BIP-360将量子抗性纳入比特币路线图
截至2026年3月10日,比特币开发者开始在协议层面正面应对量子计算带来的潜在风险。最新发布的比特币改进提案360(BIP-360)首次在官方技术路线图中明确引入“量子抗性”目标。
相关讨论显示,部分外界解读将BIP-360视为一次“剧烈转变”,但从提案内容看,其设计更接近在现有框架内的渐进式调整,而非对底层密码学的全面替换。
BIP-360的核心,是通过新增一种输出类型“支付至默克尔根”(Pay-to-Merkle-Root,P2MR),并取消Taproot中的密钥路径支付选项,以减少椭圆曲线公钥在链上的长期暴露,从而收窄潜在的量子攻击面。
量子计算威胁的主要指向
比特币目前依赖椭圆曲线数字签名算法(ECDSA)以及Taproot引入的Schnorr签名来保障交易安全。在传统计算条件下,从公钥推导私钥被视为不可行。但在理论上,若出现能够运行Shor算法的强大量子计算机,椭圆曲线离散对数问题可能被高效求解,从而威胁基于公钥密码学的安全性。
在相关技术讨论中,开发者区分了不同风险来源:
- 量子攻击主要针对公钥密码学,而非哈希函数;
- 比特币使用的SHA-256在量子模型下仍被认为相对稳健,Grover算法仅带来平方级加速,而非指数级;
- 主要隐患在于公钥一旦在区块链上暴露,将在未来具备密码学相关能力的量子计算机(CRQC)出现时成为潜在攻击目标。
因此,减少公钥在链上的暴露,被社区视为当前阶段应对量子风险的关键方向之一。
现有地址类型中的量子脆弱点
在2026年的比特币网络中,不同类型的地址和输出在未来量子场景下面临的风险程度并不相同:
- 重复使用的地址:一旦发生支付,其公钥会在链上公开,长期持有的余额因此暴露于未来量子攻击;
- 早期的支付至公钥(P2PK)输出:在比特币早期,部分交易直接在输出中嵌入公钥,这类历史输出被视为更易受量子攻击;
- Taproot密钥路径支付:自2021年起,Taproot为输出提供两种花费路径:一是通过调整后的公钥进行的“密钥路径”支付,二是通过默克尔证明揭示脚本的“脚本路径”支付。其中,密钥路径在花费时直接暴露公钥,被认为是量子攻击下的主要理论薄弱点之一。
BIP-360正是针对Taproot密钥路径这一暴露模式提出调整方案。
P2MR:取消密钥路径、仅承诺脚本树
BIP-360提出的支付至默克尔根(P2MR)是一种新的输出类型,其结构与Taproot相似,但在关键设计上做出改变:不再承诺任何内部公钥,而只承诺一棵脚本树的默克尔根。
在P2MR模式下,花费输出时需要:
- 揭示一个具体的脚本叶子;
- 提供该脚本叶子属于已承诺默克尔根的证明。
整个过程中不再存在通过单一公钥直接签名验证的“密钥路径”,也就不存在为此暴露长期可识别公钥的需求。
这一变更带来多重效果:
- 不再依赖暴露公钥来完成最简花费路径;
- 所有花费路径均基于哈希承诺结构;
- 椭圆曲线公钥在链上的长期暴露显著减少。
由于基于哈希的结构在量子模型下被认为相对更具韧性,上述调整被视为在不更换签名算法前提下,缩小潜在量子攻击面的一个务实步骤。
脚本与智能合约能力基本保留
围绕BIP-360的讨论中,部分观点担心取消密钥路径支付会削弱Taproot带来的脚本与“智能合约”能力。根据提案内容,P2MR仍通过Tapscript默克尔树保留了相关功能,包括:
- 多重签名结构;
- 时间锁安排;
- 条件支付设计;
- 继承与托管方案;
- 更复杂的托管与控制逻辑。
区别在于,原本“便捷但会暴露公钥”的密钥路径被移除,所有花费路径统一通过脚本叶子与默克尔证明实现。功能层面并未被削减,而是对花费方式进行了约束,以减少量子相关暴露。
有历史资料显示,比特币早期讨论中,中本聪曾简要提及量子计算的可能性,并表示如有需要可以迁移至更强的签名方案。这被部分开发者视为比特币设计中预留升级空间的早期体现。
对钱包与基础设施的潜在影响
从实现角度看,BIP-360是一项协议层技术变更,但其影响将延伸至钱包、交易所和托管机构等应用层:
