Taproot 量子花费路径
- BitMEX Research
- 发布于 1天前
- 阅读 34
该文章探讨了如何利用Taproot升级比特币以抵抗量子计算机攻击。文章提出了一种新的量子安全Taproot版本,允许钱包同时使用量子安全和量子脆弱的tapleaf来花费比特币,从而在量子计算威胁到来之前保持效率。这种方法在应对未来可能出现的“量子日”风险时,为用户提供了灵活性和安全性。
Taproot 量子花费路径
摘要: 在这篇关于使比特币具有量子弹性的文章中,我们讨论了 Taproot。实际上,在升级比特币以实现量子安全方面,Taproot 是一个非常有用的工具。我们提倡 Taproot 的新量子安全版本和一种模型,其中钱包能够使用量子安全 tapleaf 和量子易受攻击 tapleaf 来花费相同的比特币输出。这样,用户几乎可以在“量子日 (Qday)”之前,继续以量子易受攻击的方式花费比特币,从而受益于较小签名的效率。鉴于 Qday 何时可能发生的不确定性,以及任何代币冻结所需的长安全边际,这种属性不仅是可取的,而且可能是必要的。
概述
继我们 2025 年 7 月关于基于哈希的量子安全签名的文章之后,在这篇文章中,我们探讨了一种新的量子安全的花费比特币的方式如何与 Taproot 完美集成。我们再次声明,我们没有量子计算机方面的专业知识,而且据我们所知,量子计算机分解的最大数字是 15!尽管如此,我们相信努力使比特币更具量子弹性是一个可靠的目标,并且值得为此努力和推理。
近年来,有些人批评比特币开发者,要么是因为他们做得不够,要么是因为他们没有足够关注重要问题,比如使比特币免受量子计算机的攻击。开发者们被指责因无意义的升级而分心,比如 Taproot。然而,正如我们试图在本文中解释的那样,在使比特币具有量子弹性方面,Taproot 升级实际上非常有利。
密钥路径和 BIP-360
当然,就目前而言,Taproot 输出比 P2PKH、P2SH、P2WPKH 和 P2WSH 等更传统的输出更容易受到量子计算机的攻击,后者会隐藏公钥,直到资金被花费。因此,Taproot 升级在量子安全性方面将比特币完全带回了 2010 年代,当时 P2PK 很流行。与 Taproot 一样,P2PK 在收到资金时将公钥暴露在区块链上。
然而,可以通过相对简单的软分叉升级来禁用此 Taproot 弱点。可以创建一个新的 Taproot 版本,即量子 Taproot 类型,它删除密钥路径花费方法,仅留下脚本路径作为花费选项。这就是 BIP-360 现在所做的,这也是我们支持的提议。在量子安全性方面,此升级将使 Taproot 与 P2PKH、P2SH、P2WPKH 和 P2WSH 保持一致。也就是说,量子风险在于,在交易广播后到被矿工确认期间,资金可能被量子计算机窃取。
Taproot 与量子升级配合良好
在量子抵抗方面,下一步可能是通过另一个软分叉添加一种量子安全的花费比特币的方式,也许是通过 OP_CAT 或通过更直接地添加基于哈希的量子安全签名方案。然后,这种新的量子安全赎回方案可以在新的 Taproot 类型中作为 tapleaf 脚本启用。
这就是 Taproot 具有显著优势的地方。在升级以实现量子抵抗方面,Taproot 实际上非常有帮助。通过这两个升级,禁用密钥路径并添加量子安全 tapleaf 花费系统,可以生成一个地址,为用户提供量子安全选择。例如,可以生成一个具有两个 tapleaf 花费路径的比特币地址,一个是量子安全的,一个是量子易受攻击的。这使人们能够升级他们的比特币钱包,以保护他们的比特币免受量子计算机的攻击,但仍然保留较小量子易受攻击签名大小的优势,直到最后一刻。为了澄清,这意味着用户可以在一个地址接收比特币,然后保留选择以量子安全或量子易受攻击的方式花费这些代币的权利。
