量子時代區(qū)塊鏈技術(shù)白皮書

1、目錄 HYPERLINK l _bookmark0 引言 1 HYPERLINK l _bookmark1 量子計算與密碼學(xué) 1 HYPERLINK l _bookmark2 量子計算 1 HYPERLINK l _bookmark3 量子計算對密碼學(xué)的影響 2 HYPERLINK l _bookmark4 非對稱密碼算法 2 HYPERLINK l _bookmark5 對稱密碼算法 2 HYPERLINK l _bookmark6 哈希算法 3 HYPERLINK l _bookmark7 量子隨機(jī)數(shù) 3 HYPERLINK l _bookmark8 區(qū)塊鏈與密碼學(xué) 3 HYPERLINK

2、 l _bookmark9 非對稱密碼算法在區(qū)塊鏈中的應(yīng)用 3 HYPERLINK l _bookmark10 對稱密碼算法在區(qū)塊鏈中的應(yīng)用 4 HYPERLINK l _bookmark11 哈希算法在區(qū)塊鏈中的應(yīng)用 5 HYPERLINK l _bookmark12 隨機(jī)數(shù)產(chǎn)生算法在區(qū)塊鏈中的應(yīng)用 6 HYPERLINK l _bookmark13 量子計算對區(qū)塊鏈的影響 6 HYPERLINK l _bookmark14 量子計算對非許可區(qū)塊鏈的影響 7 HYPERLINK l _bookmark15 量子計算對許可區(qū)塊鏈的影響 8 HYPERLINK l _bookmark16 小結(jié)

3、9 HYPERLINK l _bookmark17 總結(jié)與工作展望 10 HYPERLINK l _bookmark18 縮略語列表 12 HYPERLINK l _bookmark19 參考文獻(xiàn) 13引言量子計算利用量子態(tài)疊加特性，通過量子態(tài)的受控演化實現(xiàn)數(shù)據(jù)的存儲計算，具有巨大的信息攜帶和超強(qiáng)的并行處理能力，近年來量子計算機(jī)的發(fā)展呈現(xiàn)加速 趨勢，對傳統(tǒng)密碼學(xué)領(lǐng)域?qū)a(chǎn)生顛覆性影響。區(qū)塊鏈作為新型信息處理技術(shù)，在 信任建立、價值表示和傳遞方面有不可取代的優(yōu)勢，這些優(yōu)勢建立在以密碼學(xué)作 為核心技術(shù)的基礎(chǔ)之上，區(qū)塊鏈將受到量子計算的較大影響3-4。本白皮書聚焦 量子計算對區(qū)塊鏈技術(shù)的影響，提出相應(yīng)

4、的措施和建議，為即將到來的量子時代 構(gòu)建安全的區(qū)塊鏈提供技術(shù)建議。量子計算與密碼學(xué)量子計算量子計算是基于量子力學(xué)的全新計算模式，以微觀粒子構(gòu)成的量子比特為基本單元，利用量子疊加和糾纏等物理特性，通過量子態(tài)的受控演化實現(xiàn)數(shù)據(jù)的表示計算。相對于傳統(tǒng)電子計算機(jī)使用比特作為基本單元，量子計算使用的量子比特具有態(tài)疊加特性：量子信息單元的狀態(tài)可以處于多種可能性的疊加狀態(tài)，隨著量子比特數(shù)量增加，量子計算算力可呈指數(shù)級規(guī)模增長，具有經(jīng)典信息處理無法比擬的巨大信息攜帶和超強(qiáng)并行處理能力。目前已有量子算法利用量子力學(xué)效應(yīng)解決特定的密碼學(xué)問題，其效率比經(jīng)典計算機(jī)更高。量子計算依賴于量子的物理特性，由于量子容易受到物