- 钱包软件可能在未来版本中增加P2MR地址支持,作为面向长期持有或更高量子抗性需求用户的可选方案,地址前缀可能与现有格式有所区分(例如被设想为以“bc1z”开头);
- 由于完全依赖脚本路径,相关交易在见证数据上可能略大于使用Taproot密钥路径的交易,从而在同等条件下带来一定手续费上升;
- 要实现广泛使用,钱包、交易所、托管机构以及硬件钱包等基础设施均需完成相应升级,相关规划通常需要以多年为周期推进。
在更广泛的安全讨论中,有观点将比特币公钥暴露与各国政府对“先收集后解密”风险的应对相类比,即当前收集和存储加密数据,等待未来量子解密能力成熟后再行破解。
BIP-360的边界与未触及领域
尽管BIP-360被视为增强比特币量子防护能力的一步,但提案本身并未试图解决所有相关问题,其局限性在讨论中被多次强调:
- 不自动迁移既有币:现有未花费交易输出(UTXO)不会因协议升级而自动转为P2MR。持币者需要主动发起交易,将资金迁移至新输出类型,否则原有暴露状态保持不变;
- 不引入后量子签名算法:提案并未用基于格或基于哈希的后量子签名(如Dilithium、ML-DSA或SPHINCS+等)替换现有ECDSA或Schnorr签名,而是仅移除Taproot中的密钥路径暴露模式;
- 不实现完全“量子免疫”:若未来某一时点CRQC能力突然突破,网络仍可能需要矿工、节点、交易所和托管机构之间的大规模协调,以应对沉睡币处理、网络拥堵等潜在问题。
在开发者看来,BIP-360更多是为后续更大规模的密码学迁移预留空间,而非一次性完成全部过渡。
开发者为何选择此时推进
关于量子计算发展时间表,业内观点并不一致。有意见认为实用化仍需数十年,也有观点关注IBM在2020年代末提出的容错目标、谷歌在相关芯片上的进展、微软在拓扑量子方向的研究,以及美国政府规划在2030-2035年间推进的密码学过渡安排。
在此背景下,比特币开发者强调,关键基础设施的迁移往往需要多年准备和分阶段实施。若等待量子进展完全明朗再启动协议层调整,可能在时间上处于被动。
在可能的技术路径中,BIP-360被设想为一个软分叉式的渐进过程,大致包括:
- 在协议中激活P2MR输出类型;
- 钱包、交易所和托管机构逐步添加支持;
- 用户在数年时间内分批迁移资金。
这一路径被拿来与SegWit和Taproot的部署过程类比,即先作为可选功能上线,再逐步走向更广泛采用。
围绕成本、紧迫性与沉睡币的讨论
在社区层面,围绕BIP-360的讨论仍在持续,焦点包括:
- 长期持有者是否愿意为更高量子抗性承担适度手续费成本;
- 机构投资者和托管方是否应在迁移中发挥主导作用;
- 长期未移动的“沉睡币”在量子威胁情景下应如何处理;
- 钱包在向用户提示“量子安全”相关选项时,应如何避免引发不必要的恐慌。
目前尚未形成统一答案。BIP-360被视为推动相关议题进入具体技术层面讨论的起点,而非终点。
在更长的时间轴上,量子计算对密码学的潜在影响可追溯至1994年,当时数学家Peter Shor提出了Shor算法,这一时间远早于比特币诞生。比特币围绕量子风险的规划,被视为对这一理论成果在加密货币场景中的延伸回应。
当前阶段用户可采取的做法
在现阶段,开发者普遍认为量子威胁尚未迫近,不需要短期内的激烈应对。对普通用户而言,一些被反复提及的谨慎做法包括:
- 避免地址重复使用,减少公钥暴露;
- 使用保持更新的钱包软件;
- 关注未来协议升级进展;
- 在钱包支持P2MR后,评估是否将其用于长期持有资金。
对于持有规模较大的用户,有观点建议在不引发市场波动的前提下,提前评估自身公钥暴露情况,并预先制定迁移预案。
迈向量子抗性的起点,而非终点
综合来看,BIP-360是比特币在协议层面减少量子暴露的首个具体提案之一。通过引入P2MR并取消Taproot密钥路径支付,它在不更换签名算法的前提下,调整了新输出的构造方式,尽量压缩公钥在链上的长期可见性。
与此同时,BIP-360并未自动改变现有币的状态,也未触及签名算法本身,强调的是一个需要多年协同推进的渐进式路径。开发者普遍将其视为通往更高量子抗性的起点,而真正意义上的“后量子安全”仍有赖于后续持续的工程投入和分阶段的生态系统升级。
