量子攻击抗性 BIP-360 已添加到官方 Bitcoin 存储库

为了让 Bitcoin 生态系统做好应对未来量子计算威胁的准备， Bitcoin 开发者已正式将 BIP-360 提交到 Bitcoin 改进提案库中。. 

这一里程碑将首次把量子阻力正式 Bitcoin的技术路线图。.

该提案由 Hunter Beast（MARA 的高级协议工程师）、密码研究员 Ethan Hellman 和技术通信专家 Foxen Duke 共同撰写，引入了一种名为 Pay-to-Merkle-Root (P2MR) 的。 

这种输出类型旨在实现与 BitcoinTaproot 地址类似的功能，同时消除量子漏洞导致当前地址在出现足够 先进的量子计算机 。

付费给 Merkle-Root 可以消除 Taproot 的漏洞

P2MR 的功能与 Pay-to-Taproot (P2TR) 输出（Bitcoin最先进的地址格式，于 2021 年推出）非常相似。然而，两者之间存在一个主要区别——P2TR 移除了“密钥路径支出”选项，该选项允许用户使用公钥签名直接进行支出。. 

根据 BIP-360 规范，这种密钥路径机制造成了 Taproot 的主要量子漏洞，因为它在链上暴露了一个经过修改的公钥，这可能会使运行 Shor 算法的足够强大的量子计算机获得相应的私钥。

另一方面，P2MR 仅依赖于 Tapscript 树的 Merkle 根，不包含内部公钥。当用户使用 P2MR 输出进行消费时，必须提供脚本路径（提供 Merkle 树中的叶子脚本以及证明其包含在其中的证据）。. 

专家解释说，由于哈希算法通常被认为比椭圆曲线签名更具量子安全性，因此该方法提供了更强的量子抵抗能力。.

这种新的技术结构保留了 Bitcoin智能trac的灵活性。用户仍然可以通过 Tapscript（一种脚本语言，可实现多重签名钱包、时间锁定交易和条件支付等功能）创建复杂的支出条件。. 

然而，强制所有支出都通过脚本路径进行，并消除直接的公钥暴露，使得 P2MR 能够大幅减少量子计算机的攻击面。.

其他分析师还发现，Taproot 地址（以“bc1p”开头）、支付到公钥 (P2PK) 输出和重复使用的地址是 Bitcoin的一些易受攻击的地址类型，因为在类似本报告中提到的场景中，公钥是可见的。. 

根据目前的提案，以“bc1z”开头的 P2MR 地址将提供针对这种风险的保护，但由于脚本路径支出需要额外的见证数据，因此可能会产生略高的交易费用。.

量子威胁距离 Bitcoin还有多远？ 

BIP-360 的紧迫性源于量子计算在多个领域的加速发展。IBM、谷歌、微软、亚马逊和英特尔等公司主导的行业路线图表明，根据 BIP-360 团队的分析，量子计算机可能“在短短 5 年内”就能破解用于 Bitcoin公钥-私钥加密的椭圆曲线数字签名算法 (ECDSA) 密码学。.

近期的一些突破也加剧了这些担忧。谷歌将于2025年12月推出其“Willow”量子芯片，而微软在Majorana 1芯片研发方面取得的进展，进一步凸显了量子计算对 Bitcoin 的潜在威胁。. 

尽管专家们 仍在争论“密码学相关量子计算机”（CRQC）何时出现的确切时间表 ，但发展速度已经让协议工程师们确信，准备工作不能等到确定性出现才开始。

政府机构已经开始着手准备过渡工作。美国联邦政府发布指令，要求在2035年前彻底淘汰ECDSA加密技术。之所以制定这一时间表，是因为政府认识到关键基础设施的迁移需要数年（甚至数十年）时间。. 

美国国家安全局的 CNSA 2.0 框架也要求到 2030 年实现量子安全系统，而美国国家标准与技术研究院则将 ML-DSA（Dillithium）和 SLH-DSA（SPHINCS+）列为联邦政府批准使用的算法。.

BIP-360 团队表示：“虽然我们为量子事件准备的时间长短尚不确定，但确保 Bitcoin 为一系列可能的结果做好准备似乎是合理的。”.

此外，我们还必须考虑有效过渡所需的总时间——包括 BIP 层面、软件层面、基础设施层面和用户过渡层面。一个平稳有效的 Bitcoin 二维码过渡计划可能需要数年时间才能执行——而更长的准备时间必然会带来更好的安全结果，惠及所有人。