后量子密码(post-quantum cryptography, PQC)[6] 是一类能够抵抗量子计算攻击的新型密码算法。
作者:ZAN Team
前言:谷歌推出了量子芯片 Willow 可以在 5 分钟之内便完成了当今最快的超级计算机都需要 10^25 年才能完成的计算任务,虽暂时还无法对现实中使用的如 RSA 和 ECDSA 等算法造成威胁,但对加密货币安全体系提出了新的挑战,区块链的抗量子迁移显得日渐重要。AntChain OpenLabs 密码专家为您详细解读这项黑科技对区块链的影响。
谷歌推出新量子芯片 Willow
12 月 10 日,谷歌公司宣布推出其最新的量子计算芯片 Willow。这一创新性的技术是自 2019 年谷歌推出量子芯片 Sycamore 首次实现 “量子霸权” 之后的再一次突破。该成果已经在 Nature 上加急发表,且在社交媒体上获得了世界首富 Elon Musk 和 OpenAI 首席执行官 Sam Altman 的点赞,如图 1、2 所示。
新芯片 Willow 拥有 105 个量子比特,在量子纠错和随机电路采样两项基准测试中都达到了同类别的最佳性能。其中,在随机电路采样基准测试中,Willow 芯片在 5 分钟之内便完成了当今最快的超级计算机都需要 10^25 年才能完成的计算任务,而这一数字超出了已知宇宙的年龄,甚至超出了物理学已知的时间尺度。
一般来说,在量子计算硬件方面,随着量子比特数量的增加,计算过程就更加容易出错。但是,Willow 能够将错误率实现指数级下降,并让错误率低于某个阈值。这往往是量子计算现实可行的重要前提。
Willow 研发团队 Google Quantum AI 的负责人 Hartmut Neven 称,作为首个低于阈值的系统,这是迄今为止最令人信服的可扩展逻辑量子比特原型,Willow 表明了大规模实用性量子计算机是可行的。
对加密货币的影响
谷歌的这一成就不仅推动了量子计算的发展,也对多个行业产生了深远影响,尤其是在区块链和加密货币领域。 比如,椭圆曲线数字签名算法(ECDSA)和哈希函数 SHA-256 被广泛用于比特币等加密货币的交易中,其中 ECDSA 被用于签署和验证交易,SHA-256 被用于确保数据完整性。研究表明,学者 Grover 提出的量子算法 [3] 能够破解 SHA-256,但所需的量子比特非常多--需要数亿个量子比特。然而,1994 年学者 Shor 提出的量子算法 [4] 能够完全破解 ECDSA,仅需要百万个量子比特。
在比特币的交易中,比特币会从一个钱包地址转移到另一个钱包地址。比特币钱包地址分为下面的两类:
- 第一类钱包地址是直接使用收款人的 ECDSA 公钥,对应的交易类型被称为 “支付给公钥”(p2pk);
- 第二类钱包地址是使用收款人的 ECDSA 公钥的哈希值,对应的交易类型被称为 “支付给公钥的哈希”(p2pkh),但在进行交易时公钥会暴露出来。
这两种类型交易中,p2pkh 交易的占比最大。由于比特币的所有交易均是公开的,这意味着任何人都能从 p2pk 历史交易中获取收款人的 ECDSA 公钥。比特币的区块间隔时间约为 10 分钟,在此期间,所有人都能够从活跃的 p2pkh 交易中获取收款人的 ECDSA 公钥。一旦拥有量子计算机的攻击者获取了 ECDSA 公钥,其便能在量子计算机中运行 Shor 量子算法从 ECDSA 公钥中推导得到对应的 ECDSA 私钥,从而能够占据该私钥的所有比特币。即使 p2pkh 交易仅有 10 分钟的窗口期,也够 Shor 量子算法推导出私钥。
尽管谷歌的 Willow 芯片已经达到的 105 个量子比特还远小于破解比特币密码算法所需的量子比特,但即便如此,Willow 的出现预示着一条建造大规模实用性量子计算机的康庄大道,图 3 展示了 Willow 的最新成果,量子计算机在破解密码算法方面的潜力仍然令人担忧。
像比特币一样的加密货币在大规模量子计算机诞生之前能够维持交易正常运作,因为传统计算机需要 300 万亿年才能破解 ECDSA 私钥。虽然谷歌这项工作暂时还无法对现实中使用的如 RSA 和 ECDSA 等算法造成威胁,但可以看到谷歌的 Willow 芯片已经对加密货币安全体系提出了新的挑战。如何在量子计算的冲击下保护加密货币的安全性,将成为科技界和金融界共同关注的焦点,而这本质上依赖于抗量子区块链技术。这也使得开发抗量子区块链技术特别是将已有区块链进行抗量子升级成为了当务之急,以确保加密货币的安全性和稳定性。
抗量子区块链
后量子密码(post-quantum cryptography, PQC)[6] 是一类能够抵抗量子计算攻击的新型密码算法。尽管 Shor 量子算法和 Grover 量子算法能够破解目前广泛应用在区块链和加密货币中的 ECDSA 等经典密码算法,但没法破解后量子密码算法。这使得即使量子时代来临,后量子密码算法依然安全。将区块链迁移到抗量子级别除了作为前沿技术探索,更是为了保证未来区块链长期稳健的安全性。
AntChain OpenLabs 此前已经完成区块链全流程的后量子密码能力建设,并基于 OpenSSL[7] 改造了一个后量子版本密码库,支持多个 NIST 标准后量子密码算法 [8] 以及后量子 TLS 通信。同时针对后量子签名较 ECDSA 有 40 倍以上存储膨胀的问题,通过优化共识流程和降低内存读取延迟,使得抗量子区块链 TPS 可达原链的 50% 左右。该密码库可以作为中间件为区块链以及政务、金融等其他场景的后量子迁移提供助力。
同时,AntChain OpenLabs 还在富功能密码算法的后量子迁移上有所布局,参与研发了一套针对 NIST 后量子签名标准算法 Dilithium 的分布式密钥管理协议,这是业界首个高效的后量子分布式门限签名协议,使用该协议可以克服业界后量子密管方案无法支持任意门限值的缺点,同时也在性能上较业界方案有 10 倍以上的提升。相关工作已经发表在安全类顶级期刊 IEEE Transactions on Information Forensics and Security 上 [9]。
Ref
[1] https://x.com/sundarpichai/status/1866167562373124420 [2] https://x.com/sama/status/1866210243992269271 [3] Grover L K. A fast quantum mechanical algorithm for database search[C]//Proceedings of the 28th annual ACM symposium on Theory of computing. 1996: 212-219. [4] Shor P W. Algorithms for quantum computation: discrete logarithms and factoring[C]//Proceedings 35th annual symposium on foundations of computer science. 1994: 124-134. [5] https://blog.google/technology/research/google-willow-quantum-chip/ [6] Bernstein D J, Lange T. Post-quantum cryptography[J]. Nature, 2017, 549(7671): 188-194. [7] https://github.com/openssl/openssl [8] https://csrc.nist.gov/News/2022/pqc-candidates-to-be-standardized-and-round-4 [9] Tang G, Pang B, Chen L, Zhang Z. Efficient Lattice-Based Threshold Signatures With Functional Interchangeability[J]. IEEE Transactions on Information Forensics and Security. 2023, 18: 4173-4187. [10] Cozzo D, Smart N. Sharing the LUOV: threshold post-quantum signatures[C]// Proceedings of the 17th IMA Conference on Cryptography and Coding - IMACC. 2019: 128–153.免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
