量子計算與區塊鏈：將緊迫性與實際威脅相匹配

撰文：Justin Thaler

編譯：白話區塊鏈

加密相關的量子計算機的時間線經常被誇大——導致要求緊急、全面過渡到後量子密碼學。

但這些呼籲往往忽略了過早遷移的成本和風險，並忽略了不同加密原語之間截然不同的風險概況：

後量子加密儘管有成本，仍要求立即部署：「先獲取，後解密」（Harvest-Now-Decrypt-Later, HNDL）攻擊已在進行中，因為今天加密的敏感資料在量子計算機到來時仍將有價值，即使那是幾十年後。後量子加密的效能開銷和實現風險是真實存在的，但 HNDL 攻擊使需要長期保密性的資料別無選擇。

後量子簽名面臨不同的考量。它們不易受到 HNDL 攻擊，且其成本和風險（更大的尺寸、效能開銷、實現不成熟和錯誤）要求深思熟慮而非立即遷移。

這些區別至關重要。誤解會扭曲成本效益分析，導致團隊忽略更突出的安全風險——比如程式錯誤（bugs）。

成功過渡到後量子密碼學的真正挑戰在於將緊迫性與實際威脅相匹配。下面，我將闡明關於量子對密碼學的威脅的常見誤解——涵蓋加密、簽名和零知識證明——並特別關注它們對區塊鏈的影響。

我們的時間表進展如何？

儘管有備受關注的說法，但在 2020 年代出現加密相關的量子計算機（CRQC）的可能性極低。

我所指的「加密相關的量子計算機」是指一台容錯、糾錯的量子計算機，能夠以足夠的規模運行 Shor 演算法，以便在合理的時間範圍內（例如，在最多一個月的持續計算內破解 {secp}256{k}1 或 {RSA-2048} 攻擊橢圓曲線密碼學或 RSA。

根據對公開里程碑和資源估算的任何合理解讀，我們離加密相關的量子計算機還差得很遠。公司有時聲稱 CRQC 可能在 2030 年之前或遠在 2035 年之前出現，但公開已知的進展並不支持這些說法。

作為背景，在所有當前架構中——囚禁離子、超導量子位元和中性原子系統——今天的量子計算平台都不接近運行 Shor 演算法攻擊 {RSA-2048} 或 {secp}256{k}1 所需的數十萬到數百萬物理量子位元（取決於錯誤率和糾錯方案）。

限制因素不只是量子位元數量，還有閘門保真度、量子位元連接性，以及運行深度量子演算法所需的持續糾錯電路深度。雖然一些系統現在超過 1,000 個物理量子位元，但原始量子位元數量本身具有誤導性：這些系統缺乏加密相關計算所需的量子位元連接性和閘門保真度。

最近的系統接近量子錯誤校正開始發揮作用的物理錯誤率，但沒有人證明過多於少數邏輯量子位元具有持續糾錯電路深度……更不用說實際運行 Shor 演算法所需的數千個高保真度、深電路、容錯邏輯量子位元。證明量子錯誤校正在原理上可行與實現密碼分析所需的規模之間的差距仍然巨大。

簡而言之：除非量子位元數量和保真度都提高幾個數量級，否則加密相關的量子計算機仍然遙不可及。

然而，企業新聞稿和媒體報導很容易讓人感到困惑。這裡有一些常見的誤解和困惑來源，包括：

聲稱「量子優勢」的演示，目前針對的是人為設計的任務。選擇這些任務不是因為它們的實用性，而是因為它們可以在現有硬體上運行，同時似乎表現出很大的量子加速——這一事實在公告中經常被模糊。

公司聲稱已實現數千個物理量子位元。但這指的是量子退火機，而不是運行 Shor 演算法攻擊公鑰密碼學所需的閘模型機器。

公司自由使用術語「邏輯量子位元」。物理量子位元是嘈雜的。正如前面提到的，量子演算法需要邏輯量子位元；Shor 演算法需要數千個。使用量子錯誤校正，可以用許多物理量子位元實現一個邏輯量子位元——通常是數百到數千個，具體取決於錯誤率。但一些公司已將這個術語延伸到面目全非。例如，最近的一個公告聲稱使用距離 2 碼並僅用兩個物理量子位元實現了一個邏輯量子位元。這是荒謬的：距離 2 碼只能檢測錯誤，而不能糾正錯誤。用於密碼分析的真正容錯邏輯量子位元每個需要數百到數千個物理量子位元，而不是兩個。

