椭圆曲线签名会被破解吗?抗量子破解的数字签名又是什么?值得关注!

(一)嘉宾介绍

Andy -算法/区块链/密码学和数学国际基金会主席

(二)嘉宾问答

Q1：简单介绍一下您的工作与基金会

Andy：我叫刘进，是「算法，区块链，密码学和数学国际基金会」主席，基金会注册在瑞士，主要在全球范围支持抗量子计算机破解的算法的运用和研究。所谓支持抗量子计算机破解算法的研究，主要是指找新的算法，然后发现、发明支持它的发展，做到算法更快、更小，支持抗量子计算机破解算法的研究。

如果有一些算法很长时间没有办法破解，我们就悬赏破解。譬说我们当前悬赏破解的椭圆曲线签名，同时我们在全球悬赏一种抗量子计算机破解的数字签名——彩虹签名。这两种签名的破解，我们在全球各悬赏?40?万美金，来支持抗量子计算机破解算法的研究。

所谓支持抗量子计算机破解算法的应用，是指我们支持新的、足够安全、足够稳定的抗量子计算机破解的签名，应用在数字货币为主或者区块链方面。我们支持的一个团队，开发了一种新的类似于比特币的数字货币，是抗量子计算机破解的，我们也正准备找人去做一种抗量子计算机破解的智能合约。相当于抗量子的比特币和抗量子的以太坊，这是我们当前做的事情。简单的说我们支持?PQC?算法的研究，支持?PQC?算法在全球的应用。

Q2：目前全球抗量子计算机的发展以及抗量子计算机破解的算法，发展到了什么程度？

Andy：两方面的问题，第一方面量子计算机，是物理的部分，第二方面是抗量子计算机破解的算法，是数学的部分，这是我们最精通的部分。我们知道比特币是在2009年发布，而量子计算机直到2015年基本上都没有什么发展。当时一个关键的抗量子计算机破解签名的标志性事情是：2015年8月19号，美国国家技术标准局（属于美国国防部的NSA，一个不存在的机构）在它的网站上发了一个网页，这个网页上写的是：建议美国相关敏感部门全部用上抗量子计算机破解的算法，无论你是公钥交换还是数字签名。这个页面发布以后，全世界的数学家开始疑问：发生了什么事！为什么全世界最牛逼的NRC，它要发布这样一个页面？

NSA在2015年8月19日公布的一个网页，来源：不存在的机构

大家开始猜测美国国家安全局已经知道了一些事情，所以从2015年8月19号开始，抗量子计算机破解的算法的学名：PQC（Post Quantum Cryptography），意为量子计算机出现之后的密码学。

2017年，美国商务部所属的美国国家技术标准局（简称NIST，National Institute of Standards and Technology，网站：NIST.GOV）?在全球数学家们手中征集了89个算法，同行评审数学家一个一个看，有的算法24?小时就被破解。2019年1月份只剩下27个算法。现在是第二轮，剩下26个算法，其中17个算法是抗量子计算破解的公钥交换的算法，9个是抗量子计算机破解的数字签名的算法。而这9个抗量子计算机破解的数字签名算法，将决定未来几十年所有的数字货币，全球所有的区块链能够用的底层签名算法。

Q3：一旦Crypto的数字签名的算法被破解意味着什么？

Andy：首先需要说明的是，所有数字货币和区块链用的数字签名，都是椭圆曲线签名?ECC，所以今天无论是哪种数字货币，无论它算法叫什么名字，都是叫椭圆曲线签名。随便举一个例子—— RSA签名，没有数字货币是用?RSA?签名的?。这里有一个很有趣的故事，刚才我们提到2009年中本聪发布比特币，它需要用到签名，而签名相当于一个大楼的地基，如果签名被破坏，那整个大楼就倒了。中本聪在写比特币白皮书的时候，就要考虑用哪一个签名，2009年最有名的签名是?RSA?签名，然后就是椭圆曲线签名?Koblizt，它是华盛顿西雅图附近的一个数学家发明的，到底选哪一种签名呢？RSA?非常有名，椭圆曲线签名名气不是特别高，中本聪考虑的是一个无许可加入全网广播的加密数字货币，签名长度要愈短愈稳定愈好，同样长度的签名椭圆曲线比?RSI?要强悍的多并且它足够稳定，所以中本聪选了椭圆曲线签名，椭圆曲线签名总长度只有80个字节，非常短。所以今天我们看到的，几乎所有的数字货币全是椭圆曲线签名，你可以随便举例。

