1. 引言关于“具备密码学实际攻击能力的量子计算机cryptographically relevant quantum computer”的时间线经常被夸大——从而导致人们呼吁紧急、全面地迁移到后量子密码学。但这些呼声往往忽略了过早迁移所带来的成本与风险也忽视了不同密码学原语之间截然不同的风险特征后量子加密encryption必须立即部署即便代价高昂Harvest-now-decrypt-laterHNDL“先收集、后解密”攻击已经在发生因为今天被加密的敏感数据在未来量子计算机真正到来时即便那是几十年后仍然具有价值。后量子加密确实会带来性能开销与实现风险但对于那些需要长期保密的数据而言HNDL 攻击使人们别无选择。后量子签名signatures则面临完全不同的权衡。它们不会受到 HNDL 攻击影响而其成本与风险更大的尺寸、性能开销、实现尚不成熟以及 bug意味着迁移应当是审慎推进的而不是立刻全面切换。这些区别非常重要。错误认知会扭曲成本收益分析使团队忽略那些其实更现实、更紧迫的安全风险——如 bug。成功推进后量子密码迁移的真正挑战在于让“紧迫性”与“真实威胁”相匹配。下面将澄清一些关于量子威胁与密码学的常见误解涵盖加密、签名以及零知识证明并特别关注它们对区块链的影响。2. 当前处于什么时间节点在 2020 年代出现“具备密码学攻击能力的量子计算机CRQC”的可能性极低尽管外界存在一些高调宣传。所谓“具备密码学攻击能力的量子计算机cryptographically relevant quantum computer”是指一种具备容错fault-tolerant与纠错error-corrected能力的量子计算机能够在现实时间范围内运行 Shor’s algorithm从而攻击椭圆曲线密码学或 RSA如在最多一个月持续计算内攻破 secp256k1 或 RSA-2048。根据目前公开的技术里程碑与资源估算以任何合理标准来看当前距离“具备密码学攻击能力的量子计算机”都还非常遥远。一些公司有时会宣称 CRQC 很可能在 2030 年之前、或者远早于 2035 年出现但公开已知的技术进展并不支持这些说法。作为参考在当前所有主流架构中——包括离子阱trapped ions、超导量子比特superconducting qubits以及中性原子系统neutral atom systems——今天没有任何一个量子计算平台接近运行 Shor 算法攻击 RSA-2048 或 secp256k1 所需的规模。而根据误差率与纠错方案不同其所需规模大约是 数十万个见2025年论文How to factor 2048 bit RSA integers with less than a million noisy qubits 到数百万个物理量子比特。限制因素不仅仅是量子比特数量还包括门保真度gate fidelities量子比特连接性qubit connectivity以及运行深层量子算法所需的、可持续的纠错电路深度sustained error-corrected circuit depth虽然如今已经有一些系统的物理量子比特数量超过了 1,000 个如IBM CondorAtom Computing Announces Record-Breaking 1,225-Qubit Quantum Computer但单纯的原始量子比特数量其实具有很强的误导性这些系统并不具备进行具备密码学攻击价值cryptographically relevant的计算所需的量子比特连接性与门保真度。近期的一些系统已经开始接近见2024年论文Quantum error correction below the surface code threshold量子纠错真正开始生效见2012年论文Surface codes: Towards practical large-scale quantum computation所需的物理错误率。但目前还没有任何人展示出能够维持持续纠错电路深度sustained error-corrected circuit depth的逻辑量子比特数量超过寥寥几个见2024年论文Quantum error correction below the surface code threshold 和 Demonstration of logical qubits and repeated error correction with better-than-physical error rates。更不用说 运行 Shor’s algorithm 实际所需的那种数千个高保真深电路容错型逻辑量子比特。“证明量子纠错在原理上可行”与“达到真正可用于密码分析的规模”之间仍然存在巨大的鸿沟。简而言之在量子比特数量与保真度同时提升几个数量级之前具备密码学攻击能力的量子计算机仍然遥不可及。不过企业新闻稿与媒体报道很容易让人产生误解。其中一些常见误区包括宣称实现“量子优势quantum advantage”的演示目前通常针对的是人为设计的任务。这些任务并不是因为具有实际价值而被选择而是因为它们能够在现有硬件上运行同时看起来能够展现巨大的量子加速。而这一事实往往会在公告中被有意弱化。公司宣称已经实现了数千个物理量子比特。但这里指的往往是“量子退火机quantum annealers”而不是运行 Shor 算法、攻击公钥密码学所需的 gate-model 量子计算机。如2019年9月博客 TechRepublic: D-Wave Announces 5,000-Qubit Fifth Generation Quantum Annealer。公司大量滥用“逻辑量子比特logical qubit”这一术语。物理量子比特本身是带噪声的。真正的量子算法需要的是逻辑量子比特正如前文所述Shor 算法需要数千个这样的逻辑量子比特。通过量子纠错可以用许多个物理量子比特构建一个逻辑量子比特——通常需要数百到数千个物理量子比特具体取决于错误率。但有些公司已经把这个术语使用得面目全非。如最近有一个公告声称他们已经实现了 48 个逻辑量子比特而每个逻辑量子比特仅使用两个物理量子比特并采用 distance-2 code。这非常荒谬distance-2 code 只能“检测”错误而不能“纠正”错误。真正用于密码分析的容错逻辑量子比特每个都需要数百到数千个物理量子比特而不是两个。