量子纠缠虚拟货币

By QR Collector on ALTCOIN MAGAZINE

全球首个“被美国标准和科技局认可的彩虹数字签名”抗量子数字货币ABC。

https://abcmintsf.com/

量子计算机的发展最终将为区块链提供抗量子化的必要性。为什么要这样做，如何做，将在第三部分和进一步讨论。但在我们深入研究量子抗性之前，我想重点介绍一些区块链基础知识，这些知识将是理解区块链中量子抗性的来龙去脉的必要条件。

1

让我们从头说起。什么是区块链？用来描述区块链最常见的一句话应该是这样的。"区块链，一个去中心化的，数字的，安全的，分布式的账本 可以存储任何数据。"

我们来分析一下。

• 区块链。我们会把这个留到最后，因为这是它得到技术的地方。我们先用 "数据的收集者 "这个词。在今天比特币的使用意义上，区块链是一个 "谁向谁发送了哪些交易的数据收集器"。
• 去中心化的。这意味着没有一个中央权力可以决定改变。没有任何实体可以单方面改变在区块链上注册的内容，或者在社区之间没有达成共识的情况下改变数据如何添加的规则。相反，区块链是由一组实体管理的，这些实体使用相同的程序，都可以添加数据并相互检查。任何有合适电脑的人都可以加入这个组。并不是组里的每个人都会添加相同的数据，他们是随机处理数据的。同时他们也会随机地互相检查。检查是用数学来完成的，它的实现方式使系统不可伪造。这是人们最喜欢区块链的地方，因为它导致了这样的规则：添加到区块链上的东西，是以这样的方式添加的，添加的数据无法伪造，添加的东西，是一成不变的。它是永远登记在册的，没有人可以改变这一点。
• 数字化的。数据存储在硬盘上，以电子方式访问，并通过互联网传输。
• 安全的。存储的东西是以安全可靠的方式存储的，所以数据不能被篡改。被任何人篡改。无论是在存储过程中还是在存储之后。
• 分布式账本。一个记录簿，一个余额。一个有时间戳的数据集合。
• 存储任何数据。一个区块链可以被设计成存储任何类型的数据。

为什么是区块链而不是传统的数据库系统？如果你想存储信息（比如价值的交易或其他信息的交易），并且你希望它以一种不可遗忘的方式进行，区块链可能是你的方式。但为什么不使用已经存在的东西呢？比如中心化数据库或银行？好吧，问题是，不可伪造通常意味着没有未经授权的人可以进行更改。但仍然可以进行更改。已经添加到中央数据库的东西可以被删除或更改。中央实体可以改变规则。所以你需要信任运行数据库或分类账的组织或个人。但当我们谈论区块链时，没有中央权力来进行更改。它实际上是不可伪造的。

区块链是去中心化的。它不需要一个有中央权力的人或组织。区块链把这些人和组织还原成了中间人，把这些中间人完全剔除了。我们显然不仅仅是在谈论银行。在任何情况下，当双方想要传输信息，并将这些信息不可改变地记录下来，而双方对彼此缺乏信任，或者干脆不认识对方时，都有一个用例。这是一种发送、接收和存储信息的可靠和安全的方式。

区块链是一个真正的创新。它使用计算机和互联网来创建一个网络，一个去中心化的实体，我们可以信任它，以一种非常具有成本效益的方式不变地登记有价值的数据。这就是为什么区块链最终会接管数据行业。为什么不是风靡？因为它接管了一个强大的机构。银行是最先看到它的到来的。政府也不信任区块链，因为他们无法控制它。显然有一些阻力，但他们也看到了机会。不过政治最终如何解决，不是我想在这里讨论的。所以我们来谈谈技术方面的问题。

ELI5对技术概念的解释。实际的技术比较复杂，区块链的品种也很多，但基本原理差不多就是这样。数据是以消息/交易的形式发送的。交易是由发送交易的人组成的。为了能够发送交易，你需要成为区块链系统的一部分。你需要创建一个数字身份。你可以这样做，使用 "钱包"。这基本上是一个程序，可以为区块链创建你的身份，也是你用来发送交易和管理资金（你的数据）的程序。因此，使用钱包，您可以创建您的地址（您可以将其视为您的 "帐户"）。这对你来说由两部分组成。一个公钥，这是一系列数字，你的交易将在区块链上与之相连。第二部分是一个私钥，它由一系列字符组成，而不仅仅是数字。这就是你的 "密码"。所以，现在你拥有一个地址：私钥和公钥。这就是你所需要的一切，所以不需要注册任何个人信息或任何东西，你有私钥和公钥，你可以从其他地址接收和发送资金。你使用私钥登录到你的钱包上的 "账户"。一旦你在你的钱包，你说明你想发送多少资金，以及你想发送这个地址。

发送交易。当你发送交易时，它将被广播到区块链网络。但在实际交易将被发送之前，它被形成一个包，由钱包创建。这是由钱包自动完成的，在用户看不见的地方。(我说的包，是指发送的信息是密不可分的，在这个意义上，签名、来源、目的地和金额都不能单独更改)。这个包最终携带的信息大致如下。指向资金来源地址的公钥 转账金额和资金转到的地址 这个包还携带了另一个重要的东西，就是签名，由钱包使用私钥创建。签名是用数学算法来完成的。之后，再次使用数学，可以由第二方再次检查签名的真实性。这个签名证明你是合法的主人，你可以从这个公钥地址发送资金。然后，这个包裹就会被送出安全钱包环境，送到区块链网络中。这个网络由运行专门计算机处理交易的人组成。这些计算机被称为 "节点"，而拥有计算机的人或公司被称为 "矿工"。节点不需要信任发送者，也不需要确定发送者的 "身份"，因为发送者通过添加与公钥相对应的签名来证明自己是合法的所有者，而公钥可以通过数学验证。而且由于交易是经过签名的，不包含任何机密信息、私钥和凭证，所以可以利用任何方便的网络进行公开广播。只要交易能够到达一个节点，将其传播到网络中，那么如何将其传送到第一个节点并不重要。

在区块链上对交易进行确认和登记。交易被发送到网络后，就可以进行处理了。快速总结一下处理交易的方式：矿工将人们发送的所有交易收集到一个 "交易池 "中。在那里，交易等待，直到矿工将这些收集到的交易的数量放在一个交易包中：一个区块。这就是构造一个区块的地方。在他构建了一个区块之后，他必须解决应用在他的区块上登记的交易列表上的哈希谜题。哈希谜题是一个数学问题，由节点来解决。解决了哈希谜题的节点可以把他的区块放到网络上。其他矿工在做完之后，会再次用数学题检查这个区块，并确认。这样区块，从而将你的交易添加到区块链上。一旦区块被添加，它就永远存在，无法更改。

结论：交易处理和注册的安全性，靠的是数学。

• 区块链本身的构建和延续，依靠的是哈希算法。交易的签署依赖于私钥-公钥加密技术。现有的计算机无法在任何可用的时间框架内进行足够快的计算来逆转这种数学。

综上所述，区块链的安全性和可靠性是双管齐下的。首先，它消除了第三方的干扰，将和/或可以改变分类账上的数据。其次它依靠的是可验证但不可伪造的数学。这就是区块链比传统账本系统更值得信赖的原因。

2

在第二部分，我将进一步了解区块链中使用的数学概念。理解这些概念对于理解本系列接下来的部分非常有帮助。所以请耐心听我说。我将跳过实际的数学，只解释概念。即使你不喜欢数学，也应该会很有趣。

如上一章所述，使用了两个数学概念。

哈希算法

公钥密码学

什么是哈希算法？

散列算法，或者说散列函数，是一个数学公式，它可以将一个数据量减少到一个较小的数据量，并带有一定数量的字符。无论输入的数据有多大，结果总是一样的大小。所以，无论你的输入是一部数字电影，一个mp3，还是几行文字，输出的字符量总是一样的。这个大小是什么，取决于所使用的哈希函数。

下面是一些例子，使用散列算法 "SHA256"。

如果输入是 "Blockchain"

输出为：625da44e4eaf58d61cf048d168aa6f5e492dea166d8bb54ec06c30de07db57e1

如果输入的是上面那段话，（从 "A哈希[...]算法 "SHA256"："）。

则输出为 973f48304184375dd6d78a84b756b2f6d15940d337c45078990be0ccd073dfcf

因此，无论输入什么，输出的字符数都是固定的（对于SHA-256来说，总是64个字符）。

你可以在这里玩玩这个概念：https://www.xorbin.com/tools/sha256-hash-calculator。

区块链中使用的是什么类型的哈希算法？

有很多不同的散列函数。在区块链中，我们使用了一种叫做 "加密 "哈希函数的哈希函数。这些散列函数具有某些属性，使它们被认为是安全的，适合区块链。最重要的属性是。

计算速度。这是非常明显的。计算输出的速度越快，处理交易的效率就越高。

确定性。使用相同的输入总是导致相同的输出，无论你尝试多少次。

即使输入的微小变化也会彻底改变输出。例如，同样使用SHA-256。

Blockchain: 625da44e4eaf58d61cf048d168aa6f5e492dea166d8bb54ec06c30de07db57e1

blockchain: ef7797e13d3a75526946a3bcf00daec9fc9c9c4d51ddc7cc5df888f74dd434d1

blockchain<enter>: 5318d781b12ce55a4a21737bc6c7906db0717d0302e654670d54fe048c82b041

单向哈希函数。这意味着从输出中推导出输入应该是接近不可能的。这里接近不可能的意思是说，它需要的时间远远超过人的一生。理论上是可能的，但需要的时间太长了，所以也就无所谓了。

