查看原文
其他

在量子计算机面前,区块链或许不堪一击

Nature自然科研 Nature自然科研 2018-12-24

原文作者:Aleksey K. Fedorov(俄罗斯量子中心量子信息技术小组负责人), Evgeniy O. Kiktenko(俄罗斯量子中心主要研究员) & Alexander I. Lvovsky(俄罗斯量子中心量子光学组组长,英国牛津大学物理系教授)

Aleksey K. Fedorov、Evgeniy O. Kiktenko和Alexander I. Lvovsky提醒说,除非结合量子技术,否则比特币和其它加密货币将会一文不值 。

到2025年,全球范围内高达10%的国内生产总值(GDP)可能会存储在区块链上。区块链是一种数字工具,它使用加密技术来保护信息免受未经授权的更改,是比特币这种加密货币的核心。区块链相关产品已经广泛应用于金融业、制造业和医疗保健领域,市场价值超过1500亿美元。

量子加密设备使用量子纠缠原理来进行数据编码,这样一来,只有信息发送方和接收方才能访问这些数据。

图片来源:Volker Steger/SPL

当今社会,信息即是金钱,所以数据安全性、透明度和可追究性至关重要。区块链是一个安全的数字记录,或者叫帐本。它由全球用户共同来维护,而不是由一个中央管理部门来维护。


诸如是否向帐本添加条目(或者叫区块)的决定是基于用户的共识,因此不会依赖于个人信任。网络内部或外部的任何一方都可以通过简单的计算来检查帐本的完整性。


但在十年内,量子计算机将能够破解区块链的加密编码。在这篇文章里面,我们将重点介绍量子技术如何使区块链易受攻击,以及它如何能够使区块链技术更安全。


单向编码

区块链的安全性依赖于“单向”数学函数。这些函数在传统计算机上可以很简单地运行,并且难以进行反向计算。例如,将两个大素数相乘很容易,但找到给定乘积的质因数分解很难,传统计算机也许需要多年才能解出答案。


这类函数被用来生成数字签名,区块链用户引用这些签名来向他人证明自己的身份。这些签名很容易检查,并且非常难以伪造。单向函数还用于验证区块链帐本中的交易历史。


哈希或散列(hash)是一个短的比特序列,是从现有帐本和要添加的区块的组合中得出的。只要条目的内容发生变化,散列值就会改变。同样,求出区块的散列值(处理添加记录的信息)相对容易,但选择会产生特定散列值的区块非常难。那将需要反向计算以导出生成散列的信息。


比特币还要求散列符合某种数学条件。任何希望在帐本中添加区块的人都必须让计算机进行随机搜索,直到满足该条件。此过程减慢了区块的添加速度,为网络中的每个人记录和检查所有内容留出了时间。它还能阻止任何个人垄断网络管理,因为任何具有足够计算能力的人都可以贡献区块。


然而,在十年内,量子计算机将能够破解用于保护互联网和金融交易的单向编码函数,包括区块链。广泛部署的单向加密届时将立即失效。


信息安全以前也面临过如此大规模的废止。例如,在第二次世界大战期间,德国的军事情报通过Enigma机器进行编码和解密。这一技术最初赋予了轴心国以军事优势,直到同盟国破解了Enigma编码。


1997年,数据加密标准(Data Encryption Standard,一种当时用于加密电子数据的最先进的算法)在公开竞赛中被破解,证明了其缺乏安全性。因此,旨在开发新协议的第二个竞赛诞生了,并且由此产生了今天的高级加密标准(Advanced Encryption Standard)


量子优势

量子计算机利用物理效应(例如叠加态和纠缠)来执行计算任务。它们目前的功能还远不如传统计算机,但很快就能在某些任务上超越后者。正如数学家Peter Shor在1994年所指出的那样,其中一个例子就是破解基于加密算法的安全协议。


区块链面临的风险尤其突出,因为单向编码函数是其唯一的防线:区块链用户唯一的保护伞就是数字签名,而银行客户则受到实体卡片、安全问题、身份检查和人工收银员的多重保护。

中国四川一处比特币矿场里的传统计算机设备。

来源:Paul Ratje/华盛顿邮报/Getty

因此,破解数字签名是最直接的威胁。配备量子计算机的不法者可以使用Shor算法来伪造任何数字签名,冒充用户并侵吞他们的数字资产。大多数专家认为,这一操作需要一台通用量子计算机(一种能够执行各种计算的量子计算机),也许十多年后可以实现。


