什么是量子计算

什么是量子计算

量子计算是一种基于量子力学原理的信息处理方式。传统计算机使用 bit,每一位只能是 0 或 1;量子计算机使用 qubit,其状态可以处于叠加,并通过纠缠与干涉实现不同于经典计算的求解路径。

量子计算之所以重要,不是因为它能替代所有传统计算,而是因为它可能在少数特定问题上实现数量级优势,主要包括:

  • 大整数分解

  • 离散对数求解

  • 量子系统模拟

  • 某些搜索与优化问题

对密码学来说,最关键的是两类算法:

  1. Shor 算法:可对大整数分解和椭圆曲线离散对数问题提供指数级加速,因此直接威胁 RSA 和 ECC 一类公钥密码体系。

  2. Grover 算法:可对哈希类问题提供平方级加速,但它不是“直接秒杀”哈希函数,而是把安全强度大致从 2^n 降到 2^(n/2)。

这一区别很重要。比特币面临的核心量子风险,主要来自 Shor 算法,而不是很多文章反复渲染的“量子矿机”。

量子计算为什么会影响比特币

比特币并不是靠“加密资产内容”来保证安全,而是主要依赖数字签名来证明所有权。换句话说,攻击者真正想做的不是“解密区块链”,而是从公开信息中反推出私钥,进而伪造一笔合法转账。

这里要区分两层:

  • 哈希函数 比特币使用 SHA-256、RIPEMD-160 等哈希原语,它们面对量子攻击的压力存在,但并没有到失效的程度。

  • 数字签名 比特币历史上主要使用 ECDSA,后续大量新型输出使用 Schnorr。这两者都建立在椭圆曲线离散对数难题之上,而这正是量子计算最敏感的区域。

因此,量子计算对比特币的真正冲击,不是“链会不会消失”,而是“某些地址控制权是否会失守”。

比特币真正暴露在哪些环节

从技术上看,并不是所有 BTC 在同一时刻都暴露于同等风险。风险大小取决于公钥是否已经暴露。

可以把风险粗略分成三类:

  • 已长期暴露公钥的早期输出 例如早期 P2PK 输出,这类资产若未来出现足够强的容错量子计算机,理论上更容易成为目标。

  • 因地址复用或特定脚本设计而暴露公钥的资产 这类风险可通过迁移和钱包策略优化来缓解。

  • 尚未公开完整公钥的普通 UTXO 这类资产短期内相对更安全,因为攻击者缺少直接下手的公开材料。

这也是为什么“量子计算会让所有比特币一夜归零”并不成立。真正的问题是:一部分资产的风险会先上升,而协议和钱包基础设施需要提前为此做准备。

近期量子计算信息整合

最近两年,量子计算的新闻密度明显提升,但需要把“科研突破”与“可实施攻击”严格分开。

截至 2026 年 3 月,Google Quantum AI 发布论文《Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations》,将破解 256-bit ECC 的理论资源估算进一步压缩,在特定超导硬件假设下,论文给出了“少于 50 万 个物理量子比特、运行时间以分钟计”的推演。这个结果说明研究在进步,但它并不意味着现实世界已经出现能攻击比特币的钱包级设备。

同样值得关注的是:

  • 2024 年 12 月,Google 发布 Willow 芯片,强调量子纠错能力取得重要进展。

  • 2024 年 8 月 13 日,NIST 正式发布首批后量子密码标准,包括 ML-KEM、ML-DSA 和 SLH-DSA。

  • 2025 年 至 2026 年,Bitcoin Optech 持续跟踪 BIP-360、P2TSH、SLH-DSA 优化与哈希签名方案,说明比特币开发社区已把抗量子问题纳入正式讨论轨道。

这些信号共同说明一件事:威胁不是“已经到来”,但工程准备期已经开始。

比特币会受到哪些现实影响

如果未来出现足够强的容错量子计算机,比特币可能受到的影响主要有以下几项:

  • 部分公钥已暴露的老币面临被盗风险

  • 钱包、交易所、托管机构需要迁移到新的签名体系

  • 链上签名体积、验证成本、脚本设计可能发生变化

  • 历史上依赖公钥暴露的扩展方案需要重新评估安全模型

但也要看到两点常被忽略的事实:

  1. “量子挖矿取代 ASIC” 目前没有现实可行性。 Grover 算法 对哈希搜索的理论加速,并不足以在真实能耗、纠错和硬件开销下形成对现有矿机的颠覆。

  2. 比特币并非没有升级能力。 SegWit 与 Taproot 已经证明,比特币虽然升级慢,但并非不能升级。真正的问题是社会协调成本,而不是协议完全静止。

比特币社区正在走向什么方向

当前更可行的思路不是“宣布比特币已抗量子”,而是分阶段推进。

一个更现实的路线图包括:

  1. 优先减少不必要的公钥暴露:钱包避免地址复用,鼓励更保守的收款与迁移策略。

  2. 在脚本和地址层引入过渡方案:例如围绕 BIP-360 及其后续演化的讨论,本质上是在为抗量子签名验证预留协议空间。

  3. 评估后量子签名的链上成本:后量子方案通常带来更大的公钥、签名或状态管理成本,需要在安全性、可验证性和区块空间之间平衡。

  4. 建立加密敏捷性:真正成熟的系统,不应把自己永久绑定在单一签名假设上。

这也是为什么抗量子议题并不只是“防量子”,更是一次对比特币密码学可升级性的压力测试。

应当如何客观看待这件事

从投资与技术判断角度看,最不应采取的是两种极端立场:

  • 一种是把每一次量子论文都解读成“比特币末日”

  • 另一种是因为商用攻击尚未出现,就断言“几十年内完全不用看”

更稳妥的理解是:

  • 短期看,量子计算对比特币还不是交易层面的直接冲击变量。

  • 中长期看,它已是协议设计、钱包架构和托管安全必须纳入的真实议题。

  • 对比特币而言,真正的风险不是某天突然被量子计算“秒杀”,而是在可预见的准备窗口内,社区因争议、拖延和低估而错失升级时间。

量子计算不是今天的灾难,却很可能是未来十多年里最重要的密码学外生变量之一。对比特币来说,最专业的态度不是恐慌,也不是嘲讽,而是尽早把它当成一项可管理、可迁移、可工程化处理的长期风险。