比特币的量子攻击及其防范

2022-6-1 15:25:36

比特币的量子攻击，以及如何防范Themdelah Aggarwal，1，2 Avin K.Brennen，TroyLee，4，2 Miklos Santha，5，2和Marco Tomachels National University of Singapore，National University of Singapore，Macquarie University，Sydney，AustraliaSPMS，Nanyang Technology University，SingaporeCNRS，IRIF，Universit\'e Paris Diderot，澳大利亚悉尼法国理工大学（FranceUniversity of Technology Sydney，Australia）当今用于保护互联网和金融交易安全的关键密码协议都容易受到大型量子计算机开发的攻击。面临风险的一个特定领域是加密货币，该市场目前价值超过1500亿美元。我们调查比特币和其他加密货币受到量子计算机攻击的风险。我们发现，比特币所使用的工作证明相对而言，在未来10年内，量子计算机的大幅加速是难以实现的，这主要是因为专用ASIC矿工的速度与近期量子计算机的估计时钟速度相比非常快。另一方面，比特币使用的椭圆曲线签名方案风险更大，最乐观的估计是，最早在2027年，量子计算机可能会完全破坏该方案。我们分析了另一种称为动量的工作证明，该证明基于哈希函数中发现的碰撞，它甚至更能抵抗量子计算机的加速。我们还审查了可用的后量子签名方案，以确定哪种方案最能满足区块链应用程序的安全性和效率要求。一、简介比特币是一种由密码学保护的分散数字货币。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

可人4

2022-6-1 15:25:39

自2008年中田聪（Satoshi Nakamato）[Nak09]开发以来，比特币已被证明是一种非常成功和安全的系统，并在目前价值超过1500亿美元的市场上激发了数百种其他加密货币和区块链技术的发展。比特币的安全性源于其协议的几个不同特征。第一个是将交易写入比特币数字账本所需的工作证明。这样做所需的工作是防止拥有网络计算能力不足50%的恶意方创建替代交易历史。第二种是用于授权交易的加密签名。比特币目前使用基于椭圆曲线的签名方案。量子计算机的未来发展对目前用于保护互联网和金融交易的几乎所有加密技术以及比特币构成了严重威胁。本文全面分析了比特币对量子攻击的脆弱性。我们发现，比特币所使用的工作证明相对而言，在未来10年内不会受到量子计算机的实质速度的影响，这主要是因为与短期量子计算机的估计时钟速度相比，专用ASICminers的速度非常快。这意味着交易一旦进入区块链，即使在量子计算机的存在下，也会受到相对保护。众所周知，比特币使用的椭圆曲线签名方案被Shor\'salgorithm[Sho99]在计算离散对数时所打破。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

可人4

2022-6-1 15:25:42

我们准确地分析了从未来量子计算机上发布的公钥中获得密钥可能需要多长时间。这在比特币环境中至关重要，因为这种攻击的主要窗口是从事务广播开始，直到事务被处理成区块链上的一个块，后面有几个块。据我们最乐观的估计，早在2027年，可能就有一台quantumcomputer可以在比特币所用的10分钟内破解椭圆曲线签名方案。我们还提出了一些可以采取的对策，以确保比特币免受量子攻击。我们分析了另一种称为动量（Momentum）[Lar14]的工作证明方案，该方案基于散列函数中的发现碰撞，并表明其允许的量子加速比比特币使用的工作证明更少。我们还回顾了被认为是量子安全的其他签名方案。二、区块链基础在本节中，我们对比特币的工作原理进行了基本概述，以便我们在描述可能的量子攻击时可以参考协议的特定部分。我们将把这一讨论保持在抽象的层次上，因为许多原则同样适用于与比特币具有相同基本结构的其他加密货币。所有比特币交易都存储在称为区块链的公共分类账中。单个事务被捆绑到块中，块中的所有事务都被视为同时发生。通过将这些事务置于链中，对其进行时间排序。链中的每个块（第一个块或genesis块除外）都有一个指向其前面的块的指针，其形式为前一个块头的哈希。矿工们将石块添加到链条上。矿工可以将未处理的事务捆绑到一个块中，并通过工作证明（PoW）将其添加到链中。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:25:46

比特币和许多其他货币都使用了Adam Back开发的名为Hashcash[Bac02]的PoW。Hashcash PoW是为了找到一个格式良好的块头，使得h（头）≤ t、其中h是加密安全哈希函数，header是块头。格式良好的头包含块的摘要信息，例如从块中的事务派生的哈希、前一个块头的哈希、时间戳，以及可以自由选择的所谓nonce、32位寄存器。可在表I中找到块的图示。参数t是一个目标值，可以更改以调整PoW的难度。在比特币中，该参数每2016个区块动态调整一次，这样网络平均需要大约10分钟来解决PoW。在比特币中，用于工作证明的哈希函数是SHA256的两个连续应用程序：{0，1}*→ {0，1}哈希函数，即h（·）=SHA256（SHA256（·））。当h的范围为2时，需要尝试用参数t完成哈希现金工作证明的预期哈希数为2/t。比特币工作证明通常是根据难度D（其中D=2/t）来指定的，而不是t。这是完成工作证明所需的预期哈希数除以2（可用的nonce数）。换句话说，困难是事务版本0x2000012上一个块头哈希00的Merkle树哈希根的预期变化数。0d OFF f7669865430b。Merkle根730d68233e25bec2。时间戳2017-08-07 02:12:18困难860221984436.22当前941660394事务1事务2。。。表I.块的图解。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:25:49

