基於哈希的簽名與比特幣的後量子路徑

對於比特幣的ECDSA/Schnorr簽名的量子攻擊仍然是一個理論上的長遠風險，專家共識認為需要數十年的時間來進行謹慎且不干擾的準備。

基於哈希的簽名方案，包括NIST標準化的構造如SPHINCS+，提供了強大的後量子安全性，同時在哲學和架構上與比特幣保守的、以哈希為中心的基礎保持一致。

儘管如簽名大小增加和狀態管理複雜性等挑戰依然存在，分階段的遷移方法——通過軟分叉、錢包層級升級和混合簽名模型——提供了一條現實且可控的通往後量子韌性的道路。

比特幣長期面對量子計算的暴露凸顯了基於哈希的簽名(HBS)作為可信的後量子升級路徑，因為它們依賴於與比特幣現有協議設計密切相關的哈希函數安全假設。

量子威脅

隨著量子計算的進步，量子機器是否能破解比特幣的問題再次引起公眾關注。大多數研究人員和行業分析師一致認為，量子計算仍遠未能破解比特幣的核心簽名算法，但理論上的可能性存在。比特幣的所有權模型依賴於ECDSA/Schnorr簽名，量子計算機可能利用Shor’s算法來加速解離散對數問題。這意味著，足夠強大的量子機器理論上可以從暴露的公鑰推導出私鑰並偽造簽名以轉移資金。這一長期風險促使生態系統積極規劃後量子防禦措施，而不是等待突發危機。

Blockstream的CEO Adam Back指出，比特幣可能還有超過二十年的時間，量子攻擊才會成為現實威脅，這比許多悲觀預測提供了更長的準備窗口。

圖1：比特幣ECDSA/Schnorr簽名中私鑰量子脆弱性的示意圖

提案來源

該討論源自Blockstream研究員Mikhail Kudinov和Jonas Nick修訂的一篇論文，他們分析了比特幣幾條潛在的後量子安全路徑。該論文特別關注基於哈希的簽名，認為這些方案具有前景，因為它們的安全性僅依賴於哈希函數假設——這些假設已深深嵌入比特幣的設計中。他們認為，這種兼容性使得基於哈希的簽名成為後量子時代的可信選擇。

基於哈希的簽名

基於哈希的簽名(HBS)是一類依賴於哈希函數性質——單向性和抗碰撞性——的數字簽名，而非依賴於橢圓曲線離散對數等數學假設。像SPHINCS+這樣的方案，現已成為NIST後量子簽名標準的一部分，經過廣泛的密碼學審查，普遍被認為具有堅實的理論基礎，適用於抗量子設計。通過增加哈希輸出長度和使用經過充分研究的構造，這些方案即使在量子加速的暴力破解能力下，也能保持較強的安全邊界。

兼容性辯論

儘管HBS在概念上是一個乾淨的後量子替代方案，但在比特幣中的技術整合仍是一個未解之謎。研究和媒體討論中提出的關鍵問題包括：

• 如何平衡簽名大小與鏈上數據成本？
• 比特幣是否應支持多個HBS變體或標準化為一種？
• 是否需要歷史驗證或額外的狀態追蹤？

這些問題仍是活躍的討論領域，尚未達成工程共識。

核心優勢

支持者強調幾個優點：

• 一致的安全假設——HBS僅依賴哈希函數，這已是比特幣架構的基礎。
• 廣泛的密碼分析——多個基於哈希的方案已通過NIST標準化和多年的審查，增強了其長期韌性信任。
• 協議兼容性——原則上，哈希簽名可以通過軟分叉引入輸出類型，而不破壞現有的共識規則。

與引入複雜新數學假設和較大實現負擔的格方案相比，HBS通常被視為更符合比特幣的極簡、保守設計原則。

公眾誤解

媒體標題常放大恐懼，聲稱“中本聰的錢包將成為第一個受到量子攻擊的對象”。雖然早期的Pay-To-Public-Key (P2PK)錢包確實暴露了公鑰，因此理論上面臨較高的量子風險，但情況更為細緻。並非所有早期錢包都採用此設計，這些風險可以通過遷移工具、重新簽名機制和協調的錢包層升級來緩解。問題雖然嚴重，但並非無法克服，也絕非立即的災難。

實施挑戰

在比特幣中部署HBS面臨真正的工程挑戰：

• 大簽名——基於哈希的簽名比當前的Schnorr簽名大得多，常達數千字節，影響區塊傳播、驗證和用戶手續費。
• 狀態管理——某些HBS方案需要追蹤鑰匙使用狀態，複雜化多設備和離線簽名流程。

這些問題是可以解決的，但需要謹慎設計、多年討論和嚴格測試。

遷移路徑

媒體和開發者社群已提出多條潛在的遷移路徑：

• 協議層升級——通過軟分叉引入支持後量子簽名的新輸出類型。
• 錢包層遷移——促使用戶將資金從可能暴露的遺留地址轉移到新的抗量子地址。
• 混合機制——在過渡期間暫時同時使用傳統和後量子簽名，以縮短脆弱性窗口。

這些路徑仍在討論和實驗中，但展現了生態系統對長期量子風險的積極應對。

圖2：比特幣簽名系統遷移的示意圖 (Old → New)

共識與時間表

比特幣社群本身較為保守。任何協議升級——尤其是修改簽名系統——都需要長時間的公開審查、測試和社會共識。相應地，大多數專家認為，能破解比特幣簽名的量子計算機仍是長期問題——不是迫在眉睫的威脅。這樣的長期時間表使生態系統能夠有條不紊地準備，而不是匆忙應對不成熟的方案。

結論

基於哈希的簽名代表了一條與比特幣現有安全模型和設計哲學密切契合的後量子方向。它們作為一個嚴肅候選的出現，標誌著行業對話的轉變——從投機性恐懼敘事轉向具體的工程和協議治理規劃。

HBS不是單一的萬靈藥，而是一條長期演進的道路，將通過協議研究、遷移工具、社群協調和標準化逐步成熟。

面對最終的量子計算現實，比特幣生態系統已在採取有條不紊、技術上有根據的步驟——這本身也是網絡長期韌性的指標。

閱讀更多：

量子威脅：比特幣會被破解嗎？

技術故障導致量子貓銷售延遲

〈基於哈希的簽名與比特幣的後量子之路〉這篇文章最早發佈於《CoinRank》。