Shor，我们需要一种新的签名方案。

多名量子计算机研究人员组成的一支国际团队认为，有望2017年年底之前破解比特币。

来自新加坡、澳大利亚和法国的研究人员表示这种场景代表了最糟糕的情况；如今比特币将交易记录在区块链中需要10分钟，到时量子计算机可以在更短的时间内对这种加密货币保护性的椭圆曲线签名运行Shor算法。

针对比特币的这篇论文中倒是有两则好消息：其工作量证明（proof-of-work）不像人们所想的那样容易受到“量子加速”的攻击；可在末日来临之前将签名换成更有能力防御量子计算机的机制。

戴夫士•阿加沃尔（DiveshAggarwal）及其合作者在10月底出现在arXiv上的论文中表示，与甚至乐观的理论量子计算机时钟速度相比，基于ASIC的挖矿设备都很快。

他们撰文道，Grover搜索（https://en.wikipedia.org/wiki/Grover%27s_algorithm）可能会对比特币采用“哈希现金”算法（hashcash）的工作量证明起作用，不过速度会很慢：

目前用于执行哈希现金工作量证明的专用ASIC硬件的速度极快，而目前量子架构的预计门电路速度（gate speed）慢得多，这实际上抵消了这种二次加速（在目前的难度等级下），　从而让量子计算机毫无优势。量子技术的未来改进使得门电路速度可以高达100GHz，这让量子计算机解决工作量证明的速度有望比目前的技术快100倍。

就破解哈希现金算法而言，量子计算机的设计人员面临很庞大的数字：研究人员认为，到2028年，你需要一台440万个量子位的机器才能达到每秒13.8千兆哈希的速度：“这个速度比哈希速度可达到14TH/s的非专门设计的ASIC设备慢1000倍。”

他们撰文道，Shor的算法是一条更好的路径，这是一种用来分解整数的量子算法（将通过分解整数来破解加密技术）。

用一台量子计算机来对付比特币使用的secp256k1椭圆曲线采危险得多：一旦签名被破解，该方案就完全不安全，攻击者可以植入虚假交易，并窃取比特币。

与破解工作量证明一样，研究人员认为量子计算机在比较快地变得庞大、高速，即便如此，它们还是要落后一点：如果是10 GHz时钟速率，大约50万个量子位，10-1这个足够低的错误率有望在30分钟内破解签名。

这足以让比特币的10分钟这个重要速度“很不安全”，所以作者们建议应让比特币协议改而采用一种后量子签名方案。