顶部的数据构成块标题。在对块头进行哈希运算时，以及在尝试对事务和时间戳进行预处理时，需要尝试的事务和时间戳所有nonce。矿工们可以随意将未处理的交易捆绑到一个区块中，并分配大量比特币以成功完成PoW任务。“生成”交易支付挖掘奖励也是块中包含的一项交易，确保不同的人将在不相交的块头上搜索良好的哈希预映像。一旦矿工找到一个收割台，将其固定在h（收割台）上≤ t、他们将此消息通知网络，并将块添加到链中。请注意，很容易验证声明的标题是否满足PoW条件-它只需要对哈希函数进行一次评估。PoW的目的是使一方不能单方面操纵区块链，例如，为了加倍支出。区块链是有可能工作的，但在任何时候，协议都规定矿工应该在当前最长的分叉上工作。一旦一个区块在最长链中有k多个区块紧随其后，想要创建一个不包括该区块的最长链的一方就必须在落后k个区块的情况下赢得PoWrace。如果该党控制的网络计算能力远远少于一半，那么随着k的增长，这种情况就变得非常不可能了。在比特币中，一笔交易通常被认为是安全的，因为它后面有6个区块。我们将在第三节A中看到的第一个问题是，量子计算机在执行hashcash PoW时会有什么优势，以及它是否可以单方面“从后面来”操纵区块链。比特币的第二个重要方面是交易的形式。当Bob想将比特币发送给Alice时，Alice首先创建（理想的新鲜）私有公钥对。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

点击查看更多内容…

2022-6-1 15:25:52

公钥被散列以创建地址。这个地址是Alice提供给Bob的，作为发送比特币的目的地。比特币使用公钥哈希作为地址，而不是公钥，这不是出于安全原因，只是为了节省空间。正如我们稍后看到的，这种设计选择确实会对量子安全性产生影响。要将比特币发送给Alice，Bob还必须指向区块链上的交易，比特币被发送到他控制的地址。这些referencedtransactions收到的比特币总和必须至少等于Bob希望发送给Alice的比特币金额。Bob通过声明每个地址对应的公钥，并使用该地址对应的私钥在消息上签名，表示他正在将这些比特币送给Alice，从而证明他拥有这些地址。在比特币协议的早期版本中，公钥可以用作地址。三、比特币的量子攻击。攻击比特币工作证明在本节中，我们研究量子计算机在执行比特币使用的hashcash PoW时所具有的优势。我们的发现可以总结如下：使用Grover搜索[Gro96]，量子计算机可以通过执行比经典计算机所需的二次哈希更少的哈希来执行hashcash PoW。然而，当前用于执行hashcash-PoW的专用ASIC硬件的极端速度，加上当前量子体系结构的预测门速度要慢得多，在当前困难的水平上，基本上否定了这种二次加速，使量子计算机没有任何优势。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:25:55

未来量子技术的改进，使门速度达到100GHz，可能使量子计算机解决PoW的速度比当前技术快100倍左右。然而，这样的发展在未来十年内是不可能的，在这一点上，经典硬件可能会快得多，量子技术可能会如此广泛，以至于没有一个启用量子的代理可以主宰PoW问题。我们现在详细讨论这些结果。回想一下，比特币PoW任务是查找有效的块头，例如h（头）≤ t、其中h（·）=SHA256（SHA256（·））。区块链的安全性取决于没有一个代理能够以大于50%的概率首先解决PoW任务。我们将研究在执行这项任务时，与一台量子计算机相匹配所需的经典计算能力。我们将在随机oracle模型[BR93]中工作，特别是假设pr[h（header）≤ t] =t/2其中，概率统一适用于所有格式良好的块头，这些块头可以在任何给定时间使用池中可用的事务创建（此类格式良好的块头可以通过改变nonce、块中包含的事务以及头的时间戳的最小重要位来找到）。在经典计算机上，为了找到散列值最多为t的块头和none的预期数量为D×2，其中D是由D=2/t定义的散列数。对于随机oracle模型中的量子计算机，我们可以将注意力限制在使用Grover算法解算PoW任务的通用量子方法上【Gro96】。根据Grover的算法，在一个包含N个项目的数据库中搜索一个标记的项目可以用(√N）许多对数据库的查询（而任何经典计算机都需要Ohm（N）完成相同任务的查询）。设N=2be为以下h范围的大小。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:25:58