5、理環(huán)境影響（如溫度、磁場、壓力等），導(dǎo)致量子計算自身容易出錯。因此，量子算法的電路需要額外的量子比特進(jìn)行糾錯，在工程實踐中實現(xiàn)特定功能的量子計算機(jī)比理論上更加復(fù)雜。研究機(jī)構(gòu)預(yù)測，未來 10 年有可能建造一臺能夠破解當(dāng)前強(qiáng)度密碼算法的量子計算機(jī)5?？紤]到量子計算的發(fā)展趨勢，有必要提前為信息安全系統(tǒng)做好準(zhǔn)備，使其能夠應(yīng)對這種未來必然面對的威脅6。例如，區(qū)塊鏈中的存儲數(shù)據(jù)可能需要多年的保護(hù)，具有較長的生命周期，因此需要足夠的安全手段，以確保在數(shù)據(jù)的生命周期內(nèi)對預(yù)期的安全威脅進(jìn)行防范。量子計算對密碼學(xué)的影響非對稱密碼算法非對稱密碼算法中存在一對公私密鑰，私鑰一般是個人持有，不能被其他人獲??；公鑰一般可

6、公開。非對稱密碼算法可用于數(shù)字簽名、身份認(rèn)證、數(shù)據(jù)加密等場景。利用量子計算機(jī)，Shor 量子算法能夠在多項式時間解決整數(shù)分解問題7。 RSA 算法的安全性依賴于分解大整數(shù)的困難性，因此，量子計算機(jī)最終削弱了系統(tǒng)的安全性。Shor 算法也使得量子計算機(jī)能夠在多項式時間解決有限域和橢圓曲線上的離散對數(shù)問題。該變體導(dǎo)致其他多種公鑰密碼算法不再安全，包括 ECDSA 和 Diffie-Hellman。為了應(yīng)對量子計算對非對稱密碼學(xué)的威脅，有必要將現(xiàn)有的算法替換成新的抗量子的算法。但是，對于目前備選的抗量子算法的研究比傳統(tǒng)的公鑰算法的研究要少得多。因此，需要在對抗量子威脅和確保使用穩(wěn)定且經(jīng)過測試的系統(tǒng)之

7、間取得平衡。對稱密碼算法對稱密碼算法中加密密鑰和解密密鑰相同，一般用于數(shù)據(jù)加密。Grover 搜索算法對非結(jié)構(gòu)化的搜索問題提供二次方的加速8。將其應(yīng)用于對稱密碼算法，可通過 O(2N/2)次量子運算恢復(fù) N 位密鑰。在實際應(yīng)用中，Grover 算法提供的加速取決于多種因素，例如量子位數(shù)量、量子糾錯能力等。有研究指出，隨著量子計算機(jī)的發(fā)展，128 位 AES 算法的安全性會有所降低，但不會降低至相當(dāng)于 64 位的安全性。業(yè)內(nèi)研究表明，將密鑰長度延長一倍，就足夠應(yīng)對量子計算對對稱密碼算法的威脅。哈希算法哈希算法（Hash 算法，也叫散列算法）可將一串任意長度二進(jìn)制值輸入映射為一串較短的固定長度的二

8、進(jìn)制值，輸出值稱為哈希值，也叫摘要或者指紋。Grover 算法對也能影響散列算法的安全。有研究認(rèn)為，對 SHA-256 算法的單一原像攻擊需要大約 2166 次操作，而不是理論上的 2128 次9。碰撞是散列算法安全性的另一度量，對于尋找碰撞，目前尚沒有公開比經(jīng)典算法更加有效的量子算法。量子隨機(jī)數(shù)由于量子狀態(tài)具有隨機(jī)性，利用該特點提取出的隨機(jī)數(shù)稱為量子隨機(jī)數(shù)，與從經(jīng)典物理噪聲（如熱噪聲，電噪聲等）中提取的隨機(jī)數(shù)相比隨機(jī)性更高。區(qū)塊鏈與密碼學(xué)區(qū)塊鏈?zhǔn)腔趬K鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)、密碼學(xué)、分布式節(jié)點共識等技術(shù)組成的一種全新的分布式基礎(chǔ)架構(gòu)與計算范式。密碼學(xué)作為區(qū)塊鏈的核心技術(shù)之一，是確保區(qū)塊鏈安全運作的基石