更广泛地说许多量子计算路线图会使用“逻辑量子比特”这一术语来指代仅支持 Clifford operations 的量子比特。但这些操作可以被高效地经典模拟见2008年论文Improved Simulation of Stabilizer Circuits因此根本不足以运行 Shor 算法。因为 Shor 算法需要数千个经过纠错的 T gates或更一般意义上的 non-Clifford gates因此即便某个路线图宣称“将在 X 年前实现数千个逻辑量子比特”也并不意味着该公司预计能在同一 X 年运行 Shor 算法并攻破经典密码学。这些做法已经严重扭曲了公众对于“人们距离具备密码学攻击能力的量子计算机究竟还有多远”的认知——甚至连很多专业观察者也受到影响。当然也确实有一些专家对当前进展感到兴奋。如 Scott Aaronson 最近就在一篇文章Quantum computing: too much to handle!中写道鉴于“当前令人震惊的硬件进展速度”其现在认为在下一次美国总统大选之前人们拥有一台运行 Shor 算法的容错量子计算机已经成为一种现实可能性。但 Aaronson 后来又澄清并进一步说明见文章Quantum Investment Bros: Have you no shame?其说法并不意味着“具备密码学攻击能力的量子计算机cryptographically relevant quantum computer”即便只是完整、容错地运行一次 Shor’s algorithm 来分解 15 3×5一个用纸笔都能更快完成的计算他也会认为这一目标已经达成。换句话说目前的门槛仍然只是实现一个小规模、完整容错的 Shor 算法执行而不是实现“具备密码学实际攻击能力”的量子计算机。此前量子计算机对 15 的因数分解实验通常使用的是简化电路而不是真正完整、容错的 Shor 算法。而这些实验总是选择“15”作为分解对象也是有原因的模 15 的算术计算非常容易而即便只是稍大一点的数字如 21其难度都会高得多——见2025年8月30日博客Why haven’t quantum computers factored 21 yet?。因此那些声称已经用量子实验分解 21 的结果通常都会依赖额外提示hints或捷径shortcuts。简单来说未来 5 年内出现能够攻破 RSA-2048 或 secp256k1 的“具备密码学攻击能力的量子计算机”的预期——而这才是真正对**实用密码学practical cryptography**有意义的标准——并没有得到公开技术进展的支持。即便是 10 年时间也仍然相当激进。考虑到距离真正具备密码学攻击能力的量子计算机还有多远对当前进展感到兴奋与认为它至少还需要十年以上时间这两件事其实完全不矛盾。那么美国政府将 2035 设定为政府系统全面完成后量子PQ迁移的目标期限又该如何理解相关政策见白宫2022年5月4日备忘录 National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems个人认为对于如此大规模的迁移工程来说这是一个合理的完成时间线。但这并不意味着政府预测届时一定会出现具备密码学攻击能力的量子计算机。3. HNDL 攻击适用于哪些场景以及不适用于哪些场景Harvest now, decrypt laterHNDL“先收集、后解密”攻击指的是攻击者现在先存储加密通信数据等未来出现具备密码学攻击能力的量子计算机后再进行解密。国家级攻击者如今几乎肯定已经在大规模归档美国政府的加密通信以便在未来 CRQC 真正出现时对这些通信进行解密。这也是为什么加密encryption必须从今天开始迁移。至少对于那些需要保密 10~50 年以上的数据而言必须如此。但数字签名digital signatures——也就是所有区块链所依赖的机制——与加密不同它不存在可被事后攻击的“机密性”。换句话说如果未来出现了具备密码学攻击能力的量子计算机那么从那一刻开始伪造签名确实会成为可能但过去的签名并不像加密消息那样“隐藏”着秘密。只要知道某个数字签名是在 CRQC 出现之前生成的那么它就不可能是伪造的。因此后量子数字签名的迁移紧迫性要低于后量子加密的迁移紧迫性。主流平台如今的实际行动也体现了这一点Chrome见2023年8月10日博客Protecting Chrome Traffic with Hybrid Kyber KEMCloudflare见2022年10月3日博客Defending against future threats: Cloudflare goes post-quantum都已经在 Web 传输层安全TLS加密中部署了混合方案X25519ML-KEM。【注】为了便于阅读本文统一使用“加密方案encryption schemes”这一表述但严格来说TLS 等安全通信协议使用的是密钥交换key exchange或密钥封装机制key encapsulation mechanisms而不是公钥加密本身。这里的“Hybrid混合”意味着同时叠加使用一个后量子安全方案即 ML-KEM和一个现有经典方案X25519从而同时获得两者的安全保证。这样一来它们既能够希望能够通过 ML-KEM 抵御 HNDL 攻击又能在 ML-KEM 最终被证明即便对今天的经典计算机也不安全时继续依赖 X25519 提供经典安全性。Apple 的 iMessage 也通过其 PQ3 protocol 部署了这种混合式后量子加密方案Signal 也同样通过其 PQXDH 与 SPQR 协议进行了部署。相比之下关键 Web 基础设施中的后量子数字签名digital signatures部署则正在被推迟到“具备密码学攻击能力的量子计算机”真正迫近时才进行。详情见Building a Deployable Post-quantum Web PKI 和 A look at the latest post-quantum signature standardization candidates原因在于当前的后量子签名方案会带来性能退化这一点后文会进一步讨论。zkSNARKszero-knowledge Succinct Non-interactive ARguments of Knowledge零知识简洁非交互式知识论证——这是区块链长期扩展性与隐私能力的关键技术——其处境与数字签名非常相似。