比特币提供的多地址方案如何抵抗量子计算？

介绍

作者：Carsten Stöcker 博士（Spherity GmbH）、Samuel M. Smith 博士（ProSapien LLC）； 合著者（编辑）：Juan Caballero 博士（Spherity GmbH）

杜塞尔多夫，2020 年 1 月 19 日

RWOT 虚拟社区中的论文

关键词：去中心化身份、W3C DID 规范、数字签名、密钥轮换、哈希函数、DAD、密钥事件接收日志 (KERL)、密钥事件接收基础设施 (KERI)、比特币 P2PKH、因式分解、哈希碰撞、量子计算、密码学

往期情况回顾：

在前两期中，我们从两个论点开始，提出去中心化身份系统特别容易受到此类密码攻击。 “量子纠错”背后的理论是指：量子计算发挥作用所需的可靠性阈值可能相当低的观点。

本期，我们继续围绕这一主题，介绍本文的观点。

图片来自网络

当前技术：

使用量子计算机进行因式分解和哈希冲突的成本分析

我们的论文基于 Daniel J. Bernstein 的工作以及他使用量子计算机对因式分解和哈希冲突的成本分析。 本文基于他的工作得出的以下结论：

1. 量子计算机将更具可扩展性，因此在组装海量计算资源方面比分解硬件更具成本效益；

2. 在寻找哈希函数中的冲突时，所有已知的量子算法的成本效益都低于经典密码硬件，即使在对量子硬件速度的乐观假设下也是如此；

3. 量子计算机在分解足够大的数字时效率更高，但在用于运行碰撞搜索时效率低得多。

这些理论结论不依赖于构建量子计算机的工程难度，即使在量子计算机成熟稳定的世界中也同样适用。 在已知的量子碰撞算法空间内，最具成本效益的算法等同于非量子算法。 因此，散列碰撞算法应该用标准比特而不是量子比特来实现。

图片来自网络

如果哈希算法在经典计算方面可以被认为是安全的，那么它在后量子领域也可以被认为是安全的。

当前的最佳做法是：

128 位的安全强度足以抵御近期的攻击，我们的研究也支持这一安全强度可能扩展到包括后量子时代的安全强度的结论。 在不久的将来，维持 128 位后量子安全强度的算法也将足够。 因此，我们认为Blake2-256位以上、Blake3-256位以上、SHA3-256位以上、SHA2-512等单向哈希函数是现代和后量子时代最好的。 安全，因为它们保持至少 128 位的后量子安全强度。

来自比特币的灵感

自从谷歌宣布实现量子霸权以来，整个密码系统比特币成本计算，尤其是比特币的安全性话题就受到了公众的广泛讨论。 比特币为点对点交易提供了多种地址方案比特币成本计算，我们比较了其中两种，因为它们与抵抗量子计算有关。

图片来自网络

01

支付公钥 (p2pk)

这种地址类型是第一个编入 BTC 协议的工具。 由于所有交易都是公开的，任何人都可以从账本中获取公钥，使用足够强大的量子计算机解决其计算难度，从而发现对应的私钥，可以用来解锁BTC客户端。

02

支付公钥哈希 (p2pkh)

收件人的地址是从公钥的单向散列函数中导出的。 公钥不会直接由地址透露：它只会在收件人签名并发起 BTC 交易时首次透露。 这意味着，如果 BTC 从未从 p2pkh 地址转移，那么公钥就不会发布在账本上，私钥也无法使用量子计算机导出。 首次转账 BTC 时，公钥是公开的，不应该假设客户端是量子安全的。

图片来自网络

可以认为，未使用的 BTC p2pkh 地址是量子安全的（即，与直接暴露公钥的情况相比，从公钥单向哈希中推导出私钥是不可能的，或者更困难。大很多很多数量级，因此实际上是不可能的）。 只要我有一个从未交易过 BTC 的客户，恶意行为者就无法导出我的私钥，即使恶意行为者可以访问理论上足以从公钥计算私钥的量子计算机基础设施。 未完待续...如有任何疑问，请通过私信后台或research@ont.io联系我们。