比特币会被破解吗？ 抗量子研究所

椭圆曲线签名能被破解吗？ 什么是抗量子破解的数字签名？ 值得一看！

——响指研究所

（一）嘉宾介绍

Andy - 国际算法/区块链/密码学和数学基金会主席

（二）嘉宾问答

Q1：简单介绍一下您的工作和基金会

Andy：我叫刘进，是“国际算法、区块链、密码学和数学基金会”的主席。 该基金会注册于瑞士，主要支持抗量子计算机破解的算法在全球范围内的应用和研究。 所谓支持反量子计算机破解算法的研究，主要是指寻找新的算法，然后发现并发明出来支持其发展，使算法更快、更小，支持反量子计算机破解算法的研究。

如果有一些算法长期无法破解，我们将给予破解奖励。 例如，我们目前正在为破解椭圆曲线签名提供奖励，我们正在为抗量子计算机破解的数字签名——彩虹签名提供全球奖励。 对于这两个签名的破解，我们悬赏全球各40万美元，支持抗量子计算机破解算法的研究。

所谓应用抗量子计算机破解算法，就是我们支持新的、足够安全、足够稳定的抗量子计算机破解签名，主要用于数字货币或区块链。 我们支持的一个团队开发了一种类似于比特币的新型数字货币，它是抗量子计算机破解的，我们也在准备找人做一个抗量子计算机破解的智能合约。 相当于抗量子比特币和抗量子以太坊，这就是我们目前在做的事情。 简单地说，我们支持PQC算法的研究和PQC算法在国际上的应用。

Q2：全球抗量子计算机和抗量子计算机破解算法发展到了什么程度？

安迪：有两个问题。 第一个方面是量子计算机，它是物理学的一部分。 第二个方面是抗量子计算机破解的算法，是数学的一部分。 这是我们最精通的部分。我们知道比特币是2009年发布的，而量子计算机基本是2015年才开发出来的。当时针对量子计算机破解的一个关键签名事件是：2015年8月19日，美国国家技术与标准研究所（NSA，隶属于美国国防部的一个不存在的机构）在其网站上发布了一个网页，网页上写的是：建议​​美国所有相关敏感部门使用抗量子计算机破解的算法，无论你是公钥交换还是数字签名。 此页发表后，全世界的数学家开始发问：发生了什么事！ 为什么世界上最强大的 NRC 会发布这样的页面？

NSA 2015年8月19日公布的网页，来源：不存在的机构

大家开始猜测美国国家安全局已经知道了什么，于是从2015年8月19日开始，抗量子计算机破解的算法学名：PQC（Post Quantum Cryptography），意思是量子计算机出现后的密码学量子计算机。

2017年，美国商务部下属的美国国家技术与标准研究所（NIST，National Institute of Standards and Technology，网址：NIST.GOV）收集了来自全球数学家的89个算法，经过同行评议的数学家一一看着他们。 有些算法可以在 24 小时内破解。 2019 年 1 月，只剩下 27 种算法。 现在是第二轮，还剩下26个算法，其中17个是抗量子计算机破解的公钥交换算法，9个是抗量子计算机破解的数字签名算法。 而这九种抗量子计算机破解的数字签名算法，将决定未来几十年全球所有数字货币和所有区块链可以使用的底层签名算法。

Q3：Crypto的数字签名算法被破解意味着什么？

Andy：首先要说明的是，所有数字货币和区块链使用的数字签名都是椭圆曲线签名ECC，所以今天不管是什么数字货币，不管它的算法叫什么，都叫椭圆曲线签名。 举个例子——RSA签名，没有数字货币是用RSA签名的。 这里有一个非常有趣的故事。 刚才我们提到中本聪在2009年发布了比特币，它需要签名，而签名就相当于一栋楼的地基。 如果签名被破坏，整栋楼都会倒塌。 中本聪在撰写比特币白皮书时，不得不考虑使用哪种签名。 2009年最著名的签名是RSA签名，然后是椭圆曲线签名Koblizt，它是由华盛顿州西雅图附近的一位数学家发明的。 什么样的签名？ RSA很有名，但是椭圆曲线签名不是特别有名。 中本聪正在考虑一种未经许可加入全网的加密数字货币。 签名长度应该更短更稳定。 相同长度的签名椭圆曲线比RSI强很多，而且足够稳定，所以中本聪选择了椭圆曲线签名。 椭圆曲线签名的总长度只有80个字节，非常短。 所以我们今天看到的，几乎所有的数字货币都是椭圆曲线签名，你随便举个例子。