这是因为即便某些 zkSNARKs 本身并不具备后量子安全性它们像今天的非后量子加密与签名方案一样依赖椭圆曲线密码学其“零知识zero-knowledge”性质本身却仍然具备后量子安全性。零知识性质保证证明中不会泄露关于秘密 witness 的任何信息——即便面对量子攻击者也是如此。因此不存在任何可供“现在收集、以后解密harvest now, decrypt later”的机密数据。所以zkSNARKs 并不容易受到 HNDL 攻击。正如今天生成的非后量子签名依然是安全的一样任何在“具备密码学攻击能力的量子计算机”出现之前生成的 zkSNARK 证明也依然是可信的也就是说被证明的 statement 一定为真——即便该 zkSNARK 使用了椭圆曲线密码学。只有在真正出现具备密码学攻击能力的量子计算机之后攻击者才有可能伪造“错误 statement”的可信证明。4. 这一切对区块链意味着什么大多数区块链并不会受到 HNDL 攻击影响。大多数非隐私链non-privacy chains——如今天的 Bitcoin 与 Ethereum——使用非后量子密码学的主要目的是交易授权transaction authorization。也就是说它们使用的是数字签名而不是加密。再次强调这些签名并不属于 HNDL 风险。“Harvest now, decrypt later”攻击适用于的是加密数据encrypted data。如 Bitcoin 区块链本身就是公开的量子威胁在这里体现为签名伪造即推导私钥并盗取资金而不是去“解密”本来就已经公开的交易数据。因此这消除了 HNDL 攻击所带来的那种“立即必须迁移”的密码学紧迫性。不幸的是即便是像美联储Federal Reserve这样可信来源的分析也曾错误地声称 Bitcoin 会受到 HNDL 攻击影响。这种错误夸大了迁移到后量子密码学的紧迫性。不过需要注意的是“紧迫性降低”并不意味着 Bitcoin 可以慢慢等待。Bitcoin 面临的是另一种时间压力即修改协议所需要的巨大社会协调成本。后文会进一步讨论 Bitcoin 的特殊挑战。目前真正的例外是隐私链privacy chains。许多隐私链会对接收者金额进行加密或隐藏。这些机密数据可以被现在收集并在未来量子计算机能够攻破椭圆曲线密码学之后被事后去匿名化retroactively deanonymized。对于这些隐私链而言攻击严重程度取决于具体区块链设计。如Monero 使用基于椭圆曲线的 ring signatures 与 key images用于阻止双花、针对每个 output 的可链接标签。在这种情况下仅凭公开账本本身就足以在事后大规模重建资金流图spend-graph。但在其他一些系统中损害会更有限。具体细节可参见 Sean Bowe 的Zcash and Quantum Computers 讨论。如果用户希望自己的交易不会在未来被“具备密码学攻击能力的量子计算机”暴露那么隐私链应当尽快迁移到后量子原语或混合方案或采用不会将可解密秘密直接放上链的架构设计5. Bitcoin 的特殊难题治理 被遗弃的币对于 Bitcoin 而言推动其尽早开始迁移到后量子数字签名的紧迫性主要来自两个现实问题。而这两个问题都与量子技术本身无关。其中一个问题是治理速度governance speedBitcoin 的升级与变更速度非常缓慢。任何存在争议的问题都可能在社区无法达成一致时引发具有破坏性的硬分叉hard fork。另一个问题是Bitcoin 向后量子签名的迁移不可能是一种“被动迁移passive migration”。用户必须主动迁移自己的币。这意味着那些已经被遗弃、但仍然暴露于量子攻击风险下的 Bitcoin将无法被保护。一些估算见2025年5月文章Bitcoin and Quantum Computing: Current Status and Future Directions认为目前处于量子脆弱状态、并且可能已经被遗弃的 BTC 数量可能高达数百万枚。按照 2025 年 12 月的价格计算其价值达到数千亿美元。然而量子威胁对于 Bitcoin 来说并不会是一场突然在一夜之间降临的末日灾难……它更像是一种“有选择性的、渐进式的攻击过程”。量子计算机不会同时攻破所有加密系统——Shor’s algorithm 必须一次只针对一个公钥进行攻击。早期的量子攻击将会极其昂贵且缓慢。因此一旦量子计算机能够破解单个 Bitcoin 签名密钥攻击者就会优先、有选择地攻击高价值钱包。此外那些避免了address reuse地址复用、并且没有使用 Taproot addresses其会直接在链上暴露公钥的用户即便不修改协议也基本上是安全的因为他们的公钥在花费之前始终隐藏在哈希函数之后。当他们最终广播一笔花费交易时公钥才会被公开。而这时会出现一个短暂的实时竞赛一边是真正的持币者希望尽快让自己的交易被确认另一边则是拥有量子计算能力的攻击者希望在交易最终确认之前推导出私钥并抢先转移这些币。因此真正脆弱的币是那些公钥已经暴露的币如早期的 P2PK outputs被复用地址中的资金Taproot 地址中的持币对于那些已经被遗弃的、存在量子风险的币目前并没有简单解决方案。一些可能方案包括Bitcoin 社区达成一致设立一个“flag day切换日”在该日期之后所有未迁移的币都被视为已销毁burned。允许那些被遗弃、且暴露于量子风险下的币被任何拥有“具备密码学攻击能力的量子计算机”的人夺取。第二种方案会带来严重的法律与安全问题。即便声称自己拥有合法所有权或善意目的仅凭量子计算机、在没有私钥的情况下获取这些币也可能在许多司法辖区触发盗窃法计算机欺诈法相关严重问题可参见SEAL Whitehat Safe HarborMeet the Vigilantes Who Hack Millions in Crypto to Save It From Thieves此外“被遗弃abandoned”本身也只是基于长期不活跃所做出的推测。但实际上没有人真正知道这些币是否仍然存在活着的所有者且该所有者仍然掌握密钥即便能够证明自己曾经拥有这些币也未必意味着其在法律上有足够权力去突破密码学保护并重新夺回它们。这种法律上的模糊性会进一步提高一种风险即这些被遗弃、暴露于量子风险下的币最终落入那些愿意无视法律约束的恶意攻击者手中。