來源：劉教鏈公眾號
BTC昨天剛剛作勢拉升脫離30日均線，今天又回踩了一下30日均線（大約在104.9k附近）。

近日有多位讀者朋友給教鏈轉發有關量子計算以及大餅要在未來幾年內歸零的FUD（教鏈注：幣圈術語，意為讓聽眾產生恐懼、懷疑、困惑的感覺，以製造恐慌）。

量子計算FUD不說年年都有吧，也是每隔幾年就要來上幾發。但是怎麼說呢，幾乎所有大眾能夠看到的拿量子計算說什麼大餅要歸零的，有一個算一個都是忽悠；如果後續再趁機給你推薦幾個所謂的抗量子幣，那就基本上可以認定是騙局了。

但凡是看過教鏈有關於量子計算的文章，或者認真讀過《比特幣史話》中有關量子計算的章節，應該很容易一眼識破這類忽悠和騙局。

如果只是被忽悠，害怕歸零而不敢持有大餅，那麼不過是錯過一些大餅未來上漲的機會而已；但是如果再被騙着去花錢買了什麼狗屁抗量子幣，那可就真要遭受財產損失了。

記住以下幾個知識點：

第一，量子計算機達到實用水平還有多長的路要走？很長。至少比出來吹牛逼的那些人嘴裏的5年8年要長得多得多。就像你經常聽搞AI的人吹牛逼說203X年之前就能搞出來所謂AGI（通用人工智能），計算機在智能水平上徹底碾壓人類。實際上呢，也許只不過是為了忽悠投資人拿錢給他們燒的話術罷了。也許10年，20年，50年，甚至在戰爭或天災導致人類毀滅之前都沒戲也說不定。

第二，如果量子計算機很快實用化，也許你首先應該擔心一下你的傳統銀行賬戶里的錢還安全不安全。這些系統統統都很容易被實用化的量子計算攻破，比大餅要容易得多。大餅的地址是簽名算法外面套了一層哈希，如果遵循教鏈在小白課上講過的「每個地址只用一次」的使用原則，那麼就是天然抗量子攻擊的。這是因為大餅用的哈希有很強的量子抗性。

第三，大餅在技術上很容易把目前的簽名算法更換成抗量子的簽名算法。技術人員也在积極關注和研究抗量子算法的最新進展，並且採用確保時刻做好升級準備的先發制人策略。至於為什麼現在不動手升級？那是因為現在提出來的那些個抗量子算法都太差勁了。倒不是說它們沒有量子抗性，而是它們的簽名尺寸實在是太太太大了，大到根本不能滿足大餅系統的要求。

畢竟，一切問題最終都要落實到工程可行性上面來。《比特幣史話》第三章第9話就介紹過當年中本聰針對簽名算法的選擇所重點考慮的正是尺寸因素。當年他是這麼說的：

中本聰分別在 2010 年 1 月 29 日、5 月 20 日 和 7 月 25 日 三次參与比特幣社區論壇話題討論時解釋道：“比特幣使用的是橢圓曲線数字簽名算法(EC-DSA)。這個算法只能用於数字簽名，而不能用於加密。RSA兩者都能做，但是我沒有採用它，因為它要大一個數量級，這就不切實際了。”“不是說可執行程序的大小，而是說數據的大小。如果區塊鏈、比特幣地址、磁盤空間、帶寬需求都大一個數量級，這就不太可行了。”

那麼今天我們能看到的抗量子算法，尺寸相比於ECC或者RSA又當如何呢？答案是大數百到近千倍。比如SPHINCS+算法，「較低安全級別的SLH-DSA-SHA2-128s簽名大小約為8KB，而較高安全級別的SLH-DSA-SHA2-256f甚至達到50KB，比傳統簽名算法（如RSA或ECC，後者僅有64B）大得多，不適合對存儲和帶寬要求嚴格的場景。」

想象一下大餅的賬本尺寸從今天不到1TB猛增一千倍到1EB會怎麼樣？任何一個目前鼓吹什麼抗量子幣的，必然用目前市面上已有的抗量子算法，後果就是尺寸太大以至於工程上完全是個廢物，無法承載大吞吐量，並且會因為賬本尺寸過大而嚴重削弱去中心化。

