基于哈希的签名与比特币的后量子路径

对比特币的ECDSA/Schnorr签名的量子攻击仍然是一个理论上的、长远的风险，专家普遍认为需要几十年的时间进行谨慎、非破坏性准备。

基于哈希的签名方案，包括NIST标准化的构造如SPHINCS+，提供了强大的后量子安全性，同时在哲学和架构上与比特币的保守、以哈希为中心的基础保持一致。

虽然存在签名大小增加和状态管理复杂等挑战，但分阶段迁移方法——通过软叉、钱包级升级和混合签名模型——提供了一条现实且可控的通向后量子抗性的路径。

比特币对量子计算的长期暴露突出了哈希签名(HBS)作为可信的后量子升级路径的可行性，因为它们依赖于与比特币现有协议设计密切相关的哈希函数安全假设。

量子威胁

随着量子计算的进步，关于量子机器是否能破解比特币的问题再次引起公众关注。大多数研究人员和行业分析师一致认为，量子计算仍远未达到能够破解比特币核心签名算法的程度，但理论上的可能性仍存在。比特币的所有权模型依赖于ECDSA/Schnorr签名，量子计算机可以使用Shor’s算法加速解决离散对数问题。这意味着，足够强大的量子机器在理论上可以从暴露的公钥推导出私钥并伪造签名以转移资金。这一长期风险促使生态系统主动规划后量子防御措施，而不是等待突发危机。

Blockstream的CEO Adam Back指出，比特币在量子攻击变得现实威胁之前，可能还有超过二十年的时间，提供了比许多悲观预测所建议的更长的准备窗口。

图1：比特币ECDSA/Schnorr签名中私钥量子漏洞的示意图

提案来源

该讨论起源于Blockstream研究员米哈伊尔·库迪诺夫（Mikhail Kudinov）和乔纳斯·尼克（Jonas Nick）的一篇修订论文，他们分析了比特币几条潜在的后量子安全路径。论文特别关注基于哈希的签名，认为这些方案具有前景，因为它们的安全性仅依赖于哈希函数假设——这一假设已经深深嵌入比特币的设计中。研究者们认为，这种兼容性使得基于哈希的签名成为后量子时代的可信选择。

哈希签名

哈希签名(HBS)是一类依赖哈希函数特性——单向性和抗碰撞性——的数字签名，而非依赖于椭圆曲线离散对数等数学假设。诸如SPHINCS+等方案，现已成为NIST后量子签名标准的一部分，经过了充分的密码学审查，普遍被认为具有坚实的理论基础，适用于抗量子设计。通过增加哈希输出长度和采用经过充分研究的构造，这些方案即使在量子加速的暴力破解能力面前，也能保持较强的安全边界。

兼容性辩论

虽然HBS在概念上是干净的后量子替代方案，但在比特币中的技术集成仍是一个悬而未决的辩题。研究和媒体讨论中提出的关键问题包括：

• 如何在签名大小和链上数据成本之间取得平衡？
• 比特币是否应支持多种HBS变体，还是标准化为一种？
• 是否需要进行历史验证或额外的状态追踪？

这些问题仍是活跃的讨论领域，并未达成工程共识。

核心优势

支持者强调几个优点：

• 一致的安全假设——HBS仅依赖于哈希函数，而哈希函数已是比特币架构的基础。
• 广泛的密码分析——多种哈希方案已通过NIST标准化和多年的审查，增强了对其长期抵抗能力的信任。
• 协议兼容性——原则上，哈希签名可以通过软叉引入输出类型，而不破坏现有的共识规则。

与引入复杂新数学假设和更大实现负担的格基方案相比，HBS通常被视为更符合比特币简约、保守设计原则的哲学。

公众误解

媒体头条常夸大恐慌，声称“中本聪的钱包将成为量子攻击的第一个目标”。虽然早期的Pay-To-Public-Key(P2PK)钱包确实暴露了公钥，因此理论上面临更高的量子风险，但情况更为复杂。并非所有早期钱包都采用这种设计，这些风险可以通过迁移工具、重新签名机制和协调钱包级升级来减轻。这个问题虽严重，但并非无法克服，绝不是立即的灾难。

实施挑战

在比特币中部署HBS面临真正的工程难题：

• 大签名——哈希签名通常比当今的Schnorr签名大得多，往往达到数千字节。这影响区块传播、验证和用户费用。
• 状态管理——某些HBS方案需要追踪密钥使用状态，增加了多设备和离线签名工作流程的复杂性。

这些问题是可解决的，但需要谨慎设计、多年讨论和严格测试。

迁移路径

媒体和开发者社区已提出几条潜在的迁移路径：

• 协议级升级——通过软叉引入支持后量子签名的新输出类型。
• 钱包级迁移——引导用户将资金从可能暴露的遗留地址转移到新型的抗量子地址。
• 混合机制——在过渡期间临时要求同时使用经典签名和后量子签名，以缩短脆弱窗口。

这些路径仍在讨论和试验中，但它们展示了生态系统对长期量子风险的主动应对。

图2：比特币签名系统迁移的示意图(Old → New)

共识与时间表

比特币社区天生保守。任何协议升级——尤其是修改签名系统的——都需要经过长时间的公众审查、测试和社会共识。相应地，大多数专家一致认为，能够破解比特币签名的量子计算机仍是一个长期的担忧——不是迫在眉睫的威胁。这段较长的时间线让生态系统可以有条不紊地准备，而非仓促应对不成熟的方案。

结论

基于哈希的签名代表了一种与比特币现有安全模型和设计理念高度契合的后量子方向。它们作为一个严肃候选的出现，标志着行业对话的转变——从猜测性的恐慌叙事转向具体的工程和协议治理规划。

HBS不是一剂万灵药，而是一条长期演进的路径，将通过协议研究、迁移工具、社区协调和标准化不断成熟。在面对量子计算的终极现实时，比特币生态系统已经在采取理性、技术基础扎实的步骤——这本身也是网络长期韧性的一个指标。

阅读更多：

量子威胁：比特币会被破解吗？

量子猫销售因技术故障延迟

〈基于哈希的签名与比特币的后量子路径〉这篇文章最早发表于《CoinRank》。