更一般地，許多量子計算路線圖使用術語「邏輯量子位元」來指代僅支援 Clifford 操作的量子位元。這些操作可以高效地進行經典模擬，因此不足以運行 Shor 演算法，而 Shor 演算法需要數千個糾錯的 T 門（或更一般的非 Clifford 門）。

即使其中一個路線圖的目標是「在 X 年實現數千個邏輯量子位元」，這並不意味著該公司預期在同一年 X 運行 Shor 演算法來破解經典密碼學。

這些做法嚴重扭曲了公眾對我們距離加密相關的量子計算機有多近的看法，即使在成熟的觀察家中間也是如此。

也就是說，一些專家確實對進展感到興奮。例如，Scott Aaronson 最近寫道，鑑於「當前驚人的硬體發展速度」，

我現在認為，在下一次美國總統選舉之前，我們將擁有一台運行 Shor 演算法的容錯量子計算機是一個現實的可能性。

但 Aaronson 後來澄清說，他的聲明並不意味著加密相關的量子計算機：他認為即使一個完全容錯的 Shor 演算法運行分解了 15 = 3 \times 5，也算作實現——而這個計算用鉛筆和紙可以更快地完成。標準仍然是小規模執行 Shor 演算法，而不是加密相關的規模，因為之前在量子計算機上分解 15 的實驗使用了簡化的電路，而不是完整的、容錯的 Shor 演算法。而且這些實驗始終針對 15 這個數字進行分解是有原因的：模 15 的算術計算很容易，而分解像 21 這樣稍大一點的數字要困難得多。因此，聲稱分解 21 的量子實驗通常依賴於額外的提示或捷徑。

簡單來說，在未來 5 年內出現一台能夠破解 {RSA-2048} 或 {secp}256{k}1 的加密相關量子計算機的期望——這對實際密碼學至關重要——沒有公開已知的進展支持。

即使 10 年仍然是雄心勃勃的。考慮到我們離加密相關的量子計算機有多遠，對進步感到興奮完全符合十年以上的時間線。

那麼，美國政府將 2035 年定為政府系統全面後量子（PQ）遷移的最後期限又如何呢？我認為這是完成如此大規模過渡的一個合理的時間表。然而，它不是一個預測加密相關的量子計算機將在那時存在的預測。

HNDL 攻擊適用於哪些情況（不適用哪些情況）？

先獲取，後解密（HNDL）攻擊指的是對手現在儲存加密流量，然後當加密相關的量子計算機存在時再解密。民族國家級別的對手肯定已經在大規模歸檔來自美國政府的加密通信，以便在 CRQC 確實存在多年後解密這些通信。

這就是為什麼加密需要立即過渡——至少對於任何有 10-50 年以上保密需求的人來說。

但是數位簽名——所有區塊鏈都依賴它——與加密不同：沒有保密性可以追溯攻擊。

換句話說，如果加密相關的量子計算機到來，簽名偽造確實從那時起成為可能，但過去的簽名不像加密訊息那樣「隱藏」秘密。只要你知道數位簽名是在 CRQC 到來之前生成的，它就不可能是偽造的。

這使得過渡到後量子數位簽名不如加密的後量子過渡那樣緊迫。

主要平台正在相應地採取行動：Chrome 和 Cloudflare 為網路傳輸層安全（TLS）加密推出了混合 {X}25519+{ML-KEM}。

在本篇中，為便於閱讀，我使用加密方案，儘管嚴格來說，像 TLS 這樣的安全通信協議使用的是金鑰交換或金鑰封裝機制，而不是公鑰加密。

這裡的 **「混合」意味著同時使用 ** 後量子安全方案（即 ML-KEM）和現有方案 ({X}25519)，以獲得兩者的組合安全保證。這樣，它們可以（希望）通過 ML-KEM 阻止 HNDL 攻擊，同時在 ML-KEM 被證明即使對今天的電腦也是不安全的情況下，通過 {X}25519 保持經典安全。

