谷歌2029年量子截止日期让比特币开发者陷入困境

谷歌（NASDAQ：GOOGL）（NASDAQ：GOOG）刚刚设定了科技史上最激进的量子安全截止日期之一。比特币开发者仍在争论是否需要比特币。3月25日，谷歌宣布了2029年完成向后量子密码学（PQC）迁移的目标。比大多数政府基准领先数年。美国国家安全局目前的目标是到2033年实现国家安全系统转型，而NIH则提议到2035年放弃传统RSA算法。 谷歌的举动重新定义了每个依赖加密技术的行业的对话，很少有哪个行业比比特币更依赖加密技术。

值得问的问题是：比特币是否真的处于风险之中，或者只是处于需要数年时间的过渡周期的早期？

首先，一些澄清。谷歌2029年的最后期限不是“Q-Day”--假设的时刻，即一台强大到足以破解当今加密的量子计算机开始运行。这是一个移民目标。该公司的新时间轴反映了量子计算硬件开发、量子纠错和量子因子资源估计的进展情况下的迁移需求。 区别很重要。谷歌并没有说到2029年将出现加密相关量子计算机（CRQC）。这是说组织应该在做好准备之前完成准备。

“作为量子和PQC领域的先驱，我们有责任以身作则并分享雄心勃勃的时间轴，”谷歌安全工程副总裁希瑟·阿德金斯（Heather Adkins）和高级密码学工程师索菲·施米格（Sophie Schmieg）在该公司的博客文章中写道。

“通过这样做，我们希望提供加速谷歌以及整个行业数字化转型所需的清晰度和紧迫性。"

有两种不同的威胁类型在起作用。第一个，“立即收获，稍后解密”（HNDL）与今天相关。对手现在可以收集加密数据，并等待能够破解它的量子机器。第二个涉及数字签名，这是一个未来的威胁，需要在CRQC到来之前升级加密基础设施。相应地，谷歌改变了其内部优先事项，更加关注将身份验证系统迁移到后量子标准。

经典计算机顺序地解决数学问题。量子计算机利用叠加和纠缠原理同时处理多个解，使某些问题以指数级的方式更容易解决。

这就是比特币风险敞口的开始。肖尔的算法由数学家彼得·肖尔（Peter Shor）在20世纪90年代开发，证明了足够强大的量子计算机可以比任何经典系统以指数级速度更快的速度分解大的积分。RSA加密和椭圆曲线数字签名算法（ECDSA）--比特币密钥安全的基础都容易受到这种攻击载体的攻击。

SHA-256是比特币工作量证明中使用的哈希算法，通过Grover的算法面临着不同且较小的威胁，该算法仅提供二次加速。大多数研究人员认为比特币的哈希面是可控的。签名的一面则是另一回事。

比特币的安全模型依赖于一个简单的原则：您的私人钥匙永远不会离开您的钱包。只要公钥在链上不可见，量子攻击者就没有任何东西可以使用。问题在于暴露。三种地址类型具有有意义的量子风险：重复使用的地址，当资金支出时，公钥变得可见;早期比特币交易的遗留支付公钥（P2PK）输出，直接嵌入了公钥;和Taproot密钥路径支出，支出时会显示经过调整的公钥。

这种暴露的规模是巨大的。目前估计有626万BTC（约合4400亿美元）存放在量子易受攻击的地址中。 其中包括与Satoshi Nakamoto相关的早期硬币，他的P2PK输出从未移动过，并且携带永久暴露的密钥。

由IBM、谷歌、微软、亚马逊和英特尔领导的行业路线图表明，量子计算机可能能够在短短两到五年内解密用于比特币公私密钥加密的ECDSA密码。 这是大多数密码学家在2030年代到2040年代的某个地方设定的范围的激进结束。

抵制最坏情况框架的引力是值得的。大多数独立研究人员不认为能够攻击比特币的CRQC会在2029年到来。

2015年至2022年间领导微软后量子转型的密码工程师布莱恩·拉马基亚（Brian LaMacchia）告诉Ars Technica，谷歌的时间轴是“我们迄今为止看到的公共转型时间表的显着加速/收紧”。“他指出，更严格的最后期限引发了一个问题，即是什么动机了它--谷歌尚未具体说明。

2029年的目标并没有假设CRQC将在那一年到来。相反，它反映了谷歌在面对不确定但不断发展的能力时所描述的谨慎的风险管理方法。 逻辑很简单：迁移是一个多年的项目，等到威胁得到确认是等待太久了。