耐碰撞。这意味着，两个不同输入的结果会有相同的输出，这应该是接近不可能的。接近不可能的意思在这里又是指：有可能，但几率太小，所以在实践中可以称为不可能。

以上所有的特质使得这类哈希函数适合用于区块链。

哈希在区块链中的使用有两种方式。

为了节省空间，同时存储公钥。有些区块链（不是全部）只公布公钥的哈希值。所以你个人有一个完整的公钥，但在区块链上，资金是存储在公钥的哈希值上。

为了 "总结"，同时证明最后一个区块的真实性。一个完整的区块，它所包含的所有信息都会被哈希。这意味着它的大小被减少到一行字符。下一个区块包含了前一个区块的哈希值，以及该区块的所有交易和一些其他信息。然后该区块再次被哈希，以此类推。由于每一个被哈希的东西内容的微小变化都会完全改变哈希的结果，这意味着你不能在现有的链中插入一个伪造的区块，甚至不能在一个交易中做微小的改变。你甚至无法改变前面一个区块中的一个数字，因为这样一来，该区块的哈希值就会发生变化，你需要改变所有后续区块的所有哈希值。因此，如果你要改变一个有签名的块中的一些东西，你将无法快速地进行必要的计算，以赶上后续的块。

什么是公钥密码学？

私钥密码学是用来签署和认证交易的。它通常被称为签名方案。使用数学算法，生成一个密钥对：一个公钥和一个私钥。这些密钥是一组字符。私钥用于创建一个数学签名，以验证您发送的任何消息或交易。接收者使用公钥来验证签名（同样通过数学）。签名对于每条消息或交易来说都是唯一的，类似于散列函数，哪怕是消息中的一个小变化，都会使签名不匹配，验证失败。即使只是更改或删除消息中的一个字符，签名也不会匹配。这样一来，消息可以在不安全的网络上发送，同时还能保证消息的真实性和原始性。

区块链中的公钥加密技术？

在区块链中，公钥密码学（签名方案）的使用方法如下。在一个安全的环境（钱包）中，生成一个密钥对：一个公钥和一个私钥。私钥你为自己保留。如果你想从你的地址发送资金，你将使用私钥登录你的钱包并创建一个签名。

公钥可以被公开。正如关于散列功能的部分所描述的那样，一些区块链只将公钥以散列形式发布到安全空间。在该系统中，资金被注册到你的公钥的哈希值。但只要你想发送交易，你就需要将你的公钥以原始形式公开。这是因为如果没有公钥，区块链网络就无法验证你交易的真实性。公钥包含在交易中，这样网络就会收到公钥。只有在你想提现的时候才需要公开公钥的原始形式，但如果你想接收资金就不需要了，因为接收资金不需要你的签名。所以只要你不从你的地址提取资金，你就不需要公布你的原始公钥。

所以公钥签名系统让你可以通过不安全的网络，向不认识你的人发送交易，同时还能证明你是被授权发送该交易的，同时还能验证消息是没有变化的。

所以消息/交易不是加密的。而是公开传输的，但是是经过签名的，而且是以一种认证的方式，不可伪造。

公钥密码学有几种类型。EDCSA和RSA是区块链中最常用的。

结论。

区块链本身是通过使用哈希算法来安全工作的。而用户和区块链之间的通信则是使用公钥密码学，也就是所谓的签名方案安全地进行的。

区分这一点很重要，因为下一篇文章将介绍区块链的量子抗性。区块链中使用的散列算法将被证明是不需要担心的事情，而区块链中使用的签名方案在数学上被证明在量子计算机发展道路上的某个地方存在风险。

3

抗量子区块链解释

1. 凡是在区块链上注册的东西都不能被篡改，这是区块链成功的重要原因之一。但如果规则发生变化，有可能突破区块链的一道防线呢？最终，量子计算机将能够打破保障区块链安全的部分数学。展望未来，区块链生态系统中的意识越来越强，量子计算机可能会导致区块链使用的密码学需要进行一些改变，以防止黑客伪造交易。

2. 量子计算机会对区块链构成怎样的威胁？首先，我们先来澄清一个误区。在谈到量子计算机可能对区块链构成的风险时，有些人想到的是量子计算机超越经典计算机的风险。然而，预计到时候这不会构成真正的威胁。

3. 本文解释了为什么：https://arxiv.org/pdf/1710.10377.pdf "在本节中，我们研究了量子计算机在执行比特币使用的哈希卡什PoW时的优势。我们的研究结果可以总结如下。使用Grover搜索, 量子计算机可以通过执行比经典计算机少四倍的哈希值来执行Hashcash PoW. 然而，当前执行hashcash PoW的专用ASIC硬件速度极快，加上当前量子架构的预测门速度要慢得多，在当前的难度下，基本上否定了这种二次元的加速，使量子计算机没有优势。未来量子技术的改进，允许门速达到100GHz，可以让量子计算机解PoW的速度比当前技术快100倍左右。

4. 然而，这样的发展在未来十年内不太可能，届时经典硬件的速度可能会快得多，量子技术可能会非常普及，以至于没有一个单一的量子使能剂可以主导PoW问题。"

5. 真正的漏洞点在于：对签名的攻击，其中私钥是由公钥衍生出来的。这意味着，如果有人拥有你的公钥，他们也可以计算出你的私钥，即使使用当今最强大的经典计算机，这也是不可想象的。但在量子计算机时代，公钥私钥对将成为薄弱环节。量子计算机有可能比任何普通计算机更快地执行特定种类的计算。除此之外，量子计算机还可以利用量子纠缠和量子叠加等量子现象，运行需要更少步骤才能得到结果的算法。所以量子计算机可以运行这些一定的算法，可以用来进行计算，可以破解现在使用的密码学。请看这里和这里参考。

6. 大多数区块链使用椭圆曲线数字签名算法（ECDSA）加密技术。使用量子计算机，Shor的算法可以用来破解ECDSA。(参考：这里，pdf版本在这里。)总之：可以从公钥中推导出私钥。所以再次强调：如果有人拥有你的公钥（和量子计算机），那么他就拥有了你的私钥，可以创建交易并清空你的钱包。

7. RSA有同样的漏洞，而RSA需要比ECDSA更强的量子计算机才能被破解。

8. 目前，已经可以在量子计算机上运行Shor的算法。但是，现在的量子比特数量使得其应用受到了限制。有些人甚至会认为，由于它的发展处于初级阶段，到目前为止已经开发出来的量子计算机不配被命名为实际的量子计算机。也许你不会感到惊讶，但IBM并不认同这种观点，它已经推出了第一台商用量子计算机。宣传视频在这里，文章在这里。总之，不管你会给这个设备贴上什么标签，Shor's已经被证明可以在量子设备上工作，我们已经退出了纯理论的时代，进入了实际应用的时代。

2001年：Shor's算法在IBM的Almaden研究中心和斯坦福大学首次执行。这里的论文。(Shor的量子因子算法的实验实现 利用核磁共振 Lieven M. K. Vandersypen)

2009: 布里斯托尔大学的研究人员在硅光子芯片上展示了肖尔的算法。而论文在这里。

IBM关于Shor's算法的报道在这里

9. 到目前为止，Shor的算法最有潜力，但可能会出现更高效的新算法。算法是另一个取得进展、推动量子计算机进步的发展领域。举个例子：目前正在开发一种叫做变量子因子的新算法，看起来相当有前途。" 这种新方法的优势在于，它对误差的敏感度要低得多，不需要大规模的纠错，消耗的资源也比Shor的算法少得多。因此，它可能更适合与目前的NISQ（Noisy Intermediate Scale Quantum）计算机一起使用，这些计算机将在近期和中期内推出。" 更多信息请看这里。然而，它仍在开发中，在写这篇文章时只适用于18个二进制位，但它显示了新的发展，这可能意味着，而不是量子计算发展的加速对RSA和ECDSA构成最紧迫的威胁，相反，数学发展的加速可能会带来更大的后果。关于VQF的论文，请看这里。

10. 这一切都归结为：当你的公钥被公开时，这对于进行交易来说总是必要的，你在未来的某个时刻很容易受到量子攻击。这也适用于BTC和其他区块链，它们使用公钥的哈希值作为地址，而不是完整的原始公钥，但更多的是在系列的以下部分）。然而，如果你会有基于后量子密码学的密钥对，你将不必担心这个问题，因为在这种情况下，即使是量子计算机也无法从你的公钥中导出你的私钥。

11. 结论是，未来的区块链应该是抗量子的，使用后量子密码学。非常重要的一点是，要意识到后量子密码学并不只是在标准签名方案中增加一些额外的字符。而是使签名方案具有量子抗性的数学概念。要想变得抗量子，需要改变算法。"目前流行的算法的问题是，它们的安全性依赖于三个难解的数学问题之一：整数因子问题、离散对数问题或椭圆曲线离散对数问题。所有这些问题都可以在运行肖尔算法的足够强大的量子计算机上解决。即使目前公开已知的实验性量子计算机缺乏破解任何真实密码算法的能力，许多密码学家也在设计新的算法，为量子计算成为威胁的时候做准备。" 更多关于后量子密码学（又称量子抗干扰密码学）的信息，请点击这里。

量子计算机发展领域的期待。

12. 为了让你了解量子计算机发展的期望，由正在研究量子计算机的公司表达。

13. (请注意，这些文章中并没有说明所提到的量子比特的类型和错误率。并没有说这些足以攻破ECDSA或RSA，也没有说这些不够。这些文章所表明的是，预计发展速度会大大加快)。

"用超导技术到1000个qubit芯片应该是5年左右。到100万个qubit芯片应该是10年左右。" (Intels量子硬件总监Jim Clarke。(采访全文在此)

