科普 | 比特幣系統的密碼技術和量子計算的沖擊_區塊鏈

2008年，一個化名中本聰的人發表了一篇題為《比特幣：一種點對點的電子現金系統》的曠世論文，創造出了比特幣這種虛擬數字貨幣，其底層技術就是目前我們常說的區塊鏈。

一、比特幣系統的密碼技術

1.?比特幣系統的形象表示

比特幣系統的形象表示

如上圖所示，比特幣系統中每一個節點都是一臺單獨的計算機，每一個區塊是對應計算機上的一個存儲空間，每個區塊上記錄的是一段時間內的比特幣交易記錄。區塊與區塊之間通過時間戳和一個被稱為“哈希函數”的單向函數保證相關節點上存儲的記錄數據不可被篡改。比特幣系統將交易記錄數據通過點到點網絡，也就是P2P對等網分發存儲在全網所有節點上，通過這種數據的高度冗余，從另一個層面保證了數據的全網一致性。

比特幣系統是一種分布式系統，這種分布式系統可以解決傳統中心化信息系統可能存在的中心節點失效、記錄數據被篡改、其他節點對中心節點信任不足等問題。比特幣系統可以看作是一個分布式的鏈接賬本，每個區塊就是一個賬本。這個系統基于分布式的共識算法來決定由誰來記賬。在比特幣系統中的共識算法是POW，即工作量證明，獲得記賬權的節點將獲得系統給予的一定數量的比特幣。賬本按共識算法確定的規則鏈接，當前賬本含有上一個賬本的哈希值。所有交易在這個賬本中可以追溯。

2.區塊鏈與密碼學

密碼學是比特幣系統的核心技術，也是區塊鏈系統安全運行的基石。一旦相關的密碼學算法被破解，區塊鏈的系統安全將不復存在，其數據不可篡改性也將蕩然無存。

比特幣系統中多個環節使用到了密碼學算法，包括各種常用的編碼算法、哈希算法、簽名算法等。這些算法在構建比特幣系統以及確保比特幣系統正常運行過程中發揮著重要的作用。構建比特幣系統最重要的兩類密碼算法就包括了哈希函數和非對稱密碼算法。

3.?比特幣系統使用的密碼技術

比特幣系統或區塊鏈技術并不是單一的技術，即使在密碼學層面，也包含了非對稱密碼算法、哈希函數、安全多方計算等多種技術。

非對稱密碼算法

動態 | 鏈客社區聯合北京交通廣播推出區塊鏈技術科普節目:12月11日15:15—16:00，區塊鏈技術社區——鏈客區塊鏈技術社區將聯合北京交通廣播FM103.9從零開始為大眾科普解碼區塊鏈技術，蜻蜓FM及北京廣播網同期進行全球直播。首期做客嘉賓為鏈客區塊鏈技術社區創始人郄建軍和百度區塊鏈產品負責人于雅楠。[2019/12/11]

非對稱密碼加密過程示意圖

傳統的對稱密碼算法在秘密信息傳輸時雙方需要共享同一個會話密鑰。秘密信息發送方使用這個會話密鑰對信息進行加密之后傳輸，秘密信息接收方同樣需要用這個會話密鑰對接收到的秘密信息解密，還原出明文。這個會話密鑰同樣需要事先通過一個秘密信道進行保密傳輸，這在很多情況下是困難的甚至是不可能的。

非對稱密碼算法又被稱為公鑰密碼算法，指的是存在一對數學相關的密鑰，使用其中一個密鑰對數據進行加密，只有使用另一個密鑰才能對該數據進行解密。這對密鑰中，對外公開的密鑰叫做公鑰，不公開的密鑰叫做私鑰。公鑰就像銀行的賬戶，私鑰就像是該賬戶的密碼或者賬戶所有者的簽名。

A和B之間使用非對稱密碼算法進行信息傳輸，如果這個信息是秘密信息，A就可以用B的公開密鑰對信息進行加密，然后發送出去。任何人都可以收到加過密的信息，但只有B可以用自己的私鑰對這個信息進行解密，還原出明文。

如果A向B發送消息，發送之前，這個消息用A的私鑰加密，任何人都可以用A的公鑰解密。這個行為證明，這個消息就是由A發出的，而不是其他人發出的。這個動作在密碼學上稱為數字簽名。