9、。非對稱密碼算法在區(qū)塊鏈中的應(yīng)用在區(qū)塊鏈技術(shù)中，非對稱密碼算法被廣泛用于確保保密性、真實性、完整性、不可否認(rèn)性和隱私性。具體可用于以下用途：參與方身份認(rèn)證：在許可區(qū)塊鏈中，節(jié)點首先經(jīng)過身份認(rèn)證加入?yún)^(qū)塊鏈網(wǎng)絡(luò)中，基于身份進(jìn)行節(jié)點及參與者權(quán)限管理及監(jiān)管等，身份認(rèn)證可基于公私鑰體系。以 Hyperledger Fabric 為例，其提供了一個成員身份服務(wù)MSP（Membership Service Provider），使用基于 ECDSA 算法的數(shù)字證書管理用戶身份。成員提交交易、訪問通道賬本及修改網(wǎng)絡(luò)配置等操作基于身份及策略進(jìn)行授權(quán)，并會被適當(dāng)記錄和披露以用于監(jiān)管審計。所有權(quán)認(rèn)證：在一些使用 UT

10、XO（Unspent Transaction Outputs）機(jī)制的區(qū)塊鏈系統(tǒng)中，賬戶資產(chǎn)的所有權(quán)是通過密鑰和簽名來確立的，公鑰或經(jīng)轉(zhuǎn)換后用于接收資產(chǎn)，私鑰用于支付這筆資產(chǎn)時的交易簽名。公私鑰間的數(shù)學(xué)關(guān)系，使得節(jié)點可通過驗證簽名和公鑰之間的關(guān)系來確定資產(chǎn)是否由簽名者所擁有進(jìn)而驗證交易是否有效。例如，比特幣使用基于 secp256k1 橢圓曲線簽名算法進(jìn)行支付賬戶所有權(quán)的驗證，進(jìn)而完成資產(chǎn)轉(zhuǎn)移和交易。背書簽名：一些區(qū)塊鏈系統(tǒng)使用背書機(jī)制，即存在承擔(dān)背書任務(wù)的節(jié)點為區(qū)塊鏈交易進(jìn)行交易信息驗證，對驗證通過的交易聲明此交易合法，當(dāng)收到足夠多的背書節(jié)點的結(jié)果后，表示這個交易已經(jīng)正確背書。背書節(jié)點必須通過

11、有效簽名來證明本節(jié)點對這筆交易的認(rèn)可。比如 Hyperledger Fabric 中，背書節(jié)點（Endorser）模擬執(zhí)行鏈碼后生成提議結(jié)果，并對結(jié)果進(jìn)行背書，即利用基于 ECDSA 算法的私鑰對結(jié)果進(jìn)行簽名。消息完整性保護(hù)：對消息進(jìn)行簽名可用于消息的完整性驗證，如傳輸和存儲中的交易。具體算法與上述簽名算法一致。通信保護(hù)：一些數(shù)據(jù)隱私要求比較高的應(yīng)用中，需要對數(shù)據(jù)在區(qū)塊鏈網(wǎng)絡(luò)中的傳輸通道進(jìn)行安全保護(hù)，一般會使用 TLS 機(jī)制，應(yīng)用非對稱密碼算法及證書體系進(jìn)行身份認(rèn)證和密鑰分發(fā)，從而在節(jié)點間建立安全通道。通常采用 RSA、ECDSA 等非對稱密碼算法。隱私保護(hù)：一些對賬戶隱私要求比較高的應(yīng)用中，