"而百万物理量子系统，其一般计算应用甚至还很难理解? 这是可以想象的，Neven说，"在10年之内"。"（这就是谷歌量子计算工作的哈穆特-内文）。

IBM认为量子计算机将在5年内成为主流。(指的是研究实验室之外，但不一定是普通人的客厅。而且虽然没有提到量子机的数量)

"五年后，我们将拥有一台商用量子计算机，"微软的Holmdahl说。

*2019年6月19日编辑添加。量子计算能力可能比莫尔定律更快地前进。内文定律，双倍的指数级加速可能适用于量子计算的发展。"这种快速的改进导致了所谓的 "内文定律"，这是一种新的规则，用来描述量子计算机在经典计算机上获得的速度。在5月份的谷歌量子春季研讨会上，内文提到这个规则之前，这个规则开始是一种内部观察。在那里，他说，量子计算机相对于经典计算机的计算能力正在以 "双倍指数 "的速度增长--这是一个惊人的快速剪辑。"

而这些只是商业公司。五角大楼将量子计算视为下一场军备竞赛。中国即将在一个研究中心注入100亿美元。他们不会像谷歌等那样公开他们的发展。开始在区块链中寻找解决方案和新的机会并不是一个坏主意。

本文估计ECDSA最快在2027年就会面临风险。

14. 最大的问题是：ECDSA何时会有风险？估计只是估计，有好几种估计，有的有根有据，比其他的更有学问，但没有固定的日期，所以很难真正判断。

15. 美国国家科学院（NAS）对量子计算的发展做了一个非常详尽的报告。该报告于2018年底出炉。他们召集了70多位来自量子计算不同互联领域的科学家，他们作为一个小组，就量子计算发展的发展、资金、影响和即将面临的挑战提出了一份接近200页的报告。但是，尽管这份报告是迄今为止最全面的报告之一，但它并没有对ECDSA或RSA的风险何时会发生做出估计。他们承认，由于有很多未知因素，并且由于他们必须只根据公开的信息来进行任何发现，显然不包括任何来自商业公司和国家努力的非可用的进展，这些公司和国家努力对他们的进展（部分）保密，因此做出估计是相当不可能的。所以，如果这群专门的科学家不能做出估计，谁能做出这种评估？有什么可信的来源可以做出准确的预测吗？

16. 此时的结论只能是，我们不知道 "何时 "这个大问题的答案。

17. 现在如果我们没有 "何时 "这个问题的答案，那么为什么要行动？为什么要去做抗量子密码学？如果我们要讨论安全问题，大多数人都会选择确定性而不是不确定性。要想在威胁实现的时候找到问题的答案，我们还是需要猜测。不管你是很快猜到，还是未来三十年猜不到，都是猜测。去确定意味着你要做最坏的打算，希望最好的结果。不管你有多怀疑，准备好某种计划都是一件负责任的事情。如果你只是在运行一个关于编织的博客，显然不是。但对于承载着大量重要、私密和有价值信息的系统来说，规划甚至是实施从今天就开始了。NAS描述的很好。他们缺乏的是猜测，他们弥补的是建议。他们有一个非常明确的建议。

18. "即使能解读当前加密密码的量子计算机还需要十几年的时间，但这种机器的危险性已经足够高了--而且过渡到新的安全协议的时间框架也足够长和不确定--因此，优先开发、标准化和部署后量子密码学对于最大限度地减少潜在的安全和隐私灾难的机会至关重要。"

19. 另一个具有前瞻性的组织是国家安全局（NSA）他们在2015年进行了威胁评估。2015年8月，NSA宣布计划 "在不远的将来"(2015年声明)过渡到一个新的密码套件，以抵抗量子攻击。"不幸的是，椭圆曲线使用的增长与量子计算研究持续进展的事实相撞，因此有必要重新评估我们的密码策略。" NSA建议道。"对于那些尚未向B套件算法过渡的合作伙伴和供应商，我们建议目前不要为此做出大量支出，而是为即将到来的抗量子算法过渡做准备。"

20. 这些组织都建议的是开始采取行动。他们没有说 "现在就实施这种类型的抗量子密码学"。他们根本没有说什么时候。如前所述，"何时 "这个问题是一个很难明确的问题。这取决于你的系统、数据的价值、推迟安全升级的后果。你只是开博客，还是开银行，还是开加密货币？这是一个个人的风险评估，每个组织和系统都不一样。不过现在确实需要进行评估。组织在改变密码学时应该考虑什么时间框架？从目前的安全水平到完全抗量子安全需要多长时间？处理更大的签名需要做哪些改变，是否可以使用某些需要保持状态的密码学类型？你的用户需要采取行动，还是所有工作都可以在用户界面后面完成？这些都是人们应该开始问的重要问题。我将在接下来的文章中具体阐述这些针对加密货币的挑战。

21. 除了 "什么时候 "这个问题没有答案之外，使用什么类型的抗量子密码学也是没有答案的。这也取决于你使用的系统类型。NSA和NAS都指出，NIST是量子抗密码学发展和标准化的权威机构。从2016年开始，NIST现在就在进行一项竞赛，最终应该会有一个或多个抗量子密码学的标准。

22. "保护电子银行数据和许多其他种类信息的广泛使用的公用钥匙加密系统，使用成对的大数作为解密信息的钥匙。这些数字可以通过将它们乘在一起产生更大的数字来隐藏，而传统的计算机无法轻易地进行因子运算。然而，量子计算机将能够迅速找到初始的两个数字，破解加密。"

23. 《联邦公报》（美国政府的日报）2016年。

24. "特别是，量子计算机将彻底破解许多公钥密码系统，包括FIPS 186-4中标准化的系统"

25. BTC使用ECDSA作为签名计划。ECDSA是FIPS 186-4标准。NIST；ECDSA FIPS 186-4。

NIST:

26. Moody说："我们正在寻求替换三个NIST加密标准和准则，这将是最容易受到量子计算机攻击的，"他指的是FIPS 186-4、NIST SP 800-56A和NIST SP 800-56B。"

27. NIST竞争处理的标准应该过滤出一种对广泛系统可行的抗量子密码学。不过这需要时间。有一些新的算法提交，评估它们必须做得很彻底。他们打算在2022-2024年左右收尾。从区块链的角度来看，重要的是要注意到，在NIST努力寻找全方位实现签名方案的替代方案旁边，他们也在研究更专业的签名方案，这些方案非常优秀，但不太适合仅仅是任何类型的应用。

28. 此刻NIST批准Rainbow Signature。这意味着很有可能Rainbow将成为有史以来第一种标准化的抗量子密码学。

抗量子区块链

29. "抗量子 "仅用于描述网络和密码学，这些网络和密码学是安全的，不会受到任何规模的量子计算机的任何攻击，即没有任何已知的算法使量子计算机有可能破坏所应用的密码学，从而破坏该系统。所以，如果一个区块链专门使用了抗量子签名方案，那么它将被认为是抗量子的。

30. 关于量子抗性区块链和向量子抗性过渡，有很多挑战和误解。我将在下面的章节中讨论这些问题，但首先我将阐述一下去中心化区块链与中心化系统相比的特殊脆弱性。

为什么银行、网站等中心化系统比区块链更容易改变密码学？

31. 当这个问题出现时，你会听到人们常说的一句话是："如果ECDSA加密技术崩溃，整个互联网就会崩溃。"如果ECDSA加密技术崩溃，整个互联网都会崩溃。为什么还要担心区块链"。我们要做的一个重要区别是，大多数系统都是中心化的。而区块链是去中心化的。这就造成了三个问题。

• 中心化系统的开发者可以从一天到另一天决定他们对系统进行修改和更新，而不需要运行节点的人达成共识。中心化的开发者是负责人，他们可以决定系统的未来。但是像区块链这样的去中心化系统，需要节点之间达成共识才能更新。意味着大部分节点需要升级，从而迫使区块链只有新的签名才有效。我们不能让旧的签名方案在新的抗量子签名方案旁边有效。因为这就意味着区块链仍然允许使用脆弱的旧公钥和私钥，从而允许使用旧的脆弱签名进行交易。所以至少大多数节点需要升级，以确保使用旧规则从而旧的脆弱签名方案构建的区块被网络拒绝。这将最终导致一个全面升级的网络，在交易中只接受新的量子后签名方案。所以，需要达成共识。没有一个中心力量可以做出艰难的决定。达成共识的需求，完全是区块链等去中心化系统将面临的问题。
• 去中心化系统在想要改变签名方案时，面临的另一个问题是，去中心化区块链的用户将不得不手动将他们的币/代币转移/迁移到一个量子安全地址。升级后的区块链只会对新生成的地址的密钥对产生影响。旧地址显然已经存在，并且已经由旧区块链生成。所以只有新生成的地址才会是抗量子的密钥对。旧地址，将是不变的，因此仍然是脆弱的密钥对。所以，只有将资金从旧地址迁移到新的量子抗性地址，才能让你的资金受到升级后的区块链新的量子抗性的保护。记住，抗量子的不是币或代币。而是私钥-公钥对，也就是你存储币或代币的地址，才是抗量子的。所以在去中心化系统中，所有的用户都需要手动生成一个新的地址，并将自己的币转移到这个新地址上。而集中式网络的用户则不需要做任何事情，因为这将由他们的集中式管理系统来处理。例如，你知道，如果你忘记了你的网上银行账户的密码，或者某个网站的密码，他们可以随时给你发送一个链接，或者秘密问题，或者在最坏的情况下，他们可以通过邮寄的方式给你邮寄到你家的地址，然后你就可以恢复营业了。所以在集中式系统中，有一个中央实体，他可以访问所有的数据，包括所有的私人访问数据，比如公钥和私钥。因此这个实体可以拉动所有的线。这一切都可以在你的用户界面后面完成，你可能不会注意到任何事情。你甚至不用修改密码。在去中心化系统中，没有一个集中的实体拥有你的密钥。只有你才有你的钥匙，也只有你才有。所以，与中心化系统相比，去中心化系统的所有用户都需要行动起来，使整个系统完全具备量子抗性。这就意味着，对于你这个用户来说，要想保证你的价值，就要依靠其他所有用户的行动。从安全上来说，你依赖于其他人需要关注事态的发展，了解必要性，了解BTC本身已经升级到量子抗性后个人行动的必要性，行为负责、主动、快速。这就是人的因素。用户行动的需求是区块链等去中心化系统将面临的第二个专属问题。
• 第三个问题将是 "丢失地址"。因为除了你之外，没有人能够接触到你的资金，一旦你的私钥丢失，你的资金就会无法进入。从此，一个地址丢失了，这个地址上的资金就永远无法移动。所以升级之后，这些资金永远不会被转移到一个抗量子的地址上，因此永远容易被量子黑客攻击。我将在接下来的部分中更深入地讨论这个问题，但简而言之：在真正的黑客攻击发生之前，它将成为悬在区块链上的达摩克利斯之剑。这造成的问题，是由于一个或多个丢失地址的黑客攻击而造成的价值倾倒。这个问题是没有解决办法的。区块链不了解它的用户，无法与用户沟通，也无法区分丢失地址上的资金和仍有访问权但不知为何在量子抗衡更新后没有迁移币的用户的地址上的资金。所以烧掉 "丢失的币 "在法律上将是一个大问题。问题将是 "它们是真的丢失了，还是主人还没有迁移？" 由于中心化系统可以访问所有需要的数据，所以他们不会面临这个问题。丢失地址是区块链等去中心化系统将面临的第三个专属问题。