蘋果的 iMessage 也通過其 PQ3 協議部署了這種混合後量子加密，Signal 也通過其 PQXDH 和 SPQR 協議部署了。

相比之下，將後量子數位簽名推廣到關鍵網路基礎設施正在被推遲，直到加密相關的量子計算機真正臨近，因為當前的後量子簽名方案會帶來效能下降（稍後在本篇中會詳細介紹）。

zkSNARKs——零知識簡潔非互動式知識論證，這是區塊鏈長期可擴展性和隱私的關鍵——與簽名處於相似的境地。這是因為，即使對於非後量子安全的 {zkSNARKs}（它們使用橢圓曲線密碼學，就像今天的非後量子加密和簽名方案一樣），它們的零知識屬性是後量子安全的。

零知識屬性確保在證明中不會洩露關於秘密證人的任何資訊——即使是對量子對手——因此沒有機密資訊可供「先獲取」以供日後解密。

因此，{zkSNARKs} 不容易受到先獲取，後解密攻擊。就像今天生成的非後量子簽名是安全的一樣，在加密相關的量子計算機到來之前生成的任何 {zkSNARK} 證明都是值得信賴的（即所證明的陳述絕對是真實的）——即使 {zkSNARK} 使用橢圓曲線密碼學。只有在加密相關的量子計算機到來之後，攻擊者才能找到令人信服的虛假陳述的證明。

這對區塊鏈意味著什麼

大多數區塊鏈不會暴露於 HNDL 攻擊：

大多數非隱私鏈，如今天的比特幣和以太坊，主要將非後量子密碼學用於交易授權——即它們使用數位簽名，而不是加密。

同樣，這些簽名不是 HNDL 風險：「先獲取，後解密」攻擊適用於加密資料。例如，比特幣的區塊鏈是公開的；量子威脅是簽名偽造（推導出私鑰以竊取資金），而不是解密已經公開的交易資料。這消除了 HNDL 攻擊帶來的即時加密緊迫性。

不幸的是，即使是像聯準會這樣可信來源的分析也錯誤地聲稱比特幣容易受到 HNDL 攻擊，這個錯誤誇大了過渡到後量子密碼學的緊迫性。

話雖如此，緊迫性降低並不意味著比特幣可以等待：它面臨來自更改協議所需的巨大社會協調的不同時間線壓力。

截至今天的例外是隱私鏈，其中許多加密或以其他方式隱藏了接收者和金額。一旦量子計算機能夠破解橢圓曲線密碼學，這種機密性現在就可以被獲取，並被追溯性地去匿名化。

對於此類隱私鏈，攻擊的嚴重性因區塊鏈設計而異。例如，對於 Monero 基於曲線的環簽名和密鑰圖像（用於阻止雙重花費的每個輸出的可連結性標籤），公共帳本本身就足以追溯性地重建花費圖。但在其他鏈中，損害更有限——詳情請參閱 Zcash 加密工程師和研究員 Sean Bowe 的討論。

如果使用者的交易不被加密相關的量子計算機暴露很重要，那麼隱私鏈應該在可行的情況下盡快過渡到後量子原語（或混合方案）。或者，它們應該採用避免將可解密秘密放在鏈上的架構。

比特幣的特殊難題：治理 + 廢棄幣

特別是對於比特幣，有兩個現實推動了開始轉向後量子數位簽名的緊迫性。兩者都與量子技術無關。

一個擔憂是治理速度：比特幣變化緩慢。如果社群無法就適當的解決方案達成一致，任何有爭議的問題都可能引發破壞性的硬分叉。

另一個擔憂是比特幣轉向後量子簽名不能是被動遷移：所有者必須主動遷移他們的幣。這意味著廢棄的、量子易受攻擊的幣無法受到保護。一些估計將量子易受攻擊且可能廢棄的 BTC 數量定為數百萬個幣，按當前價格計算（截至 2025 年 12 月）價值數百億美元。

然而，對比特幣的量子威脅不會是突然的、一夜之間的災難……而更像是有選擇的、漸進式的目標定位過程。量子計算機不會同時破解所有加密——Shor 演算法必須一次針對一個公鑰。早期的量子攻擊將極其昂貴和緩慢。因此，一旦量子計算機能夠破解單個比特幣簽名密鑰，攻擊者將有選擇地捕食高價值錢包。