區塊鏈上的有效交易數據包含了交易發起方的私鑰簽名，該交易的簽名可以用交易發起方的公鑰進行驗證。公鑰可以通過算法從私鑰中計算得出，但私鑰卻不能從公鑰中推出。

哈希函數

哈希函數示意圖

哈希函數是一類單向函數，這類函數可將任意長度的輸入數據經由該算法轉換為一組固定長度的輸出數據。這種函數很容易被驗證，但是卻很難破解。在通常情況下，給定任何一個x作為輸入，可以非常容易計算出輸出的哈希值y，但卻很難由y反向計算出x。此外，只要對x做一點小小的改動，y的變化就會極其明顯。

比特幣系統中每個區塊上的數據除了原始數據或者交易記錄，還包括上一個區塊上所有數據的哈希函數值。比特幣系統采用的是雙SHA256哈希函數，也就是將上一個區塊上所有數據用SHA256哈希函數進行兩次運算，再將輸出長度為256位的二進制數字存儲在下一個區塊鏈的區塊頭中。

聲音 | 浪潮集團云南分公司總經理：云南區塊鏈產業發展需從“科普”到“專精”不斷深化:據昆明日報消息，浪潮集團云南分公司總經理鄭昕表示，云南區塊鏈產業發展需從“科普”到“專精”不斷深化。下一步，浪潮將繼續加大云南農業產業高質量發展體系建設力度，重點以普洱茶等云南優勢產業為切入點，打造云南“綠色、有機農產品高地”的品牌形象，并在此基礎上，開展基于區塊鏈的供應鏈金融服務，解決中小企業貸款難、貸款貴問題。[2019/11/11]

安全多方計算

安全多方計算用于解決一組互不信任的參與方在保護各自隱私情況下的協同問題。安全多方計算要確保各參與方輸入的獨立性、計算的正確性，同時不泄露各輸入值給參與計算的其他成員。通俗地說，安全多方計算是指在一個分布式網絡中，多個用戶各自持有一些數據輸入，他們希望共同完成對這些數據的計算，同時要求每個用戶除計算結果外均不能獲知其他用戶的任何輸入信息。

基于以太坊實現的智能合約已經能夠實現鏈上計算。但是以太坊的鏈上數據都是公開透明的，任何人都可以獲取這些數據，這也是以太坊遲遲無法跨入企業級和個人金融應用領域的原因。其實質就是以太坊缺乏對多方安全計算的支持，無法保護多方數據計算過程中的隱私。

4.?比特幣系統的挖礦原理

比特幣系統為了維持系統運行，會給予記賬者一定數量的比特幣作為獎勵。為了獲得比特幣獎勵，很多人會參與到記賬爭奪權的活動中來。因此，由誰來記賬，就需要進行競爭。參與比特幣記賬競爭的人，被稱為礦工。

比特幣系統的挖礦，簡單來說，就是由所有礦工對當前區塊做同樣的哈希運算，一旦運算出符合特定要求的哈希值，即可對全網廣播。其他人經過驗證，證明這個人的運算是正確的，就認定這個人獲得了當前區塊的記賬權。

比特幣系統中每個區塊的區塊頭數據結構如下。

區塊頭的結構和大小

區塊頭中的信息，在挖礦前大部分已經是固定下來的，或者是可計算的。

??版本號。跟隨比特幣客戶端而定，一段時間內不會改變。

??前一區塊的哈希值。是對前一個區塊計算的結果。

??Merkle_root默克爾根。對當前區塊中所有交易以二叉樹方式進行的逐級哈希運算后得到的哈希值。

動態 | 幣安科普MimbleWimble算法:幣安官方推特今日發布隱私算法Mimblewimble的科普貼，在下方留言區大量網友留言猜測是否是基于 Mimblewimble算法的隱私幣Grin或者Beam即將登陸幣安交易所，其中猜測Grin的呼聲更高。[2019/9/2]

??time區塊生成時間。也是當前打包時的時間，具體數字是指從格林威治時間1970年1月1日0時0分0秒至今的時間，不需要很精確。

??Target-bits難度目標。參考上兩周產生區塊的平均生成時間而定，由系統進行調整，大體在10分鐘左右。

??nonce隨機數。由挖礦需要可以進行調整的數字，32位二進制數字。

??附帶消息。指在區塊中每筆交易后的附言，該附言可以讓merkleroot也發生變化，從而有更多的可能去找到符合要求的結果。

比特幣挖礦的算法可表示為：

比特幣挖礦算法??