Bitcoin 还存在另一个特殊问题其交易吞吐量非常低。即便未来迁移方案已经完全确定把所有存在量子风险的资金迁移到后量子安全地址也仍然需要数个月见2024年论文Downtime Required for Bitcoin Quantum-Safety时间——这是按照 Bitcoin 当前交易吞吐率计算的。这些挑战意味着Bitcoin 必须从现在开始规划其后量子迁移并不是因为“具备密码学攻击能力的量子计算机”很可能在 2030 年前出现而是因为完成数十亿美元资产迁移所涉及的治理社会协调技术实施本身就需要数年时间才能解决。量子威胁对于 Bitcoin 确实是真实存在的。但其时间压力更多来自 Bitcoin 自身的约束而不是来自“量子计算机即将到来”这一事实。其他区块链当然也会面临量子脆弱资金的问题但 Bitcoin 的暴露程度尤其严重。因为 Bitcoin 最早期的交易使用的是 pay-to-public-keyP2PK输出它会直接把公钥暴露在链上。这导致 Bitcoin 中有相当大比例的 BTC 会暴露给“具备密码学攻击能力的量子计算机”。而这一技术差异再叠加Bitcoin 的历史年龄财富集中程度低吞吐量僵化的治理结构使得这一问题尤为严重。需要注意的是上面所描述的那些脆弱性影响的是 Bitcoin 数字签名的密码学安全性——但并不影响Bitcoin 区块链的经济安全性economic security。这种经济安全性来源于其工作量证明PoW共识机制而 PoW 并不像数字签名那样容易受到量子计算机攻击其原因有三点PoW 依赖的是哈希函数因此它只会受到 Grover’s search algorithm 带来的平方级量子加速影响而不会受到 Shor’s algorithm 所带来的指数级加速影响。实现 Grover 搜索在实践中存在巨大额外开销因此任何量子计算机即便在 Bitcoin 的工作量证明机制上实现哪怕很小的现实世界加速也都被认为是极不可能见2024年9月视频Invited talk II by Sam Jaques (CHES 2024)的。即便真的实现了显著加速这种加速也只是让大型量子矿工相比小型矿工更具优势而不会从根本上破坏 Bitcoin 的经济安全模型。6. 后量子签名的成本与风险要理解为什么区块链不应该仓促部署后量子签名需要同时理解性能成本以及人们对于后量子安全性仍在演进中的信心目前大多数后量子密码学方案都基于以下五种路线之一哈希hashing编码codes格lattices多变量二次系统multivariate quadratic systemsMQ同源isogenies为什么会存在五种不同路线因为任何后量子密码原语的安全性都建立在这样一种假设之上量子计算机无法高效解决某个特定数学问题。而这个问题越“结构化structured”通常就越能基于它构建出高效的密码协议。但这是一把双刃剑额外的结构性也会给攻击算法提供更多可利用的攻击面。因此会出现一种根本性张力——更强的结构性假设能够带来更好的性能但代价是一旦这些假设最终被证明错误系统就会更容易出现安全漏洞。总体而言**基于哈希的方法hash-based approaches**在安全性上最保守。因为最有信心认为量子计算机无法高效攻击这些协议。但与此同时它们的性能也是最差的。如NIST 已标准化的基于哈希的签名方案即便使用最小参数其签名大小也达到 7~8 KB。相比之下今天基于椭圆曲线的数字签名仅有 64 字节。两者尺寸差距大约达到 100 倍。基于格lattice schemes的方案则是当前部署重点。NIST 已经选定用于标准化的唯一加密方案以及三个签名方案中的两个都基于格。其中一个格方案 ML-DSA前身为 Dilithium其签名尺寸范围为2.4 KB128 位安全级别到 4.6 KB256 位安全级别这意味着它们比今天基于椭圆曲线的签名大约大 40~70 倍。另一个格方案 Falcon 则拥有相对更小的签名Falcon-512666 字节Falcon-10241.3 KB但它依赖复杂的浮点运算而 NIST 本身也将其视为一种特殊实现挑战。Falcon 的作者之一 Thomas Pornin 甚至表示“这是其实现过的、迄今为止最复杂的密码算法。”与基于椭圆曲线的签名方案相比基于格lattice-based的签名方案在实现安全性方面也更加困难ML-DSA 存在更多敏感中间值并且包含复杂的拒绝采样逻辑rejection-sampling logic这些部分都需要进行侧信道side-channel 防护以及 故障fault 攻击防护而 Falcon 则进一步引入了常数时间constant-time浮点运算实现安全等方面的问题。事实上针对 Falcon 实现的多种侧信道攻击已经能够恢复私钥见2022年Breaking FALCON Post-Quantum Signature Scheme through Side-Channel Attacks。这些问题带来的都是“当前现实中的直接风险”而不是像“具备密码学攻击能力的量子计算机”那样仍然遥远的未来威胁。对于那些性能更好的后量子密码方案人们有充分理由保持谨慎。历史上像Rainbow基于 MQ 的签名方案SIKE/SIDH基于同源的加密方案这样的领先候选者都曾被也就是使用今天的经典计算机而不是量子计算机彻底攻破详情见2022年论文 Breaking Rainbow Takes a Weekend on a Laptop2022年论文 [An efficient key recovery attack on SIDH(https://eprint.iacr.org/2022/975.pdf)而且这些攻击发生时NIST 的标准化流程已经推进到了很后期。这其实是健康科学过程正常发挥作用的体现。但它也说明过早标准化与部署可能会适得其反。正如前文提到的互联网基础设施目前对签名迁移采取的是一种审慎推进deliberate的策略。这一点尤其值得注意因为互联网密码迁移一旦开始真正完成往往需要非常长时间。如淘汰 MD5 与 SHA-1 哈希函数——尽管它们多年前就已经被 Web 标准组织正式弃用——真正落实到整个基础设施中仍然花费了许多年并且在某些场景下直到今天仍未彻底完成。