小技巧：问教链，试试看👉【刘教链有问有答】。搜索教链历史文章，点击下方公众号卡片（右上角🔍图标）

* * *

BTC 昨天刚刚作势拉升脱离 30 日均线，今天又回踩了一下 30 日均线（大约在 104.9k 附近）。

近日有多位读者朋友给教链转发有关量子计算以及大饼要在未来几年内归零的 FUD（教链注：币圈术语，意为让听众产生恐惧、怀疑、困惑的感觉，以制造恐慌）。

量子计算 FUD 不说年年都有吧，也是每隔几年就要来上几发。但是怎么说呢，几乎所有大众能够看到的拿量子计算说什么大饼要归零的，有一个算一个都是忽悠；如果后续再趁机给你推荐几个所谓的抗量子币，那就基本上可以认定是骗局了。

但凡是看过教链有关于量子计算的文章，或者认真读过《比特币史话》中有关量子计算的章节，应该很容易一眼识破这类忽悠和骗局。

如果只是被忽悠，害怕归零而不敢持有大饼，那么不过是错过一些大饼未来上涨的机会而已；但是如果再被骗着去花钱买了什么狗屁抗量子币，那可就真要遭受财产损失了。

记住以下几个知识点：

第一，量子计算机达到实用水平还有多长的路要走？很长。至少比出来吹牛逼的那些人嘴里的 5 年 8 年要长得多得多。就像你经常听搞 AI 的人吹牛逼说 203X 年之前就能搞出来所谓 AGI（通用人工智能），计算机在智能水平上彻底碾压人类。实际上呢，也许只不过是为了忽悠投资人拿钱给他们烧的话术罢了。也许 10 年，20 年，50 年，甚至在战争或天灾导致人类毁灭之前都没戏也说不定。

第二，如果量子计算机很快实用化，也许你首先应该担心一下你的传统银行账户里的钱还安全不安全。这些系统统统都很容易被实用化的量子计算攻破，比大饼要容易得多。大饼的地址是签名算法外面套了一层哈希，如果遵循教链在小白课上讲过的「每个地址只用一次」的使用原则，那么就是天然抗量子攻击的。这是因为大饼用的哈希有很强的量子抗性。

第三，大饼在技术上很容易把目前的签名算法更换成抗量子的签名算法。技术人员也在积极关注和研究抗量子算法的最新进展，并且采用确保时刻做好升级准备的先发制人策略。至于为什么现在不动手升级？那是因为现在提出来的那些个抗量子算法都太差劲了。倒不是说它们没有量子抗性，而是它们的签名尺寸实在是太太太大了，大到根本不能满足大饼系统的要求。

毕竟，一切问题最终都要落实到工程可行性上面来。《比特币史话》第三章第 9 话就介绍过当年中本聪针对签名算法的选择所重点考虑的正是尺寸因素。当年他是这么说的：

中本聪分别在 2010 年 1 月 29 日、5 月 20 日 和 7 月 25 日 三次参与比特币社区论坛话题讨论时解释道：“比特币使用的是椭圆曲线数字签名算法 (EC-DSA)。这个算法只能用于数字签名，而不能用于加密。RSA 两者都能做，但是我没有采用它，因为它要大一个数量级，这就不切实际了。”“不是说可执行程序的大小，而是说数据的大小。如果区块链、比特币地址、磁盘空间、带宽需求都大一个数量级，这就不太可行了。”

那么今天我们能看到的抗量子算法，尺寸相比于 ECC 或者 RSA 又当如何呢？答案是大数百到近千倍。比如SPHINCS+ 算法，「较低安全级别的 SLH-DSA-SHA2-128s 签名大小约为 8KB，而较高安全级别的 SLH-DSA-SHA2-256f 甚至达到 50KB，比传统签名算法（如 RSA 或 ECC，后者仅有 64B）大得多，不适合对存储和带宽要求严格的场景。」

想象一下大饼的账本尺寸从今天不到 1TB 猛增一千倍到 1EB 会怎么样？任何一个目前鼓吹什么抗量子币的，必然用目前市面上已有的抗量子算法，后果就是尺寸太大以至于工程上完全是个废物，无法承载大吞吐量，并且会因为账本尺寸过大而严重削弱去中心化。

想当年中本聪仅仅因为 RSA 签名尺寸比 ECC“大了一个数量级”就弃用 RSA，并直言不讳地指出，“这就不切实际了”。可想而知，今天所有的抗量子算法，比目前算法的签名尺寸要大三四个数量级，任何说这种玩意儿比现在的大饼更好的人，非蠢即坏。

前些天，密码学家、Blockstream 公司创始人 Adam Back，也是中本聪在比特币白皮书参考资料里引用过的人，发了一些推文，阐述了一下他对于目前抗量子算法以及量子计算 FUD 的看法。