Henry：有一个好像说很厉害叫?Schnorr?，还有一个是?GRIN?用的?Mimblewimble

Andy：BCH?用的是?Schnorr?签名，Schnorr?签名也是一种椭圆曲线签名，Schnorr?签名它有一个很不好的特性，一般人是没有办法搞定它；Mimblewimble?签名也是椭圆曲线签名。

我们说第二个问题，什么样的情况叫做被破解，中本聪2009年发布比特币的时候用的是椭圆曲线签名，挖矿是解哈希?SHA256，哈希函数有一个中文名字叫杂凑函数，椭圆曲线签名的公钥经过两次哈希得到一个比特币地址，但从比特币的地址是没有办法反推到公钥，每一次你用公钥去发送比特币的时候是全网广播，不需要地址就可以获得你的公钥，所以有人说比特币是抗量子的，它的意思只是公钥经过两次哈希得到比特币地址，根据比特币的地址是没法算到公钥，因此比特币是抗量子计算机破解，这是错误的！因为我们关心的拿不拿到公钥，跟地址没有关系，我只要从公钥能够算出私钥就好了。私钥到公钥中间的保护，在比特币上就是由椭圆曲线签名提供的，给?GRIN?提供保护的也是一种椭圆曲线签名叫?Mimblewimble。

Q4：如果被破解是不是意味着这些加密数字资产随时都会被转走？

Andy：你这个问的有一点局限，我先把怎么破解解释一下，怎麽破解呢？涉及到椭圆曲线签名的一段历史，我相信绝大多数的人都不知道的一个事实是，椭圆曲线签名是1985年一个数学教授叫?Koblizt，应美国的军需要来研发的，所以?Koblizt?至今从来不谈他的椭圆曲线签名。1994年，今天的麻省理工的一个数学教授叫做?Peter Shor，发明了一个算法叫?Shor's algorithm，秀尔演算法能够破解椭圆曲线签名，?意思就是椭圆曲线签名理论上1994年就被破解了。

那么2009年中本聪在想什么呢？中本聪想的是全网广播我们需要最小的公钥，所以采用的是椭圆曲线签名。他认为从199X年直到2009年（中本聪在写比特币的代码期间），量子计算机几乎没有发展。2014到2015年才有美国国家安全局发布这个网页，大家才知道量子计算机在2014年左右发展飞快。所以中本聪在2009年要选一个抗量子计算机破解的签名，如果是量子计算机出来了，把算法换一换就好。所以中本聪有两个问题，第一个问题是选用了椭圆曲线签名，第二个问题是他认为，如果量子计算机出来，就换一个抗量子计算机破解的签名。而在我们看来，换一个签名几乎没有任何可能。我们认为比特币没有办法更换抗量子计算机破解的签名。

因此如果是有可实用的量子计算机能够破解椭圆曲线签名，通过这个曝露的公钥能够把私钥给算出来。那么什么叫可实用的量子计算机呢？一般认为量子计算机的逻辑量子比特达到3000以上，假设我们把它定义为4000逻辑量子比特，它就可以在十分钟内抓住一个全网广播的公钥，把公钥破解掉。当前公开的消息，无论是?Google、IBM、Harry Weller，在?50到70?多个逻辑量子比特，预估达到4000逻辑量子比特还需要很多年。我们不是量子计算机的这个专业，但是以我们今天所了解到的公开或者非公开的消息，我认为在2027年有50%的可能，量子计算机发展到能够实践破解比特币的曝露过的公钥，这是我个人的观点。