此外，避免地址重用且不使用 Taproot 地址——這些地址直接在鏈上暴露公鑰——的用戶即使沒有協議更改，也在很大程度上受到保護：他們的公鑰在他們的幣被花費之前隱藏在雜湊函數後面。當他們最終廣播一筆花費交易時，公鑰變得可見，並且在需要讓交易得到確認的誠實花費者和想要在真正所有者的交易最終確定之前找到私鑰並花費這些幣的量子裝備攻擊者之間會有一場短暫的實時競賽。因此，真正易受攻擊的幣是公鑰已暴露的幣：早期的點對點 K 輸出、重用地址和 Taproot 持有。

對於已被廢棄的易受攻擊的幣，沒有簡單的解決方案。一些選擇包括：

比特幣社群同意一個「標誌日」，在此之後，任何未遷移的幣被宣布銷毀。

將廢棄的量子易受攻擊的幣容易被任何擁有加密相關量子計算機的人奪取。

第二個選項會造成嚴重的法律和安全問題。使用量子計算機在沒有私鑰的情況下佔有幣——即使聲稱擁有合法所有權或有良好意圖——可能在許多司法管轄區根據盜竊和電腦詐欺法引發嚴重問題。

此外，「廢棄」本身是基於不活動的推定。但沒有人真正知道這些幣是否缺乏擁有密鑰的活著的擁有者。您曾經擁有這些幣的證據可能不足以提供破解加密保護以收回它們的法律授權。這種法律上的模糊性增加了廢棄的量子易受攻擊的幣落入願意忽略法律限制的惡意行為者手中的可能性。

比特幣特有的最後一個問題是其低交易吞吐量。即使遷移計畫最終確定，將所有量子易受攻擊的資金遷移到後量子安全地址，以比特幣當前的交易速率也需要數月。

這些挑戰使得比特幣現在就開始規劃其後量子過渡變得至關重要——不是因為加密相關的量子計算機可能在 2030 年之前到來，而是因為遷移價值數十億美元的幣所需的治理、協調和技術物流將需要數年才能解決。

對比特幣的量子威脅是真實的，但時間線壓力來自於比特幣自身的限制，而不是迫在眉睫的量子計算機。其他區塊鏈面臨著各自的量子易受攻擊資金挑戰，但比特幣面臨獨特的暴露：其最早的交易使用了付費到公鑰（點對點 K）輸出，將公鑰直接放在鏈上，使得相當大一部分 BTC 特別容易受到加密相關量子計算機的攻擊。這種技術差異——加上比特幣的年代久遠、價值集中、低吞吐量和治理僵化——使問題尤為嚴重。

請注意，我上面描述的漏洞適用於比特幣數位簽名的加密安全——但不適用於比特幣區塊鏈的經濟安全。這種經濟安全源於工作量證明（PoW）共識機制，它不容易受到量子計算機的攻擊，原因有三：

PoW 依賴於雜湊，因此只受 Grover 搜尋演算法的二次量子加速影響，而不受 Shor 演算法的指數加速影響。

實施 Grover 搜尋的實際開銷使得任何量子計算機極不可能在比特幣的工作量證明機制上實現哪怕是適度的實際加速。

即使實現了顯著的加速，這些加速也會賦予大型量子礦工相對於小型礦工的優勢，但不會從根本上破壞比特幣的經濟安全模型。

後量子簽名的成本與風險

要了解為什麼區塊鏈不應該急於部署後量子簽名，我們需要了解效能成本以及我們對後量子安全仍在演變中的信心。

大多數後量子密碼學基於以下五種方法之一：

雜湊 (hashing)

編碼 (codes)

格 (lattices)

多元二次系統 (multivariate quadratic systems, MQ)

同源 (isogenies)。

為什麼有五種不同的方法？任何後量子加密原語的安全性都基於量子計算機無法有效解決特定數學問題的假設。該問題越「結構化」，我們可以從中構建的加密協議就越高效。

但這有利有弊：額外的結構也為攻擊演算法創造了更多的利用空間。這造成了一種根本性的矛盾——更強的假設能夠實現更好的效能，但代價是潛在的安全漏洞（即假設被證明是錯誤的可能性增加）。

一般來說，基於雜湊的方法在安全性方面最為保守，因為我們最有信心量子計算機無法有效地攻擊這些協定。但它們也是效能最差的。例如，NIST 標準化的基於雜湊的簽名方案，即使在其最小參數設定下，大小也為 7-8 KB。相比之下，今天的基於橢圓曲線的數位簽名只有 64 位元組。這大約是 100 倍的大小差異。