32. 总结：银行和网站是中心化系统。它们将面临挑战，但像区块链这样的去中心化系统将面临一些额外的挑战，这些挑战将不适用于中心化系统。

更新签名方案将需要达成共识，即所有节点在实施抗量子签名方案后需要更新。

区块链的用户将需要亲自将他们的资金从旧地址转移到新的抗量子地址。你不需要移动你的银行资金。

人们失去资金使用权的地址将永远不会被移动，并保持对量子黑客的脆弱性。

33. 这些都是区块链特有的问题，而不是银行或网站或任何其他中心化系统的问题。

34. 而大公司已经在试验抗量子密码学。以谷歌为例，他们从2016年开始就在尝试量子抗密码学。这里谷歌在线安全博客介绍了他们在Chrome浏览器中的New-Hope系统的实验。而这里的Cloudflare--谷歌Chrome浏览器。

荷兰银行在抗量子安全上的努力。(他们不会是唯一一个研究和准备的人)

华为也开始为在网络中加入量子抗衡通信系统而努力。

巴克莱展示了量子清算算法的概念验证。

结语

35. 比特币和所有目前正在运行的传统区块链都没有被排除在这些问题和挑战之外。事实上，这将是确保它们在未来几十年继续存在的核心。从现在到未来，所有加密货币都需要在某个地方改变其签名方案。这不会是一个简单的转移。有一些严重的挑战需要克服，这不会在一夜之间完成。我将在接下来的几篇文章中讨论这个问题。

4

在接下来的两部分中，我将分析将现有的区块链升级为抗量子区块链的挑战。

第一个要阐明的挑战，将是签名方案的改变。首先要提到一个简单的事实 一个启动的、有效的区块链并不是一个开关就能调整的。将一个区块链升级到量子化后的签名方案不是一件小事。改变一个签名方案不是简单的复制粘贴和改变一些代码行。其实需要做的编码量也不少。

我们说的不是简单的核心框架升级。而是项目的各个方面最终都需要升级。让区块链运行的支持系统也需要升级。软件钱包、硬件钱包、区块探索器、挖矿操作、池子......，任何与API相连的东西等等都需要刷一下代码，以符合新的变化。之后，交易所也需要适应新链。

第二个挑战是前文中已经提到的：需要达成共识。抗量子签名方案需要通过分叉来实现。会有一个选择，通过软分叉来添加签名方案。分叉要想成功，需要大部分节点升级。比如SegWit的分叉，就需要95%的多数。

所以大部分节点需要升级。但运行节点的人，可以选择。他们是接受新的方案并升级，还是喜欢旧的版本，还是偏向于其他方案。会有不同的方案，会有不同的选择，如何实现这些方案，因此会有不同的选择摆在桌面上。节点可以选择更新，也可以选择拒绝。这使得它可以说是一个民主的系统，这使得任何改变都是一个缓慢的过程。需要达成共识是一个挑战。

过去的事实证明，在区块链这样的去中心化系统中，达成共识并不是一个快速、流畅的过程。最著名的例子就是比特币需要扩大规模，这可能是一个缓慢的过程。对于一个严重的问题，有几种解决方案，但都没有实现（至少在原始链中没有）。即使每个人都同意需要某个结果，但在社区中就如何达到这个结果达成共识是一个缓慢而政治的过程。讨论从来不是关于实际的结果。讨论的是达到这个结果的方法和它所造成的副作用。(也许挖矿成本会上升，或者某些硬件已经不够用了，需要更换等等。)走向量子抗性也不会有什么不同。对量子抗性的需求可能是尽快实现的巨大动力，但这并不意味着运行节点的人不会有不同的利益。紧急程度并不会蒸发不同的经济或政治利益。紧急状态通常会使自己在议题上的立场更加强硬，而不是提高妥协的机会。

简而言之，有几种抗量子签名方案可供选择，在未来几年内，新的方案会被批准，有不同的实现方式，在实现的时刻也会有选择。因此，讨论的焦点将是使用哪种方案，以及如何实施和何时实施。达成共识将是一个挑战。

另一个挑战是，后量子密码学是一种专门的密码学。后量子密码学是一个真正的专业。选择正确的方案，在没有正确的知识的情况下实施，可能会适得其反。所以，在没有咨询后量子密码学专家和委托外部审计的情况下，实施后量子密码学是一个严重的风险。你会用什么？你会使用XMSS吗？你如何确保你的区块链能够处理有状态签名？你使用WOTS+吗？你如何确保这是用户友好的？你将如何确保没有老债务人会向老地址发送资金？你用的是SPHINCS？你如何处理41KB的签名？你用BLISS B吗？你如何防止侧通道攻击？你在等NIST的结果吗？不能保证会是一个神奇的方案。可能还需要很多工作来实现。

升级的区块链，升级后的性能可能不同。

目前的后量子签名方案（包括提交给NIST竞赛的方案），会大幅增加区块大小，需要更多的资源来计算。这可能会减慢每秒的交易量，而很多项目的目标是加快而不是减慢。抗量子签名方案将意味着更大的签名。这对区块链的性能有影响，除非有大的创新变化。所以在量子抗性成为必须的那一刻，会有意想不到的事情发生。推迟实施抗量子签名方案的项目将受挫。升级到安全的签名方案，其实对于几乎所有现有项目来说，都会有部分降级。彩虹签名改变签名方案的唯一原因是，如果能开发出比他们现在使用的后量子签名方案更好、更高效的后量子签名方案。所以，虽然其他项目都会在性能上有部分降级，但已经抗量子的区块链要么保持不变，要么升级，性能比以前更好。

更大的签名是如何影响区块链上交易的发送和确认速度的？首先快速总结一下交易的处理方式。所有的矿工，将人们发送的所有交易收集到一个交易池中。在那里，交易等到一个矿工把这些收集到的交易数量放到一个区块中。这就是一个区块的构造。在他构建了一个区块之后，他必须解决应用在他的区块上注册的交易列表上的哈希难题。解决了哈希谜题的矿工，就可以把他的区块放到网络上。如果这个区块最终将成为最长链的一部分，交易将被确认和验证。要么区块的大小会受到更大签名的影响，要么如果区块的大小是固定的，那么适合一个区块的交易量就会受到影响。

现在有两种速度会受到影响，对区块链的性能都很重要。

• 容量, 区块链在最大容量下一秒能确认的交易量. 所以如果以BTC为例，一秒钟可以确认7笔交易（它的最大容量），那么只要每秒超过7笔交易加入网络，BTC就达到了最大容量。在这种情况下，个人交易就需要排队等待，个人交易速度就会变慢。(除非你增加手续费，那么你的交易会被优先处理，你可能会做出标准的个人交易速度。当然根据其他费用的高低而定）。个人交易速度。这是指你发送交易到你的交易在网络上得到确认的时间。这是适用于区块链在其最大容量下运行的时刻的速度。因此，这意味着交易几乎在到达节点时就会被添加到区块中，并立即得到处理。

容量取决于区块时间（区块被挖掘所需的时间）和适合一个区块的交易量。签名越大，交易越大，越 "重"，这就导致一个区块中适合的交易数量越少，或者区块大小越大。这反过来又会导致每个区块确认的交易量更少，或者区块时间更大，这都会导致每秒的交易量更少。

现在可能有解决大签名大小问题的办法了。现在正在开发的扩展的解决方案，可以解决抗量子区块链的问题。但这是正在进行的研究，有待更深入的研究。

为了克服后量子签名方案的不足，一些开发者可能会决定推出自己的加密技术，这在过去的其他项目中已经重大失败。密码学很难理解和实现，更不用说后量子密码学了。除此之外，它还必须经过测试和检查，最好是由外部的专业机构来证明它的安全性。为此，全世界甚至只有少数研究人员具备这个专业领域的资格。NIST的批准需要5年左右的开源研究。自制的抗量子签名方案是一个滑坡。