Henry：一个好像很厉害的叫Schnorr，还有一个是Mimblewimble for GRIN

Andy：BCH使用的是Schnorr签名，也是一种椭圆曲线签名。 Schnorr 签名有一个非常糟糕的特性，普通人无法处理； Mimblewimble 签名也是一种椭圆曲线签名。

再说第二个问题，什么样的情况才叫被破解？ 2009 年中本聪发布比特币时，他使用了椭圆曲线签名。 挖矿就是解决哈希SHA256。 哈希函数有个中文名字叫哈希函数。 ，椭圆曲线签名的公钥经过两次哈希得到一个比特币地址，但是没有办法从比特币地址推导出公钥。 每次您使用公钥发送比特币时，它都会在网络上广播。 不用地址也能拿到公钥，所以有人说比特币是反量子的。 这意味着公钥被哈希两次以获得比特币地址。 根据比特币地址，无法计算出公钥。 所以比特币抗量子计算机破解，这是错误的！ 因为我们关心的是能不能拿到公钥，跟地址无关。 我只需要能够从公钥计算出私钥。 私钥和公钥之间的保护是由比特币上的椭圆曲线签名提供的，而GRIN提供的保护也是一种称为Mimblewimble的椭圆曲线签名。

Q4：如果破解了，是不是意味着这些加密数字资产会随时被转走？

Andy：你的问题有点局限。 先说一下怎么破解吧。 怎么破解呢？ 关于椭圆曲线签名的历史，相信大多数人都不知道，椭圆曲线签名是1985年一位名叫Koblizt的数学教授应美军的需要开发出来的，所以Koblizt一直没有被使用过。 谈谈他的椭圆曲线签名。 1994 年，当今麻省理工学院的数学教授彼得·肖尔发明了一种算法，称为秀尔算法。 秀尔算法可以破解椭圆曲线签名，这意味着椭圆曲线签名在1994年就在理论上被破解了。

那么 2009 年中本聪在想什么？ 中本聪想到的是我们需要最小的公钥在全网广播，所以使用了椭圆曲线签名。 他认为，从 199X 年到 2009 年（中本聪为比特币编写代码时），量子计算机几乎没有什么发展。 美国国家安全局在2014年到2015年才公布这个网页，大家知道量子计算机在2014年左右发展迅速。所以在2009年中本聪选择了抗量子计算机破解的签名。 量子计算机出来了，改一下算法就好了。 所以中本聪有两个问题。 第一个问题是他选择了椭圆曲线签名。 第二个问题，他觉得如果量子计算机出来了，应该改成抗量子计算机破解的签名。 我们认为，几乎没有更改签名的可能性。 我们认为，比特币无法替代抗量子计算机破解的签名。

因此，如果有实用的量子计算机可以破解椭圆曲线签名，就可以通过暴露的公钥计算出私钥。 那么什么是实用的量子计算机呢？ 一般认为，一台量子计算机有3000多个逻辑量子比特。 如果我们把它定义为4000个逻辑量子比特，它可以在十分钟内捕获一个全网广播的公钥，并破解公钥。 根据目前公开的资料，无论是Google、IBM，还是Harry Weller，逻辑量子位都超过50到70个，估计要达到4000个逻辑量子位还需要很多年。 我们不是搞量子计算机的挖比特币会被监管部门查到吗，但是根据我们今天了解到的公开或者非公开的信息，我觉得2027年有50%的可能性，量子计算机会发展到能够实际破解暴露的公钥比特币。 这是我个人的看法。