根据我们的假设，在概率至少为0.9999的情况下，一个由10·N/t组成的随机集，许多块头将至少包含哈希最多为t的tone元素。我们可以将一些确定性函数g映射={0，1}dlog（10·N/t）固定到不同的格式良好的块头。我们还定义了一个函数fw，该函数确定块头是“好”还是notf（x）=如果h（g（x）），则为0>如果h（g（x）），则为t1≤ t、量子计算机可以在输入的叠加上计算f，即执行映射xx∈Sαx | xi→Xx号∈S(-1） f（x）αx | xi。根据区块链。信息，2017年8月8日，哈希难度为D=860·10，目标为2184。4此操作的每个应用程序都称为oracle调用。使用Grover算法，aquantum算法可以通过计算#O=πp10·N/t=π2来搜索s以找到一个好的块头√10·D oracle呼叫。即使事先不知道解的数量，即使不存在解，Grover算法也可以适应这种缩放运行【BBHT98】。虽然oracle调用的数量决定了需要执行的哈希数，但在计算每个哈希、构造适当的块头和进行量子错误更正时会产生额外的开销。现在，我们通过两种方式分析这些因素，以确定对运行时间的更现实的估计。首先，我们基于一个经过充分研究的带有误差校正的通用量子计算机模型来估计运行时间。在经典计算机上，哈希函数（如SHA256）使用基本布尔门操作，而在量子计算机上，这些基本布尔门被转换为可逆逻辑量子门，这会带来一些开销。SHA256协议中总共有64轮哈希运算，每轮都可以使用带有683到ffoli量子门的优化电路完成【PRS15】。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:02

大多数量子纠错码使用T门而不是F门作为代表性的耗时门，仔细分析执行SHA256函数调用的成本以及Grover算法中使用的平均值的反转，发现一次oracle调用的总T门计数为474168[SFL+13]。在该电路分解中，T门只能由大约三个因数并联。量子计算机需要额外的开销来执行纠错。在决定一个好的量子纠错码时，需要考虑各种权衡因素：对特定物理错误模型的容忍度、子程序的通用性、使用的量子比特数、逻辑门复杂性以及错误综合征和反馈的经典处理量。采用具有相对高容错错误阈值和局部综合征测量优点的表面码，我们可以采用文献[SFL+13]中的分析来估计量子算法的总运行时间。运行Grover算法并成功挖掘块所需的时间为τ=#O×#G/s=π2√10·D×#G/s，其中#G是一次oracle调用所需的周期数，s是量子计算机时钟速度。使用表面代码，其中主要的时间成本是提取魔术状态来实现T门，一个结果是#G=297784×cτ（D，pg），其中第一个因素包括逻辑T门深度，用于调用SHA256函数，两次按比特币PoW的要求调用，两次使电路可逆，以及关于平均值的反转。第二个因素cτ是量子误差校正所需的时间开销因素。它统计每个逻辑T门的时钟周期数，并且是难度和物理门错误率pg的函数。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

何人来此

2022-6-1 15:26:05

对于固定的门错误率，开销因子cτ的上限是反转256位哈希的成本（最大难度）。由于量子算法以叠加方式运行哈希，因此量子计算能力无法直接转换为哈希速率。然而，我们可以将有效的哈希率hQC定义为经典机器上的预期调用数除以50GHz（a）pgDnQ（b）下的pgdhqc（TH/s）图1。单个量子计算机的区块链攻击性能取决于物理门错误率pg（内部机器规范）和挖掘难度D（由区块链协议设置）。（a）在50GHz时钟速度下运行的量子计算机的有效哈希率Hqc，该时钟速度处于可预见时钟速度的乐观极限。哈希率随着难度的平方根而增加（请注意对数比例）。对于并行运行的d量子计算机，有效哈希率增加了2.56倍√d、（b）量子计算机发出的物理量子比特数。在量子计算机上找到解决方案的预期时间，即。寰球公司≡N/tτ=0.28×s√Dcτ（D，pg）。由于时间开销是有界的，因此有效的散列率随着难度的平方根逐渐提高，反映了quantumprocessors可获得的二次优势。Grover算法可以在d量子处理器上并行化。在optimalstrategy中，每个处理器都致力于搜索潜在解决方案的整个空间，找到解决方案所需的oracle调用的预期数量为#O=0.39×#O/√d【GWC00】。这意味着找到解决方案的预期时间为τk=0.39×τ/√d、以及在并行ishQC中使用d量子处理器的有效哈希率，k=2.56×hQC√d、 Grover算法所需的逻辑量子位数量固定为2402，与难度无关。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:09

所需的物理量子位数为2402×cnQ（D，pg），其中cnQ是由于量子纠错而产生的空间开销，即物理量子位，也是难度和门错误率的函数。在附录A中，我们展示了如何计算纠错所产生的时间和空间开销。结果显示了区块链2020 2025 2030 2035 204010141016101810201022量子计算机相对于单个量子计算机的性能图。该图显示了比特币网络（蓝色条纹曲线）与单个量子计算机（红色条纹曲线）的哈希能力（以每秒哈希数为单位）的两个估计值，作为未来25年时间的函数。我们给出了更多和更少的乐观估计和不确定性区域（蓝色和橙色区域）。该模型在附录B和附录C中有详细描述。在2028年之前（以更乐观的估计），将不会有任何具有足够多量子比特的量子计算机来实现Grover算法。为了进行比较，黑色虚线显示了当前单个ASIC设备的哈希率。攻击如图1所示。为了将这些结果与可实现的规格联系起来，我们将重点放在超导电路上，到目前为止，超导电路在候选量子技术中具有最快的量子门速度，并为实现可扩展性提供了一条有希望的途径。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:12

