提到量子計(jì)算（Quantum Computing），不知您會(huì)想到什么？您會(huì)認(rèn)為它比時(shí)下普遍采用的密碼學(xué)應(yīng)用更加安全可靠嗎？下面，我將和您談?wù)劻孔佑?jì)算對(duì)于比特幣和以太坊等公有區(qū)塊鏈上數(shù)字資產(chǎn)的安全性挑戰(zhàn)與機(jī)遇。

什么是量子計(jì)算？

量子計(jì)算是一種全新的計(jì)算范式。它利用疊加（superposition）和糾纏（entanglement）等量子力學(xué)現(xiàn)象，對(duì)數(shù)據(jù)進(jìn)行運(yùn)算。因此，由其產(chǎn)生的量子計(jì)算機(jī)，能夠比傳統(tǒng)計(jì)算機(jī)更快地解決諸如：分解大數(shù)或搜索大型數(shù)據(jù)庫(kù)等應(yīng)用問(wèn)題。

下面，讓我們將量子計(jì)算機(jī)與日常傳統(tǒng)的計(jì)算機(jī)進(jìn)行一個(gè)簡(jiǎn)單的比較。例如，針對(duì)常被用于安全通信的2048位RSA密鑰，進(jìn)行分解的數(shù)學(xué)場(chǎng)景。據(jù)估計(jì)，傳統(tǒng)的計(jì)算機(jī)使用最知名的算法，至少需要數(shù)十億年，才能分解出2048位RSA密鑰。而相比之下，采用Shor算法的量子計(jì)算機(jī)，可以在幾小時(shí)或幾天之內(nèi)（具體取決于量子位的數(shù)量和量子硬件的質(zhì)量），分解出2048位RSA密鑰。

不過(guò)，事情遠(yuǎn)非想象的那么簡(jiǎn)單。構(gòu)建能夠運(yùn)行Shor算法的大型量子計(jì)算機(jī)，本身就是一項(xiàng)富有挑戰(zhàn)的大工程，而且目前尚不存在此類計(jì)算機(jī)。當(dāng)前，最大的量子計(jì)算機(jī)只有約100個(gè)量子位，這遠(yuǎn)不足以分解2048位的RSA密鑰。可見(jiàn)，您至少需要4,000個(gè)邏輯量子位，才能在幾天或更短的時(shí)間內(nèi)，分解出2048位的RSA密鑰。

那么，我們是否可以認(rèn)為2048位的RSA密鑰仍然是非常的安全呢？其實(shí)，密碼學(xué)界已經(jīng)充分意識(shí)到了此類威脅，并且正在積極地致力于開(kāi)發(fā)量子安全（quantum-safe）的密碼體系。

為了抵抗各類經(jīng)典計(jì)算機(jī)和量子計(jì)算機(jī)的攻擊，“量子安全密碼學(xué)”正在緊鑼密鼓地被開(kāi)發(fā)和標(biāo)準(zhǔn)化中，以取代當(dāng)前易受攻擊的算法，并確保數(shù)字通信和資產(chǎn)的持續(xù)安全。

量子安全密碼學(xué)的一個(gè)典型用例當(dāng)屬：基于晶格的密碼（lattice-based cryptography）。它依賴于晶格理論中對(duì)某些問(wèn)題的難解特性。而這些問(wèn)題往往被認(rèn)為是可以用來(lái)抵抗量子攻擊的。當(dāng)然，其他候選的技術(shù)也包括：基于代碼的密碼、 多元（multivariate）密碼、以及基于散列（哈希）的簽名等。

質(zhì)數(shù)因式分解與加密貨幣領(lǐng)域的關(guān)系

眾所周知，目前加密系統(tǒng)所依賴的理論基礎(chǔ)是：使用經(jīng)典計(jì)算機(jī)將大數(shù)分解為其對(duì)應(yīng)的質(zhì)因數(shù)，在計(jì)算時(shí)間與開(kāi)銷上是不可行的。因此，對(duì)于大素?cái)?shù)進(jìn)行因式分解是許多密碼系統(tǒng)的重要組成部分，其中就包含了已被廣泛使用的RSA加密和數(shù)字簽名等方案。

在RSA加密算法中，公鑰是通過(guò)兩個(gè)大素?cái)?shù)相乘生成的，而私鑰則是從該乘積的因子中得出的。RSA加密算法的安全性依賴于難以將兩個(gè)大素?cái)?shù)的乘積，分解出對(duì)應(yīng)的因子。這也就使得攻擊者很難獲得用于解密消息的私鑰。