而这一切发生时这些方案其实已经被完全攻破而不仅仅是“可能在未来技术下存在风险”详情见Creating a rogue CA certificatedo instant MD5 collisions of any pair of PDFs2005年论文 How to Break MD5 and Other Hash Functions7. 区块链相对于互联网基础设施的独特挑战幸运的是那些由活跃开源社区维护的区块链——如EthereumSolana——其升级速度通常快于传统互联网基础设施。但另一方面传统互联网基础设施有一个优势它们会频繁轮换密钥key rotation。这意味着它们的攻击面变化速度通常快于早期量子计算机能够真正实施攻击的速度。而区块链并不具备这种“奢侈条件”因为链上的币及其对应密钥可能会长期暴露在那里。不过综合来看区块链仍然应该采用互联网那种“审慎推进”的签名迁移方式。因为对于数字签名而言两者都不会受到 HNDL 攻击而无论密钥存续多久过早迁移到尚不成熟的后量子方案其成本与风险始终都非常显著。此外还有一些区块链特有的问题使得“过早迁移”尤其危险且复杂。如区块链对于签名方案有特殊需求尤其是能够快速聚合大量签名。如今BLS 签名之所以被广泛使用就是因为它能够实现非常快速的签名聚合但它并不具备后量子安全性。研究人员目前正在探索基于 SNARK 的后量子签名聚合方案详情见以太坊2025年7月31日博客 lean Ethereum以太坊2025年论文 Hash-Based Multi-Signatures for Post-Quantum Ethereum这一方向前景很好但仍处于早期阶段。对于 SNARK 本身而言当前社区主要聚焦于 基于哈希的构造作为主要的后量子方案。但一个重大转变正在到来相信在未来几个月乃至几年内基于格lattice-based的方案将会成为极具吸引力的替代选择。这些方案在多个方面都会比基于哈希的 SNARK 拥有更好性能如显著更短的证明proof这与“基于格的签名比基于哈希的签名更短”这一现象是类似的。8. 当前更大的问题实现安全性Implementation security在未来很多年里实现层面的漏洞implementation vulnerabilities都会比“具备密码学攻击能力的量子计算机”构成更大的安全风险。对于 SNARK 而言首要问题是 bugs。Bug 对数字签名与加密方案本身就已经是一个challenge见2024年论文Finding Bugs and Features Using Cryptographically-Informed Functional Testing而 SNARK 的复杂度则远远更高。事实上一个数字签名方案本质上可以被视为一种非常简单的 zkSNARK其证明 statement 类似于“我知道与该公钥对应的私钥并且我授权了这条消息。”对于后量子签名而言当前现实中的风险还包括各种实现攻击如侧信道攻击side-channel attacks故障注入攻击fault-injection attacks这些攻击已经被充分研究并且确实能够从真实部署系统中提取私钥。相比遥远的量子计算机这些威胁更加现实、更加紧迫。未来很多年里社区都需要持续发现并修复 SNARK 中的 bug加固后量子签名实现以抵御侧信道与故障注入攻击由于后量子 SNARK 与可聚合签名方案目前仍远未尘埃落定因此那些过早迁移的区块链很可能会被锁死在次优方案上。之后当更好的方案出现或发现实现漏洞时它们又不得不进行第二次迁移。9. 应该怎么做7 条建议基于前面讨论的现实情况最后给不同参与方——从开发者到政策制定者——提出一些建议。核心原则是 认真对待量子威胁但不要基于一种未经证实的前提采取行动——即“具备密码学攻击能力的量子计算机会在 2030 年前出现”。当前技术进展并不支持这种假设。但即便如此现在依然有很多事情值得立刻去做。1应该立即部署混合式加密hybrid encryption至少在那些 长期保密性重要 且成本可接受 的场景中应立即部署。许多浏览器、CDN 与消息应用如 iMessage 与 Signal已经部署了混合方案。这种“后量子 经典”的混合方式既能抵御 HNDL 攻击又能在后量子方案本身最终存在漏洞时保留经典密码学安全性。2在能够接受大尺寸签名的场景中立即使用基于哈希的签名软件 / 固件更新以及其他 低频率、对尺寸不敏感 的场景应当现在就采用混合式哈希签名。这里采用 hybrid并不是因为人们怀疑基于哈希的安全假设而是为了防范新方案实现中的 bug。这是一个保守而稳妥的策略。它能够在极小概率下、若“具备密码学攻击能力的量子计算机”意外提前出现时为社会提供一条明确的“救生艇lifeboat”。否则如果在 CRQC 出现之前尚未部署支持后量子签名的软件更新机制那么未来就会陷入一个 bootstrap 问题将无法安全地分发那些用于抵御量子攻击的后量子密码修复更新。3区块链不需要仓促部署后量子签名——但现在就应该开始规划区块链开发者应当学习 Web PKI 社区的做法以审慎方式推进后量子签名部署。这样可以给后量子签名方案更多时间在性能方面继续成熟在安全性理解方面继续深化同时也能让开发者有时间重构系统以适配更大的签名开发更好的聚合技术对于 Bitcoin 与其他 L1社区需要尽快明确迁移路径以及对被遗弃、存在量子风险资金的处理政策因为被动迁移是不可能的所以规划至关重要。而 Bitcoin 又面临特殊挑战——并且这些挑战大多不是技术问题缓慢的治理机制大量高价值、可能已经被遗弃、且暴露于量子风险的钱包地址因此Bitcoin 社区尤其应该现在就开始规划。与此同时也需要给 后量子 SNARK、可聚合签名aggregatable signatures相关研究继续成熟的时间很可能还需要几年。再次强调过早迁移可能会导致系统被锁定在次优方案上或者未来因实现漏洞而被迫再次迁移。关于 Ethereum 的账户模型说明Ethereum 支持两类账户而它们对于后量子迁移的影响并不相同externally owned accountsEOAs即传统账户由 secp256k1 私钥控制smart contract wallets即具有可编程授权逻辑的钱包在非紧急情况下如果 Ethereum 增加后量子签名支持可升级的智能合约钱包可以通过合约升级切换到后量子验证逻辑而 EOA 则很可能需要把资金迁移到新的后量子安全地址。