比特币核心开发者Matt Corallo本周借Blockstream的新公告驳斥了量子争论中一个熟悉的论调:没有人在认真研究比特币的后量子密码学。直接导火索是Blockstream对OP_SHRINCSVERIFY的预览,但更广泛的论点是这项工作并非凭空出现;它建立在已经公开发表和讨论的研究基础上。
比特币的后量子批评者是错误的
Corallo的帖子直言不讳:“比特币的FUD(恐惧、不确定、怀疑)散布者一直试图宣称没人在研究比特币的后量子密码学(PQC)...” Blockstream则将Jonas Nick在OPNEXT 2026(2026年4月16日)的演讲围绕一个具体的技术成果而非模糊的承诺进行框架构建,称“他将介绍OP_SHRINCSVERIFY”。该提案被描述为“一个启用SHRINCS的新操作码”,这是一种旨在实现324字节有状态后量子签名与静态备份的构建。
活动阵容本身也强化了Corallo的观点。量子话题并非仅与Jonas Nick的OP_SHRINCSVERIFY会议相关的一次性提及。主舞台日程还包括Project 11的Alex Pruden演讲“量子比特币”,以及随后BlackRock的Robert Mitchnick和Coinbase的David Duong参与的“量子/投资者炉边谈话”。
换句话说,后量子风险及其应对措施在议程的技术和机构层面都反复出现。
潜台词很难被忽视:无论人们对比特币的量子时间表有何看法,声称该问题被忽视的说法越来越难以维持。
SHRINCS究竟是什么
Nick在12月于Delving Bitcoin上的一篇文章中阐述了SHRINCS,它是一种混合的基于哈希的签名设计,结合了无状态方案(如SPHINCS+)和基于非平衡XMSS的有状态方案。设计目标是在钱包状态完好时获得有状态签名的效率优势,同时在状态丢失或必须恢复备份时保持可用的无状态回退。
用Nick的话说,该方案“在只需要少量签名时极其高效”,并且“可以用静态种子备份”。Bitcoin Optech后来更直白地总结了同样的权衡:正常路径签名更便宜,在状态完整性存疑时回退签名更重。
这个效率主张正是该提案对比特币(BTC)有趣的地方。Nick写道,正常路径SHRINCS签名大小为 min(292 + q·16, s_l) + 16,其中q是已通过有状态路径产生的签名数量。当q = 1时,得到了现在流传的324字节数字,他表示这比在相同设置下最小的NIST标准化替代方案ML-DSA小了11倍多。
Nick和Mikhail Kudinov早先的论文为基于哈希的签名在比特币中的应用提供了更广泛的理由,认为它们是有吸引力的后量子候选方案,因为它们的安全性归结为哈希假设,同时保持公钥小巧且每字节验证成本在可行范围内。
所有这些并不意味着比特币突然有了一个确定的后量子路线图。Nick在Delving上的文章明确邀请反馈,12月的邮件列表讨论提出了关于硬件性能、签名限制、钱包设计以及比特币是否应同时标准化有状态和无状态方案等未解决的问题。Bitcoin Optech也将SHRINCS作为持续共识变更讨论的一部分进行报道,而非作为已采用的升级。
这就是为什么Corallo的抨击很重要。更精确的框架不是BTC已经解决了后量子密码学,而是工程工作已经在公众视野中进行,有具体的提案、具体的权衡,并且越来越具体的操作码与之关联。
对于一场经常在自满和恐慌之间摇摆的辩论来说,OP_SHRINCSVERIFY是更接地气的证据:比特币的后量子讨论不再是理论上的空谈,即使它仍然很大程度上是一个研究问题。
截至发稿时,BTC交易价格为66,630美元。