類似地，在RSA和橢圓曲線加密（Elliptic Curve Cryptography，ECC）等數(shù)字簽名方案中，私鑰用于對(duì)消息進(jìn)行簽名，公鑰用于驗(yàn)證簽名。這些方案的安全性都依賴于分解大數(shù)的難度。不過(guò)，由于量子計(jì)算機(jī)能夠運(yùn)行Shor算法，因此它可以有效地分解出大量因子，進(jìn)而破壞現(xiàn)有加密系統(tǒng)的安全性。這也就是為什么面對(duì)量子計(jì)算的進(jìn)步，開(kāi)發(fā)量子安全密碼算法，對(duì)于確保數(shù)字通信和資產(chǎn)的持續(xù)安全，能夠起到至關(guān)重要的作用。

什么是Shor算法

Shor算法是一種用于高效分解大數(shù)的量子算法。它是由Peter Shor于1994年開(kāi)發(fā)，并已成為了目前最著名的量子算法之一。

該算法的工作原理是：查找函數(shù)的周期。它是指在一定次數(shù)的迭代之后，重復(fù)出現(xiàn)的某種數(shù)學(xué)屬性。在對(duì)大數(shù)進(jìn)行因式分解的場(chǎng)景中，所使用到的函數(shù)是模冪函數(shù)（modular exponentiation function）。它首先對(duì)一個(gè)基數(shù)進(jìn)行求冪運(yùn)算，然后去除以某個(gè)大數(shù)，以得到余數(shù)。由于過(guò)于復(fù)雜，我們?cè)诖瞬⒉徽归_(kāi)解釋。

量子計(jì)算對(duì)于區(qū)塊鏈完整性的威脅

量子計(jì)算機(jī)可以利用其速度上的優(yōu)勢(shì)，來(lái)操縱區(qū)塊鏈網(wǎng)絡(luò)。而此類網(wǎng)絡(luò)需要根據(jù)共識(shí)算法，來(lái)商定賬本的狀態(tài)。例如，擁有量子計(jì)算機(jī)的攻擊者，可以通過(guò)在尋找新的區(qū)塊，以創(chuàng)建更長(zhǎng)的鏈，并通過(guò)設(shè)法超過(guò)誠(chéng)實(shí)的節(jié)點(diǎn)，以針對(duì)以工作量證明（proof-of-work）為基礎(chǔ)的區(qū)塊鏈（如：比特幣），發(fā)起51%攻擊。在此基礎(chǔ)上，攻擊者還能夠開(kāi)展各種雙花交易（double-spend transactions），甚至重寫賬本的歷史記錄。也就是說(shuō)，他們可能會(huì)破壞網(wǎng)絡(luò)中由大多數(shù)參與者達(dá)成的協(xié)議，并且用生成新的區(qū)塊來(lái)改寫共識(shí)機(jī)制。

量子計(jì)算帶給區(qū)塊鏈的好處

當(dāng)然，量子計(jì)算也可以為區(qū)塊鏈技術(shù)帶來(lái)包括：增強(qiáng)其性能、可擴(kuò)展性、以及效率等好處。例如，量子計(jì)算機(jī)可以為區(qū)塊鏈應(yīng)用程序（如：智能合約、供應(yīng)鏈管理、以及醫(yī)療記錄等）提供高水平的計(jì)算能力和數(shù)據(jù)分析。如今，業(yè)界已有一種趨勢(shì)--將它們結(jié)合在一起，形成所謂的量子區(qū)塊鏈（Quantum Blockchain）。

同時(shí)，量子計(jì)算也可以使用量子加密和簽名機(jī)制，來(lái)保護(hù)各項(xiàng)區(qū)塊鏈交易，并使用量子共識(shí)算法來(lái)生成新的區(qū)塊。此外，量子區(qū)塊鏈還可以使用量子云計(jì)算平臺(tái)，來(lái)使得區(qū)塊鏈更易于訪問(wèn)和便于交易。

小結(jié)

綜上所述，量子計(jì)算對(duì)于區(qū)塊鏈技術(shù)而言，既帶來(lái)了挑戰(zhàn)，也帶來(lái)了機(jī)遇。它可以通過(guò)破壞現(xiàn)有加密系統(tǒng)和共識(shí)邏輯，來(lái)威脅其安全性；也可以通過(guò)啟用新的計(jì)算形式、增強(qiáng)的加密與簽名過(guò)程，來(lái)增強(qiáng)其性能、可擴(kuò)展性和效率。新興的量子區(qū)塊鏈解決方案，將集成兩種技術(shù)的各自優(yōu)勢(shì)，以創(chuàng)建出更安全、更實(shí)用的網(wǎng)絡(luò)。