格方案是當今部署的主要焦點。NIST 已經選擇用於標準化的唯一加密方案和三個簽名演算法中的兩個都基於格。一種格方案（ML-DSA，以前稱為 Dilithium）產生的簽名大小從 2.4 KB（在 128 位安全級別）到 4.6 KB（在 256 位安全級別）不等——使其比今天的基於橢圓曲線的簽名大約大 40-70 倍。另一種格方案 Falcon 具有稍小的簽名（Falcon-512 為 666 位元組，Falcon-1024 為 1.3 KB），但帶有複雜的浮點運算，NIST 本身將其標記為特殊的實現挑戰。Falcon 的一位創建者 Thomas Pornin 稱其為「我實現過的最複雜的加密演算法」。

格基數位簽名的實現安全性也比橢圓曲線基簽名方案更具挑戰性：ML-DSA 具有更多的敏感中間值和非平凡的拒絕採樣邏輯，需要側信道和故障保護。Falcon 增加了常數時間浮點問題；事實上，對 Falcon 實現的幾次側信道攻擊已經恢復了秘密密鑰。

這些問題構成了即時風險，不像加密相關的量子計算機的遙遠威脅。

在部署效能更高的後量子密碼學方法時，有充分的理由保持謹慎。歷史上，像 Rainbow（一種基於 MQ 的簽名方案）和 SIKE/SIDH（一種基於同源的加密方案）這樣的領先候選方案在經典上就被破解了，也就是說，使用今天的電腦，而不是量子計算機，就被破解了。

這發生在 NIST 標準化過程的很晚階段。這是健康的科學在發揮作用，但這說明過早的標準化和部署可能會適得其反。

正如前面提到的，網路基礎設施正在對簽名遷移採取深思熟慮的方法。考慮到網際網路的加密過渡一旦開始需要多長時間，這一點尤其值得注意。從 MD5 和 SHA-1 雜湊函數的轉變——幾年前已被網路管理機構在技術上棄用——花了許多年才在基礎設施中實際實施，並且在某些情況下仍在進行中。發生這種情況的原因是這些方案是完全被破解的，而不僅僅是潛在地容易受到未來技術的影響。

區塊鏈與網路基礎設施的獨特挑戰

幸運的是，像以太坊或 Solana 這樣由開源開發者社群積極維護的區塊鏈，可以比傳統網路基礎設施更快地升級。另一方面，傳統網路基礎設施受益於頻繁的金鑰輪換，這意味著其攻擊面移動得比早期量子機器可以針對的速度更快——這是區塊鏈沒有的奢侈，因為幣及其相關密鑰可以無限期地暴露。

但總的來說，區塊鏈仍應遵循網路的深思熟慮的簽名遷移方法。兩種設定的簽名都不暴露於 HNDL 攻擊，而且無論密鑰持續多久，過早遷移到不成熟的後量子方案的成本和風險仍然很大。

還有特定於區塊鏈的挑戰，使得過早遷移特別冒險和複雜：例如，區塊鏈對簽名方案有獨特的要求，特別是快速聚合許多簽名的能力。今天，BLS 簽名因其能夠實現非常快速的聚合而常被使用，但它們不是後量子安全的。研究人員正在探索基於 SNARK 的後量子簽名聚合。這項工作很有前景，但仍處於早期階段。

對於 SNARKs 來說，社群目前專注於基於雜湊的結構作為領先的後量子選項。但一個重大轉變即將到來：我相信在接下來的幾個月和幾年裡，基於格的選項將成為有吸引力的替代方案。這些替代方案將在各個方面具有比基於雜湊的 {SNARKs} 更好的效能，例如更短的證明——類似於基於格的簽名比基於雜湊的簽名更短。

當前更大的問題：實現安全性

在未來幾年，實現漏洞將是比加密相關的量子計算機更大的安全風險。對於 {SNARKs} 來說，主要關注點是程式錯誤（bugs）。

程式錯誤已經是數位簽名和加密方案的一個挑戰，而 {SNARKs} 要複雜得多。確實，一個數位簽名方案可以被視為一種非常簡單的 {zkSNARK}，用於陳述「我知道對應於我的公鑰的私鑰，並且我授權了此訊息。」

