比特币后量子安全争议:开发者反驳“无人认真应对”说法

针对比特币后量子安全争论中“无人认真准备”的说法,比特币核心开发者马特·科拉洛进行了正面反驳。Blockstream预告将发布新操作码“OP_SHRINCSVERIFY”后,科拉洛公开强调“所谓‘比特币无人研究后量子密码’的恐慌言论与事实不符”。

科拉洛本周发文驳斥道:“那些散布恐慌的人不断声称比特币生态中无人研究后量子密码……”直接起因虽是Blockstream发布“OP_SHRINCSVERIFY”预览,但科拉洛指出的核心在于:这项提案并非突然冒出的想法,而是建立在已公开讨论的研究成果之上。

Blockstream通过介绍乔纳斯·尼克在OPNEXT 2026大会的演讲预告明确表示:“他将发布OP_SHRINCSVERIFY”。据其说明,该操作码是实现“SHRINCS”的新操作码,目标在于支持324字节的状态型后量子签名及“静态备份”。

从大会议程看,后量子议题并非局限于某个专场的一次性话题。主舞台安排有Project 11的亚历克斯·普鲁登以“量子比特币”为主题的演讲,随后还有布莱克罗克的罗伯特·米奇尼克与Coinbase的大卫·杜昂参与的“量子/投资者炉边谈话”环节。这意味着不仅在技术层面,机构与市场层面也已在持续关注“量子风险”。

科拉洛的核心信息很明确:无论对比特币应对量子计算的“时间表”持何种观点,“问题被搁置”的说法正日益失去说服力。

技术路径:混合签名方案的设计逻辑

尼克去年12月在《深入比特币》文章中介绍SHRINCS为基于哈希的混合签名设计。其基本构思是结合类似SPHINCS+的“无状态”签名方式与基于“非平衡XMSS”的“有状态”方式。目标是当钱包状态完好时享有状态型签名的效率,而在状态丢失或需恢复备份时,提供无状态方式作为“备用路径”。

尼克解释该方案“在仅需少量签名时极具效率”,且“可通过静态种子备份”。Bitcoin Optech也概括了相同的权衡:降低日常签名成本,但在状态完整性存疑时需承担更“重”的签名成本。

从比特币角度特别受关注的是签名大小。据尼克所述,常规路径下SHRINCS签名大小可表示为min(292 + q·16, s_l) + 16,其中q代表已通过状态路径生成的签名数量。当q=1时,即得出市场常提及的“324字节”数值。尼克称在此条件下,该尺寸比NIST标准化方案ML-DSA“至少小11倍”。

尼克与米哈伊尔·库迪诺夫此前发表的论文揭示了更宏大的图景。哈希基签名之所以成为比特币后量子候选方案的有力竞争者,在于其安全性可归约至哈希函数假设,同时能保持较小的公钥大小,并将每字节验证成本控制在实用范围内。

尚未尘埃落定:持续讨论中的权衡

但这并不意味着“比特币的后量子路线图已最终确定”。尼克的文章最初就以征询反馈的形式发布,后续邮件列表讨论中也暴露出诸多未决问题,如硬件性能、签名限额、钱包设计,以及是否将有状态与无状态方式共同标准化等。Bitcoin Optech同样将SHRINCS视为围绕共识变更进行中的讨论的一部分,而非“已采纳的升级”。

在此背景下,科拉洛的“尖锐回应”意义明确:比特币虽未“解决”后量子密码问题,但已在公开场合以具体提案、成本效率权衡分析乃至附带具体操作码的形式持续推进工程实现。在恐惧与懈怠之间摇摆的量子争论中,OP_SHRINCSVERIFY至少标志着讨论已从“抽象层面”下沉至“可实现的工程设计”。

后量子讨论进入工程实践阶段

围绕OP_SHRINCSVERIFY、SHRINCS、有状态/无状态签名权衡的讨论表明,比特币的后量子密码探讨已不再是“模糊的恐惧”,而是进入了需要具体权衡成本、效率与共识变更的工程实践阶段。

这意味着投资者需要的不是片面的新闻标题,而是系统性地解读协议变化对价格、风险与市场周期影响的能力。