量子计算机出炉，或将对传统区块链产生威胁

笔者结合自己的思考与分析，向我们介绍了什么是量子计算以及它将对传统区块链产生的威胁。

不久前，谷歌公司宣布，它的量子计算机首次完成了一项经典计算机基本无法完成的任务，实现了量子优越性。为此谷歌还登上Nature封面展示量子霸权，200秒=超级计算机苦干10000年！不少媒体争相报道，谷歌实现 量子霸权 ，来博得大家的眼球。

而这两天被捧上天的区块链，在之前的文章中也提到过，它是一个加密的分布式记账本。但是量子计算机又是一个变态算力的庞然大物。很容易想到，量子计算机对传统区块链产生两大致命威胁。

• 51%攻击：如果说量子计算机控制着整个区块链51%的算力，那么就可以伪造记账。
• 传统加密算法攻击：量子计算机的这种超强计算能力，使得基于计算复杂性的现有公钥密码的安全受到挑战。

1. 量子计算机简介

为了了解量子计算机的超强算力，我们先了解一下量子的两个基本特性： 量子叠加 和 量子纠缠 。

传统比特表示的数据在某一特定时间点，只能有一种状态即0或者1。以4比特为例，无论你使用什么门电路设计，最终输出的只能是：0000，0001，….，1101，1110和1111中的一种状态。即16种可能的组合你只能选用其中的一种。

但对处于叠加态的量子比特表示的数据来说，你可以认为它同时处于这16种组合中的所有状态，至于它是通过什么门电路得到的，姑且先叫做“ 上帝之门 ”吧。

在量子世界里，量子比特可同时处于多种态，它可以是几种不同量子态当中的任意几种归一化线性组合，这种状态即我们常听的： 量子叠加态。

对于传统计算机，在任意一个时刻，它只能处于其中的一种状态；而在量子计算机中，4个量子比特都可处于叠加态，也就是说能同时工作在上述16种状态中！

由此可见：1台n位的量子计算机= 2的n次方 台n位的传统计算机并行工作。且每增加一位量子比特，能够表示的数据就呈指数倍增长。这就是谷歌量子计算机算力200秒=超级计算机苦干10000年！的数据由来。

如下在网上找到一张动态图很好的表示了这个特性：

更有趣的是，量子比特有个难以置信的特性就是：它可以处于量子纠缠态。简单的来说， 处于量子纠缠态的两个量子，就像是两个心有灵犀的双胞胎，你动我也动，你不动我也不动，拷贝绝不走样。

这意味着我们只需要通过观测知道其中的一个状态，另一个的状态也就不言而喻了。而上面提到的“ 上帝之门 ”，也是利用了这个量子纠缠理论进行设计。

2. 量子计算两大威胁

51%攻击

在比特币挖矿中，算力确实意味着一切。

中科院微电子研究所集成电路先导工艺研发中心研究员吴振华表示：

“对于 4000量子比特攻破比特币 ，这个是有依据的，是比对了枚举法破解区块链所需要的计算能力和4000个量子比特的计算能力之后做出的判断。当然要求也很高，需要4000个量子纠缠的比特，同时要保证极低的错误率。”

而现实情况是，目前的量子计算机最多实现72比特的计算能力，并且越往上增加难度越大。而且第二代明星产品以太坊吸取了这个教训。其挖矿算法对计算能力要求不高，对内存读写速度要求高。而且随着人们对区块链的更加深度研究，挖矿已经不再是最为常见的共识方式。

传统加密算法攻击

传统的区块链，如比特币和以太坊，采用了经典的公钥加密技术来签署交易，而这些网络被认为是容易受到量子计算攻击影响的。

其它系统，例如zCash和Quorum，严重依赖于特殊的椭圆曲线以提供零知识证明功能，而一次椭圆曲线算法违约（ECC breach），便会威胁到这些账本的完整性。这将是重大的安全隐患，它会导致网络被全面破解，而大多数区块链使用了公钥密码哈希生成的地址来减轻这种威胁（例如比特币使用了双重SHA256）。