具体来说，对于比特币来说，这是一种低概率、高影响的风险。保险模型所针对的类型。争论的不在于量子最终是否会威胁ECDSA。这是比特币是否能在时间轴压缩时移动得足够快。

比特币开发商已经做出了回应。由MARA的Hunter Beast、加密研究员Ethan Heilman和技术通讯专家Foxen Duke共同撰写的BIP-360已正式提交给比特币改进提案库，首次将量子阻力置于比特币的官方技术路线图上。

此后，BTQ科技公司在其Bitcoin Quantum Testnet v0.3.0上部署了第一个功能实现，将该提案从概念转向实时测试。

但比特币的治理结构才是真正复杂的地方。与可以向每个客户推送强制软件更新的银行或可以集中迁移内部系统的科技公司不同，比特币升级需要开发者、矿工、节点运营商和钱包提供商达成共识，无权强迫任何人。

Capriole的Charles Edwards等支持者认为，量子计算的发展速度快于预期，并主张在2026年实施BIP-360，并在2028年之前对不合规行为进行处罚。

像Blockstream的Adam Back和1月3日的Samson Mow这样的怀疑论者驳回了短期风险，认为目前的量子计算机缺乏量子比特能力来构成可信的威胁。

BIP-360是有意义的第一步，但它不是一个完整的解决方案。它删除了Taproot密钥路径暴露模式，但没有用基于格或基于散列的后量子方案取代ECDSA或Schnorr签名。完整的基层过渡需要更大的改变。

完整的过渡需要采用基于网格的签名算法，例如CRYSTALS-Dilithium或Falcon，这些算法比椭圆曲线等效算法大得多，从而增加了整个分布式共识网络的块权重、验证成本和拒绝服务风险。更大的签名意味着更高的交易费用、更慢的验证以及钱包提供商显着的用户体验复杂性。

并行运行经典和后量子方案的混合阶段是一种可能的中间路径，但它增加了自己的协调负担。

对于投资者来说，短期前景可能会黯淡。BIP-360位于测试网上，而不是主网上，并且不存在激活时间轴。谷歌声明的短期价格影响预计将是叙事驱动的，而不是基本面。

中期故事可能更重要。加强对比特币量子姿态的机构审查可能会加速对加密货币安全基础设施的资助，并提高将自己定位为替代品的“抗量子”区块链项目的知名度。

长期的量子准备可能会成为比特币下一个周期的决定性叙述--类似于规模辩论如何塑造2017年和机构采用故事如何塑造2020年。

可信计算集团（Trusted Computing Group）的一项调查发现，91%的企业目前还没有正式的迁移到量子安全算法的路线图，这表明市场普遍没有准备好，早期迁移的解决方案提供商可能会带来显着的优势。

并不是每个人都买紧迫感。量子威胁叙述的批评者指出，目前的量子计算机远未达到威胁比特币所需的规模。破解2，048位RSA密钥，更不用说比特币的ECDSA了，都需要一台具有数百万个稳定量子位的耐故障机器。当今最先进的系统与数千个有噪音的系统一起运行。

还有一个可信度差距：有关比特币量子突破的警告已经流传了十多年，反复与硬件里程碑联系在一起，但最终没有转化为加密威胁。比特币已经适应了其历史上的每一项技术挑战，其捍卫者认为，它将在威胁成为现实之前就适应这一挑战。

相反的论点是时机。比特币的适应从设计上来说是缓慢的。现在设定最后期限的组织--谷歌、NIH、美国国家安全局并不以夸大其词而闻名。

谷歌设定的2029年最后期限并不是比特币加密技术的死刑。这是来自世界领先的量子计算组织之一的信号，表明迁移窗口比之前假设的要短。

更换加密系统是一项多年的努力。它需要识别加密的使用位置，更新软件依赖关系，与供应商协调，并确保系统在整个过渡过程中保持运行。即使在资源充足的环境中，这个过程也是以年来衡量的。从这个意义上说，比特币并不是一个资源充足的环境。这是一个根据共识行事的去中心化网络。

测试网上的BIP-360正在取得进展。这是否足够，以及比特币的治理是否能够加速以适应日益压缩的时间轴，是该行业现在必须回答的问题。

Beninga免责声明：本文来自无薪外部撰稿人。它并不代表Beninga的报道，并且未经内容或准确性编辑。