量子貨幣是怎么一回事

近幾年來，量子計算發(fā)展迅速。前不久，谷歌宣布實現(xiàn)量子霸權(quán)，我國“天河二號”超級計算機(jī)計算出量子霸權(quán)標(biāo)準(zhǔn)。所謂量子霸權(quán)是指，如果能證明量子計算機(jī)在某個問題上計算能力遠(yuǎn)遠(yuǎn)超過目前性能最好的超級計算機(jī)，就實現(xiàn)了量子計算機(jī)對傳統(tǒng)計算機(jī)的霸權(quán)。量子計算的發(fā)展極大挑戰(zhàn)了現(xiàn)有密碼體制，理論上量子算法能破譯Diffie-Hellman算法、RSA算法、橢圓曲線算法等非對稱密碼算法。

由于密碼學(xué)是區(qū)塊鏈的關(guān)鍵要素，是實現(xiàn)數(shù)字貨幣安全可信的技術(shù)基礎(chǔ)，因此人們不免擔(dān)憂，量子計算的發(fā)展是否會對區(qū)塊鏈和數(shù)字貨幣的安全帶來威脅，甚者有人斷言在量子計算機(jī)面前，區(qū)塊鏈不值一提。但目前看，定論尚早。一是量子計算算法（如Grover算法和Shor算法）對非對稱密碼體系的威脅較大，但對對稱密碼、哈希算法的影響相對較小。二是目前沒有證據(jù)證實或證偽量子計算機(jī)可以解決NP（Nondeterministic Polynomial，非確定性多項式）完全問題，也無法輕易地論斷在量子計算環(huán)境下，依據(jù)計算復(fù)雜性的密碼技術(shù)就沒有前途了。三是密碼學(xué)歷來是在編碼和破譯、攻擊和防守、矛和盾的對抗中發(fā)展起來，不能說有量子計算了，密碼就不行了，量子計算也有其不擅長的地方，亦可構(gòu)造抗量子密碼體制，比如多變量公鑰密碼體制、基于Hash函數(shù)的數(shù)字簽名方案、基于糾錯碼的密碼體制和基于格的密碼體制等。

因此，量子計算是否讓區(qū)塊鏈和數(shù)字貨幣失去了發(fā)展意義，短期內(nèi)并不好說。但有一點是肯定的，那就是隨著技術(shù)的發(fā)展，貨幣形態(tài)以及貨幣技術(shù)必然也會發(fā)生相應(yīng)的改變。在量子時代，基于區(qū)塊鏈技術(shù)的加密貨幣或許將繼續(xù)存在，只不過它可能會采用更先進(jìn)的抗量子密碼技術(shù)。而另外一種可能是，它將被一種新型的基于量子技術(shù)的貨幣形態(tài)替代，也就是現(xiàn)在學(xué)術(shù)界有人在探索的量子貨幣。

量子貨幣的概念

量子貨幣本質(zhì)上是一種基于密碼學(xué)的數(shù)字貨幣，其優(yōu)于經(jīng)典數(shù)字貨幣的核心是利用量子疊加態(tài)和量子計算而實現(xiàn)的量子防偽技術(shù)。這項技術(shù)綜合運用了物理學(xué)、計算機(jī)科學(xué)和密碼學(xué)等多個學(xué)科領(lǐng)域的前沿知識，最終可在不引入記賬機(jī)制的前提下解決貨幣雙花問題。理想的量子貨幣可同時實現(xiàn)易于識別、難于偽造、無法復(fù)制、方便使用等數(shù)字貨幣特性，同時結(jié)合了傳統(tǒng)貨幣（紙幣）和經(jīng)典數(shù)字貨幣的優(yōu)點，并避免它們各自在本質(zhì)上難以克服的缺點。

