原文：Quantum computing is coming. What does it mean for Starknet?

翻译及校对：Starknet 中文社区

📑 转载请注明出处 🕹️

引言

自 20 世纪 80 年代起，量子计算一直是人们讨论的热点。从那时起，它便被视为是一项颠覆性的技术，预计将彻底改变计算领域。量子计算能够在几分钟或几秒钟内解决某些复杂问题，而这些问题需要当今最强大的计算机花费数百甚至数千年的时间才能解决。

一方面，量子计算将帮助我们解决巨大的文明挑战，例如发现新药物以及应对气候变化。另一方面，它也有可能危及包括区块链在内的所有现有计算机网络。

继谷歌最近在量子计算领域取得突破之后，我们认为有必要且需要及时解释 STARK 证明的量子抗性。STARK 证明是 StarkWare 开发的核心技术，也是 Starknet 这一以太坊二层有效性 rollup 的基础技术。

https://starkware.co/wp-content/uploads/2024/12/Quantum-Computing-Video.mp4?_=1

首先，让我们简要介绍一下量子计算到底是什么。

什么是量子计算？

量子计算利用叠加态、纠缠态和量子干涉等量子力学原理来处理信息。可以将其视为一种通过微小粒子（如原子）的行为规则，以极其智能的方式解决问题的方法。

深入探讨这个极其复杂的话题无疑是有趣的，但这并不是本文的目的。不过，如果我们尝试将其抽象化，我们可以得出以下结论： 传统计算机通过「是」或「否」（1 和 0）来进行计算，而量子计算机则能够同时处理「是」、「否」和「也许」这三种状态。这使得量子计算机在解决某些问题时表现出色，例如整数因数分解和药物研发，速度远超当今最强大的计算机。

届时，用于保障在线信息安全或登录银行账户机制的加密技术的某些部分将变得非常脆弱。人们主要担心的是，当量子计算机投入使用后，当前需要数百年才能破解的安全方法，可能会变得易如反掌，攻击者能够在几分钟内将其破解。

谷歌的量子计算突破

谷歌新推出的量子计算芯片「Willow」能够在不到五分钟的时间内完成一项复杂的计算挑战。据谷歌称，同样的任务需要世界上最快的超级计算机花费 10 的 27 次方年。这个数字是宇宙年龄的 700 万亿倍。

那么，为什么量子计算尚未被广泛采用呢？答案与量子计算机的规模扩展有关。

不同于使用表示 1 或 0 的比特，量子计算使用量子比特（qubit）。量子比特可以同时处于多个状态，例如 1、0 以及介于两者之间的状态（请记住：是、否、也许）。量子比特容易出错，因为它们倾向于与环境迅速交换信息。通常，使用的量子比特越多，发生错误的几率就越大。要破解我们在网上银行中使用的加密技术，就需要一个拥有数百万个量子比特的系统。

目前，量子计算机的计算错误率为千分之一，远未达到许多实际应用（例如破解银行账户）所需的长期运行错误率为万亿分之一的要求。

谷歌声称，其研究人员已经找到了逆转这种关系的方法，当他们在系统中引入更多的量子比特时，错误就会呈指数级下降。他们的研究成果已发表于《自然》杂志。

该研究成果并没有告诉我们量子计算预计到来的具体时间，但这意味着它离我们越来越近了。而且我们可以肯定，量子计算即将到来。

那么，我们能做些什么呢？

STARK 证明如何实现量子抗性？

STARK 证明是一种零知识证明，使证明者能够向验证者证明，特定计算已被正确执行，而不会泄露该计算所消耗的任何敏感输入数据。

与其他类型的零知识证明（如基于椭圆曲线的 SNARK）不同，目前广泛使用的 STARK 证明有几个特点，使其在如今被认为是抗量子的：

1. STARK 使用后量子加密假设

STARK 依靠哈希函数而不是许多 SNARK 所依赖的椭圆曲线或离散对数等数论结构来保证其安全性。人们普遍认为哈希函数（如 SHA-256 或类似函数）可以抵御量子计算机的攻击，因为：

• 格罗弗算法是攻击哈希函数最相关的量子算法，其只能提供二次方加速。这意味着，针对经典攻击具备 𝑛 比特安全性的哈希函数，在针对量子攻击将具备 𝑛 / 2 量子比特的安全性。

