比特币的量子安全讨论在代码与规范流程中获得了新的具体成果:BIP-360的更新草案已被合并至官方比特币改进提案库,该提案提出了一种与Taproot相邻的输出类型,旨在限制未来量子密钥恢复攻击的暴露风险。
这一变更的重要性不在于它当下"解决"了量子风险,而在于其规范了一条具体的可选路径,在保留Taproot脚本树功能的同时,移除了在量子威胁模型下被认为最成问题的支出路径。
比特币开发者迈出首步正式量子抗性举措
由Marathon Digital(MARA)孵化的研究平台Anduro在X平台上表示,此次合并的更新"引入了支付至默克尔根(P2MR)——一种拟议的新输出类型,它省略了Taproot中易受量子攻击的密钥路径支出,同时保持与Tapscript和脚本树的兼容性"。
根据BIP范畴,该提案被界定为"共识性软分叉",并将P2MR定义为新的SegWit v2输出,直接承诺于脚本树的默克尔根,而非像支付至Taproot(P2TR)那样承诺于经调整的公钥。实际影响很明确:P2MR输出只能通过脚本路径逻辑支出;密钥路径支出被完全移除。
该BIP的摘要从最小化变更同时为需要额外保护的用户提供选项的角度阐述了目标:
"本文档通过软分叉提议一种新的输出类型:支付至默克尔根(P2MR)。P2MR输出几乎具有与P2TR(支付至Taproot)输出相同的功能,但移除了密钥路径支出。"
它补充说明,预期保护是针对"密码学相关量子计算机(CRQC)的长期暴露攻击",以及"可能破解比特币所用椭圆曲线密码学(ECC)的未来密码分析手段"。
该BIP的一个关键要素是定义规范性:它区分了"长期暴露"攻击(公钥在链上长时间可用)与"短期暴露"攻击(针对未确认支出期间在内存池中短暂暴露的公钥)。
文档明确表示P2MR并非完整的量子护盾。"值得注意的是,提议的P2MR输出仅能抵抗对椭圆曲线密码学的'长期暴露攻击',即针对暴露时间超过确认支出交易所需时间段的密钥的攻击,"BIP声明。
"针对更复杂的量子攻击的保护,包括防止在交易等待确认时内存池中暴露的公钥的私钥恢复(又称'短期暴露攻击'),可能需要比特币引入后量子签名。"作者们补充说,他们"打算在进一步研究后为此目的提供单独提案"。
这种分割也是该提案强调tapscript兼容性的原因。它将P2MR定位为一种脚本树输出类型,如果比特币将来采用后量子签名操作码,它可以提供比不支持tapscript演进路径的旧脚本机制更清晰的升级路径。
Anduro强调,此变更设计为软分叉,且"不影响现有的Taproot输出"。P2MR将是一种新的输出类型(使用以bc1z开头的bech32m地址),而非对以bc1p开头的现有Taproot UTXO的改造。
该提案也不假装这种交换没有代价。通过移除密钥路径支出,P2MR放弃了Taproot最紧凑的见证路径(单个Schnorr签名)。BIP估计,最小的P2MR支出见证比Taproot密钥路径支出大37字节,但可能比同等的Taproot脚本路径支出小,因为P2MR的控制块省略了内部公钥。
隐私性也有所改变。因为每次支出都是脚本路径,P2MR用户必然暴露他们正在从脚本树支出——这是Taproot密钥路径支出可以避免 signaling 的。
Anduro表示,此次更新也"回应了关于比特币开发者未认真对待量子威胁的批评",并指出增加了Isabel Foxen Duke作为合著者,以使BIP"对普通公众而不仅仅是比特币开发者社区更清晰"。
BIP-360仍处于"草案"状态。但其合并到规范库中仍然是一个有意义的过程标志:它将量子安全对话从抽象的担忧和邮件列表假设推向了一个具体的共识变更提案,钱包、库和评审者现在可以逐行分析。
如果辩论有下一阶段,它可能将围绕像P2MR这样的"有备无患"的可选方案是否足够奠定基础,或者比特币最终是否需要直接应对后量子签名和大规模迁移价值的操作现实。
截至发稿时,BTC交易价格为66,558美元。