当然Ethereum 未来也可能为 EOA 提供专门迁移机制。而在量子紧急状态下Ethereum 研究者已经提出了一种硬分叉方案冻结脆弱账户并允许用户通过后量子安全 SNARK 证明自己掌握 seed phrase从而恢复资金。这种恢复机制既适用于EOA、也适用于尚未升级的智能合约钱包对于普通用户而言其实际含义是那些经过充分审计、支持升级的智能合约钱包可能会提供稍微更平滑的迁移路径。但这种差异其实有限并且会带来额外权衡如对钱包提供方的信任、升级治理问题。真正更重要的是Ethereum 社区能够持续推进 后量子原语、应急响应方案 相关工作。给开发者的更广泛设计启示如今很多区块链都把“账户身份”与某种具体密码原语紧密绑定如Bitcoin 与 Ethereum 绑定到 secp256k1 上的 ECDSA其他链绑定到 EdDSA而后量子迁移所暴露出的核心问题之一就是账户身份不应该与某种具体签名方案强耦合。Ethereum 正在向 smart accounts 演进而其他链也在推进类似的账户抽象account abstraction工作详情见Sui All About Account AbstractionSui Cryptography in Sui: AgilityAptos Introducing Account Abstraction on AptosNear Unlocking Web3 Usability with Account Aggregation其核心思想是允许账户在不放弃其链上历史与状态的前提下升级自身认证逻辑。这种解耦并不能让后量子迁移变得“轻而易举”但它确实会比“把账户永久绑定到单一签名方案”提供更大的灵活性。此外这还会顺带支持一些与后量子无关的功能如sponsored transactions、social recovery、multisig 等。4对于会加密或隐藏交易细节的隐私链如果性能可接受应优先、更早地推进迁移。这些链上的用户机密性目前暴露于 HNDL 攻击风险之下不过不同设计之间的严重程度有所不同。那些仅凭公开账本就能够实现完整事后去匿名化retroactive deanonymization的链面临的风险最为紧迫。应考虑采用混合方案后量子 经典以防那些“看似后量子安全”的方案最终甚至被经典计算机攻破或者应当通过架构改造避免将可被解密的秘密直接放到链上。5在短期内应优先关注“实现安全性implementation security”而不是量子威胁缓解。尤其对于 SNARK 与后量子签名这类复杂密码原语而言未来很多年里bug、实现攻击侧信道攻击、故障注入都会比“具备密码学攻击能力的量子计算机”构成更大的安全风险。现在就应投入资源到审计auditing模糊测试fuzzing形式化验证formal verificationdefense in depth / 分层安全layered security等方向。不要让对量子威胁的担忧掩盖了更加现实、更加紧迫的 bug 风险6继续资助量子计算发展。上述所有讨论背后一个重要的国家安全含义是需要持续投入资金并培养量子计算人才。如果某个主要对手国家先于美国实现“具备密码学攻击能力的量子计算能力”将会对美国乃至全球带来严重国家安全风险。7对量子计算相关新闻保持理性判断。随着量子硬件不断成熟未来几年一定还会出现大量“里程碑式”公告。但具有讽刺意味的是这些公告出现得越频繁恰恰越说明距离真正“具备密码学攻击能力的量子计算机”其实仍然很远。因为每一个里程碑都只是通往那个目标道路上的众多桥梁之一而每一个桥梁都会带来自己的一轮媒体标题与市场兴奋。应把新闻稿视为需要批判性分析的“进展报告progress reports”而不是推动仓促行动的信号。当然未来也可能出现令人意外的突破或创新从而加速当前时间预期同样也可能出现严重扩展瓶颈使时间线进一步拉长。在此并不会声称“五年内出现具备密码学攻击能力的量子计算机”在绝对意义上不可能只是认为其概率极低。而上述建议对于这种不确定性本身就是鲁棒的robust。遵循这些建议也能帮助避免那些更加现实、更有可能发生的风险实现 bug仓促部署以及密码学迁移过程中常见的失败方式参考资料[1] a16zcrypto团队2025年12月5日博客 Quantum computing and blockchains: Matching urgency to actual threats
量子计算与区块链:让紧迫性与真实威胁相匹配
发布时间:2026/5/18 20:25:51
1. 引言关于“具备密码学实际攻击能力的量子计算机cryptographically relevant quantum computer”的时间线经常被夸大——从而导致人们呼吁紧急、全面地迁移到后量子密码学。但这些呼声往往忽略了过早迁移所带来的成本与风险也忽视了不同密码学原语之间截然不同的风险特征后量子加密encryption必须立即部署即便代价高昂Harvest-now-decrypt-laterHNDL“先收集、后解密”攻击已经在发生因为今天被加密的敏感数据在未来量子计算机真正到来时即便那是几十年后仍然具有价值。后量子加密确实会带来性能开销与实现风险但对于那些需要长期保密的数据而言HNDL 攻击使人们别无选择。后量子签名signatures则面临完全不同的权衡。它们不会受到 HNDL 攻击影响而其成本与风险更大的尺寸、性能开销、实现尚不成熟以及 bug意味着迁移应当是审慎推进的而不是立刻全面切换。这些区别非常重要。错误认知会扭曲成本收益分析使团队忽略那些其实更现实、更紧迫的安全风险——如 bug。成功推进后量子密码迁移的真正挑战在于让“紧迫性”与“真实威胁”相匹配。下面将澄清一些关于量子威胁与密码学的常见误解涵盖加密、签名以及零知识证明并特别关注它们对区块链的影响。2. 当前处于什么时间节点在 2020 年代出现“具备密码学攻击能力的量子计算机CRQC”的可能性极低尽管外界存在一些高调宣传。所谓“具备密码学攻击能力的量子计算机cryptographically relevant quantum computer”是指一种具备容错fault-tolerant与纠错error-corrected能力的量子计算机能够在现实时间范围内运行 Shor’s algorithm从而攻击椭圆曲线密码学或 RSA如在最多一个月持续计算内攻破 secp256k1 或 RSA-2048。