他说的是什么呢？

他说：「FIPS 205: SLH-DSA。目前我认为最佳的后量子安全签名候选方案。签名尺寸稍大，但若想阻止过早的量子恐慌（FUD），可设计一种新地址格式：结合 Schnorr Taproot 和 SLH-DSA Tapleaf。证毕（QED）。未来工作：利用 STARKs 实现 SLH-DSA 的签名聚合。」

当然，作为密码学专家，他的话里用了很多术语，让普通人难以很快理解。简单地说，就是他认为由美国国家标准局（NIST）标准化的 SLH-DSA 算法（编号为 FIPS 205）是目前最佳。这个 SLH-DSA 算法，其实就是教链在上面提到的 SPHINCS+ 算法。

从技术上讲，SLH-DSA 算法的优势在于无状态设计和高安全性（仅依赖哈希函数），但签名尺寸显著大于传统方案（如 RSA 或 ML-DSA）。

然后他跟推作了一些补充解释：

「你可以在未来几年或几十年内逐步迁移到新的地址格式，这种格式既能使用 Schnorr 签名进行交易，又无需当下承担 SLH-DSA 签名带来的空间和费用开销。但若未来出现具备密码学威胁的量子计算机，你已做好应对准备。  

我青睐 SLH-DSA，因为它基于 SPHINCS+——这一算法本身是对 1982 年 Winternitz 签名的改进，而后者又源自 1979 年的 Lamport 签名，且依赖简单而稳健的数学假设。相比之下，其他多数 NIST 候选签名方案基于未经充分验证的新型数学假设，风险较高。  

Taproot 地址本质上是未哈希的 Schnorr 公钥，但可通过调整（tweak）来揭示一个 Tapleaf（包含 SLH-DSA 或其他操作码）。Taproot 在设计之初便前瞻性地将 Tapleaf 的调整机制设计为抗量子安全的，以此替代哈希公钥的方案，体现了更优的工程智慧。 」

根据大饼 BIP 341 的设计标准，Tapleaf 的调整（tagged_hash("TapLeaf", ...)）使用抗量子哈希（如 SHA-256），确保即使量子计算机出现，脚本路径仍然安全。

他进一步解释说：

「比特币（应当对）量子计算做好准备，这样我们就不会因为信息不对称的混乱——那些对早期量子计算物理和算法渐进式改进的过度报道——而导致比特币价格波动，毕竟量子计算要达到密码学相关水平很可能还需要数十年时间。

在我看来最可能的结果是 SLH-DSA 永远不会被实际使用，因为在具备密码学意义的量子计算机建成之前很多年，它就会被更紧凑或支持签名聚合的方案所取代。但我们必须超越这种愚蠢的短期恐慌。而且这种准备本身就具有渐进式的实用价值。」

还有网友问他，疑似属于中本聪的那些持有大量 BTC 的早期挖矿地址怎么处理。对此，他给出了个人的猜想：

「我猜我们终将知道中本聪是否还在，以及他是否会在抗量子地址启用后的数十年间、但在具备密码学威胁的量子超级计算机出现之前转移那些比特币。

如果最终真的出现了具备密码学威胁的量子计算机，我们就能知道中本聪是否还在世并转移这些币。我的猜测是：对于那些届时仍未移动的比特币，ECDSA 和 Schnorr 签名方案将被弃用。」

* * *

6.4内参：囤枪还是囤币

6.3内参：美元疲软推高零息资产的底层逻辑

6.2内参：美政府违约风险正在上升

教链内参 2025 年 5 月合订本

...

阅读更多内参，请加入刘教链的 VIP 会员：

* * *

延伸阅读更多刘教链精彩内容：

预防量子计算威胁实用指南 2024.12.20

量子恐慌 2024.12.10

内参：抗量子的傻 X 和坏 X 2024.5.18

放心，5 年内不会看到量子计算突破 2023.8.5

【一周谈】中国公链、以太坊 2.0、地摊经济、大龄剩女和量子计算机 2020.6.7

量子计算机真的能破解比特币吗？ 2020.6.5

STRD：赛勒的新武器 2025.6.3

小心你的赚钱模式 2025.6.2

十年之约系列 (47)：道可道非常道 2025.6.1

净资产 A8 有多难？ 2025.5.27

信息差=小机会，认知差=大机会 2025.5.25

你的财富其实不是你的财富 2025.5.23

( 公众号：刘教链。加入会员：公众号回复"会员"或"VIP")

( 免责声明：本文内容均不构成任何投资建议。加密货币为极高风险品种，有随时归零的风险，请谨慎参与，自我负责。)

喜欢本文就请点赞转发支持哦

👇👇👇