在這個算法中，前面部分定義了區塊鏈的數據結構，后面部分就是對隨機數進行遍歷，直到找到符合條件的哈希值為止。

區塊鏈其實是通過區塊頭而鏈接在一起的。下面的比特幣區塊頭示意圖解釋了區塊鏈和區塊的構成。

比特幣區塊鏈和區塊頭關系示意圖

比特幣的挖礦流程可概括為：

礦工首先對交易進行驗證，剔除有問題的交易，然后通過一套自定義的標準來選擇將哪些交易打包進區塊。比如將交易的費用與交易占用的字節大小的比值超過某個門檻作為判斷標準，符合條件的交易才被認為有利可圖。當然，礦工也可以特意選擇加入某條交易，或者故意忽略某些交易。

如果是通過礦池挖礦，礦池的服務器會去篩選交易，然后分配給每個參與的礦機一個獨立的任務。這個任務的難度小于總的挖礦難度，完成了小難度的計算，即確認了自己參與的工作量。每臺不同的礦機計算的問題不會重復，當其中一臺礦機成功挖礦時，其他礦機依據工作量分配獲得的總收益。

一旦篩選好交易數據，按照時間排序，兩兩哈希，層層約減，通過這些交易就可計算出一棵Merkle樹，可以確定一個唯一的哈希值，這個就是Merkle樹的根。Merkle樹中任何節點的變化，都會導致Merkleroot發生變化。通過這個值，可以用來驗證區塊中的交易數據是否被改動過。

聲音 | ETC Labs主管：科普教育是未來幾年公鏈面臨的巨大挑戰:ETCLabs主管Darin Kotalik認為，科普教育是未來幾年公鏈面臨的巨大挑戰，人們必須要對區塊鏈有基本的認識，分清楚公鏈和私鏈的區別。[2019/8/25]

Merkle樹示意圖

二、量子計算與量子算法

1.量子計算與量子算法

量子計算是基于量子力學原理進行有效計算的新型計算模式，它能夠利用量子的疊加性、糾纏性、相干性實現量子的并行計算。

1982年美國物理學家費曼提出量子計算概念。但由于量子態的測不準原則以及量子系統容易受噪聲干擾，量子運算很容易出錯。1994年美國計算機專家Shor證明量子計算機可快速分解大因數，實現了第一套量子算法編碼，量子計算以及量子計算機的研究才進入實驗時代。美國國家標準技術研究院于2009年研制出世界上第一臺通用編程量子計算機。

經典比特具有0和１這２種狀態，量子比特與經典比特的不同之處在于1個量子比特除了可以像經典比特一樣處于0和1這樣的狀態之外，還可以處于既非0又非１的狀態，這個中間狀態稱為疊加態。量子疊加態是決定量子計算不同于經典計算的關鍵特性之一，也是量子并行計算的理論基礎。相同位數的寄存器，量子計算機可記錄的信息量是傳統計算機的指數倍，在運算速度和信息處理能力方面，傳統計算機無法比擬。量子并行計算體現了量子計算最重要的優越性。

量子算法是量子計算科學的重要部分。1989年Deutsch首次提出Deutsch量子算法，首次展示了量子計算機的并行性特征；1994年Shor提出大數質因子分解量子算法，并將該算法的量子編碼實現；之后，Grover數據庫搜索算法、量子智能算法相繼被提出。基于Grover的量子搜索算法和基于Shor的量子Fourier變換算法是目前比較成熟的量子算法。

2.?量子密碼的安全性

量子密碼的理論基礎為量子力學，利用物理學原理對信息進行加密保護，創建安全的通信信道。

相比傳統的基于數學的密碼技術，量子密碼技術擁有無條件安全性和對竊聽者的可檢測性，擁有巨大的發展前景。

量子密碼的安全性基于以下三個量子力學基本定律。

一是海森堡測不準原理。由于量子具有波動性，在同一時刻微觀粒子的位置與動量不能同時以相同的精度測定到確定值，只能精確測定兩者之一。

科普時報：區塊鏈與云計算長期發展目標不謀而合:據《科普時報》今日報道，區塊鏈與云計算兩項技術的結合，從宏觀上來說，一方面，利用云計算已有的基礎服務設施或根據實際需求做相應改變，實現開發應用流程加速，滿足未來區塊鏈生態系統中初創企業、學術機構、開源機構、聯盟和金融等機構對區塊鏈應用的需求。另一方面，對于云計算來說，“可信、可靠、可控制”被認為是云計算發展必須要翻越的“三座山”，而區塊鏈技術以去中心化、匿名性，以及數據不可篡改為主要特征，與云計算長期發展目標不謀而合。[2018/5/4]