1969年美國哥倫比亞大學(xué)研究生Stephen Wiesner首次提出量子貨幣的概念，他設(shè)想在貨幣上配備一個儲存光子的量子器件，利用量子態(tài)作為貨幣的防偽標(biāo)識，但只有發(fā)行貨幣的中央銀行才能檢驗貨幣的真?zhèn)巍?982年，Bennett等人試圖建立第一個公鑰量子貨幣。他們的方案僅允許一張貨幣花費一次，將其稱為“地鐵通行證”。后來人們發(fā)現(xiàn)他們的設(shè)計存在兩個不安全因素：一是基于不明傳遞的不安全協(xié)議；二是可被Shor算法破解。2003年，Tokunaga等人改進(jìn)了Weisner的方案，不必要求中央銀行追蹤每一個發(fā)行的貨幣，而是采用特殊的方法保證貨幣被修改后依然有效，這允許貨幣持有人在銀行驗鈔之前對貨幣進(jìn)行修改，實現(xiàn)貨幣交易，但缺點是，銀行一旦發(fā)現(xiàn)偽鈔必須立即發(fā)布信息，清除偽鈔之前的全部交易信息，因此該方案不易實現(xiàn)。2009年，Aaronson提出復(fù)雜理論不可克隆定理，假設(shè)存在一個機(jī)制可以驗證給定態(tài)是否等于一個有效量子貨幣態(tài)，一個偽造貨幣者如果想偽造貨幣必須同時擁有該驗證機(jī)制。2010年，Mosca和Stebila指出一個貨幣偽造者即使擁有一個量子貨幣驗證機(jī)制，也仍然不能制造出比他初始狀態(tài)更多的量子貨幣。授權(quán)商運行一個模糊驗證方法，在得到最終結(jié)果之前得不到任何有用信息，在驗證過程中他必須與銀行進(jìn)行通信，該方案是一個量子貨幣私鑰方案。2012年，Lutomirski等人利用扭結(jié)不變量的方法提出了一個真正意義上的量子貨幣公鑰方案。但是，該方案的安全性目前還沒有人能夠證明。2015年，Subhayan等人提出量子支票協(xié)議，該協(xié)議中可信銀行的任何一個合法客戶端都持有一個“量子支票書”，可以發(fā)行支票，并與銀行之間共享一個經(jīng)典信道，由銀行或它的分支機(jī)構(gòu)完成貨幣驗證。

理解量子貨幣的邏輯出發(fā)點：偽造與雙花

貨幣發(fā)展史是防偽技術(shù)的發(fā)展史，也是生產(chǎn)者與偽造者不斷斗爭的歷史。不管是貝殼、金屬、紙、塑料還是電子的貨幣形態(tài)，防止偽造都是貨幣生產(chǎn)的最重要目標(biāo)。尤其是到了信用貨幣時期，貨幣本身的價值屬性逐漸弱化，貨幣防偽顯得尤為重要?？梢哉f，不能防止偽造就談不上貨幣。然而，歷史上從來沒有一種貨幣可以完全解決被偽造問題，貨幣偽造史與貨幣發(fā)展史幾乎一樣長。直到現(xiàn)在，人民幣、美元和歐元等各國紙幣偽造案例仍時有發(fā)生。

傳統(tǒng)貨幣偽造屢禁不止的一個根本原因是經(jīng)典物理的易偽造特征。按照經(jīng)典物理的基本原理，物理狀態(tài)都可以被精確測量，只要能按照測量結(jié)果，以足夠應(yīng)對檢驗的精度重新組織物質(zhì)，就可以達(dá)到偽造貨幣的目的。傳統(tǒng)的貨幣生產(chǎn)機(jī)構(gòu)研發(fā)的各種防偽技術(shù)，例如金屬貨幣的花紋、鋸齒，紙鈔的水印、安全線、纖維、光變油墨、膠凹印特征等防偽特征，本質(zhì)上只是在抬高偽造貨幣的門檻，但不能從根本上禁絕。雖然說可以讓偽造的成本足夠高以至于偽造貨幣無利可圖，從而避免偽造，但隨著技術(shù)的不斷發(fā)展以及高精尖技術(shù)向民用領(lǐng)域的廣泛應(yīng)用，偽造的技術(shù)門檻亦可能下降。若偽造者投入足夠物力、財力和智力，任何傳統(tǒng)貨幣防偽技術(shù)在理論上都有可能被破解。

對于電子貨幣和數(shù)字貨幣而言，其形式上就是一串二進(jìn)制的信息，它們需要解決的問題比紙鈔的防偽更加麻煩，因為在計算機(jī)里信息很容易被復(fù)制。這串信息可以利用密碼學(xué)技術(shù)來防止偽造。比如說數(shù)字貨幣的發(fā)行機(jī)構(gòu)可以對發(fā)行的每個數(shù)字貨幣進(jìn)行簽名，這樣每個人都可以很方便地驗證貨幣的真?zhèn)?。此外，?shù)字貨幣還存在雙花問題。在甲方和乙方的交易中，如果沒有任何其他人知道，甲方完全可以在和乙方交易之前偷偷備份相同的數(shù)字貨幣，然后假裝和乙方的交易沒有發(fā)生，與丙方進(jìn)行交易。解決的方案是采用一個賬本的形式來記錄已經(jīng)發(fā)生的交易，以此避免同一筆數(shù)字貨幣被多次花費。這個賬本既可以是銀行或者支付寶那樣的中心化賬本，也可以像比特幣一樣采用基于區(qū)塊鏈技術(shù)的分布式賬本。量子貨幣則通過量子不可克隆原理來解決貨幣的偽造和雙花問題。