根据目前公开的技术里程碑与资源估算以任何合理标准来看当前距离“具备密码学攻击能力的量子计算机”都还非常遥远。一些公司有时会宣称 CRQC 很可能在 2030 年之前、或者远早于 2035 年出现但公开已知的技术进展并不支持这些说法。作为参考在当前所有主流架构中——包括离子阱trapped ions、超导量子比特superconducting qubits以及中性原子系统neutral atom systems——今天没有任何一个量子计算平台接近运行 Shor 算法攻击 RSA-2048 或 secp256k1 所需的规模。而根据误差率与纠错方案不同其所需规模大约是 数十万个见2025年论文How to factor 2048 bit RSA integers with less than a million noisy qubits 到数百万个物理量子比特。限制因素不仅仅是量子比特数量还包括门保真度gate fidelities量子比特连接性qubit connectivity以及运行深层量子算法所需的、可持续的纠错电路深度sustained error-corrected circuit depth虽然如今已经有一些系统的物理量子比特数量超过了 1,000 个如IBM CondorAtom Computing Announces Record-Breaking 1,225-Qubit Quantum Computer但单纯的原始量子比特数量其实具有很强的误导性这些系统并不具备进行具备密码学攻击价值cryptographically relevant的计算所需的量子比特连接性与门保真度。近期的一些系统已经开始接近见2024年论文Quantum error correction below the surface code threshold量子纠错真正开始生效见2012年论文Surface codes: Towards practical large-scale quantum computation所需的物理错误率。但目前还没有任何人展示出能够维持持续纠错电路深度sustained error-corrected circuit depth的逻辑量子比特数量超过寥寥几个见2024年论文Quantum error correction below the surface code threshold 和 Demonstration of logical qubits and repeated error correction with better-than-physical error rates。更不用说 运行 Shor’s algorithm 实际所需的那种数千个高保真深电路容错型逻辑量子比特。“证明量子纠错在原理上可行”与“达到真正可用于密码分析的规模”之间仍然存在巨大的鸿沟。简而言之在量子比特数量与保真度同时提升几个数量级之前具备密码学攻击能力的量子计算机仍然遥不可及。不过企业新闻稿与媒体报道很容易让人产生误解。其中一些常见误区包括宣称实现“量子优势quantum advantage”的演示目前通常针对的是人为设计的任务。这些任务并不是因为具有实际价值而被选择而是因为它们能够在现有硬件上运行同时看起来能够展现巨大的量子加速。而这一事实往往会在公告中被有意弱化。公司宣称已经实现了数千个物理量子比特。但这里指的往往是“量子退火机quantum annealers”而不是运行 Shor 算法、攻击公钥密码学所需的 gate-model 量子计算机。如2019年9月博客 TechRepublic: D-Wave Announces 5,000-Qubit Fifth Generation Quantum Annealer。公司大量滥用“逻辑量子比特logical qubit”这一术语。物理量子比特本身是带噪声的。真正的量子算法需要的是逻辑量子比特正如前文所述Shor 算法需要数千个这样的逻辑量子比特。通过量子纠错可以用许多个物理量子比特构建一个逻辑量子比特——通常需要数百到数千个物理量子比特具体取决于错误率。但有些公司已经把这个术语使用得面目全非。如最近有一个公告声称他们已经实现了 48 个逻辑量子比特而每个逻辑量子比特仅使用两个物理量子比特并采用 distance-2 code。这非常荒谬distance-2 code 只能“检测”错误而不能“纠正”错误。真正用于密码分析的容错逻辑量子比特每个都需要数百到数千个物理量子比特而不是两个。更广泛地说许多量子计算路线图会使用“逻辑量子比特”这一术语来指代仅支持 Clifford operations 的量子比特。但这些操作可以被高效地经典模拟见2008年论文Improved Simulation of Stabilizer Circuits因此根本不足以运行 Shor 算法。因为 Shor 算法需要数千个经过纠错的 T gates或更一般意义上的 non-Clifford gates因此即便某个路线图宣称“将在 X 年前实现数千个逻辑量子比特”也并不意味着该公司预计能在同一 X 年运行 Shor 算法并攻破经典密码学。这些做法已经严重扭曲了公众对于“人们距离具备密码学攻击能力的量子计算机究竟还有多远”的认知——甚至连很多专业观察者也受到影响。当然也确实有一些专家对当前进展感到兴奋。如 Scott Aaronson 最近就在一篇文章Quantum computing: too much to handle!中写道鉴于“当前令人震惊的硬件进展速度”其现在认为在下一次美国总统大选之前人们拥有一台运行 Shor 算法的容错量子计算机已经成为一种现实可能性。但 Aaronson 后来又澄清并进一步说明见文章Quantum Investment Bros: Have you no shame?其说法并不意味着“具备密码学攻击能力的量子计算机cryptographically relevant quantum computer”即便只是完整、容错地运行一次 Shor’s algorithm 来分解 15 3×5一个用纸笔都能更快完成的计算他也会认为这一目标已经达成。换句话说目前的门槛仍然只是实现一个小规模、完整容错的 Shor 算法执行而不是实现“具备密码学实际攻击能力”的量子计算机。此前量子计算机对 15 的因数分解实验通常使用的是简化电路而不是真正完整、容错的 Shor 算法。