12、需要確保交易雙方的身份匿名化。目前有環(huán)簽名、群簽名等簽名機(jī)制用于身份認(rèn)證或交易驗證中混淆或隱藏身份。對稱密碼算法在區(qū)塊鏈中的應(yīng)用對稱密碼算法中只存在一個密鑰，用于發(fā)送和接收雙方對明文進(jìn)行加解密。在區(qū)塊鏈中可用于模糊數(shù)據(jù)及隱私保護(hù)，比如 Hyperledger Fabric 中，使用常見的加密算法（如 AES）對鏈碼中的部分或全部值進(jìn)行加密，然后再將交易發(fā)送給排序服務(wù)并將區(qū)塊添加到賬本中，一旦加密數(shù)據(jù)被寫入賬本，就只能由擁有用于生成密碼文本的相應(yīng)密鑰的用戶解密。哈希算法在區(qū)塊鏈中的應(yīng)用哈希算法具有正向快速、逆向困難的特點，即給定輸入和 Hash 算法，在有限時間和資源內(nèi)能計算出哈希值，但反過來，

13、給定哈希值，在有限時間內(nèi)很難逆推出明文。另外，哈希算法對輸入敏感和輸入信息修改會極大影響輸出值，而優(yōu)秀的 Hash 算法應(yīng)該具備抗碰撞能力，即，很難找到兩個不同的輸入，產(chǎn)生相同的哈希值。基于上述特征，在區(qū)塊鏈技術(shù)中，Hash 算法被用于以下用途：生成賬戶地址：在一些分布式賬本系統(tǒng)中，賬戶地址基于賬戶所有者的公鑰的哈希值生成，以比特幣為例，以公鑰 K 為輸入，計算其 SHA256哈希值，并以此結(jié)果計算 RIPEMD160 哈希值，得到一個長度為 20 字節(jié)的字符串，編碼后即為地址，即，Address = Base58check (RIPEMD160 (SHA256(K)。在公開的交易記錄中使用公

14、鑰的哈希值，可以在標(biāo)識交易相關(guān)方的同時減少公鑰的暴露，降低使用公鑰推導(dǎo)出私鑰的風(fēng)險，尤其是對于金融類應(yīng)用的收款方，作為密鑰被公開的唯一代表，哈希后的地址更便于廣泛分發(fā)使用。構(gòu)建 Merkle 樹：Merkle 樹的葉節(jié)點包含存儲數(shù)據(jù)或其哈希值，中間節(jié)點以及根節(jié)點是它子節(jié)點內(nèi)容的哈希值。底層數(shù)據(jù)的任何變動，都會傳 遞到父節(jié)點直到根節(jié)點。區(qū)塊鏈中可對區(qū)塊內(nèi)的所有交易構(gòu)建 Merkle 樹，把 Merkle 根記在區(qū)塊頭里，區(qū)塊內(nèi)任意一筆交易的改變都會影響 Merkle 根及葉節(jié)點到根節(jié)點之間中間節(jié)點的值，因此可以快速發(fā)現(xiàn)及定位區(qū)塊 內(nèi)的交易篡改；另外，Merkle 樹也可以用于快速交易驗證，即判斷

15、一筆 交易是否已經(jīng)寫入一個區(qū)塊中：只需要提供 Merkle 樹從葉子節(jié)點到根 的路徑，并進(jìn)行對數(shù)級的哈希運算和驗證，就可以判斷交易是否屬于該區(qū)塊。鏈接區(qū)塊：區(qū)塊鏈?zhǔn)怯砂灰仔畔⒌膮^(qū)塊從后向前有序鏈接起來的數(shù)據(jù)結(jié)構(gòu)，每個區(qū)塊頭中都包含它的父區(qū)塊頭的哈希值，通過把每個區(qū)塊鏈接到各自父區(qū)塊的哈希值序列就創(chuàng)建了一條可以追溯到創(chuàng)世區(qū)塊的鏈條。任何一個區(qū)塊的篡改都可以通過檢查后一個區(qū)塊的記錄來發(fā)現(xiàn)，除非篡改后面所有的區(qū)塊。競爭記賬權(quán)：在使用 PoW（Proof of Work，工作量證明）競爭記賬權(quán)來達(dá)成共識的區(qū)塊鏈系統(tǒng)中，節(jié)點通過驗證區(qū)塊的工作量證明來決定是否接收該區(qū)塊，驗證要求區(qū)塊頭中的哈希值滿足特