假设在s=66.7MHz[KKL+17]的当前器件上可达到的最大门速度，并且假设物理门错误率为pg=5×10，在实验上具有挑战性，但并非不可信-4，接近当前困难度D=10，开销为cτ=538.6，cnQ=1810.7，这意味着使用nQ=4.4×10物理量子位时，hQC=13.8GH/s的有效哈希率。这比货架上的ASIC设备慢1000多倍，其灰分率达到14/s；原因是容错T门构造的量子门速度慢和延迟。量子技术将在未来几十年内显著扩展，量子时钟速度、门精细度和量子比特数可能会被量子摩尔定律的aquantum版本所取代。在超导量子电路技术当前改进的指导下，附录B和附录C给出了此类改进的预测。这使我们能够估计量子计算机的功率随时间的变化，如图2所示。显然，量子计算机要在这项任务上胜过经典机器还需要一段时间，而当它们做到这一点时，单个量子计算机将不会拥有大多数散列能力。然而，即使相对于竞争对手的classicalUsing（例如AntMiner S9）而言，功率略有提高，也可以在https://asicminermarket.commachines，某些攻击变得更加有利，例如对使用智能合约奖励池矿商扣留其区块的采矿池的攻击【VTL17】。例如，假设附录A中列出了乐观的假设，其中有效的哈希率比例如EHQC=0.04×s√D、在D=10GHz和s=50GHz时，一组20个并行运行的量子机器的分数哈希功率相对于总哈希功率为0.1%。这将允许以最低的贿赂成本对池采矿进行量化攻击，从而将池收入减少10%。B

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:15

使用基于secp256k1曲线的椭圆曲线数字签名算法对比特币中的签名进行攻击。该系统的安全性基于椭圆曲线离散对数问题（ECDLP）的复杂性。虽然这个问题仍然被认为是硬经典问题，但Shor【Sho99】给出了解决这个问题的有效量子算法。该算法意味着一台足够大的通用量子计算机可以有效地计算与给定公钥相关的私钥，从而使该方案完全安全。比特币的含义如下：1。（重复使用地址）要使用某个地址的比特币，必须显示与该地址关联的公钥。一旦公开密钥在aquantum计算机面前显示，地址就不再安全，因此不应再次使用。虽然在比特币中，总是使用新地址已经是建议的做法，但实际上并不总是这样。任何包含比特币且公开密钥的地址都是完全不安全的。2.（已处理的交易）如果交易是从之前未被发现的地址进行的，并且该交易被放置在区块链上，并有几个区块跟随它，那么该交易对于量子攻击是合理安全的。私钥可以从已发布的公钥中派生出来，但由于地址已被使用，因此必须结合对网络进行散列来执行双重开销攻击。正如我们在第III A节中所看到的，即使使用aquantum计算机，一旦事务后面有许多块，就不太可能发生双重开销攻击。3.（未处理的交易）在将交易广播到网络之后，但在将其置于区块链之前，它面临着量子攻击的风险。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:18

如果在将交易放在区块链上之前可以从广播公钥中派生出密钥，那么攻击者可以使用该密钥将新交易从同一地址广播到自己的地址。如果攻击者随后确保该新交易首先放置在区块链上，那么他可以有效地窃取原始地址后面的比特币。我们认为第（3）项是最严重的攻击。要确定这种攻击的严重性，必须准确估计量子计算机计算ECDLP所需的时间，以及这是否可以在接近块间隔的时间内完成。对于一个具有n位素数场的实例，最近优化的分析表明，量子计算机可以使用9n+2dlog（n）e+10个逻辑量子位和（448 log（n）+4090）to off oli gates来解决这个问题【RNSL17】。比特币使用n=256位签名，因此To-fff-olipg10-65 x10-610-55x10-510-45x10-410-3020406801010010-65 x10-610-55x10-510-45x10-410-3 （分钟）（a）10-65 x10-610-55x10-510-45x10-410-301×1062×1063×1064×1065×10610-65 x10-610-55x10-510-45x10-410-3pgnQ（b）图3。以10GHz时钟速度运行的量子计算机对使用椭圆曲线数字签名算法的数字签名进行攻击的性能。（a）根据物理门错误率pg.（b）量子计算机使用的物理量子位数，中断签名的时间（分钟）。闸门为1.28×10，可略微平行至深度1.16×10。每个To offoli都可以使用一个T门深度的小电路来实现，一个电路并行作用于7个量子位（包括4个辅助量子位）[Sel13]。根据Sec的分析。我们可以估计对数字签名进行量子攻击所需的资源。与块挖掘一样，主要时间是通过提取逻辑T门的神奇状态来消耗的。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:21

在量子处理器上求解ECDLP的时间为τ=1.28×10×cτ（pg）/s，其中时间开销cτ现在仅取决于门错误率，s再次是时钟速度。所需物理量子位的数量为Nq=2334×cnQ（pg），其中第一个因素是逻辑量子位的数量，包括4个逻辑辅助量子位，CNQI是空间开销。图3给出了量子计算机攻击数字签名的性能。使用物理门错误率为pg=5×10的表面代码-4，开销因子为cτ=291.7，cnQ=735.3，在66.6 MHz时钟速度下，使用1.7×10物理量子位解决问题的时间为6.49天。期待性能改进，10GHz时钟速度和错误率为10-5，使用485550量子位在30分钟内破解签名。后者使得第（3）项中的攻击非常可能，并将使当前的比特币系统高度不安全。根据附录B和C中描述的模型，图4给出了quantumcomputer中断签名方案所需时间随时间变化的估计值。2020 2025 2030 2035 20400200400600800100012001400Time to break signature scheme for quantum computerFIG。该图显示了量子计算机破解签名方案所需的时间（秒）的两个估计值（红色曲线），作为未来25年时间的函数。我们给出了或多或少的乐观估计（红线）。这些模型在附录C中有详细描述。根据这一估计，签名方案最早可在2027年在不到10分钟（600秒，黑色虚线）内被破解。C、量子攻击的未来增强我们描述了使用已知量子算法和错误纠正方案对比特币协议的攻击。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:25