二是量子不可克隆定理。量子系統的任一未知量子態，在不遭破壞的前提下，是不可能被克隆到另一量子體系上的。即測量必會改變量子狀態，從而使通信雙方察覺出通信是否被竊聽。

三是測不準原理或測量即塌縮原理。如果粒子的量子態是一個疊加態，則對粒子的量子態的測量會影響到量子態本身，使其塌縮到它的一個本征態上，無法測出粒子的疊加態，這樣測量就會留下痕跡。

量子保密通信的安全性不依靠數學計算的難度，而是依靠物理學定律，依靠量子力學的不確定、不可克隆的基本原理，因而理論上沒法破解，更為可靠。

量子密碼與傳統密碼具有很大的差異。首先傳統密碼算法是基于某個難解的數學問題，受限于當前的計算能力。量子密碼基于量子力學，通過物理學原理而非數學問題，更加安全。隨著量子計算的迅速發展，量子計算能力有了質的飛躍，傳統密碼被破解只是時間問題，其安全性將受到極大威脅。其次，傳統密碼體制很難證明密鑰在傳輸、分發過程中未被竊聽者竊取。量子密碼在分發過程中，可有效識別攻擊者的存在，從而保證通信過程的安全性。

3.量子計算對當前通用加密算法的影響

盡管主流的密碼系統目前依然能夠安全運行，但是在量子計算技術的潛在沖擊下，幾乎所有的加密算法都需要進行改進甚至重構。2016年4月，美國國家標準與技術局對當前主要的密碼技術將受量子計算能力影響的情況進行了預測，如下表所示。

主要密碼技術將受量子計算能力影響的情況預測

4.?量子計算的最新發展

過去30年，物理學家在構建實用型量子計算機方面取得了巨大的進步。

2019年10月23日，谷歌在《自然》雜志發布了“使用可編程超導處理器的量子至上性”實驗結果。谷歌人工智能量子團隊開發了一種名為“Sycamore”的新型54比特處理器，該處理器能在200秒內完成目標計算。而要想完成相同的目標計算，世界上最快的超級計算機需要10000年。

競爭對手IBM第一時間對谷歌的這一“宣稱”做出回應。IBM在一篇博客中表示，谷歌高估了計算項目的難度，谷歌所宣稱的經典計算機需要10000年執行的任務，其實只要2.5天就能完成。但盡管如此，2.5天和200秒相比，畢竟還不是同一個數量級。

區塊鏈的安全基于密碼算法的安全，如Hash函數的安全和橢圓曲線密碼算法的安全。量子計算機的出現將在底層密碼算法層面對區塊鏈的安全產生嚴重威脅，比特幣、以太坊等許多區塊鏈系統都會受到沖擊。

三、量子計算對區塊鏈的沖擊

以比特幣為代表的區塊鏈安全協議涉及２種類型密碼技術。一個是比特幣“挖礦”過程中使用的哈希函數，一個是區塊鏈上提供數字簽名的非對稱密碼。采用的算法分別是SHA-256哈希算法，和橢圓曲線數字簽名算法。SHA-256主要用于由公鑰生成錢包地址，以及挖礦時的工作量證明，ECDSA主要用于私鑰、公鑰的生成，簽名和驗簽等。

1.?量子計算對挖礦的威脅

比特幣系統中，新的比特幣通過“挖礦”產生，挖礦的過程就是礦工利用計算機計算比特幣網絡中數學問題的過程。第一個解決問題的礦工公布其答案，并計入賬本，同步計入比特幣網絡中的所有節點。挖礦成功，系統獎勵礦工一定數量的比特幣。

比特幣挖礦中使用的哈希函數是SHA-256。使用SHA-256為每個區塊計算一個隨機數，雖然結果很容易驗證，但搜尋過程非常艱難。通常采取的方法是使用蠻力搜索，意味著要嘗試不同的輸入，直到找到滿意的答案為止。

量子力學中的Grover搜索從理論上可以解決這個問題。Grover算法在解決從無序數據庫中搜索某個特定的數據問題方面有獨特的優勢，Grover算法使找到Hash函數的碰撞變得相對容易，也就意味著將會降低破解密碼學哈希函數的安全級別。

那么反過來，能否用量子算法進行挖礦呢？如果用量子算法探礦，則需要相當快的量子哈希運算速度和更強的量子加速，但目前的技術水平還難以達到。關于量子計算機對挖礦的威脅，戴夫士?阿加沃爾和新加坡國立大學的研究人員進行了深入研究，并在2017年10月就此發表了論文。他們認為，至少在未來10年內，使用ASIC挖礦的速度會比量子計算機快，不過10年后，量子計算機的挖礦速度會飛速增長。