• 只需增加哈希函数的输出大小，STARK 就能在量子世界中保持较高的安全性。

2. 不依赖数论问题

许多其他加密协议，包括基于椭圆曲线配对的 SNARK，都必须假设某些数论问题难以解决，如离散对数问题或整数因式分解。这些问题极易受到使用肖尔算法的量子攻击，而肖尔算法可以在量子计算机上高效地解决这些问题。STARK 通过不依赖于这些假设，完全避免了这些漏洞。相反，STARK 使用了更多的纯数学 — 代数、概率论和纠错码理论，并且支持 STARK 安全性的定理已经在数学上被证明能够抵抗量子计算机的攻击。

3. 透明设置

与 SNARK 不同，STARK 是「透明的」，这意味着其不需要依赖于涉及数论「有毒废料」的可信设置，这些「废料」本应被掩埋，但实际上很容易被量子计算暴露出来。相反，STARK 使用公开可验证的随机性（例如，通过哈希函数生成的随机性）来构建其证明系统。这消除了量子攻击可能的另一个漏洞点。

4. 可扩展的证明构建

STARK 中使用的加密技术，如低度多项式检验和里德 - 所罗门码，计算效率很高，并已在数学上证明可以抵御量子计算机。这些技术可确保快速验证证明，而无需依赖量子计算机可能造成破坏的假设。

因此，我们已经可以确定 STARK 证明本身是抗量子的。这对其所依赖的网络（如 Starknet）以及其他区块链又意味着什么？

Starknet 是抗量子的吗？

Starknet 通过将交易计算从以太坊转移到 Layer 2，并使用 STARK 证明来验证这些交易是否正确执行，从而为以太坊带来了巨大的可扩展性。

抗量子的 STARK 证明驱动 Starknet，是否意味着 Starknet 网络本身也是抗量子的？

答案是，目前尚无定论，但其在量子抗性方面具有得天独厚的优势。

Starknet 如何实现量子抗性？

目前，Starknet 使用的是 Pedersen 哈希函数，该函数依赖于易受量子攻击的加密技术。然而，这一情况即将发生变化，因为 Starknet 正计划将 Pedersen 替换为抗量子的 Poseidon 哈希函数。

那钱包呢？

除了网络本身，另一个需要评估的要素是用户在 Starknet 上互动的终端：钱包。在这一点上，Starknet 凭借其原生帐户抽象（Account Abstraction）提供了决定性的优势。

传统的加密货币钱包被称为外部拥有帐户（EOA），由一对私钥和公钥管理，其并不内置于网络中。这意味着，如果以太坊一夜之间变成了抗量子的网络，那么通过该网络进行交易的外部钱包将无法继承其安全性。以太坊上的钱包开发者将不得不开发新的抗量子钱包。

得益于原生帐户抽象，Starknet 上的钱包本质上是智能合约。它们 * 内置于协议本身 *，换句话说，其由协议的代码管理。当 Starknet 协议采用 Poseidon 哈希函数并实现量子抗性时，网络上每个智能钱包的代码也将具备量子抗性。

唯一的漏洞点是签名方法，如果有必要，这一点可以修复。Starknet 上的钱包开发者无需从头开始开发新的钱包，只需改用抗量子的签名方法即可。

以太坊并不具备量子抗性。Starknet 如何克服这一问题？

以太坊是一个权益证明（PoS）区块链。用于治理网络的权益大部分由 EOA 控制，而正如我们上文所述，EOA 并不具备量子抗性。由于 Starknet 继承了以太坊的安全性，这就带来了一个挑战，必须解决这个问题，Starknet 才能实现量子抗性。

以太坊上的 EOA 必须转变为抗量子帐户（如智能合约帐户），这样以太坊以及 Starknet 才能在后量子世界中保持安全性。

这不是一项简单的任务，但 StarkWare 愿意与以太坊基金会及其他相关方合作，在量子抗性成为更紧迫的问题时，共同推动相关工作。

结论

量子计算的风险就像一颗飞速靠近地球的小行星：我们不知道它何时会撞击，但一旦发生，后果将超乎我们的想象。

好消息是，我们可以采取一些措施加以防范。如今，所有区块链网络在量子计算到来时都可能面临被攻击的风险，但 STARK 证明提供了一个有前景的解决方案。得益于其独特的属性，STARK 证明为我们提供了一个蓝图，让我们为「小行星」最终撞击 STARK 以及其他区块链做好准备。我们致力于不断发展 STARK 技术，以应对当前和未来的需求。

敬请关注 StarkWare 的 X 帐号，获取最新动态。