虽然对量子计算速度和可伸缩性的一些估计似乎是乐观的，但重要的是要记住，有几种途径可以改善量子计算机的性能，以解决上述问题。首先，这里假设的纠错码是表面码，它需要大量的经典计算开销来进行状态提取、错误综合征提取和校正。其他由横向通道和非通道通道组成的代码可以克服慢态蒸馏的需要【PR13】。事实上，通过使用无测量协议，可以完全消除症状提取和纠正的经典处理过程中的缓慢，例如[PSBT10]，在最近的分析中，该协议显示的错误阈值[CJS16]仅比测量重表面代码差约5倍。这可能会显著提高纠错的总体速度。其次，随着更先进的量子计算技术的发展，量子电路的逻辑门计数可能会减少。例如，使用先前工作[SVM+17]中分析的特定大型示例问题（包括oracle实现），在解决量子算法的旧[HHL09]和新[CKS15]线性系统之间实现了对具体门计数的直接比较，显示出几个数量级的改进。鉴于quantum Shor和Grover算法已经得到了很好的研究和高度优化，人们预计不会有如此显著的改进，尽管可能会有一些改进。第三，不同的量子算法可能会提供相对的加速。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:28

Kaliski最近的工作【Kal17】提出了一种离散对数问题的量子算法：使用对所谓的“魔盒”子例程的查询，计算m的最重要位。通过使用目标值的明智选择的幂重复查询，找到mgiven b=am，其中b是一个已知的目标值，a是一个已知的基，m的所有位都可以计算出来，问题就解决了。因为不同的位是一个接一个地解决的，所以这个问题可以分配到多个量子处理器。每个处理器都需要一些与解决整个问题相当的逻辑量子位，但通过并行化可以减少总时间。此外，量子错误校正的开销可能会减少，因为电路的量子傅立叶变换部分的相位不需要像原始Shor算法那样精确。四、对策a。工作的替代证明正如我们在上一节中所看到的，量子计算机可以使用Grover搜索来执行比特币工作证明，使用的哈希数比经典方法所需的哈希数少。在本节中，我们将研究可能不太具有quantumadvantage的其他工作证明。我们希望从工作证明中获得的基本属性是：1。（困难）问题的困难程度可以根据网络中可用的计算能力进行调整。2.（不对称性）验证工作证明是否成功完成要比执行工作证明容易得多。3.

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:33

（没有量子优势）量子计算机无法比经典计算机更快地完成工作证明。比特币工作证明完成了第（1）、（2）项，但我们希望找到一个在第（3）项上做得更好的替代工作证明。作者也进行了类似的研究，试图找到工作证明，而不是（3）寻找ASIC无法加速的工作证明。实现这一点的一种方法是查看内存密集型工作证明。针对这一点，已经提出了几种有趣的候选方法，例如动量[Lar14]，基于在哈希函数中查找碰撞，布谷鸟循环[Tro15]，基于在随机图中查找常量大小的子图，以及基于广义生日问题的Equihash[BK17]。这些也是更具量子抗性的工作证明的很好的候选者。这些方案都基于hashcash风格的工作证明，并使用以下模板。设h：{0，1}*→ {0，1}nbe是一个加密安全的哈希函数，H=H（header）是块头的哈希。然后，目标是找到一个nonce x，使得H（H k x）≤ t和P（H，x），A.Scherer，某些谓词P的个人交流。标头和nonce必须满足谓词pm这一事实意味着，最佳算法将不再简单地连续迭代nonce x。具有这种形式的功证明也可以确保参数t仍然可以选择以改变难度。在接下来的内容中，我们将分析此模板以证明动量做功，因为这可能与已知的量子下界有关。对于功的动量证明，leth：{0，1}*→ {0，1}`是另一个具有n的哈希函数≤ `. 在最初的Momentumproposal中，HCL可以被视为SHA-256，并具有内存密集型哈希函数，但这对于我们的讨论并不重要。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