5

所以我们继续... 将现有的区块链升级为量子抗性时面临的更多挑战。我在这里用BTC作为例子，但这真的适用于任何不使用量子抗性签名方案的区块链。

丢失的地址和人为因素：量子抗性升级后的部分保护流通供应。

我们再次面临区块链是一个去中心化系统的另一个后果。如果你已经成功改变了你的区块链的密码学，那么这并不意味着在没有用户的合作和行动的情况下，你马上就可以保护你的全部流通供应。在节点之间达成共识后，还有第二个阶段，你要依靠其他人来实现最终的改变。在成功改变你的签名方案后，你已经创建了一个可以创建量子抗衡密钥对的区块链。但是......现在还没有一个流通币受到它们的保护。你刚刚成功改变了你的签名方案，但你还没有取消所有现有的旧密钥对。所有的流通币或代币仍然存储在旧的地址上，受旧的密钥对保护。这是因为一个简单的事实，你不能改变现有地址的可访问性，因此不能改变你的完整流通供应的可访问性。意思是：你可以改变签名方案，因此可以改变从该时间点创建的所有新地址的可访问性，但不能改变该时间点之前创建的所有旧地址的可访问性。所以，在拥有这些地址的用户合作并采取行动之前，所有的旧地址仍然是脆弱的：他们需要创建一个新的地址，并将他们的硬币或代币转移到该地址。

问题的关键在于。只有钱币或代币的实际拥有者 才有公钥和私钥的组合。而这正是需要改变的地方。旧的密钥对需要换成新的抗量子密钥对，因为这些旧的密钥对将容易受到量子攻击。而只是，对于区块链这种去中心化系统的用户来说，这是不可能自动完成的。你可以给用户提供工具，让他们自己去做，所以你可以改变你的区块链中的密码学，从而确保所有新创建的密钥对都是抗量子攻击的密钥对，但是用户必须亲自去做这个切换。只是为了与中心化系统相比，比如你的电子邮件。每个人都知道，当你在区块链中丢失了你的私钥，你就失去了对你资金的访问权。不会有 "我忘了密码 "或 "你的秘密问题是什么"。不会有 "我们会给你邮寄新的密钥对"。因此，即使区块链能够为你改变你的密钥对，并在停用你的旧密钥对的同时将其改为抗量子的密钥对，你也不会有这个新的密钥对，并且实际上已经失去了对你资金的访问。

流通供应的保护和量子抗性是没有办法最终确定的，只能依靠所有用户个人行动。而只有每一个用户（现在和过去的用户）都做到了这一点，整个流通供应才会受到保护，不受量子攻击。

现在和过去的每一个用户。这是不可能的。

• 来自过去（老用户）：丢失的地址导致了这里的问题。一个区块链运行的时间越长，越多的人就有可能失去资金的使用权。(钥匙全丢了，电脑崩溃了，U盘丢失了，项目初期价格低的时候失去了兴趣等等。)另外有些项目一开始就跑测试了，或者挖矿到了一些现在无法访问的地址。BTC会是最明显的例子，臭名昭著的聪聪地址中包含了大量的BTC。(而且不，在那个年代，公钥是以完整的原始形式作为地址的，所以不是哈希形式，所以这些地址的公钥其实是公开的。而不是像今天这样先以哈希形式公布。所以聪慧基金很容易受到量子攻击）。) 由于你需要访问这些币来将它们转移到量子抗性地址，而实际上没有人可以访问这些币，所以没有人可以将这些币纳入新的量子抗性密钥对的保护之下。即使在区块链升级成功后，它们也会一直受到量子黑客的攻击。

• 现在的每一个用户：考虑人性。不是每个人都会移动他们的资金。及时，或者根本不会）（有很多理由可以说出人们为什么不做该做的事。因为：人就是人，有的人没有关注新闻（不是每个人都是reddit或bitcointalk的常客，有的人只是偶尔看看价格），有的人不了解迁移的工作原理和为什么重要，有的人不了解紧迫性，也许资金是遗产/离婚的一部分，需要时间来合法处理，坐牢，生病，丢失的记忆棒后来找到了，你知道，生活，等等等等）。

所以，即使现有的区块链会实现量子抗衡的加密技术，也总会有一定比例的流通供给得不到保护。

有些人可能会想："那又怎样，升级后我会确保我的币在一个抗量子的地址。所以我不会有任何额外的风险。" 然而，事实并非如此。事实上，并不是100%的流通货源都受到保护，确实会给所有100%的货源价值带来风险。所以，每一枚币，量子抗地址的和旧地址的。你需要保证不会有新闻头条大喊 "BTC被黑了！"。(或者其他什么区块链项目)，这是任何投资者的噩梦。读到或听到这句话，就意味着卖掉你的包，即使你自己使用的是量子抗衡方案。让你的个人BTC受到保护，只是意味着BTC的数量将是安全的，而不是你BTC的价值。所以在别人的BTC被盗的情况下，你自己还是会有3个BTC。但是由于消息的影响，会造成人们的抛售，BTC价值下降，你的3个BTC以前值40.000美元，现在比如说值3.000美元，而价值还在下降。旧的脆弱地址上的币比例越大，安全风险越大。2011年的MtGox黑客事件造成了49%的即时跌幅，5个月跌幅达93%。那是2K被盗的BTC（当时0.04%的流通suppl）从交易所被黑。而不是BTC本身。在这种情况下，被黑的将是区块链。与我们最终习惯了现在的交易所黑客相比，这是一个下一个级别的黑客。所以为了让升级成功，所有的币都需要从旧的地址转移到新的抗量子地址。这就意味着对于你这个用户来说，要想保证自己的价值，就要依靠其他所有用户的行动。在这个时间点上，估计有700万左右的用户。其中包括大约700.000个持有超过1个比特币的地址。这是一个需要采取行动的人的数量. 安全性方面，你要靠其他所有这些人关注事态发展，了解必要性，了解BTC本身已经升级到量子抗性后个人行动的必要性，表现出负责任、主动、快速的态度。这就是人的因素。

在加密货币中，做一个抗量子的区块链并不是提供选择。而是要保护你的货币和货币的价值。所以，要么你有一个100%抗量子的区块链，保护它的所有供应，要么有一定比例的区块链显然还是容易被黑客攻击。

这几乎是一个不可能解决的问题，而不会产生其他问题。你可以设定一个最后期限，在这个期限内，你需要采取行动并移动你的硬币。然后在最后期限过后烧掉 "剩余的币"。这样做的思路是 "过了最后期限后，所有在非量子安全地址上的BTC，都是拥有者无法访问的BTC，所以无论如何都是无用的"。这些对业主来说没有实际价值。所以烧了也无妨。" 但丢失钥匙，并不能结束所有权。就像你丢了房子或车子的钥匙一样。所以这个法律点可能会成为一个问题，对于那些决定写代码的人来说，真正烧掉剩下的东西。但更重要的是，由于人为因素，你并不能确定一定时间后遗留的地址是否是真正的遗失地址。即使在警告和要求动币和限期之后，可能还是会有人先入为主地忙于生活中的其他方面，或者根本没有了解这个问题和影响。这就涉及到另一个法律问题。从法律上来说，烧掉BTC就是不可能的，因为无法确定一个数量的BTC，如果还在一个旧的非量子安全地址上，是因为所有者失去了它的访问权，还是因为他只是还没有把它们转移到安全地址上。去中心化是这里的问题。Chainalysis的结论是，在发布时，有17%（低估计）到23%（高估计）的BTC丢失。高估和低估（1 mill BTC）之间的巨大差异表明，要确定哪些是停滞地址丢失，哪些是长期持有者，将存在问题。你不能只是片面地决定蒸发某人的资金。没有预先制定的协议，在那里是相互建立的，这是投资者或用户（无论你将如何称呼加密持有人）在购买他们的硬币或代币时应该考虑到的事情。除非我们谈论的是ERC20代币，在那里你提前知道你将不得不在某个时间点进行转换。焚烧别人的资产只是史无前例的。不是每个人都是 "社区 "的一员，有些人只是偶尔看一眼价格，并不关注技术发展。投资BTC并不要求你必须拥有reddit或bitcointalk账户。没有预设的条件，你有义务跟上发展。所以，如果你不及时迁移，开发者根本无权烧掉你的币。这是一个法律问题。你可以说："但是我们给他们合理的时间，然后我们烧掉剩余的币。" 但是，当我们在谈论有效地烧掉某人的资产时，什么是合理的时间量，在法庭上是成立的？如果不是事先设定好的条件，法律上没有义务让你跟上时代的步伐，也没有义务让你的钱币动起来。所以被烧的人就会把它告上法庭。而对于BTC的价值来说，更糟糕的是，他们会把它告上法庭。你不会起诉BTC。你会起诉那些烧掉你BTC的开发人员。那些人的行为损害了你的资产。他们故意策划并执行代码确保你的BTC被摧毁。这可能和黑客入侵BTC品牌一样糟糕。

最终，新闻要么是 "人们声称BTC摧毁了他们的投资组合"，这将导致法律索赔与必要的大惊小怪和FUD，这将损害BTC的品牌和价值，或者 "BTC被量子计算机黑客攻击"。这两个选项对BTC(或其他加密货币)来说都不是完全无害的。而且这个事件将发生在量子抗性加密货币的时代，这些加密货币从一开始就被QR，从创世区块。这种新一代的区块链不会面临这些风险，将成为有吸引力的新产品和投资。