量子貨幣的基本原理

量子比特、量子疊加態(tài)

在經(jīng)典計算機(jī)中，比特“0”和“1”都是用經(jīng)典物理量編碼表示的，例如可以用電壓、磁場方向等，而經(jīng)典物理量測量結(jié)果是唯一確定的，即一個經(jīng)典比特不可能同時處于兩個狀態(tài)（比如同時處于“高電壓”和“低電壓”狀態(tài)）。而量子比特是基于微觀粒子的量子態(tài)存儲的，其不同于經(jīng)典物理狀態(tài)的最重要的特點在于可以同時處于若干個微觀量子態(tài)的疊加態(tài)。例如用|0》表示一個電子的基態(tài)或自旋向下，用|1》表示激發(fā)態(tài)或自旋向上，則一個微觀量子態(tài)可以表示成|》=a|0》+b|0》，其中a，b都是復(fù)數(shù)，且它們的模長平方和為1。圖1顯示了經(jīng)典數(shù)據(jù)位與量子數(shù)據(jù)位對比圖，經(jīng)典數(shù)據(jù)位的表示要么是0，要么是1，而量子數(shù)據(jù)位是│0》和│1》的疊加態(tài)，即可以是0也可以是1。

量子貨幣如何防偽防雙花

微觀量子態(tài)本身含有的信息非常豐富，但我們只能通過測量的方式獲得其信息，而測量的行為反過來又會影響量子態(tài)，造成被測量的量子態(tài)坍縮，最終每個量子比特測量后僅能得到一個關(guān)于坍縮到的量子態(tài)的信息。另一方面，量子世界中，克隆是不可能的。換句話說，并不存在任何一個電路，能做到這樣的一個功能：輸入是任意一個未知的量子態(tài)，輸出是兩個該量子態(tài)。此為量子不可克?。◤?fù)制）基本原理。

量子不可克隆原理構(gòu)成了量子貨幣的理論基礎(chǔ)。量子貨幣在本質(zhì)上也是一串信息，這點與電子貨幣和數(shù)字貨幣類似，但不同之處在于，量子貨幣除了經(jīng)典的二進(jìn)制編碼信息外，還包含以量子比特的形式存儲的量子信息。采用量子比特的好處在于每個量子比特都能以疊加態(tài)的形式保存遠(yuǎn)比經(jīng)典比特豐富的信息，并且這些信息無法被精確測量出來。根據(jù)量子不可克隆原理，對量子比特的測量都必然導(dǎo)致量子態(tài)坍縮到其中某一個疊加態(tài)上，從而永久地?fù)p失掉所有關(guān)于其他未坍縮到的狀態(tài)的信息。這樣就可以在本質(zhì)上防止量子貨幣的信息被測量和復(fù)制，因為量子物理學(xué)保證了對量子比特的測量無法獲得完整的信息。此外，量子貨幣還可采用與數(shù)字貨幣相似的密碼學(xué)技術(shù)，避免被攻擊者偽造。

量子不可克隆定理還可防止量子貨幣雙花。具體來說，量子貨幣擁有者只能擁有量子態(tài)，但不能知道每一個量子態(tài)是什么，他若想知道，只能測量，但一旦測量，量子態(tài)則會塌縮變成另一個量子態(tài)（原來疊加態(tài)中的某一個），相當(dāng)于量子貨幣擁有者自己把自己的貨幣銷毀掉了。這樣“持有量子態(tài)但并不知道量子態(tài)”的設(shè)計有效防止了貨幣雙花，因為如果量子貨幣擁有者知道自己手里的量子態(tài)是什么的話，他其實是可以“克隆”很多份。

量子貨幣的點對點支付

相對于傳統(tǒng)貨幣，數(shù)字貨幣的最大優(yōu)點就是在于傳輸方便，僅需要通過網(wǎng)絡(luò)傳輸信息，而不需像傳統(tǒng)貨幣那樣傳遞實物。量子貨幣也一樣，只需要傳遞量子態(tài)所包含的信息即可。傳遞的量子態(tài)信息既可以通過發(fā)送包含這些信息的粒子（比如光子）實現(xiàn)，也可以通過量子通信在經(jīng)典信道實現(xiàn)——即通信雙方事先分享一個糾纏的量子態(tài)，然后僅通過經(jīng)典信道傳輸經(jīng)典的二進(jìn)制信息就可以實現(xiàn)傳遞復(fù)雜的量子態(tài)的任務(wù)。

