Taproot 量子安全花费路径

  • BTCStudy
  • 发布于 5小时前
  • 阅读 17

本文讨论了比特币在面对量子计算攻击时的安全性问题,并重点介绍了Taproot升级在增强比特币量子韧性方面的作用。文章提出了一种新的Taproot版本,允许用户在量子安全和量子脆弱的花费方法之间灵活选择,从而在保障安全性的同时,最大限度地减少手续费,并探讨了在量子计算威胁下冻结比特币的可能性和时机选择。

作者:BitMEX Research

来源: https://www.bitmex.com/blog/Taproot%20Quantum%20Spend%20Paths?category=Research

摘要:本文要讨论让比特币获得量子计算韧性的话题,重点是 Taproot 。在将比特币升级到量子安全的道路上,Taproot 实际上是一个非常有用的工具。我们将提倡 Taproot 的一个新的、量子安全的版本,以及相应的一种模式:钱包有能力通过一个量子安全的脚本树叶子或一个量子脆弱的脚本树叶子来花费同一笔资金。这样一来,用户可以一直使用量子脆弱的方法来花费比特币、从更小的签名获益;而在临近 “Qday”(量子计算机能够分解椭圆曲线点)时,再换用量子安全的花费方式。给定 Qday 具体日期的不确定性,以及任何冻结钱币的提议所需的长期安全性,这种特性可能不仅是有用的,甚至是必要的。

qd

概述

本文是我们在 2025 年 7 月发布的关于 量子安全签名 的文章( 中文译本)的续篇。在本文中,我们将讨论一种新的量子安全的花费方法,如何能够跟 Taproot 形成绝妙搭配。再次强调,我们并非量子计算机的专家,并且据我们所知,量子计算机已经分解的最大数字是 15 !不过,我们认为,让比特币更具量子攻击韧性,是一个实在的目标,也是值得我们努力和思考的东西。

一些人批评说,在重要问题(比如让比特币对量子计算机变得更加安全)上,近年来的比特币的开发者们要么做的不够多,要么不够专注。开发者们也曾被指责在没有意义的升级(比如 Taproot)上分心。然而,本文尝试解释的正是,在将比特币升级到量子安全这件事情上,Taproot 升级是非常有用的。

密钥花费路径与 BIP-360

当然,Taproot 输出今天已经存在了,并且与传统的输出类型 —— P2PKH、P2SH、P2WPKH 和 P2WSH —— 相比,在量子计算机面前更加脆弱,因为这些传统的输出类型都隐藏了公钥,直到资金被花费时才会揭晓。因此,从量子安全的角度,Taproot 升级将比特币带回了 2010 年代,也就是 P2PK 输出类型还流行的时候。P2PK 与 Taproot 一样,会在收到资金时将公钥暴露在区块链上。

然而,这个弱点,只需要一个非常简单的软分叉升级就能补上。可以创造一种新的 Taproot 版本,一种量子安全的 Taproot 类型,完全移除密钥路径花费方法,只留下脚本路径花费方法。这就是 BIP-360 ,也是我们赞同的提议。这一升级,将让 Taproot 提升到与 P2PKH、P2SH、P2WPKH 和 P2WSH 同一水平(从量子安全角度看)。剩余的量子计算风险在于,资金可能在交易广播到网络之后、被区块确认之前,被量子计算机窃取。

Taproot 与量子安全升级的天作之合

从量子韧性的角度看,下一步就是要通过另一项软分叉、添加一种量子安全的 taproot 花费方法,可能是通过 OP_CAT,又或者是添加一种基于哈希函数的量子安全签名方案(这样更加直接)。 然后,这种量子安全的赎回方案可以在新的 Taproot 类型中作为一个叶子脚本而启用。

这就是 Taproot 具有巨大优势的地方了。有了这两项升级 —— 禁用密钥花费路径、添加一种量子安全的 tapleaf 花费系统 —— 就可以创造出给予用户量子安全花费选项的地址。比如说,一个比特币地址可以带有两个 taproot 脚本树叶子,一个是量子安全的,另一个是量子脆弱的。这种地址让用户可以升级自己的钱包,确保自己的比特币在量子计算机面前是安全的,但依然保留使用体积更小的量子脆弱签名的能力,直至最后一刻。说得直白一些,这意味着用户收款 时还是只提供一个地址,但要花费时,却既可以选择用量子安全的花费方法,也可以选择用量子脆弱的花费方法。

当然,一个地址具有多种花费方法,这在 Taproot 以前就有了,比如使用 P2SH 就能做到。然而,如果使用 P2SH,用户要将完整的赎回脚本发布出来;而使用 Taproot,未使用的花费方法会被量子安全的哈希函数隐藏起来。