對於後量子簽名，即時風險還包括實現攻擊，例如側信道和故障注入攻擊。這些類型的攻擊有據可查，可以從已部署的系統中提取秘密密鑰。它們比遙遠的量子計算機構成了更緊迫的威脅。

社群將工作多年來識別和修復 {SNARKs} 中的程式錯誤，並強化後量子簽名實現以抵抗側信道和故障注入攻擊。由於關於後量子 {SNARKs} 和簽名聚合方案的塵埃尚未落定，過早過渡的區塊鏈面臨鎖定在次優方案中的風險。當更好的選項出現時，或者當實現漏洞被發現時，他們可能需要再次遷移。

我們應該怎麼做？7 條建議

鑑於我上面概述的現實情況，我將以對各種利益相關者——從構建者到政策制定者——的建議作為總結。首要原則：認真對待量子威脅，但不要以加密相關的量子計算機將在 2030 年之前到來的假設行事。這種假設沒有被當前的進展所證實。儘管如此，我們現在仍然可以而且應該做一些事情：

我們應該立即部署混合加密。

或者至少在長期保密性很重要且成本可承受的情況下。

許多瀏覽器、CDN 和訊息應用（如 iMessage 和 Signal）已經部署了混合方法。混合方法——後量子 + 經典——可以防禦 HNDL 攻擊，同時對後量子方案中潛在的弱點進行對沖。

在尺寸可承受時立即使用基於雜湊的簽名。

軟體 / 韌體更新——以及其他此類低頻率、對尺寸不敏感的場景——應該立即採用混合基於雜湊的簽名。（混合是為了對沖新方案中的實現錯誤，而不是因為基於雜湊的安全假設存在疑問。）

這很保守，並且在加密相關的量子計算機意外早日出現的不太可能的情況下，為社會提供了明確的「救生艇」。如果事先沒有部署後量子簽名的軟體更新，在 CRQC 出現後，我們將面臨引導問題：我們將無法安全地分發我們需要抵禦它的後量子密碼學修復。

區塊鏈無需急於部署後量子簽名——但應立即開始規劃。

區塊鏈開發者應該遵循網路 PKI 社群的領導，對後量子簽名部署採取深思熟慮的方法。這允許後量子簽名方案在效能和我們對其安全性的理解方面繼續成熟。這種方法也讓開發者有時間重新架構系統以處理更大的簽名，並開發更好的聚合技術。

對於比特幣和其他 L1：社群需要定義遷移路徑和關於廢棄的量子易受攻擊資金的政策。被動遷移是不可能的，因此規劃至關重要。而且由於比特幣面臨特殊的非技術性挑戰——緩慢的治理和大量高價值潛在廢棄的量子易受攻擊地址——比特幣社群現在開始規劃尤為重要。

同時，我們需要允許關於後量子 {SNARKs} 和可聚合簽名的研究成熟（可能還需要幾年時間）。再次強調，過早遷移有鎖定在次優方案中或需要第二次遷移來解決實現錯誤的風險。

關於以太坊的帳戶模型的一點說明：以太坊支援兩種帳戶類型，對後量子遷移有不同的影響——外部擁有帳戶 (EOAs)，由 {secp}256{k}1 私鑰控制的傳統帳戶類型；以及具有可程式化授權邏輯的智慧合約錢包。

在非緊急情況下，如果以太坊增加了後量子簽名支援，可升級的智慧合約錢包可以通過合約升級切換到後量子驗證——而 EOAs 可能需要將其資金轉移到新的後量子安全地址（儘管以太坊很可能也會為 EOAs 提供專門的遷移機制）。

在量子緊急情況下，以太坊研究人員提出了一個硬分叉計畫，以凍結易受攻擊的帳戶，並讓用戶通過使用後量子安全 {SNARKs} 證明其助記詞的知識來恢復資金。這種恢復機制將適用於 EOA 和任何尚未升級的智慧合約錢包。

對用戶的實際影響：經過良好稽核、可升級的智慧合約錢包可能提供略微平滑的遷移路徑——但差異不大，並且伴隨著對錢包提供商和升級治理的信任方面的權衡。更重要的是以太坊社群繼續其關於後量子原語和應急響應計畫的工作。

對構建者的更廣泛設計教訓：今天許多區塊鏈將帳戶身分與特定的加密原語緊密耦合——比特