何人来此

2022-6-1 15:26:35

工作证明是找到H、a、b，使H（H k a k b）≤ t和h（h k a）=h（h k b）和a，b≤ 2`. （1）首先，假设哈希函数h，hc可以在单位时间内计算，让我们研究运行时间以解决此工作证明。取子集S {0，1}`并计算所有a的h（h k a）∈ S、我们预计会发现约| S |/2 `多次碰撞。请注意，通过使用适当的数据结构，可以在大约| S |的时间内找到这些冲突。一种算法如下所示。对于每个H，我们评估一个子集S和| S |/2 `多对a，b，使得H（H k a）=H（H k b）。对于每次碰撞，我们测试h（h k a k b）≤ t、预计，我们将不得不多次执行第二次测试2n/t。因此，我们必须尝试的H的数量约为m=max{1，n+\'t | s |}，因为我们必须尝试至少一个H。对于每个H，我们花费时间| s |，总运行时间为m | s |。我们看到，当| S |=qn+`t时，它是最小的，也就是当m=1时，我们只需尝试一个H。这个最佳运行时间是t=qn+`t，为了实现它，我们必须使用与运行时间大小相等的内存，这可能是禁止的。对于一些较小的内存| S |<qn+`t，运行时间将为+`+1t | S |。现在让我们看看量子计算机上的运行时间。在量子计算机上，我们可以做到以下几点。如果存在a、b，则称H为良好∈ S使得h（h k a k b）≤t和h（h k a）=h（h k b）。测试H是否良好需要找到碰撞，因此需要Aaronsonand Shi【AS04】的量子查询下限至少为2/3次。请注意，这个下限很紧，因为使用Ambainis的元素区分算法[Amb07]也可以在大约2/3的时间内发现这种碰撞。我们在上文中提出，需要一组大小m=max{1，n+`t | S |}才能找到至少一个goodH。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

可人4

2022-6-1 15:26:39

根据Grover搜索的最优性[BBBV97]，我们知道我们必须至少执行√m许多测试都是为了找到一个好的H。因为测试一个H是否好需要时间| S | 2/3，所以总运行时间至少为√m | S | 2/3。由于经典的运行时间是m | S |，我们看到，与比特币目前的工作证明不同的是，如果S大于常量大小，量子计算机就无法实现二次优势。特别是，自√m | S | 2/3也最小化，当S=qn+`t时，即使最快的量子算法的运行时间也至少为T2/3，这大大大于T1/2。B、后量子签名方案综述文献中提出了许多量子安全公钥签名方案。其中一些示例是基于哈希的签名方案（LMS[LM95]、XMSS[BDH11]、括约肌[BHH+15]、NSW[NSW05]）、基于代码的方案（CFS[CFS01]、类型名称安全级别（bits）PK长度（kb）Sig。长度（kb）PK+Sig。长度（kb）I.1 GPV 100 300 240 540I。2 LYU 100 65 103 168I。3福利斯128 7 5 12我。4二锂138 11.8 21.6 33.4II。1彩虹160 305 0.244 305III。1 LMS 128 0.448 20 20.5III。2 XMSS 128 0.544 20 20.5III。3括约肌128 8 328 336III。4新南威尔士州128 0.256 36 36 IV。1 CFS 83 9216 0.1 9216IV。2石英80 568 0.128 568表二。比较后量子签名方案的公钥（PK）和签名长度（kb）。给出的安全级别是针对经典攻击的。类型I基于晶格，类型II基于多元多项式，类型III基于哈希，类型IV基于代码。QUARTZ[PCG01]、基于多元多项式的方案（RAINBOW[DS05]）和基于晶格的方案（GPV[GPV08]、LYU[Lyu12]、BLISS[DDLL13]、DILITHIUM[DLL+17]、NTRU[MBDG14]）。每种密码系统都有不同程度的效率。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:42

有关签名大小和密钥大小的比较，请参见表II。在区块链上下文中，签名方案最重要的参数是签名和公钥长度，因为这些必须以一定的容量存储以完全验证交易，以及验证签名的时间。看看表II，关于签名和公钥长度的总和，唯一合理的选择是哈希和基于晶格的方案。基于哈希的方案（如XMS）具有可证明安全性的优点，至少所选哈希函数的行为类似于随机oracle。针对这些方案的一般量子攻击是使用Grover算法，这意味着它们的量子安全级别是经典安全级别的一半。相比之下，138位经典安全级别下针对二锂的最著名量子攻击需要时间2。因此，在相同的量子安全级别上，基于晶格的方案在signatureplus公钥长度方面具有一定的优势。虽然基于格的方案BLISS在表2中的所有方案中具有最短的签名和公钥长度之和，但在实践中有一些理由不选择BLISS。BLISS的安全性依赖于NTRU问题的硬度，并且假设解决这个问题相当于在所谓的NTRU格中找到一个短向量。最近[KF17]表明，这种假设可能过于乐观，至少对于大参数而言是如此。此外，以前基于NTRU的签名方案也曾遭到过攻击【NR06，DN12】。也许最致命的是，BLISS很难以安全的方式实现，因为它很容易受到侧通道攻击。Pessl等人以这种方式攻击了BLISS的生产级strongSwanimplementation。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:46

[PBY17]表示，在观察了大约6000代签名后，签名密钥可以恢复。函数CalculateFactoryResources（pg，nT）迭代FactoryTool中的错误更正层←nT公司（未修正）误差容限I← 0当ptol<10pgdoi时← i+1 添加layerdi← 明尼苏达州∈ 编号：192d·（100pg）d+1≥托洛此图层中的代码距离← （ptol）提高了容错能力← iτ← nT·10Playersi=1di 总时钟周期（仅计数T门）Qfactory← 50（层）·15层-1. factoryreturn（τ，Qfactory）end Function CalculateCircuitResources（pg，nC，nL）dC的总物理量子位← 明尼苏达州∈ N：（80pg）d+1≥nCo公司电路（单层）返回Q电路的代码距离← 3.125nLdC circuitend函数的总物理量子位表III.计算量子攻击的空间和时间资源的算法。输入为pg，物理门错误率；nC，逻辑电路中的辅助门总数；nT，逻辑电路中T门的总数；和nL，逻辑量子位的数量。输出为τ，以时钟周期数表示的时间成本；nQ=Qcircuit+Qfactory，用于计算的物理量子位数，包括状态蒸馏。附录A：估算量子攻击的纠错资源开销我们描述了如何计算量子纠错的开销因子，以获得区块链和数字签名量子攻击的资源成本。该方法遵循参考文献中给出的分析。【FMMC12，MDMG+16】。我们首先确定算法中分别需要的T门和C门的数量。表III给出了计算开销的伪代码。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:49