是否有可能发生黑客攻击？对某人来说，黑客入侵BTC或任何其他非量子抗性区块链的动机是什么？实际上是否有可能获得足够的收益？会不会有成本效益？如果他们会抛售偷来的币，岂不是自投罗网，让刚刚获得的东西价格崩盘？

这里有一个场景。硬币被偷了. 然后这些硬币被卖掉 赚取的是法币。但在计划执行之前，他们会把目标做空。所以在黑客入侵后，他们开始慢慢卖出，以获得最小的价格跌幅和最大的收益。但是当袋子里的钱越来越空的时候，就会进行抛售。而同时，黑客自己也会带出有使用量子计算机被黑的消息，提供包括被黑地址在内的证据。媒体会像秃鹫一样吃掉这个消息。价格跳水，由于做空的原因，获得了双重收益。

现在换一种情况如何？没有实际的黑客需要做。没有犯罪活动、大学里有人能接触到量子计算机。可能是一个非常有利可图的博士项目 。或者是一个有副业的教授、或者是一个白帽黑客、这个人可以黑掉自己的钱包，然后写一篇论文，从而正式证明相关的区块链是脆弱的。然后把被黑的区块链做空，然后发表他的论文。发表后结果一样。该消息的反应会引起抛盘。金融攻击中最古老的伎俩。经过时间的验证。

时间因素

实施时间拖得越久，另一个因素的风险就越大：时间。前面说过，实施是一门专业的学问，要弄清楚实施什么，怎么实施，需要时间，这不是一个小的调整，它影响到区块链的几个组成部分，影响到交易所、账本、支持系统，然后达成共识需要时间，如果能完成的话，迁移也需要时间。需要对所有连续的事件进行时间线评估。这些事件会相继发生，不可能在同一时间全部搞定。不能对一个还没有提出的方法达成共识。在没有决定使用哪种方法之前，你不能提出一种方法。交易所不会在没有保证达成共识，没有保证变化会真正适用于区块链的情况下开始调整。等等等等。所有这些事件都有一个时间线，并且会相互跟进起来。研究期、决策期、开发实施期、支持系统的调整期、共识期、交易所采用期、迁移期。这些连续的事件都需要时间。要认真地进行风险评估，就需要做这个时间轴。然后需要对量子计算机和量子算法的发展和预期的时间线做出估计。而除此之外，你还需要考虑到，在某个时间点上，后量子密码学家会相当忙碌，因为会有一个多米诺骨牌效应，导致越来越多的公司、区块链和其他公司开始改变签名方案。很多项目和公司都会推迟，直到大众开始行动。密码师会变得稀缺和昂贵。所以对于一些项目来说，可能不容易有知识来搞清楚事情。

黑天鹅事件的情况下，出乎意料的快，一个实体将出现一个临界水平的量子计算机。

在不现实的、最好的情况下，区块链能够在少量时间内实现后量子密码学，所有的币还是应该迁移到抗量子的地址。但即使是那时的币的迁移，那么已经是通过劫持交易的方式来实现的，是很脆弱的。在交易过程中或交易前的劫持交易将在下一篇文章中解释。

所以，如果一个项目将实施时间推迟到量子计算机达到那个临界水平之后，那么对于这个特定的项目来说，可能就完全晚了。如果我们说一个区块链已经公布了完整的公钥，所有的密钥都是开放的，所有的资金马上就会有风险，因为量子计算机可以从公钥中推导出私钥。但如果是一个公钥只以哈希形式公布的区块链，只要资金不被转移，资金就很安全。记住，即使是量子计算机也无法从该公钥的哈希值中推导出原始公钥）。资金会被卡住。你不能安全地花掉它，但你也不能把它转到一个安全的地址，因为在从一个旧的、非量子抗性的钱包用旧的密钥对发送资金的交易过程中，交易会被劫持。

在这样的时候，唯一安全的资金转移方案，是本文提出的。它是知识证明方案，其中提出了6个月的锁定资金期限。

提出的是。一个抗量子签名方案已经实施。一个用户创建了一个量子抗性钱包，因此他拥有了一个量子抗性密钥对。然后他发布了一个承诺，他在其中发布了他的旧公钥和新的量子抗性公钥的哈希值，以及他想发送给这个新的量子抗性密钥的金额。由于这是以哈希的形式发布的，所以没有人可以读取这个承诺的信息。在没有指向公布的承诺的情况下，任何进一步尝试使用这个密钥对的行为，都会按照新的协议规则失败。现在他做完这些后，在未来的消费中，他可以在他的交易中指向之前发布的承诺，证明他是资金的所有者，因为只有他才能发布这个从旧公钥到新公钥的承诺交易的哈希值。毕竟旧公钥只有他自己知道。现在要确保没有人可以劫持第二笔交易，并以这样的方式重组区块，让他可以伪造公布的承诺。在论文中计算出，对于量子能力强的对手来说，区块重组攻击的可行性会大大增加，比如51%攻击或自私的挖矿攻击需要较小部分的整体计算能力。所以为了防止区块重组，必须有一个延迟阶段。所以在承诺公布后，你必须等待一定的时间，才能安全地使用资金，防止区块重组的可能性。这个期限计算起来是6个月。是的......这是一个6个月的期限。现在这个时期可以缩短，但任何锁定资金的时期都会给任何区块链带来巨大的负面影响。

结论。转向抗量子签名方案会带来一些挑战，不应该被低估。从推出之初就实施抗量子签名方案，所以像ABC那样从基因区块开始实施，显然会使这些挑战不存在。对于现有的区块链来说，完全量子保护其目前的流通供应将是不可能的。

6

为什么BTC容易受到量子攻击，比今天的估计还要快?

小编总结一下。区块链的交易是通过公私钥加密技术来保护的. 当量子计算机达到一定的临界水平时，今天使用的密钥对将面临风险。量子计算机在发展到一定程度时 可以从公钥中提取出私钥 关于这个问题的更多来源信息请看第三部分。所以，如果一个攻击者可以得到一个公钥，那么他就可以用量子计算机找到私钥。而由于他同时拥有公钥和私钥，他就可以控制并将资金发送到他拥有的地址。

只是为了确保不会有误解。当ECDSA和RSA等公钥私钥加密技术 被量子计算机破解时 将会是所有不使用量子抗衡签名方案的区块链的问题。这篇文章之所以讲BTC，是因为我把这篇论文作为一个参考点。在那篇论文中，作者计算了一个估计BTC何时会有风险，同时把BTC的区块时间作为机会窗口。

BTC的误区。"如果你不重复使用地址，BTC就会有量子抗性。"

在我读到的几乎所有关于这个问题的讨论中，我注意到人们的印象是，只要你只用一次地址，BTC就是抗量子的。BTC使用公钥的哈希版本作为发送地址。因此完整的原始公钥，在你进行交易之前是不会被公开的。所以理论上，所有的资金都是在哈希公钥上注册的，而不是在完整的原始公钥上注册的，这意味着原始公钥（同样在理论上）是不公开的。即使是量子计算机也无法从哈希公钥中推导出原始公钥，因此量子计算机不会有从公钥中推导出私钥的风险。然而，如果你进行了交易，你发送资金的地址的公钥将以完整的形式公布在区块链上。因此，如果你只发送部分资金，将其余资金留在旧地址上，你的剩余资金将在已公布的公钥上，因此容易受到量子攻击。所以，变通的办法是将剩余的资金，在同一交易中，转移到一个新的地址。这样一来，你的资金将再次在区块链上以哈希公钥而不是完整的原始公钥注册。

如果你已经因为对区块链背后的技术不是很熟悉而感到迷茫，我将尝试用更熟悉的方式来解释上述内容。

你通过你的公钥和私钥对控制你的资金。你的资金注册在你的公钥上。你可以创建交易，你需要签名才有效。只有当你拥有你的私钥时，你才能创建一个签名并签署你的交易。把它看作是你的电子邮件地址（公钥）和你的密码（私钥）。很多人得到了你的邮箱地址，但只有你有你的密码。所以比喻说，如果你得到了你的地址和密码，那么你就可以访问你的邮件和发送邮件（Transactions）。如果有合适的量子计算机，人们可以用它来计算你的密码（私钥），如果他们有你的电子邮件地址（公钥）。

现在，因为BTC不会在任何地方显示你的完整公钥，直到你进行交易。这听起来很安全。这意味着在你进行交易之前，你的公钥是私有的。与你的公钥相关的唯一公开的东西，就是你的公钥的哈希值。在第二部分中，你可以读到关于哈希的更广泛的解释。但这里简单解释一下什么是散列：散列是一个等式的结果。通常使用单向哈希函数，你无法从输出中推导出原始输入，(由于数学的性质，即使是量子计算机也无法推导出)每次你在相同的原始输入上使用相同的哈希函数(例如IFUHE8392ISHF)，你总会得到相同的输出(例如G)。这样一来，你可以将你的币放在公钥 "IFUHE8392ISHF "上，而在链上，它们被注册在 "G "上。

所以你的资金在区块链上登记的是公钥的 "Hash"。在这种情况下，公钥的Hash也就是你的 "邮箱"。所以你给 "G "作为你发送BTC的地址。

就像之前说的那样：因为即使对于量子计算机来说，也不可能从公钥的Hash中推导出公钥，所以只要公钥只以哈希形式注册，你的币就是安全的。显而易见的安全方法是，永远不要重复使用一个地址，永远要确保当你付款时，你将剩余的资金发送到一个新的地址。(有钱包可以为你做到这一点。)理论上，如果正确使用，这将使BTC具有量子抗性。实际上，这是不正确的。即使你只使用一次地址，你的公钥也会暴露很久，足以让量子计算机黑客入侵。