2.?量子計算對非對稱密碼算法的威脅

非對稱密碼用于比特幣系統中對交易的授權。非對稱密碼為系統中的所有用戶分別分配1個公鑰和1個私鑰，公鑰可廣泛共享，私鑰只有密鑰所有者本人才知道。通過給定的私鑰，可以很容易推算出對應的公鑰，但反過來由公鑰推算私鑰，則非常困難。

比特幣使用的非對稱密碼算法是橢圓曲線數字簽名算法，利用secp256k1生成密鑰。該算法保證比特幣只能被合法擁有者使用。

橢圓曲線密碼在量子計算中很容易受到攻擊。Shor算法在理論上可以很容易將其修改，以解密帶有橢圓曲線的消息。目前世界上已經有幾例分別從理論上和實踐上利用Shor算法攻擊ECC的研究案例。有專家預計在2027年，量子計算機就可以實現對密鑰的破解，量子計算機破解加密簽名所需的時間預估為10分鐘。但目前來看，要實現量子計算對ECDSA的攻擊，需要一定數量的量子比特，有外媒報道稱是4000個，目前的量子計算機遠達不到這樣的水平。

3.?谷歌量子計算機對密碼算法的影響

谷歌量子計算機目前的水平基本可以從以下幾個方面進行評判。

谷歌的量子計算機還不是真正的量子計算機，不能實現所有的量子變換。只有實現破解密碼算法中的那些變換，才可能對密碼算法有影響。

谷歌量子計算機能夠實現的量子比特位數還很少。它完成的任務在大型傳統計算機上也能完成。

量子計算機實用化后，才有可能對基于離散對數和大合數分解設計的公鑰算法有威脅。

量子計算機對對稱密碼算法沒有致命的威脅。從時間復雜性上看，只要密鑰長度加倍，對稱密碼算法抗量子計算機的時間復雜性與電子計算機相同。

長遠來看，運行Shor算法的實用量子計算機能夠破解RSA、ECC等非對稱密碼算法。谷歌53個量子比特的量子計算機，針對一個沒有應用價值的問題，驗證了量子計算機比現有經典計算機強大。但目前谷歌量子計算機并不能對經典密碼的安全造成威脅。要想破譯現用的RSA算法，目前估計需要能夠穩定操縱幾千個邏輯量子比特，相應的大概操縱百萬量級的物理量子比特，要達到這一目標，還有很長的一段路。

4.?后量子密碼技術在區塊鏈系統中的應用

盡管目前區塊鏈應用所使用的本地加密算法是安全的，這并不代表區塊鏈從業者們可以高枕無憂。研究在量子計算機出現后對區塊鏈系統仍然安全的密碼算法十分重要。后量子密碼技術，作為未來5-10年逐漸代替RSA、Diffie-Hellman、橢圓曲線等現行公鑰密碼算法的密碼技術，正被越來越多的人所重視。

后量子密碼，又被稱為抗量子密碼，是被認為能夠抵抗量子計算機攻擊的密碼算法。此類加密技術的開發采取傳統方式，即基于特定數學領域的困難問題，通過研究開發算法使其在網絡通信中得到應用，從而實現保護數據安全的目的。

后量子密碼的應用不依賴于任何量子理論現象，但其計算安全性據信可以抵御當前已知任何形式的量子攻擊。在區塊鏈系統中應用后量子密碼技術，以保證區塊鏈在量子計算機出現后仍然安全。

非對稱密碼是后量子密碼技術發展的重點領域。如隨著Shor算法的提出，包括RSA、ECC以及DH密鑰交換技術等非對稱密碼算法已經從理論上被證明徹底喪失了安全性。相對于對稱密碼系統還可以采取升級措施應對量子威脅，非對稱密碼必須采取全新方法重建，因而也就成為了后量子密碼技術發展的重點。

當前國際后量子密碼研究主要集中于基于格的密碼、基于編碼的密碼系統、多元密碼和基于哈希算法簽名等密碼算法。在所有被認為具有抵御量子威脅潛力的計算問題中，基于格的密碼系統在過去十年中得到了最為廣泛的關注。

Tags：比特幣區塊鏈ERKHOR比特幣坑了多少中國人錢區塊鏈技術通俗講解簡書Berserk FinanceCHORSE

KuCoin