对于区块链攻击nL=2402量子位，这些值不=297784×π2√10·D，nC=29.4×nT。对于nL=2334量子位的数字签名攻击，值为1.28×10，nC=20×nT。如果我们展望未来几年，我们可以推测量子计算机技术可能会有哪些改进。如果我们假设一个量子纠错码支持量子门和非量子门，因此蒸馏过程不会减慢，并且以无需测量的方式进行，因此不会出现经典的错误综合征处理每个T门的量子门数量的系数20是基于T门的T门深度1表示的构造[选择13]。则一个oracle调用所需的周期数仅由电路深度2142094决定。这是基于如下计算的整体回路深度。oracle调用两个对SHA256哈希函数的调用，执行两次，一次用于计算，另一次用于解压。每个哈希的可逆电路深度为528768。类似地，使用了两个多控制相位门，一个用于求平均值，另一个用于函数调用，每个门的电路深度为13511，总深度为4×528768+2×13511=2142094（这些数字来自[SFL+13]，但可以进一步优化）。然后接受空间和物理量子位数方面的潜在开销，但假设纠错或非有效门蒸馏没有时间惩罚，这意味着提高了有效哈希率Hqc=0.04×s√D、这要快得多。对于超导电路，超快几何相位门在~ 50 GHz，基本上受到微波谐振器频率的限制【RBW+12】。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:52

使用上述非常乐观的假设，在D=10时，有效哈希率将为hQC=2.0×10/s。附录B：模拟比特币网络哈希率的发展，很难从区块链中获取整个比特币网络中每秒的哈希总数。信息。图5（a）中的数据点是1月1日（2012-2015）以及1月1日和7月1日（2016-2017）的哈希率。两条虚线对应于乐观和不太乐观的外推假设。乐观的外推假设目前的增长在五年内呈指数增长，然后随着充分优化的ASIC比特币矿商的市场饱和，饱和为线性增长。不太乐观的假设假设是以目前的速度呈线性增长。通过对比特币网络哈希率的外推，我们可以确定其难度是时间的函数。在10分钟（600秒）内查找块所需的预期哈希数由速率（t）·600给出，其中速率（t）是图5（a）中显示的总哈希速率。因此，比特币哈希难度计算为D（t）=速率（t）·600·2-32对于上述两种情况。在图5（b）中，我们将其与区块链的值进行比较。2015-2017年1月1日信息。附录C：量子计算机发展建模我们必须对量子技术发展的几个方面进行建模。由于在开发的早期阶段，可用的数据点很少，因此我们的估计中必然存在很多不确定性。因此，我们给出了两个不同的测试，一个对发展速度持乐观态度，另一个则相当悲观。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:54

尽管如此，这些预测应被视为非常粗略的估计，可能需要在未来进行调整。首先，我们需要对任何时间点可用的量子比特数做出假设。由于我们只关注固态超导的实现，所以只有少数数据点可用。我们假设，在不久的将来，可用的量子比特数将呈指数级增长。乐观的假设是，数字将每10个月翻一番，而不太乐观的假设是，比特币网络中的数字每202015 2020 2025 2030 2035 204010141016101810201022哈希每秒翻一番（a）2015 2020 2025 2030 2035 204010111012101310141015哈希困难（b）图5。预测比特币网络的哈希率（以每秒哈希数为单位）和哈希难度随时间的变化。月。图6（a）绘制了这两种外推。数据点如下表所示：量子比特数年份参考2 2013年【CGC+13】5 2014年【BKM+14】3 2014年【CGM+14】5 2016年IBM16 2017年IBM20 2017年【Goo】49 2018年【Goo】我们预测量子门频率在未来几年呈指数增长。这假设经典的控制电路在这个频率下能够足够快地控制量子门。几年后，增长速度明显放缓，因为需要更大的经典控制电路来进一步加速量子门。我们将量子门频率分别限制在50 GHz（乐观情况下）或5 GHz（不乐观情况下），主要是因为我们预计经典控制电路将无法控制更高频率的量子门。（如需了解此方向的进展，请参阅[HHOI11]。）如图6（b）所示。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:26:58