Q5：10年后的加密资产会是什么样子？

Andy：说到数字货币的未来，我觉得还是从技术角度。 首先，让我们看一下共识水平。 我们认为工作量证明和 PoW 非常乐观。 这很简单。 它足够安全，对整个数字货币系统的生态有利，不管你说比特币，还是所谓的以太坊。 我们非常感谢 PoW。 以PoW为例，由于其技术特点主要是签名的大小，未来会导致两个特点。 第一个特点是只要有一台机器在 PoW 挖矿，整个系统就不会死，所以 PoW 数字货币是不可能消失的。 不管是哪个政府或强大的机构介入，消失几乎是不可能的，所以我个人的看法是基于PoW的数字货币是不可能消失的。 第二点我认为数字货币几乎不可能取代任何国家的法定货币。 这也是技术原因。 技术上的原因，主要是因为刚才说的PoW足以让整个生态受益，而且PoW相对公平和去中心化。 同时，PoW有一个特点，只要PoW采用签名，最小的就是椭圆曲线签名，80字节。 如果以后要改出抗量子计算机破解的签名，基本上只有两种。 签名的大小只有两个量，一个是400字节，比椭圆曲线的80字节大了五倍，一个是40000个字符。 section size大五百倍，当然是可以缩小的，所以刚才我们讲到ABCMint我们的基金会，里面有一个支持PQC的研究挖比特币会被监管部门查到吗，主要是指缩小签名。 签名越小越好，因为无论签名多小，椭圆曲线都是80字节，它可以达到70字节，然后抗量子计算机破解签名的400字节可以达到200字节，并且那么可能会比200字节低一点点，但是不管是什么PoW数字货币，如果要用小额支付，是没有可能的，除非你做无数个节点，做一个中心化的节点来负责结算。 所以我的观点是，未来数字货币不会消失，也不会取代任何国家的法定货币。

第三点，我认为未来数字货币的流动市值会越来越大。 我认为10年应该达到1万亿美元。 当然也有人说因为后疫情时代，各国政府都会放水等等，就算不放水，也会达到1万亿美元，那么还有一点就是从2022年到2024年之后，美国国家技术与标准研究院将公布抗量子计算机破解算法的最终标准，包括数字签名标准。 我们认为大概只有3、3、4个签名，按照全网广播PoW数字货币，肯定是最短、最稳定、最安全的签名。 在这种情况下，我们几乎只看好一个叫Rainbow Signature的彩虹签名，其他的几乎都太大了，所以从2022年到2024年，美国国家技术标准局公布最终算法标准后，12月31日， 2028年，涉及美国国家安全的商业机构，比如美国国防部，所有的互联网通信交易，所有的签名，所有的加密，都是PQC算法，都是抗量子计算机破解的算法。

如果不能换成抗量子计算机破解的算法，那就完了，但是正好我们的研究认为比特币不能换成抗量子计算机破解的算法，因为对于一条公链来说，公链越大，算法至少需要七个步骤，必须全部完成七个步骤才能成功更改算法。 每一步都异常艰难。 其中，三步涉及到抗量子计算机破解，涉及到世界顶尖的数学教授和密码学教授。 还有另外四个步骤。 第一步需要达成社区共识。 达成社区共识可能并不容易。 可能有人会说我要选一个Henry或者某个算法，所以不同的人选择不同的算法，最终都会分叉。 就算前五六步都这样走，最后一步就是对所有在他的终端持有相应数字资产的人，手动切换到新的签名保护。

Q6：目前加密数字资产领域有很多公链和Token。 这些公链应该如何选择数字签名？

Andy：在中本聪的白皮书中，有一个专门的章节是关于数字签名的长度的。 椭圆曲线签名只有 80 个字节。 定性开发可以破解RSA、ECC、椭圆曲线等签名，然后他觉得还是改签名比较好，所以当时签名的长度应该是最短的。 我觉得中本聪在这方面的判断并不准确，就像他说的一CPU一票一样，没想到ASIC芯片的出现。 因此，选择签名最短、最稳定、最权威，是数字货币签名的必然选择。 我们知道，2014-2015年，量子计算机有了质的飞跃。 假设我们要创造一种新的抗量子计算机的数字货币，我们面临的第一个主要问题是如何选择签名。