16、定特征，基于區(qū)塊尋找滿足要求的哈希值需要大量的運算，因此這個哈希值可以被視作工作量證明。處理大文件或隱私數(shù)據(jù)：為了處理大文件或隱私數(shù)據(jù)保護(hù)，可將原始事務(wù)數(shù)據(jù)哈希處理后存于鏈上。比如，在一些存證類區(qū)塊鏈應(yīng)用中，通過對鏈上哈希值與鏈下原始數(shù)據(jù)的對比，可驗證原始數(shù)據(jù)是否可信，同時可減少區(qū)塊鏈存儲空間需求或降低原始數(shù)據(jù)公開程度。隨機(jī)數(shù)產(chǎn)生算法在區(qū)塊鏈中的應(yīng)用隨機(jī)數(shù)產(chǎn)生算法在區(qū)塊鏈中有廣泛應(yīng)用，最為典型的用于產(chǎn)生公私鑰對的種子。傳統(tǒng)隨機(jī)數(shù)發(fā)生器有使用軟件產(chǎn)生的偽隨機(jī)數(shù)，以及使用硬件物理噪聲產(chǎn)生的隨機(jī)數(shù)。量子計算對區(qū)塊鏈的影響非許可區(qū)塊鏈和許可區(qū)塊鏈都具有鏈上數(shù)據(jù)不可篡改、鏈上數(shù)據(jù)可信的特性，但兩者在鏈的

17、接入控制、用戶的賬戶管理方面有顯著差異，這導(dǎo)致兩者在非對稱 密碼算法的使用范圍和程度上有顯著不同。量子計算對非許可區(qū)塊鏈的影響以比特幣為代表的非許可區(qū)塊鏈沒有接入控制，任何人都可以加入鏈中進(jìn)行區(qū)塊鏈上的操作。大多數(shù)非許可區(qū)塊鏈?zhǔn)褂没诠ぷ髁孔C明的共識機(jī)制確定記賬節(jié)點，將交易數(shù)據(jù)上鏈。量子計算技術(shù)對非許可區(qū)塊鏈各種功能的影響如下：接入控制：量子計算技術(shù)對非許可區(qū)塊鏈的接入控制沒有影響，因為非許可區(qū)塊鏈沒有采用密碼學(xué)技術(shù)對鏈的接入進(jìn)行控制。共識機(jī)制：工作量證明是對哈希函數(shù)的輸入進(jìn)行求解，要求其哈希值需滿足特定特征，為此每個節(jié)點需要不斷改變哈希函數(shù)輸入值進(jìn)行運算，首先得到答案的節(jié)點獲得記賬權(quán)。目前普

18、遍認(rèn)為常用的哈希函數(shù)（如 SHA-256、SM3）10能夠抗量子計算攻擊，因為目前所知的 Grover 量子算法及其變體還沒有傳統(tǒng)的算法對哈希函數(shù)求碰撞解的速度快。因此，量子計算技術(shù)對共識機(jī)制基本上沒有影響。鏈上數(shù)據(jù)：區(qū)塊上的交易數(shù)據(jù)的完整性由哈希值保證。每個區(qū)塊通過使用哈希函數(shù)對上一個區(qū)塊的區(qū)塊頭進(jìn)行運算所得哈希值與上一個區(qū)塊進(jìn)行鏈接，從而形成鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)。攻擊者要篡改區(qū)塊鏈上的交易數(shù)據(jù)，需要能夠破解使用的哈希函數(shù)，而目前常用的哈希函數(shù)（如 SHA-256、 SM3）是能夠抗量子計算攻擊的。目前的研究表明，量子計算技術(shù)對鏈上交易數(shù)據(jù)的完整性基本沒有威脅。如果鏈上數(shù)據(jù)使用對稱算法進(jìn)行加密，其安

