《区块链和量子计算》MITRE公司

被称为区块链的新型计算数据结构提供了一个开放的、公共的、分布式的账本，具有许多有前途的应用。然而，任何新的加密应用都应考虑到在任何可能部署的系统的生命周期内预计会出现的技术发展，其中许多系统将运行几十年。本文研究了区块链技术在量子计算机发展中表现出的脆弱性，并就如何使区块链更能抵御这种技术进步提出了一般性建议。

技术的进步保证了计算机的发展，它不是按照经典物理学和概率的规则，而是按照量子力学的规则来处理信息。这预示着特定问题的计算能力将大幅提高，例如通过格罗弗算法进行函数反演，以及通过肖尔算法将大数分解为质因数。

被称为区块链的计算数据结构提供了一个开放的、公共的、分布式的账本，有许多有趣的应用，包括数字货币。这种账本的安全性取决于解决某些加密问题的难度，而这些问题被量子计算的潜力所破坏。具体来说，用于签署账本区块的哈希值可能会被破坏，任何依赖所谓的隐藏子群问题的公钥/私钥系统也是如此。

主要的威胁是Grover的算法，它可以极大地加快函数反转的速度。这允许从一个给定的哈希值生成一个修改过的预图像（哈希值碰撞），允许一个签名的数据块被修改。这使账本条目的真实性保证失效，破坏了整个区块链。格罗弗算法带来的速度提升是可能的哈希数量的平方根，这意味着受到量子攻击的哈希只相当于受到经典攻击的一半比特的安全性。

第二个威胁是Shor算法，它适用于区块链依赖非对称密钥密码学的任何方面。最常提到的问题是破解RSA加密的问题。RSA依靠的是质数相乘的便利性，而不是将大数分解为质数的难度。Shor的算法以指数形式加快了这个过程，有效地破解了RSA加密。Shor算法的变种对其他非对称密钥加密系统也有同样的作用。

为了应对这些威胁，开发抗量子（又称后量子）密码工具的工作已经开始。目前，国家标准和技术研究所负责驾驭这种威胁的局面。根据《2017年美国创新与竞争力法案》，国会责成NIST研究和开发密码标准和工具，以应对量子计算的威胁。后量子密码学正在迅速扩大，但有很大的不确定性，还没有制定标准。

需要进行额外的研究来开发区块链等系统的量子信息版本。最成熟的量子应用是量子密钥分发（又称量子密码学），它承诺保证密码学的保密性达到一定程度，尽管有可能被窃听，即使窃听者配备了量子计算机。更奇特的发展涉及使用量子态来表示信息，如量子货币，并将需要开发易于使用的量子态存储。

虽然量子信息本身还没有发展到高技术准备水平，但对量子计算所承诺的算法的防御措施也没有。两者都是积极研究的课题，并可能在未来十年显示出有趣的发展，尽管我们不太可能在短期内看到重大进展。