一点也许还能做到，但是无论怎麽样 PoW 的数字货币你要去微支付，没有任何可能性，除非你再做无数个节点做一个中央化的的节点，来负责结算。

所以我的观点是，未来数字货币不可能消失，也不可能取代任何国家的法币。然后第三点是我认为数字货币在未来，毕竟国家存在，它的流动市值会愈来愈大我认为在 10 年后，应该会到1万亿美金，当然别人说因为什麽疫情以后，什麽各国政府放水还是怎麽样，我认为他即使不放水也会到1万亿美金，所以还有一点是 2022 年到 2024 年美国国家技术标准局会公布最终的抗量子计算机破解算法的标准，包括数字签名的标准，我们认为大概只有 3 或 4 个签名，如果按照全网广播 PoW 数字货币来说，一定是要签名程度最短的，最稳定的最安全的，这个情况下，我们几乎只看好一个叫Rainbow Signature 彩虹签名，其他的几乎都是太大，所以在 2022 年到 2024 年美国国家技术标准局，公布最终的算法标准以后，全美国在2028年12月31号，跟美国国家安全有关的商业机构，譬如说美国政府国防部所有的互联网通信往来，所有的签名所有的加密，全部是 PQC 算法，全部是抗量子计算机破解的算法。

如果不能够换成抗量子计算机破解的算法，如果比特币不能换算法那就结束了，可是恰好我们研究认为，比特币是没有办法换成抗量子计算机破解算法的。因为对于一个公链来说愈大的公链，像比特币像以太坊这样的公链，我们认为至少要七步，这七步要全部完成才能够把比特币换成功，可是每一步在我们看来，都是难于上青天的。其中有三步跟，抗量子计算机破解这样全球的一些顶尖的数学教授密码学教授有关，另外有四步，第一步需要达成社区共识，达成社区共识不一定很容易，说不定有人说我要选一个 Henry 的算法，所以不同人选不同的算法，最后必定分岔。即使把这样前面五，六步全部走过来，最后一步是需要所有持有，譬如说比特币的人在他的终端，譬如说他的电脑上，首度的转换到新的签名保护不论是什麽样的算法，你要用户手动的转移过去，那万一那人不在了呢，万一有人忘掉了呢，所以我们认为几乎没有可能，比特币能够从现有的椭圆曲线签名，更换到抗量子计算机破解签名上去。

Henry: 再来请问一下 Andy，像这样子有很多的公链然后还有很多数字货币，想要请教一下老师，这一些公链应该要怎麽样去选择数字签名？

Andy：OK，非常好的问题在中本聪的白皮书裡面，专门有一段讲了数字签名的长度，椭圆曲线签名只有80个字节在2009的时候他预估未来量子计算机不可能取得 Quantum Leap 质的发展，或者如果取得质的發展能够破解无论是 RSA、ECC、椭圆曲线签名，然后他认为把签名换一个就好了，所以第一签名的长度应该是最短的，第二中本聪给出的判断是如果量子计算机达到质的飞越，那麽就换一个签名。所以我并不认为中本聪在这方面的判断是准确的，正如他讲一 CPU 一票一样，他没有料到 ASIC 芯片还会这样。所以签名的选择是长度最短最稳定，最好的是最权威的，这个是数字货币签名的选择。我们知道，实际上在 2014 年 15 年，量子计算机就取得了质的飞越，假设我们现在要做新的抗量子计算机破解的数字货币，面临的第一个重大的问题就是，怎麽去选择签名。


Henry: 那想要请教一下老师，以太坊就我们知道很多的开發者都在上面，很多人也持有以太坊，他应该要怎麽样去选择，或是他们的未来应该怎麽，怎麽来抗量子计算机破解？

Andy: 一年半以前 Vitalik 也想让 Ethereum 抗量子计算机破解，实际上Vitalik 在很久以前就在考虑抗量子计算机破解，从我这边能查到的资料是，Vitalik 在2013年提的是未来如果抗量子计算机破解，他希望用一个签名叫做 Lamport 签名，是一个非常着名的一次性签名，跟 David Chaum 选择是一样的，所以 David Chaum 现在这个项目大概叫 Ecash。那麽在一年半以前我跟 Vitalik 在推特上閒聊的时候，Vitalik 想让以太坊在未来选择基于哈希的签名，当时我告诉 Vitalik 你不能用基于哈希的签名，如果你用基于哈希的签名来抗量子计算机破解，那么架构在所谓的以太坊上面的几乎所有的 Token，都没有办法去要求 TPS，其中最主要的原因就是基于哈希的签名长度非常大，所以我绝对不建议以太坊採用基于哈希的签名。实际上我不建议，所有的数字货币，採用基于哈希的签名主要的原因是签名长度太大。