19、全強(qiáng)度相當(dāng)于經(jīng)典計算中密鑰長度減半的效果。賬戶管理：非許可區(qū)塊鏈一般采用用戶客戶端（以下簡稱客戶端）的方式管理用戶賬戶。客戶端里可以包含多個公私鑰對用于轉(zhuǎn)賬交易，即客 戶端與公私鑰對不是一對一的關(guān)系。客戶端的訪問控制一般采用口令短 語的方式。只要口令短語的有效信息長度為 256 位，量子計算技術(shù)也不 能在有效時間內(nèi)破解用戶私鑰。與傳統(tǒng)的軟件和硬件隨機(jī)數(shù)發(fā)生器相比，采用量子隨機(jī)數(shù)發(fā)生器可以提升密鑰的隨機(jī)性，增加密鑰安全強(qiáng)度。交易：非許可區(qū)塊鏈上交易時，發(fā)送方使用自己的私鑰對交易信息進(jìn)行簽名，并把交易信息、簽名以及與私鑰對應(yīng)的公鑰在區(qū)塊鏈上公布。接受方使用收到的公鑰對簽名進(jìn)行驗證以確定交易信息的真

20、實性。由于交易使用了非對稱密碼算法，量子計算技術(shù)將對交易產(chǎn)生重大影響。攻擊者使用 Shor 算法有可能從鏈上的公鑰推導(dǎo)出私鑰，從而能篡改交易信息并偽造簽名。一些非許可區(qū)塊鏈建議用戶每次交易使用不同的公私鑰對，這在一定程度上可以減輕這種影響。隱私保護(hù)：有些非許可區(qū)塊鏈采用零知識證明的方法來隱藏交易信息。隱藏信息的方法是基于橢圓曲線密碼技術(shù)的同態(tài)加密來實現(xiàn)。量子計算 技術(shù)能夠在有效時間內(nèi)破解橢圓曲線密鑰，從而使隱私保護(hù)的方法失效。量子計算對許可區(qū)塊鏈的影響以 Hyperledger Fabric 為代表的許可區(qū)塊鏈依賴 PKI 技術(shù)對用戶接入?yún)^(qū)塊鏈以及用戶在鏈上的角色進(jìn)行控制。許可區(qū)塊鏈一般基于簽

21、名背書的機(jī)制的共識機(jī)制以使分布節(jié)點達(dá)成共識，并通過排序節(jié)點把數(shù)據(jù)上鏈。量子計算技術(shù)對許可區(qū)塊鏈的各種功能的影響如下：接入控制：針對依賴 PKI 技術(shù)進(jìn)行接入控制的許可區(qū)塊鏈，量子計算技術(shù)對接入控制有非常大的影響。PKI 基本上使用非對稱密碼算法構(gòu)建而成。攻擊者使用 Shor 算法可以從 CA 的公鑰推演出 CA 的私鑰，從而可以偽造任何用戶身份接入許可區(qū)塊鏈。共識機(jī)制：基于簽名背書作為實現(xiàn)共識機(jī)制基礎(chǔ)的區(qū)塊鏈中，簽名一般使用非對稱密碼算法，因此量子計算技術(shù)對共識機(jī)制有很大影響，例如偽造背書結(jié)果。鏈上數(shù)據(jù)：與非許可區(qū)塊鏈相似，區(qū)塊上的數(shù)據(jù)的完整性由哈希函數(shù)保證。區(qū)塊之間基于哈希值進(jìn)行相互鏈接。攻