多种花费方法的比特币地址也可以在钱包软件的图形用户界面中显示出来。比如, Liana 钱包 已经支持在多种定制化的脚本花费路径中选择一个来花费比特币。因此,上述的量子安全钱包也可以采取同样的逻辑:一个是 “量子安全花费” 按钮,另一个是 “量子脆弱花费” 按钮。

liana

- 译者注:在 Liana 钱包的界面中,不同的花费方法靠不同的按钮来选择:常规的花费方法是 “Send(发送)” 按钮,紧急花费方法是 “Recovery(复原)” 按钮 -

让用户升级到量子安全的钱包有一个关键问题,就是(量子安全的花费方法)高得多的手续费。而有了我们这里的解决方案,这个问题就被大大缓解了,因为用户既升级到了一种量子安全的钱包,又不会立即面临手续费飙升。只有在 “Qday” 之后,用户才会需要使用体积更大的量子安全签名方案。给定量子计算机发展的速度是非常不确定的,这种选择能力,在我们看来是非常有价值的。

关于冻结钱币的讨论

最近一期 的 Citadel Dispatch 播客中,Matt Odell 和 Matt Corallo 讨论了在哪种情况下,为了应对来自量子计算机的潜在风险,应该实施钱币冻结软分叉。Odell 基本上反对钱包冻结,而 Corallo 则一定程度上支持,在某些情况下可以冻结钱币。一些人不欢迎冻结钱币的想法。常见的意见是将冻结与盗窃相提并论。类比可能是将冻结量子脆弱的钱币与冻结属于朝鲜的钱币(或是犯罪分子的钱币)相比,这是显然几乎所有人都会反对的事。我们不同意将冻结量子脆弱的钱币与冻结朝鲜的钱币相比,但这是另外一个话题,我们想说的仅仅是,这些论点正在吸引一些关注。因此,从我们的角度看,是不是真的会冻结钱币,有相当大的不确定性。即使真的会发生冻结,计算出冻结的时机也是非常复杂的。

冻结时机表

因子 解释 对时机的影响
一些人会反对冻结 冻结可能是有争议的,因此,钱币冻结软分叉可能只能获得少量共识,即使我们已临近 Qday 推迟冻结时间
避免人们因为来不及迁移而丢失钱币 我们可能需要在冻结软分叉激活与实际冻结之间设置足够长的时延,以留出人们转移钱币的时间。人们可能会在很难访问的冷存储中保管密钥,也可能没有听到与量子计算机有关的新闻,甚至,他们的钱包有时间锁 推迟冻结时间
避免冻结在 Qday 之后激活因此部分钱币依然因为量子计算攻击而丢失 如果冻结日期太晚,价值几百万的钱币可能被盗。因此,也许在预期的 Qday 和冻结激活日期之间,我们需要足够大的安全余量 让冻结提早

除了有相反方向的考虑、让时间压力来回摇摆之外,我们可能还不仅仅要得出一个日期。可能要考虑四个日期,如下图所示。

钱币冻结时机图示

time

给定 Qday 会不会到来、何时到来的不确定性,以及让钱币冻结能够有实际意义所需要的长时间周期,同时,也为了尽可能尊重比特币的抗审查属性,最终钱币冻结过早或太晚到来的风险相当大。也许早了好几年,又也许 Qday 之后好几年才冻结。

前述量子安全与量子脆弱花费方法并存的 Taproot 输出的一个绝妙之处在于,这种新的量子安全的 Taproot 输出永远不会被冻结。至少,我们将反对与这种量子安全的 Taproot 输出有关的冻结方案,甚至连禁用它的量子脆弱路径都反对,直至 Qday 真的到来。其中的道理在于,这是一种为量子安全而设计的新的输出类型,因此,迁移到这种输出的用户显然已经为量子计算机做好了准备。

因此,人们可以继续使用量子脆弱的签名来花费自己的钱币,直至 Qday 到来。使用这一方法,安全缓冲期会不会太长(过早冻结)(比如因为量子计算机的发展出人意料地停滞了数十年)也就没那么要紧了,因为人们会继续使用高效的量子脆弱的脚本树叶子来花费比特币。一旦 Qday 到来,最终的转变又是相对简单的,因为人们只需要被钱币软件提醒使用量子安全的花费路径。在 Qday 之后,钱包软件也可以升级,将量子脆弱的花费选项从图形使用界面移除。最终,可以有一次后 Qday 软分叉,禁止使用量子安全的 Taproot 输出类型下的量子脆弱的花费路径。

(完)

点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论
BTCStudy
BTCStudy
https://www.btcstudy.org/

BTCStudy

如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!