ABCMint 我们这一个基金会，主要干的工作是支持 PQC 算法的研究和支持 PQC 算法的应用，所谓支持PQC算法的研究中间有一块是，研究怎麽把这个签名长度变得更短，如果是基于哈希的签名是 4 万个字节，它也许能缩短 2 万、1 万，但是要再缩短的话非常难所以我们不建议所有的数字货币，在未来在抗量子计算机破解的时候用基于哈希的签名。基于哈希的签名实际上是用在互联网方面，并非用在数字货币开源公链方面的。


Henry: 我们希望知名公链赶快跟老师这边的团队有一些合作，我们希望未来可以看到类似像这样的合作，最后想要跟老师请教一下老师你怎麽看未来 10 年数字货币，抗量子计算机破解的算法的这些未来的發展，你有什麽样子的预测？

Andy: 实际上所有这一些问题是基于量子计算机的發展，所以在未来的 10 年量子计算机大概能發展什麽样的地步呢？因为我们是搞数学并不是搞量子计算机的，但是我们会收到非常多的，跟量子计算机有关的各种各样的信息特别是去年 2019 年 11 月，Google 的 CEO 皮查伊他的一些判断，同时我也跟Google的朋友仔细的瞭解一些，所以我大致上估计在未来 10 年有 50% 的可能在 2027 年会發生实际上的椭圆曲线签名的破解，这个是什麽意思呢？因为我们基金会在悬赏破解椭圆曲线签名也许比较好，或者是惊天一爆的方式是，有一个比特币的地址，让别人来破解，无论说是公众可公开确认或者不能公开确认，我个人认为是 2027 年有 50% 的可能破解某一个比特币的地址。

比特币应该在 2022 年，2023年美国国家技术标准局，公布抗量子计算机破解的算法的标准以后，所有的数字货币
包括比特币开始经过半年，或者是长达五六年的下坡路，以及归零或者趋零。如果不能从 ECC 更换成 PQC，比特币如果不能从椭圆曲线签名保护它的私钥，更换成抗量子计算机破解的数字签名保护的话，它就会趋零！可是我认为几乎没有可能签名会更换成功，所以我个人观点认为是在 22 年 23 年，美国国家技术标准局公布标准以后大约有六年左右的时间，比特币会趋零或者是归零，其他数字货币就更不用说了。它不一定会被破解，但是市场情绪会直接影响

只要有人知道，譬如说公开确认，有一个比特币地址破解了，那麽市场情绪会影响所有的数字货币，意思就是说整个数字货币和区块链，全世界所有的，它都是在架构在一个基石，这个基石就是椭圆曲线签名，无论你是叫什麽签名几乎全部是椭圆曲线签名，所以我们干的是抗量子计算机破解的签名，因为刚才 Henry 也问到未来的 10 年数字货币，我们谈到数字货币只要你是 Proof of Work，是不可能消失的，它也许会归零但是没有消失，就像比特币一样只要有一个节点有台机器在挖就不会消失。第二，它是不可能微支付的，因为那个签名长度的原因，然后第三它不可能取代法币因为不能微支付，但是它用的人会愈来愈多，我认为下一代的数字货币，全部是抗量子计算机破解的数字货币，全部是架构在签名长度最短最稳定，也许是最权威的数字签名的基础上，所以我个人观点认为是未来的 10 年，在 2030 年左右，整个数字货币不是像今天这样 3000 亿美金的流动市值，于是会达到 1 万亿美金的流动市值

还有一个我们认为是应该是迎合监管，迎合各国政府的监管，我认为在未来 10 年达到万亿美金，我认为是可能性是非常大还有一条我认为 10 年内，达到万亿美金的数字货币，全部是抗量子计算机破解的，不存在椭圆曲线签名的数字货币了这个时间可能很快，我认为可能就在两三年内就会發生。我推荐大家查看一个页面这个页面在我看来是对全球所有的数字货币，和全球所有的区块链从业人员最重要的网页，去 Google：NIST-PQC-Round2，PQC的意思是 Post quantum cryptography 后量子密码学，所以大家只要在美国国家技术标准局 NIST.GOV 的官方网站上找到一个叫 PQC 量子计算机出现之后的密码学，下一代的密码学讲的主要是公钥交换和数字签名，这个数字签名是 Totally influence 彻底影响我们所有的数字货币从业人员的标准。


Henry: 我们大家都一起来期待一下，而且这一次拍视频前前后后跟 Andy 老师学习到非常多的知识，然后这些东西都是平常我们在网路上比较查不到的一些信息，然后也希望后面跟 Andy 老师可以继续拍更多的视频，然后从老师这边再多挖一点料出来跟大家一起分享，更早一步的去掌握到未来的發展趋势！希望到时候可以再继续邀请老师，谢谢老师。

—-

编译者/作者：响指研究所

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。