比特幣加密並未因量子電腦而面臨風險，原因很簡單：它實際上並不存在

與普遍看法相反，量子電腦不會「破解」Bitcoin加密；實際上，任何現實的威脅都將集中於利用與已暴露公鑰相關的數位簽章。

量子電腦無法解密Bitcoin，因為鏈上並未儲存任何加密的祕密。

所有權是透過數位簽章和基於雜湊的承諾來強制執行，而不是密文。

真正重要的量子風險是授權偽造的風險。

如果一台具備密碼學相關能力的量子電腦能對Bitcoin的橢圓曲線密碼學執行Shor演算法，它就能從鏈上的公鑰推導出私鑰，然後產生一個有效的簽章來競爭花費。

許多「量子破解Bitcoin加密」的說法其實是術語錯誤。Bitcoin資深開發者及Hashcash發明人Adam Back在X上總結道：

「給量子FUD推廣者的專業提示：bitcoin並未使用加密。先把基本概念搞清楚，否則一看就露餡。」

另一則貼文更明確地做出了區分，指出量子攻擊者不會「解密」任何東西，而是會利用Shor演算法從暴露的公鑰推導出私鑰：

「加密是指隱藏資訊，只有持有金鑰的人才能讀取。Bitcoin並未這麼做。區塊鏈是一個公開帳本，任何人都能看到每一筆交易、每一個金額和每一個地址。沒有任何東西被加密。」

為什麼公鑰暴露而非加密才是Bitcoin真正的安全瓶頸

Bitcoin的簽章系統ECDSA和Schnorr用於證明對金鑰對的控制權。

在這種模式下，產生一個網路可接受的簽章即可花費幣。

這就是為什麼公鑰暴露是關鍵所在。

一個輸出是否暴露，取決於鏈上顯示的內容。

許多地址格式是對公鑰雜湊進行承諾，因此原始公鑰只有在交易被花費時才會暴露。

這縮短了攻擊者計算私鑰並發布衝突交易的時間窗口。

其他腳本類型則更早暴露公鑰，而地址重複使用會讓一次性暴露變成持續性目標。

Project Eleven的開源「Bitcoin Risq List」查詢在腳本和重複使用層面定義了暴露。

它標示出潛在Shor攻擊者已可取得公鑰的位置。

為什麼即使量子風險尚未迫在眉睫，今天也能加以衡量

Taproot以一種僅在大型容錯機器出現時才重要的方式改變了暴露模式。

Taproot輸出（P2TR）在輸出程式中包含一個32位元組的調整後公鑰，而不是公鑰雜湊，如BIP 341所述。

Project Eleven的查詢文件將P2TR與pay-to-pubkey及部分多重簽章形式一同列為輸出中可見公鑰的類別。

這在今天並未造成新的漏洞。

然而，若未來可行的金鑰恢復技術出現，這會改變預設暴露的內容。

由於暴露是可衡量的，易受攻擊的資金池今天就能被追蹤，而無需鎖定量子時間表。

Project Eleven表示其每週自動掃描並發布一份「Bitcoin Risq List」概念，旨在涵蓋每個量子易受攻擊地址及其餘額，詳見其方法論貼文。

其公開追蹤器 顯示約有 6.7 million BTC符合 其暴露標準。

在計算層面，關鍵區分在於邏輯量子位與物理量子位。

在論文《Quantum resource estimates for computing elliptic curve discrete logarithms》中，Roetteler及其合著者給出計算n位元質數域上的橢圓曲線離散對數最多需要9n + 2⌈log2(n)⌉ + 10個邏輯量子位的上限。

對於n = 256，約為2,330個邏輯量子位。

將其轉換為能以低失敗率運行深度電路的糾錯機器時，物理量子位的開銷和時序成為主導因素。

架構選擇決定了運行時間的廣泛範圍

Litinski於2023年的估算認為，256位元橢圓曲線私鑰計算約需50 million個Toffoli閘。

根據其假設，模組化方法可用約6.9 million個物理量子位在10分鐘內計算出一個金鑰。

在Schneier on Security對相關工作的總結中，估算值集中在約13 million個物理量子位以在一天內破解。

同一系列估算還提到，若目標是一小時窗口，則需約317 million個物理量子位，具體取決於時序和錯誤率假設。

對於Bitcoin操作而言，更直接的槓桿是行為和協議層級。

地址重複使用會增加暴露，而錢包設計則可減少暴露。

Project Eleven的錢包分析指出，一旦公鑰上鏈，未來回到同一地址的收款也會持續暴露。

如果金鑰恢復技術有朝一日能在一個區塊間隔內完成，攻擊者將與暴露輸出的花費競速，而非重寫共識歷史。

雜湊常被納入敘事，但量子槓桿在那裡是Grover演算法。

Grover對暴力搜尋提供平方根加速，而非Shor對離散對數的破解。

NIST針對Grover型攻擊實際成本的研究強調，開銷和錯誤修正決定了系統層級的成本。

在理想化模型下，對於SHA-256前像，經Grover後目標仍需約2^128的工作量。

這與ECC離散對數破解不可同日而語。

這就留下了簽章遷移問題，其限制在於頻寬、儲存、手續費和協調。

後量子簽章通常為數千位元組，而用戶習慣的是數十位元組。

這改變了交易權重經濟學和錢包用戶體驗。

為什麼量子風險是一個遷移挑戰，而非迫切威脅

在Bitcoin之外，NIST已將ML-KEM（FIPS 203）等後量子原語標準化，作為更廣泛遷移規劃的一部分。

在Bitcoin內部，BIP 360提出了一種「Pay to Quantum Resistant Hash」輸出類型。

同時，qbip.org主張淘汰舊有簽章以強化遷移誘因並減少暴露金鑰的長尾風險。

近期企業路線圖為該議題提供了基礎設施而非緊急狀態的背景。

根據Reuters近期報導，IBM討論了錯誤修正元件的進展，並重申了2029年前後實現容錯系統的路徑。

Reuters還在另一篇報導中提到，IBM聲稱一項關鍵的量子錯誤修正演算法可在傳統AMD晶片上運行。

在這種框架下，「量子破解Bitcoin加密」在術語和機制上都站不住腳。

可衡量的項目包括UTXO集合中有多少已暴露公鑰、錢包行為如何因暴露而改變，以及網路在保持驗證和手續費市場約束的同時，採用量子抗性花費路徑的速度。

本文最早發表於CryptoSlate，標題為Bitcoin encryption isn’t at risk from quantum computers for one simple reason: it doesn’t actually exist。