已经暴露的公钥。

但在我们讨论这个问题之前，还有一点是经常被忽略的。不仅仅是你个人的BTC安全很重要，其他用户的资金安全也很重要。如果其他人被黑客攻击，黑客本身的消息以及市场对这个消息的反应，会影响市场价格。或者说，如果像聪聪账户这样的大账户被黑客入侵抛售，抛售本身，再加上黑客的消息，可能会更加严重。个人并不能控制别人的行为。因此，即使一个人可能会确保他的公钥只以哈希形式注册，但其他人可能不会这样做，或者在某些情况下，你甚至可能不知道他们的公钥已经暴露，即使你从未从你的地址进行过交易。

最近，BTC开发Pieter Wuille在twitter上承认了这一点，这里和这里。

Andrew Poelstra在这次采访中也承认了这一点。(40:00及更远)他甚至解释了除了发送交易之外，公钥如何以其他几种方式暴露，以至于 "基本上所有的公钥都暴露了"。"如果其他人的比特币都丢失了，那么[......]你保留的这些代币都是没有价值的。" 哪一个是承认由于黑客攻击而导致价值下降的风险的BTC的百分比不是在有哈希公钥的地址上？

44:00 "它从来没有打算作为量子保护。它并没有作为量子保护的功能。有一种观点认为它是这样的，但它不是。而且即使它有，顺便说一句，你又如何花掉你的硬币也很不清楚，因为你必须透露公钥才能花掉硬币。"

其实有相当数量的地址已经暴露了完整的公钥，有几个原因。

只有未使用的地址才是量子安全的 但在现实中，有很多人重复使用地址。(说明一下：我说的未使用是指只用过的地址，只用来存款，而没有用来交易的地址。因为如果你存款，或者别人把资金转到你的地址作为支付，你的公钥就会一直隐藏起来，但是如果你从这个地址到另一个地址进行交易，你的公钥就会暴露出来。详细解释请看第2部分)。

使用P2PK UTXOs进行的比特币交易：这是公钥不进行哈希，而是全部公布的时期的老地址。约177万BTC属于这一类）（https://eprint.iacr.org/2018/213.pdfp。7）这其中包括Satoshi基金。

比特币用户在比特币分叉上发布公钥，如比特币现金或比特币黄金。(https://eprint.iacr.org/2018/213.pdf p.7)

任何其他公开密钥的行为，例如在论坛上或在支付渠道中，为确保完整性而在签名的信息中透露一部分（例如闪电网络[51]）。(https://eprint.iacr.org/2018/213.pdf p.7)

总的来说，大约36%的BTC是在有公开公钥的地址上。大约20%的BTC是在丢失的地址上，也请看这里。这包括Satoshi币。关于丢失地址的解释，以及为什么这些地址永远无法抵御量子黑客的攻击，请参见第五部分。

劫持交易。

但即使你认为上述风险是可以接受的，只是因为你自己会确保你永远不会重复使用一个地址，那么仍然，只有哈希公钥在你进行交易之前才会被公布，这是一种虚假的安全感。只有在你从不进行交易的情况下，它才会有效，所以如果你从不花钱的话。为什么呢？公钥是在进行交易的同时被揭示的，所以从你从设备发送交易的那一刻起，交易就可以被劫持。

充分理解两件事很重要。

1.) 交易是如何发送的？

主人拥有私钥和公钥，并以此来登录安全环境，即钱包。这可以是线上的，也可以是线下的。一旦他在钱包里，他就会说明他要发送多少钱，发送到什么地址。

当他发送交易时，它将被广播到区块链网络。但在实际交易将被发送之前，它将被形成一个包裹，由钱包创建。这发生在发送者看不见的地方。

这个包最终大致携带了以下信息：指向资金来源地址的公钥，将被转移的金额，资金将被转移到的地址（根据区块链的不同，这可能是哈希的公钥，或资金将被转移到的地址的原始公钥）。这个包还携带了最重要的东西：由钱包创建的签名，来源于私钥-公钥组合。这个签名向矿工证明你是合法的所有者，你可以用这个公钥发送资金。

然后这个包裹会从安全钱包环境中发送出去，发送到多个节点。这些节点不需要信任发送者，也不需要确定发送者的 "身份"，因为发送者通过添加与公钥对应的签名来证明他是合法的所有者。而且由于交易是经过签名的，不包含任何机密信息、私钥或凭证，所以可以使用任何方便的底层网络传输进行公开广播。只要交易能够到达一个将其传播到网络中的节点，那么如何传输到第一个节点并不重要。

2.) 交易如何在区块链上确认/实现和登记？

交易被发送到网络后，就可以进行处理了。交易等待被添加到一个区块中。交易不会立即被添加到区块中。这取决于添加到交易中的费用以及需要添加的交易金额。在高峰时段，可能需要比平时更长的时间。节点会将交易捆绑起来，在下一个区块上进行验证和注册。验证是在一个叫做区块时间的期间内完成的。在BTC的情况下，就是10分钟。

如果我们对上面写的信息进行处理，就会发现，有两个时刻，你可以真正看到公钥，而交易还没有在区块链上履行和注册。那么

1：在交易从发送方发送到节点的这段时间里。

2：在节点验证交易的时间内。(封锁时间)

在第2个时刻的攻击：在阻塞时间内的劫持。

本文介绍了如何在第2个时刻：在区块时间，即节点验证交易的时候，你可以劫持交易，并使用别人的地址进行自己的新交易，并将他的币发送到自己的地址。

"(未处理的交易)在交易被广播到网络上后，但在它被放到区块链上之前，它就有可能受到量子攻击. 如果在交易被放在区块链上之前，可以从广播的公钥中得出秘钥，那么攻击者可以使用这个秘钥从同一个地址向自己的地址广播新的交易。如果攻击者再确保这个新的交易先放在区块链上，那么他就可以有效地窃取原地址后面的所有比特币。" 第8页，第3点）。

所以这意味着BTC显然不是一个量子安全的区块链。因为只要你将触及你的资金并用于支付，或者将资金发送到另一个地址，你就必须进行交易，你就会面临量子攻击的风险。

第2个时刻的攻击：劫持前区块时间。

故事到这里还没有结束。论文并没有描述预阻塞时间劫持的可能性。

所以回到论文中。正如解释的那样：在进行交易的时候，你的公钥至少会暴露在区块时间内。对于BTC来说，这个区块时间是10分钟。也就是你的公钥可见的时间段，也就是本文所描述的，可以劫持交易的时间段，通过使用量子计算机，可以进行伪造交易。所以临界点被确定为量子计算机可以在10分钟内从公钥中导出私钥的时刻。根据这10分钟的时间，他们计算出（估计）在多少年内，QC开始对BTC形成威胁。(" 根据我们最乐观的估计，最早在2027年就可以存在一台量子计算机，它可以在10分钟内破解椭圆曲线签名方案，也就是比特币使用的区块时间。" 这一点在论文第10页的图4中也有显示，后来在附录C中也有更深入的计算，其中悲观的估计是2037年左右）。)

但是在矿工选择一个交易并开始对一个区块进行工作之前，这个交易会被添加到矿池中，并在那里等待被选择。这个选择并不是即时的，因此就出现了另一个开始使用公钥工作的机会窗口。现在在高峰时段，交易可能会卡在矿池里一段时间，只是因为交易堆积如山，网络无法快速处理交易量。所以在这些时候，机会窗口可能会增加的相当严重，公钥暴露的时间也会延长。

但是你也可以通过基于网络的攻击，比如DDoS、BGP路由攻击、NSA量子插入、Eclipse攻击或者类似的攻击，人为地延长这10分钟。(我的意思不是说你通过使用基于网络的攻击来延长区块时间，而是延长你在交易确认之前获得公钥的时间)。比特币的风险会比本文计算的更早。

另外其他的区块链，它们的公钥哈希，而且它们的区块时间要短得多，想象自己的安全期要比BTC长。但是，随着这个时间范围的延长，你可以在这个时间范围内推导出私钥，他们也会更早地受到攻击。

不久前的一次日食攻击就证明了它可以做到这一点。这里有一篇关于日食攻击的论文。导致区块链超过最大容量工作，意味着交易将在更长的时间内等待被添加到区块中。这个时间需要加在区块时间上，扩大了人们从公钥导出私钥的时间段。

这一点现在似乎已经解决了，但这说明总有新的攻击可能，当激励机制合适的时候（比如几十亿美金那种合适的），这些攻击可能会专门为某些区块链设计。

第1个时刻的攻击：MITM攻击。

MITM攻击可以在公钥暴露的第一时间找到公钥。(在交易从发送方发送到节点期间。)正如解释的那样，这些发送到网络的交易，包含了你可以拦截的公钥。这意味着，如果你拦截交易（以及随之而来的公钥），并同时延迟它们到达区块链网络的时间，你就会创造额外的时间来使用量子计算机从公钥中推导出私钥。当你完成这些工作后，你就会在原始交易到达并被确认之前发送一个自己的交易。这样一来，你就会把资金从被盗的地址发送到你选择的地址。结果就是你会有额外的10分钟、20分钟、30分钟（或者不管你能把原始交易延迟多久），来推导出公钥。因此，较慢的量子计算机形成了威胁。意味着早期的量子计算机模型，可以比现在假设的对加密货币形成威胁。这可以在不需要搞乱区块链网络的情况下完成，因为攻击发生在网络之外。