想當年中本聰僅僅因為RSA簽名尺寸比ECC“大了一個數量級”就棄用RSA，並直言不諱地指出，“這就不切實際了”。可想而知，今天所有的抗量子算法，比目前算法的簽名尺寸要大三四個數量級，任何說這種玩意兒比現在的大餅更好的人，非蠢即壞。

前些天，密碼學家、Blockstream公司創始人Adam Back，也是中本聰在比特幣白皮書參考資料里引用過的人，發了一些推文，闡述了一下他對於目前抗量子算法以及量子計算FUD的看法。

他說的是什麼呢？

他說：「FIPS 205: SLH-DSA。目前我認為最佳的后量子安全簽名候選方案。簽名尺寸稍大，但若想阻止過早的量子恐慌（FUD），可設計一種新地址格式：結合Schnorr Taproot和SLH-DSA Tapleaf。證畢（QED）。未來工作：利用STARKs實現SLH-DSA的簽名聚合。」

當然，作為密碼學專家，他的話里用了很多術語，讓普通人難以很快理解。簡單地說，就是他認為由美國國家標準局（NIST）標準化的SLH-DSA算法（編號為FIPS 205）是目前最佳。這個SLH-DSA算法，其實就是教鏈在上面提到的SPHINCS+算法。

從技術上講，SLH-DSA算法的優勢在於無狀態設計和高安全性（僅依賴哈希函數），但簽名尺寸顯著大於傳統方案（如RSA或ML-DSA）。

然後他跟推作了一些補充解釋：

「你可以在未來幾年或幾十年內逐步遷移到新的地址格式，這種格式既能使用Schnorr簽名進行交易，又無需當下承擔SLH-DSA簽名帶來的空間和費用開銷。但若未來出現具備密碼學威脅的量子計算機，你已做好應對準備。  

我青睞SLH-DSA，因為它基於SPHINCS+——這一算法本身是對1982年Winternitz簽名的改進，而後者又源自1979年的Lamport簽名，且依賴簡單而穩健的數學假設。相比之下，其他多數NIST候選簽名方案基於未經充分驗證的新型數學假設，風險較高。  

Taproot地址本質上是未哈希的Schnorr公鑰，但可通過調整（tweak）來揭示一個Tapleaf（包含SLH-DSA或其他操作碼）。Taproot在設計之初便前瞻性地將Tapleaf的調整機制設計為抗量子安全的，以此替代哈希公鑰的方案，體現了更優的工程智慧。 」

根據大餅BIP 341的設計標準，Tapleaf的調整（tagged_hash("TapLeaf", ...)）使用抗量子哈希（如SHA-256），確保即使量子計算機出現，腳本路徑仍然安全。

他進一步解釋說：

「比特幣（應當對）量子計算做好準備，這樣我們就不會因為信息不對稱的混亂——那些對早期量子計算物理和算法漸進式改進的過度報道——而導致比特幣價格波動，畢竟量子計算要達到密碼學相關水平很可能還需要數十年時間。

在我看來最可能的結果是SLH-DSA永遠不會被實際使用，因為在具備密碼學意義的量子計算機建成之前很多年，它就會被更緊湊或支持簽名聚合的方案所取代。但我們必須超越這種愚蠢的短期恐慌。而且這種準備本身就具有漸進式的實用價值。」

還有網友問他，疑似屬於中本聰的那些持有大量BTC的早期挖礦地址怎麼處理。對此，他給出了個人的猜想：

「我猜我們終將知道中本聰是否還在，以及他是否會在抗量子地址啟用后的數十年間、但在具備密碼學威脅的量子超級計算機出現之前轉移那些比特幣。

如果最終真的出現了具備密碼學威脅的量子計算機，我們就能知道中本聰是否還在世並轉移這些幣。我的猜測是：對於那些屆時仍未移動的比特幣，ECDSA和Schnorr簽名方案將被棄用。」