22、擊者要篡改鏈上數(shù)據(jù)，需要能夠破解使用的哈希函數(shù)，而目前的普遍認(rèn)知是安全標(biāo)準(zhǔn)化的哈希函數(shù)是能夠抗量子攻擊的。因此，量子計算技術(shù)對鏈上交易數(shù)據(jù)的完整性基本沒有威脅。如果鏈上數(shù)據(jù)使用對稱算法進(jìn)行加密，其安全強(qiáng)度相當(dāng)于經(jīng)典計算中密鑰長度減半的效果。賬戶管理：用戶的身份由 CA 通過證書的方式確定和發(fā)布。一般一個用戶在一個許可區(qū)塊鏈上只有一個證書。證書對應(yīng)私鑰的訪問控制一般采用短語口令的方式。只要短語口令的有效長度為 256 位,量子計算技術(shù)也不能在有效時間內(nèi)獲得破解對私鑰的訪問控制。但是由于證書是公開信息，攻擊者使用 Shor 算法能從證書中的公鑰推導(dǎo)出相應(yīng)的私鑰，從而使賬戶管理失效。交易：許可區(qū)塊鏈

23、上交易時，發(fā)送方使用自己的私鑰對交易信息進(jìn)行簽名，并把交易信息，簽名，以及與私鑰對應(yīng)的證書在區(qū)塊鏈上公布。接受方使用收到的公鑰對簽名進(jìn)行驗證確定交易信息的真實性。由于交易使用了非對稱算法，量子計算技術(shù)將對交易產(chǎn)生重大影響。攻擊者使用 Shor 算法破解 CA 的私鑰后，可以偽造任何證書并發(fā)起交易，從而使許可鏈上的交易失去真實性。隱私保護(hù)：許可區(qū)塊鏈存在兩種方法來實現(xiàn)隱私保護(hù)：零知識證明、交易通道。比較成熟的零知識證明方法一般都基于非對稱密碼算法構(gòu)建，因此不能抵抗量子計算的攻擊。交易通道用于保證鏈上的信息只能由本鏈的參與者訪問，通道內(nèi)的通信使用基于使用證書的 TLS 保護(hù)。使用證書的 TLS 要

24、使用非對稱算法對通道雙方進(jìn)行驗證并建立加密密鑰，攻擊者使用 Shor 算法破解證書后，可以實現(xiàn)中間人攻擊獲得加密密鑰，從而獲得交易信息。小結(jié)密碼算法是區(qū)塊鏈健康發(fā)展的基礎(chǔ)。未來量子計算技術(shù)的普及后，將對現(xiàn)有密碼算法體系產(chǎn)生沖擊，因此會對現(xiàn)有區(qū)塊鏈系統(tǒng)和應(yīng)用產(chǎn)生潛在安全挑戰(zhàn)。對于非許可區(qū)塊鏈，其賬戶管理、鏈上數(shù)據(jù)等功能不受影響，但交易過程受到影響；對于許可區(qū)塊鏈，其賬戶管理、交易過程、共識機(jī)制等功能可能存在安全風(fēng)險。我們也應(yīng)認(rèn)識到，量子計算機(jī)仍面臨量子比特相干態(tài)維持時間短、需要大量冗余量子比特維持精度等眾多基礎(chǔ)工程問題，近期尚不會對密碼算法產(chǎn)生實質(zhì)影響。我們應(yīng)以此為契機(jī)，提前布局，加大國產(chǎn)密碼算

25、法和量子安全的密碼算法攻關(guān)，構(gòu)建量子安全的區(qū)塊鏈體系，保障區(qū)塊鏈生態(tài)的安全發(fā)展?？偨Y(jié)與工作展望目前業(yè)界普遍認(rèn)為大規(guī)模量子計算機(jī)將在 2030 年左右出現(xiàn)，提前規(guī)劃和研究引入量子安全算法已勢在必行。中國移動于 2019 年開展了與量子計算有關(guān)的區(qū)塊鏈技術(shù)研究，并已于 2020 年初在 ITU-T 主導(dǎo)“Guidelines for quantum-safe DLT systems”課題立項11，聯(lián)合學(xué)術(shù)和產(chǎn)業(yè)力量，以開放的形態(tài)從全球視角開展協(xié)作和技術(shù)攻關(guān)，分析量子計算對區(qū)塊鏈的威脅，探索量子時代安全區(qū)塊鏈的發(fā)展之路。未來，隨著量子計算時代的到來，為了區(qū)塊鏈保持安全可用，保證其數(shù)據(jù)和價值的穩(wěn)定，基