Q7：以太坊生态吸引了很多开发者和持有者。 未来他们该如何抵御量子计算机的破解？

Andy：一年半前，Vitalik 也想让以太坊能够抵抗量子计算机的破解。 事实上，Vitalik 很早以前就在想着抵制量子计算机的破解。 我能找到的资料是 Vitalik 在 2013 年提到如果未来反量子计算机破解，他希望使用一个名为 Lamport signature 的签名，这是一个非常著名的一次性签名，与 D​​avid Chaum 的选择相同，所以 David Chaum 目前的项目可能叫做 Ecash。 好吧，一年半前，我在 Twitter 上与 Vitalik 聊天。 Vitalik 希望以太坊在未来选择基于哈希的签名。 当时，我告诉 Vitalik，你不能使用基于哈希的签名。 如果使用基于哈希的签名来抵抗量子计算机破解，以太坊上几乎所有的 Token 都没有办法要求 TPS。 主要原因是基于哈希的签名长度非常大，所以我绝对不推荐以太坊使用基于哈希的签名。 事实上，我不建议所有的数字货币都使用基于哈希的签名。 主要原因是签名长度过大。

ABCMint基金会的主要工作是支持PQC算法的研究和PQC算法的应用。 所谓支持PQC算法的研究，就是让签名长度变短。 如果是基于散列的签名 则为 40,000 字节。 它可能会缩短 20,000 或 10,000。 缩短它非常困难，所以我们不建议未来所有的数字货币在抗量子计算机破解时都使用基于哈希的签名。 基于哈希的签名实际上是用在互联网上，而不是用在数字货币开源公链上。

Q8：您如何看待未来10年数字货币的发展和抗量子计算机算法的发展？

Andy：其实所有这些问题都是基于量子计算机的发展，那么未来10年量子计算机能够发展到什么程度呢？ 因为我们是搞数学的，不是搞量子计算机的，但是我们会收到很多和量子计算机相关的信息，尤其是去年2019年11月，谷歌CEO皮查伊就做出了一些判断，我也跟谷歌的朋友们仔细看看，所以我估计在未来10年，有50%的几率在2027年破解真正的椭圆曲线签名，这意味着什么？ 因为我们基金会是悬赏破解椭圆曲线签名的，也许会更好，或者惊世骇俗的方式是有一个比特币地址给别人破解，不管是不是公开确认，我个人认为是50%的可能在 2027 年破解某个比特币地址。

比特币应该是2022年、2023年，美国国家技术标准研究院公布抗量子计算机破解算法标准后，包括比特币在内的所有数字货币开始走下坡路半年，或者下坡路五年或者六年，归零。 或者归零。 如果不能从ECC换成PQC，如果比特币不能保护自己的私钥免受椭圆曲线签名，换成数字签名保护防量子计算机破解，那它就归零了！ 但我认为签名被替换成功几乎是不可能的，所以我个人的看法是，从2022年到2023年，大约在国家技术标准研究院公布标准后的六年，比特币将归零或归零. 更不用说其他数字货币了。 它不一定会被破解，但市场情绪会产生直接影响。

只要有人知道比特币地址被破解，市场情绪就会影响所有数字货币。 世界上所有的区块链和数字货币都是建立在一块基石上的。 这个基石是椭圆曲线签名。 不管你是什么叫签名，几乎都是椭圆曲线签名，所以我们在做抗量子计算机破解的签名。 刚才Henry还问到未来10年的数字货币。 我们讲数字货币只要你是Proof of Work，它就不可能消失，它可能会归零但不会消失，就像比特币一样，只要有节点和机器在挖，它就不会消失。 第二，因为签名太长，不可能微支付，第三，因为不能微支付，所以不可能替代法币，但是越来越多的人会用。 我认为下一代的数字货币都是抗量子计算机破解的数字货币，而且都是基于最短最稳定的签名长度，也许是最权威的数字签名，所以我个人的看法是未来10年，2030年左右，整个数字货币不会像今天这样有3000亿美元的现市值，而是达到1万亿美元的现市值。

要迎合各国政府的监管。 我认为未来10年达到数万亿美元是非常有可能的。 我认为10年内，达到万亿美元规模的数字货币，都是抗量子计算机破解的，没有椭圆曲线签名的数字货币。 货币，这个时间可能会很快，我觉得两三年内可能会发生。 推荐大家看一个页面，这个页面在我看来是全世界所有数字货币和全世界​​所有区块链从业者最重要的页面，去谷歌一下：NIST-PQC-Round2，PQC的意思是Post quantum Cryptography is post -量子密码学，所以你只需要在美国国家技术与标准研究所NIST.GOV的官网上找到一个叫PQC的后量子密码学。 下一代密码学主要是公钥交换和数字签名。 这个数字签名是一个完全影响我们所有数字货币从业者的标准。