这个安全性的附加层，意味着公钥只有在其参与第一笔交易（即花费比特币）发生后，它才会暴露给账本。直到这一点，只有哈希接收方密钥（地址）被暴露，因此像Shor算法攻击并不适用于这个阶段。

但是，以下攻击向量仍然是适用的，即使当哈希密钥被利用时：

1. 地址重用 ： 当一笔交易被签名时，公钥就会被揭露，因此，与其相关联的地址就不再是安全的了。尽管我们可建议每交易一次使用新的地址/密钥，但旧的比特币客户端和某些矿池仍然会重复使用地址；
2. 被遗弃的币/资产： 如果它们的相关地址不是通过哈希生成的，这些旧地址的公钥就会被暴露，例如2012年之前的比特币；
3. 正在进行当中的交易： 一旦你把一笔交易广播到网络上，并且它还没有被区块链所接受，那么这些交易就很容易受到攻击。当然，这个攻击的窗口机会是有限的，但理论上还是可能的，在交易被合法执行之前，攻击者可恢复私钥，然后用其签名另一笔交易，将资产转移到自己的地址当中；
4. 交易被拒/失败的情况： 如果签名的一笔交易没有通过，例如，由于给出的交易费过低，或者有恶意方阻止交易中继，或在验证过程中出现脚本错误，那么密钥将会受到攻击；
5. 多重签名交易/混合交易： 如果使用CoinJoin协议，这会在交易完成之前向其它各方揭示公钥。

当然，量子计算对于传统加密算法并不仅仅针对区块链。对几乎所有行业都有颠覆性的影响。一旦量子计算机变得普及，整个计算机行业就要被重新定义。

3. 抗量子加密算法

目前加拿大的量子计算机属于专用型量子计算机，它能够执行Grover算法，尚不能执行Shor算法。美国加州大学圣芭芭拉分校的量子计算机可以执行Shor算法，但量子位数太少。也就是说，目前的量子计算机尚不能对现有密码构成实际的威胁。

其实你能想到的潜在威胁，比你聪明的人早就想到了。出于对抗量子计算密码需求的紧迫性，国际上从2006年开始举办”抗量子计算密码学术会议”，每两年举行一次，至今已举办了4届。已经产生了一批重要的研究成果，让人们看到了抗量子计算密码的新曙光。

具体抗量子加密算法是什么原理，小维实在是不懂，只知道由清华大学出版社组织翻译出版了《抗量子计算密码》一书，里面有详细的说明。感兴趣的同学可以自行购买研究。

4. 小维洞见

相比区块链，量子计算绝对是更加能够颠覆人类文明的产物。而它现在正在慢慢的从理论走向实践，出现在大众视野。

目前看来，我觉得短期内（10年内）完全没有必要担心量子计算机的量子霸权带来的影响。

首先，量子叠加的稳定性，根据爱因斯坦的理论（事实证明也是如此），需要在绝对零度下才能保证。因此，在研究量子计算领域，只有绝对的有钱公司或者政府才能开展。至于商用的可能性，除非后期可以提供 量子计算云服务。 目前看来都在赛跑，不太可能拿出成果来分享的。

更重要的是：增加量子比特是一件很难的事情，算法都要重新定义。而且随着随着量子比特的增加，不稳定性会越来越大，错误率会越来越高。几个熊孩子好管，一群熊孩子就不好管了。

但是也不是说我们可以暂缓对量子计算的研究，还是要继续追赶美国。说不定可以弯道超车，梦想还是要有的。

5. 总结

其实吧，随着人类文明一次次的进步，我们更加要用知识武装自己。冷静思考下，不要被媒体带着到处跑——这个牛*，那个好*。

凡事升维思考下，世界大不一样。

作者：升维洞察；微信公众号：升维洞察

本文由 @升维洞察 原创发布于人人都是产品经理，未经作者许可，禁止转载。

题图来自Unsplash，基于CC0协议。