数据点取自下表：门时间年参考420NS 2013【CGC+13】433ns 2015【CMS+15】160ns 2016【SMCG16】42ns 2017【DBE17】25ns 2018谷歌，预计在20172015 2020 2025 2030 2035 20401001021041061081010量子比特数（a）2015 2020 2030 2035 20401071081091010比特频率（b）2015 2020 2025 2030 2035 204010-610-510-410-310-210-1交货期（c）2020 2025 2030 2035 204010-310-210-1100间接费用减少（d）图6。预测量子比特数、量子门频率（门内操作persecond）和作为时间函数的量子门精确度。第四个图模拟了由于理论进步而导致的开销减少。图6（c）显示了浇口入口的预测发展。我们假设入口供应量将继续呈指数级下降，但这一发展将停滞在5·10的供应量-6（乐观情况）或5·10-5（不太乐观的情况）。对于乐观主义的情况，我们预计，进口将继续遵循DeVincenzo的法律，该法律预测进口每年减少2倍。数据点摘自下表：门函数年份参考0.9347 2013【CGC+13】0.96 2014【CGM+14】0.97 2015【CMS+15】0.99 2016【SMCG16】0.995 2017【Goo】0.997 2018【Goo】最后，我们假设任何算法所需的量子位和时间步数将随着时间的推移而减少，原因有二。首先，闸门可靠性将随着时间的推移而增加，从而允许使用更高效的容错方案。其次，理论上的进步将允许减少实现算法和容错方案所需的量子比特和门的数量。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:27:01

我们预计该系数将为开销（t）=βt-2017年，其中β∈ {0.75，0.85}分别表示乐观和不太乐观的假设。致谢MT和GB感谢Michael Bremner的初步讨论。TL感谢John Tromp对工作证明的有益评论和讨论，感谢Ronaldde Wolf对并行量子搜索的对话。【Amb07】A.Ambainis。元素区分的量子行走算法。《暹罗计算机杂志》，37:210–2392007。【AS04】S.Aaronson和Y.Shi。碰撞和元素区分问题的量子下界。ACM杂志，51（4）：595–6052004。亚当回来了。Hashcash–拒绝服务对策，2002年。提供地点：http://www.hashcash.org/papers/hashcash.pdf.【BBBV97】C.H.Bennett、E.Bernstein、G.Brassard和U.Vazirani。量子计算的优势和劣势。《暹罗计算杂志》，26:1510–1523，1997年。Michel Boyer、Gilles Brassard、Peter Hoyer和Alain Tapp。量子搜索的严格限制。Fortschritte der Physik，46（4-5）：493–5051998年。约翰·布克曼、埃里克·达曼和安德烈亚斯·赫尔辛。XMSS–一种基于最小安全假设的实用前向安全签名方案。《后量子密码术》，第117–129页，2011年。Daniel J Bernstein、Daira Hopwood、Andreas H¨ulsing、Tanja Lange、Ruben Niederhagen、Louiza Papachristodoulou、Michael Schneider、Peter Schwabe和Zooko WilcoxO\'Hearn。括约肌：实用的无状态哈希签名。密码技术理论与应用国际年会，第368-397页。Springer，2015年。Alex Biryukov和Dmitry Khovratovich。Equihash：基于广义生日问题的不对称工作证明。分类账，2:1–30，2017年。【BKM+14】R.Barends、J.Kelly、A.Megrant、A.Veitia、D.Sink、E.Jeffrey、T.C.White、J.Mutus、A.G.Fowler、B。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

2022-6-1 15:27:05

坎贝尔、Y.Chen、Z.Chen、B.Chiaro、A.Dunsworth、C.Neill、P.O\'Malley、P.Roushan、A.Vainscher、J.Wenner、A.N.Korotkov、A.N.Cleland和John M.Martinis。用于容错的表面代码阈值超导量子电路。《自然》，508（7497）：500–5032014年4月。米希尔·贝拉尔和菲利普·罗格威。随机预言是实用的：设计高效协议的范例。1993年，ACM计算机和通信安全会议，第62–73页。尼古拉斯·考托伊斯、马蒂厄·菲尼亚斯和尼古拉斯·森德里。如何实现一个基于mceliece的数字签名方案。《亚洲加密》（Asiacrypt），第2248卷，第157-174页。斯普林格，2001年。[CGC+13]A.D.C\'orcoles、Jay M.Gambetta、Jerry M.Chow、John A.Smolin、Matthew Ware、Joel Strand、B.L.T.Plourde和M.Ste ff en。通过随机基准测试对两个量子比特量子门进行过程验证。体检A，87（3）：030301–，2013年3月。【CGM+14】杰瑞·M·周杰伦、杰伊·M·甘贝塔、伊斯瓦尔·马格桑、大卫·W·亚伯拉罕、安德鲁·W·克罗斯、B·R·约翰逊、尼古拉斯·A·马斯鲁克、科尔姆·A·瑞安、约翰·A·斯莫林、斯里坎特·J·斯里尼瓦桑和M·斯特芬。实现可伸缩容错quantum computingfabric链。《自然通讯》，2014年6月5日。Daniel Crow、Robert Joynt和M.Saffman。改进了无测量误差校正的误差阈值。《物理审查函》，117（13）：130503–，2016年9月。Andrew M Childs、Robin Kothari和Rolando Somma。量子线性系统算法对精度的依赖性呈指数级提高。arXiv:1511.023062015。【CMS+15】A.D.C'orcoles、Easwar Magesan、Srikanth J.Srinivasan、Andrew W.Cross、M.Steffen、Jay M.Gambetta和Jerry M.Chow。使用四个超导量子比特的方形晶格演示量子错误检测码。《自然通讯》，6:6979，2015年4月。[DBE17]邓秀浩、埃德温·巴恩斯和索菲亚·E·Economou。

扫码加我拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