当MITM攻击和其他提到的劫持交易的方式将对BTC形成威胁时，其他区块链也会受到同样的攻击。

在这个时候，由于现在还没有量子计算机，公钥对攻击者来说是无用的。一旦有了合适规模的量子计算机，就会成为一个问题。对于抗量子区块链来说，这就不同了。MITM攻击和劫持对于像ABC这样的量子抗性区块链来说是无用的，因为它们使用的是量子抗性密钥。

7

试图完成抗量子的失败捷径的内容：

公钥加密

"即时 "交易

先进先出

标准化收费

多播

有时间戳的交易

以下是我目前所遇到的一些关于不使用量子抗性签名方案的量子抗性的说法。对于每一个说法，我都会给出论据来证实为什么这些说法是不正确的。

"我们只公布了哈希形式的公钥。即使是量子计算机也无法反转Hash，所以没有人可以使用这些公钥来推导私钥。这就是为什么我们是抗量子的。" 这是不正确的。

这个例子在前文中已经解释过了。总结一下。哈希公钥可以作为存款的地址。存款不需要签名认证。另外，提款确实需要签名认证。为了验证签名，公钥总是需要以完整的原始形式公开。作为一个必要的要求，花币需要完整的公钥。因此公钥将包含在交易中。

最著名的使用哈希公钥的区块链是比特币。在用户从设备向区块链发送交易到确认交易的那一刻，交易可以被劫持。例如：在比特币10分钟区块链期间，可以获得完整的公钥来寻找私钥，伪造交易。第8页第3点 散列公钥确实有优势：比原始公钥小。所以它确实可以节省区块链上的空间。然而它并不能给你带来量子抗性。这是一个误解。

"除了区块链上只有哈希公钥，我们还有即时交易。所以没有时间去劫持交易，也没有时间去快速获取公钥去伪造交易。这就是为什么我们是量子抗衡。" 这是不正确的，也是不可能的。

根本不存在即时交易。比如零秒的区块时间就是一个无法实现的说法。句号。此外，交易在被添加到要处理的区块之前，会被收集在池中。矿工在处理该区块之前将它们添加到新区块所需的时间取决于区块链在某个时刻需要处理的交易量。当一个区块链在其最大容量（区块链每秒能处理的最大交易量）内运行时，从池子里添加交易的过程会相当迅速，但仍然不是瞬时的。

然而，当交易密度较高时，交易可能会在池中停留一段时间。在此期间，交易会被公布，并可以获得完整的公钥。就像之前的劫持例子一样，在这段时间内可以伪造交易。在区块链正常运行的时候就可以进行，只要超过了最大容量，黑客的机会窗口就会增大。

除了赶时间会延长公钥工作时间和伪造交易带来的风险外，还有一些基于网络的攻击也可以达到同样的目的：延缓确认时间，创造更大的窗口来伪造交易。这些类型是攻击者针对网络而不是交易的发送者的攻击。在点对点网络上进行DDoS攻击或BGP路由攻击或NSA量子插入攻击都是很困难的。但当提供给黑客一个赚取数十亿的机会时，黑客会找到一个方法。

例如：https://bitcoinmagazine.com/articles/researchers-explore-eclipse-attacks-ethereum-blockchain/

关于BTC：https://eprint.iacr.org/2015/263.pdf

日蚀攻击是对区块链的网络级攻击，攻击者基本上控制了点对点网络，遮蔽了节点对区块链的看法。

这正是你需要创造额外的时间来寻找公钥并从中导出私钥的秘诀。然后你可以在原件之前签署自己的交易并确认它们。

这个具体的例子现在似乎已经被修复了，但它最肯定地表明存在着创造其他变体的风险。请记住，在这种变体攻击被知道之前，普遍的观点是这是不可能的。由于创造这种攻击的动机不大，可能需要一段时间才能开发出另一种攻击。但当拥有完整的公钥等于有可能伪造交易时，一下子就有了数十亿的风险。

"除了只使用哈希公钥作为地址外，我们还使用先进先出（FIFO）机制。这解决了伪造交易的问题，因为它们不会在原始交易之前得到确认。这就是为什么我们具有量子抗性的原因。" 这是不正确的。

公钥还有一个公开的时期：交易从用户设备发送到区块链网络上的节点的那一刻。发送的交易可能会被延迟或完全被阻止，无法到达区块链网络。在这种情况下，攻击者可以获得公钥。这是一种中间人攻击（MITM）。MITM是一种攻击，攻击者秘密转发并可能改变双方之间的通信，他们认为他们正在直接与对方通信。没有任何交易是100%安全的，不会受到MITM攻击。这种类型的攻击在普通用户群中并不常见，因为事实上通信要么是加密的，要么是通过使用私钥-公钥加密技术来完成的。因此，在这个时间点上，MITM攻击不是问题，因为交易中的信息对黑客来说是无用的。强调一点：在这个时间点上，可以对你的交易进行MITM攻击。但黑客获得的信息是无用的，因为他无法破解加密技术。加密和私钥-公钥加密技术在这个时间点是安全的。ECDSA和RSA还不能被破解。但在量子计算机时代，问题就很明显了：攻击者可以获得公钥，并创造足够的时间来伪造一笔交易，这笔交易将被发送到区块链上，并首先到达那里，而网络没有办法知道这笔交易是伪造的。通过在交易到达区块链之前这样做，FIFO将毫无用处。原始交易将被延迟或阻止到达区块链。伪造的交易将首先被接纳到网络中。而First In First Out实际上将帮助伪造的交易在原始交易之前得到确认。

"除了只拥有哈希公钥，我们还使用了小额的标准化费用。伪造的交易将无法使用更高的费用在原始交易之前得到优先确认，因此当伪造的交易试图确认时，地址已经是空的。这就是为什么我们是抗量子的原因。" 这是不正确的。

和FIFO系统一样，同样的论点也适用。攻击可以在原始事务到达网络之前完成。因此，无论费用高低，伪造的交易仍然会被首先处理。

"除了上述情况，我们还使用了组播，所以所有节点都能同时收到交易。这就是为什么我们是抗量子的。" 这是不正确的。

当攻击者离源头足够近时，多播对MITM攻击是没有用的。(说句题外话，如果你需要区块链机制之外的服务才是安全的，你的区块链显然不是。所以使用这个意味着你的安全要依靠外部的一方。如果他们被入侵，你也会被入侵)。

"除了以上几点，我们对所有的交易进行编号，并对节点进行认证，所以用户总是知道他在和谁说话。这就是为什么我们具有量子抗性。" 这是不正确的。

除了如果只有经过验证的人才能成为节点的话，你正在向一个中心化的系统努力。而且除了也经过验证的节点可以变坏，和黑客合作。(如果实现了量子抗性签名方案，这就没有用了，因为节点或黑客对量子抗性公钥和签名没有用处)。冒充通信通道任何一方的方法有很多种。IP-欺骗、ARP-欺骗、DSN-欺骗等。黑客需要的只是时间和位置。时间可以通过上面解释的几种方式来创建。原始用户发送的交易中的所有信息都是有效的。当交易被劫持，用户与网络其他部分的通信被阻断时，黑客可以将这些信息复制到自己的交易中，同时使用伪造的签名。唯一真正有效的防御MITM攻击可以在路由器或服务器端通过客户端和服务器之间的强加密来完成(在这种情况下，这将是量子抗衡加密，但你也可以使用量子抗衡签名方案。)，或者你使用服务器认证，但你需要那也是量子抗衡。当数据的加密和服务器的认证都能被量子计算机破解时，就无法认真保护MITM攻击。

只有抗量子签名方案才能保证区块链免受量子黑客攻击。每个区块链都需要他们的用户将他们的公钥传达给区块链，以验证签名和进行交易。总会有办法在沟通的同时获得这些密钥，并拉长这些密钥可以用来伪造交易的期限。一旦你有了，你就可以将资金转移到自己的地址、比特币混改器、Monero或其他隐私币上。

结束语

目前实现量子抗性的方法只有一个：通过确保公钥可以公开，没有任何风险，就像现在前量子时期和聪聪设计区块链一样。从而通过使用抗量子签名方案。其余的都是风险缓解和延迟策略的拼凑，它们让获取公钥和伪造交易的难度稍大，但并非不可能。

* 附加

相当多的时候，这种推迟抗量子签名方案的策略被提及。

"我们不使用256位密钥的ECDSA，而只使用384位密钥。而在这之后，521位密钥，然后是RSA 4096密钥，所以我们会乘胜追击一段时间。不用担心我们在很长一段时间内不需要考虑抗量子签名方案。" 这样做的效率非常低，而且制造的问题比解决的问题多。

除了这并不能让一个项目具有量子抗性之外，它只不过是推迟了向量子抗性签名的转换，这不是一个解决方案。从256位密钥到384位密钥，意味着一台拥有~3484个qubits而不是~2330个qubits的量子计算机可以破解签名方案。这还不是一倍，而且把问题推迟了半年或一年，这取决于你采取的估计。(每年加倍的qubits，或每两年)。不过，它的问题和真正的解决方案一样，也一样费劲。(修改代码，升级区块链，在节点之间找到共识，升级所有的支持系统，希望交易所都配合新的升级并迁移他们的币，让所有用户都迁移他们的币)。然后相当长的时间，他们还要再去做一次。他们接下来会做什么？去做512位的曲线？同样的问题。就是打补丁，一样的麻烦，但是每一次 "升级 "从384到521等等，都会反复。

而且每升级一次，签名就会变大，更接近于抗量子签名大小，从而你比抗量子签名方案的区块链的优势就会变小。而抗量子区块链只是稳定的走下去，其用户也不会有那么多的麻烦。同时不断升级到更大密钥大小的区块链的用户，不断需要将自己的币迁移到新的升级地址，以保证安全。