Q5：10年后的加密资产是怎样的？

Andy：涉及到数字货币的未来，我觉得还是从技术层面上来看，首先来看到我们第一个看到的是共识的层面，我们认为?Proof of Work，PoW?我们是非常看好，它足够简单，足够安全，足够有利于整个数字货币系统这一个生态，无论你说?Bitcoin，还是所谓的?Ethereum?等。我们对于?PoW?非常认可，在?PoW?的情况下，因为它的技术特点主要是签名的大小，会导致未来有两个方面的特点，第一个特点是因为?PoW?只要有一台机器在挖，这整个系统都死不了，所以?PoW?的数字货币不太可能会消失，无论哪一个政府或什么强力机构干预，几乎不可能消失，所以我个人的观点认为是，PoW?为主数字货币不可能消失。第二点我认为数字货币，几乎不可能取代任何一个国家的法币，这也是技术方面的原因，技术方面的原因主要是因为刚才谈到?PoW?足够有利于整个生态系统，PoW?相对来说公平分散。同时PoW?有一个特点，只要是?PoW?采用一个签名，目前最小的是椭圆曲线签名，80字节。如果以后要换抗量子计算机破解的签名，基本上只有两类，签名的大小只有两个数量即一个是400个字节，比椭圆曲线的80个字节大五倍，一个是4万个字节大五百倍，这当然可以缩小，所以刚才我们讲到?ABCMint?我们这个基金会，其中有一项支持?PQC?的研究，主要是指把签名缩小，签名愈小愈好，因为签名无论怎么缩小，椭圆曲线是80个字节，可以到70个字节，然后抗量子计算机破解的签名400个字节可以到200个字节，然后比200个字节再低一点也许还能做到，但是无论怎样?PoW?的数字货币你要去微支付，没有任何可能性，除非再做无数个节点，做一个中央化的的节点，来负责结算。所以我的观点是，未来数字货币不可能消失，也不可能取代任何国家的法币。

第三点是我认为数字货币在未来，它的流动市值会愈来愈大，我认为在10年后应该会到1万亿美金，当然有人说因为后疫情时代，各国政府放水等，我认为即使不放水也会到1万亿美金，所以还有一点是2022年到2024年美国国家技术标准局会公布最终的抗量子计算机破解算法的标准，包括数字签名的标准，我们认为大概只有3或4个签名，如果按照全网广播?PoW?数字货币来说，一定是要签名程度最短，最稳定，最安全的，这个情况下，我们几乎只看好一个叫Rainbow Signature?彩虹签名，其他的几乎都是太大，所以在2022年到2024年美国国家技术标准局公布最终的算法标准以后，全美国在2028年12月31号，跟美国国家安全有关的商业机构，譬如说美国政府国防部所有的互联网通信往来，所有的签名，所有的加密，全部是?PQC?算法，全部是抗量子计算机破解的算法。

如果不能够换成抗量子计算机破解的算法那就结束了，可是恰好我们研究认为，比特币是没有办法换成抗量子计算机破解算法，因为对于一个公链来说愈大的公链，换算法至少要七步，这七步要全部完成才能够把算法换成功，每一步都是难于上青天。其中有三步跟抗量子计算机破解这样，和全球顶尖的数学教授密码学教授有关，另外有四步，第一步需要达成社区共识，达成社区共识不一定很容易，说不定有人说我要选一个?Henry?或某某算法，所以不同人选不同的算法，最后必定分岔。即使把这样前面五，六步全部走过来，最后一步是需要所有持有相应数字资产的人在他的终端，手动转换到新的签名保护。

Q6：加密数字资产领域目前有很多公链和Token，这些公链应该怎样去选择数字签名？

Andy：在中本聪的白皮书中，专门有一段讲了数字签名的长度，椭圆曲线签名只有80个字节，在2009的时候他预估未来量子计算机不可能取得?Quantum Leap?质的发展，如果取得质的发展能够破解诸如?RSA、ECC、椭圆曲线签名，然后他认为把签名换一个就好，所以签名的长度当时来看首先应该是最短的。我并不认为中本聪在这方面的判断是准确的，正如他讲一?CPU?一票一样，他没有料到?ASIC?芯片的出现。所以签名的选择是长度最短最稳定最权威的，这是数字货币签名的必然选择。我们知道，实际上在2014-2015?年，量子计算机就取得了质的飞越，假设我们现在要做新的抗量子计算机破解的数字货币，面临的第一个重大的问题就是，怎麽去选择签名。

Q7：以太坊生态吸引了众多开发者和持有者，他们在未来应该怎样抗量子计算机破解？

Andy:一年半以前?Vitalik?也想让?Ethereum?抗量子计算机破解，实际上Vitalik?在很久以前就在考虑抗量子计算机破解，从我这边能查到的资料是，Vitalik?在2013年提的是未来如果抗量子计算机破解，他希望用一个签名叫做?Lamport?签名，是一个非常著名的一次性签名，跟?David Chaum?的选择一样，所以?David Chaum?现在这个项目大概叫?Ecash。那麽在一年半以前我跟?Vitalik?在推特上闲聊，Vitalik?想让以太坊在未来选择基于哈希的签名，当时我告诉?Vitalik?你不能用基于哈希的签名，如果你用基于哈希的签名来抗量子计算机破解，那么架构在以太坊上面几乎所有的?Token，都没有办法去要求?TPS，其中最主要的原因就是基于哈希的签名长度非常大，所以我绝对不建议以太坊采用基于哈希的签名。实际上我不建议所有的数字货币，采用基于哈希的签名，主要的原因是签名长度太大。