因此，基于量子貨幣的交易可以在交易方之間直接進(jìn)行（至多只需要一個可信的第三方事先分發(fā)糾纏的量子態(tài)），不需要通過第三方賬本驗證。

量子貨幣的核心問題：如何驗鈔

雖然“持有量子態(tài)但并不知道量子態(tài)”使我們能利用量子不可克隆定理解決量子貨幣的雙花問題，但同時也帶來了新的問題，即如何驗鈔。在甲方付款給乙方的交易中，既然乙方不知道自己持有的量子態(tài)的信息，且無法通過測量得到足夠的信息，那么他如何確認(rèn)這是一枚合法的量子貨幣，不是甲方隨意制造的或者是甲方已經(jīng)觀測過的？而如果允許采用測量的方式來驗證量子貨幣是否合法，則甲方可以先測量自己的量子貨幣的量子態(tài)，然后按照坍縮后的狀態(tài)構(gòu)造新的量子態(tài)再發(fā)送給乙方。因為甲方知道坍縮后狀態(tài)的所有信息，他可以再重新構(gòu)造一個坍縮后的量子態(tài)發(fā)給丙方，這就引發(fā)了雙花問題。因此，乙方無法判斷甲方是否花費過這一枚量子貨幣，而且也無法判斷坍縮狀態(tài)是自己觀察導(dǎo)致的還是甲方的觀察導(dǎo)致的。

在理論上，無損的量子貨幣驗鈔是可行的。量子疊加態(tài)的坍縮是在有多個疊加態(tài)的時候才會發(fā)生，而如果只有唯一一個狀態(tài)，就不會發(fā)生坍縮。因此，可選擇“適當(dāng)?shù)摹弊儞Q，使每一個合法的量子貨幣的量子態(tài)在經(jīng)過該變換后都會在“適當(dāng)?shù)摹绷孔颖忍匚恢蒙铣尸F(xiàn)出不會坍縮的唯一狀態(tài)，然后再部分地測量這些量子比特的狀態(tài)，不測量其他處于疊加態(tài)的量子比特，如此可在不損害原有量子態(tài)的情況下獲得量子態(tài)的信息。而且如果原來的量子態(tài)是通過“適當(dāng)?shù)摹泵艽a學(xué)簽名編碼構(gòu)造的，則這些測量出的信息就可驗證原量子態(tài)編碼的量子貨幣的合法性。

一個理論上可用的量子貨幣方案必須在上述的三個“適當(dāng)?shù)摹钡胤蕉甲龀稣_的選擇，并給出數(shù)學(xué)上的證明。除了實現(xiàn)無損驗鈔的功能以外，還必須確保不存在驗鈔程序漏洞。解決這些問題，需要充分發(fā)揮密碼學(xué)的作用并與量子計算相結(jié)合，探索量子加密手段，使量子貨幣的檢驗達(dá)到物理意義上的安全。

關(guān)于量子貨幣驗鈔機(jī)制的研究問題還包括：驗鈔是否可脫離中央銀行，由持幣人獨立完成檢驗/驗鈔過程是否會給量子態(tài)帶來損耗？是否能支持多次驗鈔？損耗是否會導(dǎo)致一定概率出錯？如何應(yīng)對噪音？

結(jié)語

科學(xué)總是在假想的證實和證偽中不斷發(fā)展，這或許就是假想的價值。“在量子計算機(jī)面前，區(qū)塊鏈不值一提”當(dāng)然也是一種假想。從某種意義上來說，提出問題比解決問題更重要。數(shù)字貨幣的假想可追溯至20世紀(jì)70年代以來密碼學(xué)界的夢想：手里的現(xiàn)金能不能像郵件一樣，加個數(shù)字信封，進(jìn)行加密和簽名后，從一端發(fā)送到另外一端。這一夢想在大衛(wèi)·喬姆、中本聰?shù)热说牟恍柑剿飨?，逐步發(fā)展為席卷全球的數(shù)字貨幣試驗。歷史表明，貨幣形態(tài)演化和內(nèi)涵擴(kuò)展受到了歷次科技進(jìn)步的深刻影響，這一進(jìn)程不會在量子時代就此終止，而是不斷向前發(fā)展。當(dāng)前量子技術(shù)還支持不了量子貨幣，量子貨幣理論也存在瑕疵，有學(xué)者甚至認(rèn)為未來是否適用尚難斷言。但量子計算正加速發(fā)展，量子時代已不再遙遠(yuǎn)，正向我們趨近。新技術(shù)帶來的挑戰(zhàn)和機(jī)遇，值得我們關(guān)注與探索。

責(zé)任編輯：ct