26、于現(xiàn)有研究提出以下建議：引入量子安全算法，構(gòu)建量子安全的區(qū)塊鏈體系：無論是非許可區(qū)塊鏈或者是許可區(qū)塊鏈，將傳統(tǒng)非對稱密碼算法替換為量子安全算法。如今已有大量公開的量子安全算法，它們在安全性、公私鑰長度、簽名長度以及性能上有較大的差異。公鑰長度和簽名長度將對區(qū)塊鏈的存儲空間產(chǎn)生較大影響，需要選擇公鑰長度和簽名長度較小的量子安全算法。算法的性能也是需要考慮的一個重要方面，因為它會影響到交易的執(zhí)行速度。推動量子安全算法及安全協(xié)議的標(biāo)準(zhǔn)化：目前國際上已經(jīng)開展對量子安全算法的征集，已有多種算法成為候選算法12-13。應(yīng)積極參與量子安全算法及安全協(xié)議的征集和安全性評估。評估區(qū)塊鏈系統(tǒng)適配及影響：量子安全算

27、法的公鑰和簽名長度遠(yuǎn)大于傳統(tǒng)的非對稱密碼算法，量子安全算法在區(qū)塊鏈系統(tǒng)上的引入需要做必要的適配，并需要進(jìn)一步評估對系統(tǒng)可能造成的影響。開展區(qū)塊鏈系統(tǒng)演進(jìn)機(jī)制研究：現(xiàn)有區(qū)塊鏈上已經(jīng)積累了大量數(shù)字化的資產(chǎn)，在量子時代將受到新的安全挑戰(zhàn)。為了確保這些資產(chǎn)的安全，需要提前研究如何做好現(xiàn)有區(qū)塊鏈系統(tǒng)向量子安全區(qū)塊鏈的演進(jìn)，以及現(xiàn)有數(shù)據(jù)的安全遷移機(jī)制。量子時代的區(qū)塊鏈?zhǔn)且粋€包含理論、算法、標(biāo)準(zhǔn)、應(yīng)用、產(chǎn)業(yè)、生態(tài)在內(nèi)的重要工程問題。我們期望全球技術(shù)和工程領(lǐng)域開展更加密切的合作，為信息技術(shù)和區(qū)塊鏈發(fā)展的未來奠定基礎(chǔ)?？s略語列表縮略語英文全名中文解釋AESAdvanced Encryption Standard

28、高級加密標(biāo)準(zhǔn)CACertificate Authority證書頒發(fā)機(jī)構(gòu)DLTDistributed Ledger Technology分布式賬本技術(shù)ECDSAElliptic Curve Digital Signature Algorithm橢圓曲線數(shù)字簽名算法MSPMembership Service Providers成員服務(wù)提供者PKIPublic Key Infrastructure公鑰基礎(chǔ)設(shè)施PoWProof of Work工作量證明SHASecure Hash Algorithm安全散列算法TLSTransport Layer Security傳輸層安全UTXOUnspent Tr

29、ansaction Outputs未花費的交易輸出參考文獻(xiàn)習(xí)近平在中央政治局第二十四次集體學(xué)習(xí)時強(qiáng)調(diào) 深刻認(rèn)識推進(jìn)量子科技發(fā)展重大意義 加強(qiáng)量子科技發(fā)展戰(zhàn)略謀劃和系統(tǒng)布局. 新華網(wǎng). 2020-10-17.Frank Arute, et al., Quantum supremacy using a programmable superconducting processor, Nature volume 574, pages. 505510 (2019).MITRE Technical Report. Blockchain and Quantum Computing, June, 2017.Recommendation ITU-T X.1401, Security Threats to Distributed Ledger Technology.Practical Quantum Computers. Available at: HYPERLINK /s/603495/10-breakthrough-technologies- https:/www.technologyr HYPERLINK /s/603495/10-breakthrough-technologies- /s/603495/10-breakthrough-technologies- 2017-p