ABCMint?我们这个基金会，主要干的工作是支持?PQC?算法的研究和支持?PQC?算法的应用，所谓支持PQC算法的研究，其中一方面是指让签名长度变得更短，如果是基于哈希的签名是4万个字节，它也许能缩短2万、1万，要再缩短的话非常难，所以我们不建议：未来所有的数字货币，在抗量子计算机破解的时候用基于哈希的签名。基于哈希的签名实际上是用在互联网方面，并非用在数字货币开源公链方面。

Q8：怎麽看未来10年数字货币的发展，以及抗量子计算机算法的发展？

Andy：实际上所有这些问题是基于量子计算机的发展，所以在未来的10年量子计算机大概能发展什麽样的地步呢？因为我们是搞数学并不是搞量子计算机的，但是我们会收到非常多跟量子计算机相关的信息，特别是去年2019年11月，Google?的?CEO?皮查伊他的一些判断，同时我也跟?Google?的朋友仔细了解一些，所以我估计在未来10年有50%的可能在2027年会发生实际上的椭圆曲线签名的破解，这个是什麽意思呢？因为我们基金会在悬赏破解椭圆曲线签名也许比较好，或者是惊天一爆的方式是，有一个比特币的地址，让别人来破解，无论说是公众可公开确认或者不能公开确认，我个人认为是?2027年有50%的可能破解某一个比特币的地址。

比特币应该在2022年，2023年美国国家技术标准局，公布抗量子计算机破解的算法的标准以后，所有的数字货币包括比特币开始经过半年，或者是长达五六年的下坡路，以及归零或者趋零。如果不能从?ECC?更换成?PQC，比特币如果不能从椭圆曲线签名保护它的私钥，更换成抗量子计算机破解的数字签名保护的话，它就会趋零！可是我认为几乎没有可能签名会更换成功，所以我个人观点认为是在2022?年到2023年，美国国家技术标准局公布标准以后大约有六年左右的时间，比特币会趋零或者是归零，其他数字货币就更不用说了。它不一定会被破解，但是市场情绪会直接影响。

只要有人知道，有一个比特币地址破解了，市场情绪会影响所有的数字货币，全世界所有的区块链和数字货币，都是在架构在一个基石，这个基石就是椭圆曲线签名，无论你是叫什么签名，几乎全部是椭圆曲线签名，所以我们干的是抗量子计算机破解的签名，刚才?Henry?也问到未来的10年数字货币，我们谈到数字货币只要你是?Proof of Work，是不可能消失的，它也许会归零但是没有消失，就像比特币一样只要有一个节点有台机器在挖就不会消失。第二，它是不可能微支付的，因为那个签名长度的原因，然后第三它不可能取代法币因为不能微支付，但是用它的人会愈来愈多。我认为下一代的数字货币，全部是抗量子计算机破解的数字货币，全部是架构在签名长度最短最稳定，也许是最权威的数字签名的基础上，所以我个人观点认为是未来的10年，在2030年左右，整个数字货币不是像今天这样3000亿美金的流动市值，会达到1万亿美金的流动市值。

我们应该迎合各国政府的监管，我认为在未来?10?年达到万亿美金可能性非常大，我认为?10?年内，达到万亿美金的数字货币，全部是抗量子计算机破解，不存在椭圆曲线签名的数字货币，这个时间可能很快，我认为可能就在两三年内就会发生。我推荐大家查看一个页面，这个页面在我看来是对全球所有的数字货币，和全球所有的区块链从业人员最重要的网页，去?Google：NIST-PQC-Round2，PQC的意思是?Post quantum cryptography?后量子密码学，所以大家只要在美国国家技术标准局?NIST.GOV?的官方网站上找到一个叫?PQC?量子计算机出现之后的密码学，下一代的密码学讲的主要是公钥交换和数字签名，这个数字签名是?Totally influence?彻底影响我们所有的数字货币从业人员的标准。

合作咨询：pqc-abc

—-

编译者/作者：财发现

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。