当然,在 Taproot 之前,可以使用多种花费选项,例如 P2SH。但是,对于 P2SH,需要发布整个赎回脚本才能花费,相比之下,使用 Taproot,未使用的花费选项部分隐藏在量子安全的哈希函数后面。
比特币的多种花费方法可以在钱包的图形用户界面中实现。例如,Liana 钱包已经支持使用多种自定义 tapleaf 花费路径的选择来花费相同的比特币。这可以为量子安全实现,它就像一个“量子安全花费”按钮和一个“量子易受攻击花费”按钮一样简单。
与让用户升级到新的量子安全钱包相关的一个关键问题是显着更高的费用。通过此解决方案,此问题在很大程度上得到了缓解,用户能够升级到量子安全钱包,而无需显着增加费用。只有在“Qday”发生后,用户才需要使用大型量子安全签名。鉴于量子计算机开发时间存在巨大的不确定性,我们认为这种可选性非常有价值。
冻结辩论
在 Citadel Dispatch 播客的最近一期 节目 中,Matt Odell 和 Matt Corallo 讨论了在量子计算机带来的潜在风险面前,在哪些情况下应该冻结代币。Odell 主要反对冻结,而 Corallo 在某些情况下有点赞成。冻结不受某些人的欢迎。人们经常将代币冻结与盗窃进行比较。可以将冻结量子易受攻击的代币与冻结属于朝鲜或其他罪犯的代币进行比较,这显然几乎每个人都反对。将冻结量子易受攻击的代币与冻结朝鲜政府的代币进行比较并不是我们同意的,但这是另一天的论点,但我们的观点是这些论点在某些人中越来越受欢迎。因此,我们认为冻结是否会发生存在相当大的不确定性。即使它确实发生了,制定冻结的时间也将非常复杂。
冻结时间问题
| 因素 | 评论 | 时间影响 |
| 某些人反对冻结 | 冻结很可能存在争议,因此只有当我们相对接近 Qday 时,冻结软分叉才能获得适当程度的共识 | 将冻结日期推迟 |
| 避免人们计划冻结的速度太慢而造成的代币损失 | 在冻结软分叉激活和冻结本身激活之间,我们可能需要很大的间隔,以便人们有时间转移他们的代币。人们可能在深度冷存储中持有代币,不知道与量子相关的新闻,甚至可能有时间锁 | 将冻结日期推迟 |
| 想要避免在 Qday 之后激活冻结而造成的代币损失 | 如果冻结日期太晚,可能会有数百万个代币被盗。因此,也许我们需要在预期的 Qday 和冻结激活之间留出很大的安全边际 | 将冻结日期提前 |
除了存在相互冲突的考虑因素,将时间压力推向相反的方向之外,我们也不需要就一个日期达成一致。如下图所示,可能需要考虑四个日期。
说明性代币冻结时间表
鉴于 Qday 何时或是否会发生的不确定性,以及在尽可能尊重比特币的抗审查特性的同时,有效地实现冻结可能需要很长的时间范围,因此最终冻结发生得太晚或太早可能存在相当大的风险。可能太晚很多年或太早很多年。
tapleaf 量子方法的一个非常棒的特性是,新的 taproot 量子类型永远不应被冻结。至少我们会反对与新的量子安全 Taproot 类型相关的任何冻结,即使是量子易受攻击的路径,直到 Qday 之后。这里的想法是,这是一种专为量子安全设计的新输出类型,并且已在此处升级的用户已为量子计算机做好准备。
因此,人们可以使用量子易受攻击的 tapleaf,以量子易受攻击的方式继续花费他们的代币,几乎直到 Qday。通过这种方法,如果安全缓冲期过长,量子开发意外停滞数十年,那也没关系,因为人们可以使用高效的量子易受攻击的 tapleaf 继续花费比特币。一旦 Qday 最终发生,最终过渡应该相对容易,人们只需要注意在他们的钱包中选择量子安全花费路径。在 Qday 之后,可以升级钱包,从 GUI 中删除量子易受攻击的花费路径选项。最终,可能会有一个 Qday 后的软分叉,禁止使用量子易受攻击的路径。
- 原文链接: bitmex.com/blog/Taproot%...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
