量子计算能攻破 BTC ？一文看懂抗量子加密

关于“量子计算机能否破解 BTC”的讨论最近又火了。

当下的加密机制对于传统 CPU、GPU 仍然非常安全，但量子计算机的出现，确实会让某些加密算法在未来能够被更快地攻破。

“后量子加密”（PQC）正是为了解决这个问题：在量子计算机真正大规模到来之前，提前把加密机制升级到足够强的水平，即便未来的计算速度提升数个量级，也不至于被轻易破解。

本文将从四个部分快速介绍：

1. 量子计算的原理与威胁
2. 后量子密码学（PQC）是什么
3. PQC 安全等级如何划分
4. 钱包与 BTC 如何在量子时代提前做好准备

量子计算的原理和威胁

现代密码体系（包括区块链）主要建立在四类算法之上：

• 对称加密（AES、ChaCha20 等）
• 非对称加密（RSA、ECDH、ML-KEM 等）
• 哈希算法（SHA、HMAC 等）
• 签名算法（ECDSA、ML-DSA 等）

这些算法的安全性依赖于经典计算机的性能限制：
例如要反推出原始输入、逆向 Hash、或从公钥推导私钥，即便是超级计算机也需要几十年到上千年。

但量子计算机引入了两种强力算法：

Shor 算法

可在量子计算机上“超指数级”加速大数分解与离散对数攻击。
→ 直接威胁 RSA、ECDH、ECDSA（ECC 系列）。

Grover 算法

可“指数级”加速暴力搜索。
→ 使对称加密与 Hash 的位强度等效减半，例如：

• AES-256 在量子条件下 ≈ AES-128 的强度
• Hash 搜索复杂度从 O(N) 降到 O(√N)

因此，非对称加密体系将首先受到量子攻击影响。

业界也因此进入 PQC Ready 阶段：
在传统算法仍安全的前提下尽量复用；在不安全的部分使用新的安全算法（如模格密码学）。

NIST 目前选出的后量子算法包括：

• ML-KEM（密钥协商）
• ML-DSA（签名算法）
• SLH-DSA（基于哈希/默克尔树的稳健备选方案）

这些算法能抵抗 Shor 级别的量子攻击。

NIST PQC 安全评级是什么？为什么重要？

NIST 定义了 5 个安全等级（Level 1–5），用于衡量算法在“量子 + 经典”攻击下的强度。

简单理解如下：

如果一个密码系统能在量子时代保持类似 AES-256 的难度，就可视为达到了 Level 5——也就是未来长期安全的高等级标准。

OneKey 当前的密码学设计

在 OneKey App 中，我们使用：

对称加密：AES-CBC-256
密钥派生：PBKDF2-HMAC-SHA256

AES-CBC-256

• 位强度非常高
• 在量子条件下也依旧安全（Grover 只能将其等效减半 → 仍然是 AES-128 的安全强度）

PBKDF2-HMAC-SHA256

• 目前仍是全球最常用、最可信赖的密钥派生函数之一
• 原理是通过 hash + 多轮迭代，将密码转成 256 bit 的高强度密钥
• Android、iOS 的锁屏加密体系都在使用
• 在量子条件下，如黑客试图 逆向原文密码，Grover 攻击仍需要极高成本，可达到 PQC Level 5

整体安全等级

在 密钥不泄漏且派生路径安全 的前提下，OneKey 当前方案可被认为整体达到了 NIST PQC Level 5。

我们也在为下一阶段做准备：

• 升级密钥协商算法为 ML-KEM
• 升级签名算法为 ML-DSA
• 提升 Hash 安全强度
  确保整个产品链条能够顺利进入后量子时代。

比特币的抗量子现状

以 BTC 为例，看量子计算对其影响：

BTC 的弱点

比特币使用 ECDSA（secp256k1） 来签名交易。
一旦公钥暴露，量子计算机理论上可以用 Shor 算法快速推导私钥。

特别是：

• 已使用过的地址（公钥已上链）风险高
• 未使用过的地址（仅有公钥哈希）风险低
  • 因为反推 Hash = PQC Level 5 难度

OneKey 的应对方式：BTC 多地址模式

OneKey App 已支持 BTC 多地址模式：
每次交易后自动生成“新找零地址”。
新地址的公钥从未暴露，更安全，隐私程度更高。  

缓冲期仍然存在

• 当前量子计算机还无法攻击比特币
• 但未来迁移到 PQC 签名算法将是一个巨大的技术和治理挑战

用户建议

• 尽量使用 未暴露公钥的新地址
• 避免地址重复使用
• 避免长期持有在旧地址
• 将 量子安全 纳入长期资产规划

无需恐慌，但必须提前准备。