为了应对比特币生态系统未来面临的量子计算威胁,开发者已经正式把BIP-360提交到了比特币改进提案库。
这一里程碑将首次把量子抗性切实纳入比特币的技术路线图。
该提案由MARA高级协议工程师Hunter Beast、密码学研究员Ethan Hellman以及技术传播专家Foxen Duke共同编写,引入了一种新的输出类型,称为Pay-to-Merkle-Root(P2MR)。
这种输出类型旨在与比特币的Taproot地址功能相似,同时消除了一种易受量子攻击的花费方式——当前地址若遇到足够先进的量子计算机,便会因此方式而面临攻击风险。
Pay-to-Merkle-Root消除了Taproot的漏洞
P2MR的操作方式与Pay-to-Taproot(P2TR)输出(比特币最先进的地址格式,于2021年引入)非常相似。然而,有一个主要区别——P2MR移除了“密钥路径花费”选项,该选项允许用户用公钥签名直接花费。
根据BIP-360规范,这种密钥路径机制在Taproot中产生了最大的量子安全隐患,因为它会在链上暴露一个调整后的公钥,从而可能让运行Shor算法的量子计算机推导出对应的私钥。
另一方面,P2MR只绑定到Tapscript树的默克尔根,而不包含内部公钥。当用户要动用P2MR输出时,他们必须提供一条脚本路径(从默克尔树中提供一个叶子脚本,并附上证明该脚本包含在内的证据)。
专家表示,由于哈希算法通常被认为比椭圆曲线签名更具量子安全性,这种方法提供了更强的抗量子攻击能力。
这种新的技术结构保持了比特币智能合约的灵活性。用户仍然可以通过Tapscript(一种脚本语言,支持多签钱包、时间锁定交易和条件支付等功能)设定复杂的支出条件。
然而,强制所有支付走脚本路径并消除直接公钥暴露,让P2MR能大幅减少量子计算机的攻击面。
其他分析师还发现,Taproot地址(以“bc1p”开头)、P2PK(公钥支付)输出以及重复使用的地址属于比特币的几种脆弱地址类型,因为在报告提到的情况下公钥会暴露。
根据当前提案,以“bc1z”开头的P2MR地址将避免这种公钥暴露,但由于脚本路径支出需要额外的见证数据,可能让交易费稍微高一点。
量子威胁距离比特币还有多远?
BIP-360背后的紧迫性源于量子计算在多个领域的加速发展。根据BIP-360团队的分析,IBM、谷歌、微软、亚马逊和英特尔等巨头公布的路线图表明,量子计算机可能只需5年就能破解用于比特币公私钥加密的ECDSA算法。
近期突破性进展也加剧了这些担忧。谷歌于2025年12月推出其“Willow”量子芯片,微软在Majorana 1芯片开发上的进展,进一步将量子计算对比特币的潜在威胁引起了更大的关注。
尽管专家们对“密码学相关量子计算机”(CRQC)啥时候出来有不同看法,但发展速度已让协议工程师确信,不能等啥都确定了再准备。
政府机构已经动起来,准备过渡。美国联邦政府发布指令,计划到2035年完全淘汰ECDSA加密技术。政府之所以定这个时间表,是因为他们明白关键基础设施的迁移得花好几年(甚至几十年)。
国家安全局的CNSA 2.0框架也要求系统到2030年得能扛住量子攻击,而国家标准与技术研究院则把ML-DSA(Dillithium)和SLH-DSA(SPHINCS+)列为联邦政府认可的算法。
“虽说给量子事件做准备的时间没个准,但让比特币能应对各种可能的情况,这还挺靠谱的,”BIP-360团队表示。
“此外,我们必须考虑有效过渡所需的总时间——BIP层面、软件层面、基础设施层面,还有用户切换层面。一个顺畅有效的抗量子过渡计划,可能要花上好几年——准备时间越长,大家的安全就越有保障。”
热门跟贴