然而,一些研究人员认为借助于具有更多有限计算能力的新兴量子计算设备,这一场景可能会更早到来,例如计算公司D-Wave和谷歌等开发的那些机器。


量子计算机可以快速找到破解编码,从而使少数用户能够审查交易并垄断比特币的入帐(也称为挖矿)。这些群体可以破坏交易,防止他们自己的某一次交易被记录,从而实现双重支付(double-spend)


今年早些时候,一个国际研究团队在一份报告中强调了这种攻击的可能影响,他们展示了量子技术的威胁并提出了可能的解决方法。


如果没有采取任何措施来更新协议,一旦量子计算机实现应用,加密货币就会即刻崩溃。


增强安全性

幸运的是,量子技术也提供了增强区块链安全性和性能的机会。


量子安全加密。量子通信本身就是经过身份验证的,也即没有用户可以冒充他人。这种技术使用单个光粒子(光子)的量子态来编码数字信息(比特)并进行通信。基础物理学规定了量子态无法在不发生改变的情况下被复制或测量。所以任何窃听者都会立即被发现。


量子加密可用于替换传统的数字签名,并加密区块链网络中的所有点对点通信(peer-to-peer communication)。我们的课题组已经展示了一个简单的系统来实现这一功能。然而,量子密码网络的复杂性和成本将限制它们的实际应用。


尤其是,当前协议要求网络中的每个节点通过光纤信道彼此连接,因为在任何中间节点中不存在信任,因此所有通信必须是直连的。即使信息流经不可靠的节点,也需要协议来维持安全通信;这些系统已经被开发出来,但是还需要降低使用成本以进入消费环节。


光纤中的光子损耗是另一个挑战。光子损耗将现代量子密钥分发系统的范围限制在几十公里以内。解决方案则是开发量子中继器——使用量子隐形传态和量子光学存储器在通讯方之间分发纠缠态。相关研究一直在推进,但距离实现一个实用设备还有很长的路要走。


在此期间,单向编码函数应该得到加强。实际上,一些替代加密函数已经被提出来了,这些方案无论使用传统或量子计算机都同样难以反解。虽然不是完全安全,但这些可以在现有硬件上运行,并且为量子加密的到来争取时间,不过它们也终究会在将来被破解。


量子互联网。将量子技术用于通信以及区块链数据的计算处理,将进一步增强安全性并使区块链变得更快、更高效。这一步需要一个“量子互联网”,也即通过量子通信网络来连接量子计算机。然后就可以运行完全量子区块链。


这样一来就可以绕过当前需要密集计算的验证和取得共识的步骤,因此更加高效和安全。如此提出的量子比特币可以通过量子力学的不可克隆定理得到保证。如果未来这些量子“钞票”还在用的话,那么通过添加量子信息记录就不可能进行伪造。


量子互联网距离我们还有数十年之遥,因此“盲量子计算”(blind quantum computation)是一个过渡。在这种情况下,使用传统计算机的用户可以在远程量子计算机上运行算法而不共享输入数据或算法。这种技术将实现公共云量子计算平台,从而使区块链更便宜、更易用。


下一步

区块链业务需要更新其现有的软件以使用单向加密函数,这些函数使用传统或量子计算机都同样难以进行反解。在这些后量子解决方案(post-quantum solutions)建立或标准化之前,加密平台必须是灵活的,能够在使用中更改加密算法。


长期的解决方案是开发和扩大量子通信网络,以及随后的量子互联网。这将需要政府的大量投资。但是各国也将从更高的安全性中受益。例如,加拿大按规定需要将其人口普查数据保密92年,这个保密时间长度只有量子加密可以保证。


政府机构可以使用量子安全区块链平台(quantum-secured blockchain platform)来保护公民的个人财务和健康数据。这些方面的引领者,如中国、美国和欧盟成员国,将成为早期的采用者。他们应该立即投入资金进行研究。例如,区块链应该成为欧洲量子密钥分发测试平台计划(Europe’s Quantum Key Distribution Testbed programme)的研究课题。


这些风险应引起高度重视 ,因为它们带来的影响可能是非常严重的。


原文以Quantum computers put blockchain security at risk为标题

发布在2018年11月19日的《自然》评论上

Nature|doi:10.1038/d41586-018-07449-z

点击“阅读原文”阅读英文原文



版权声明:

本文由施普林格·自然上海办公室负责翻译。中文内容仅供参考,一切内容以英文原版为准。欢迎转发至朋友圈,如需转载,请邮件Chinapress@nature.com。未经授权的翻译是侵权行为,版权方将保留追究法律责任的权利。


© 2018 Springer Nature Limited. All Rights Reserved

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存