而这些实验总是选择“15”作为分解对象也是有原因的模 15 的算术计算非常容易而即便只是稍大一点的数字如 21其难度都会高得多——见2025年8月30日博客Why haven’t quantum computers factored 21 yet?。因此那些声称已经用量子实验分解 21 的结果通常都会依赖额外提示hints或捷径shortcuts。简单来说未来 5 年内出现能够攻破 RSA-2048 或 secp256k1 的“具备密码学攻击能力的量子计算机”的预期——而这才是真正对**实用密码学practical cryptography**有意义的标准——并没有得到公开技术进展的支持。即便是 10 年时间也仍然相当激进。考虑到距离真正具备密码学攻击能力的量子计算机还有多远对当前进展感到兴奋与认为它至少还需要十年以上时间这两件事其实完全不矛盾。那么美国政府将 2035 设定为政府系统全面完成后量子PQ迁移的目标期限又该如何理解相关政策见白宫2022年5月4日备忘录 National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems个人认为对于如此大规模的迁移工程来说这是一个合理的完成时间线。但这并不意味着政府预测届时一定会出现具备密码学攻击能力的量子计算机。3. HNDL 攻击适用于哪些场景以及不适用于哪些场景Harvest now, decrypt laterHNDL“先收集、后解密”攻击指的是攻击者现在先存储加密通信数据等未来出现具备密码学攻击能力的量子计算机后再进行解密。国家级攻击者如今几乎肯定已经在大规模归档美国政府的加密通信以便在未来 CRQC 真正出现时对这些通信进行解密。这也是为什么加密encryption必须从今天开始迁移。至少对于那些需要保密 10~50 年以上的数据而言必须如此。但数字签名digital signatures——也就是所有区块链所依赖的机制——与加密不同它不存在可被事后攻击的“机密性”。换句话说如果未来出现了具备密码学攻击能力的量子计算机那么从那一刻开始伪造签名确实会成为可能但过去的签名并不像加密消息那样“隐藏”着秘密。只要知道某个数字签名是在 CRQC 出现之前生成的那么它就不可能是伪造的。因此后量子数字签名的迁移紧迫性要低于后量子加密的迁移紧迫性。主流平台如今的实际行动也体现了这一点Chrome见2023年8月10日博客Protecting Chrome Traffic with Hybrid Kyber KEMCloudflare见2022年10月3日博客Defending against future threats: Cloudflare goes post-quantum都已经在 Web 传输层安全TLS加密中部署了混合方案X25519ML-KEM。【注】为了便于阅读本文统一使用“加密方案encryption schemes”这一表述但严格来说TLS 等安全通信协议使用的是密钥交换key exchange或密钥封装机制key encapsulation mechanisms而不是公钥加密本身。这里的“Hybrid混合”意味着同时叠加使用一个后量子安全方案即 ML-KEM和一个现有经典方案X25519从而同时获得两者的安全保证。这样一来它们既能够希望能够通过 ML-KEM 抵御 HNDL 攻击又能在 ML-KEM 最终被证明即便对今天的经典计算机也不安全时继续依赖 X25519 提供经典安全性。Apple 的 iMessage 也通过其 PQ3 protocol 部署了这种混合式后量子加密方案Signal 也同样通过其 PQXDH 与 SPQR 协议进行了部署。相比之下关键 Web 基础设施中的后量子数字签名digital signatures部署则正在被推迟到“具备密码学攻击能力的量子计算机”真正迫近时才进行。详情见Building a Deployable Post-quantum Web PKI 和 A look at the latest post-quantum signature standardization candidates原因在于当前的后量子签名方案会带来性能退化这一点后文会进一步讨论。zkSNARKszero-knowledge Succinct Non-interactive ARguments of Knowledge零知识简洁非交互式知识论证——这是区块链长期扩展性与隐私能力的关键技术——其处境与数字签名非常相似。这是因为即便某些 zkSNARKs 本身并不具备后量子安全性它们像今天的非后量子加密与签名方案一样依赖椭圆曲线密码学其“零知识zero-knowledge”性质本身却仍然具备后量子安全性。零知识性质保证证明中不会泄露关于秘密 witness 的任何信息——即便面对量子攻击者也是如此。因此不存在任何可供“现在收集、以后解密harvest now, decrypt later”的机密数据。所以zkSNARKs 并不容易受到 HNDL 攻击。正如今天生成的非后量子签名依然是安全的一样任何在“具备密码学攻击能力的量子计算机”出现之前生成的 zkSNARK 证明也依然是可信的也就是说被证明的 statement 一定为真——即便该 zkSNARK 使用了椭圆曲线密码学。只有在真正出现具备密码学攻击能力的量子计算机之后攻击者才有可能伪造“错误 statement”的可信证明。4. 这一切对区块链意味着什么大多数区块链并不会受到 HNDL 攻击影响。大多数非隐私链non-privacy chains——如今天的 Bitcoin 与 Ethereum——使用非后量子密码学的主要目的是交易授权transaction authorization。也就是说它们使用的是数字签名而不是加密。再次强调这些签名并不属于 HNDL 风险。“Harvest now, decrypt later”攻击适用于的是加密数据encrypted data。如 Bitcoin 区块链本身就是公开的量子威胁在这里体现为签名伪造即推导私钥并盗取资金而不是去“解密”本来就已经公开的交易数据。因此这消除了 HNDL 攻击所带来的那种“立即必须迁移”的密码学紧迫性。不幸的是即便是像美联储Federal Reserve这样可信来源的分析也曾错误地声称 Bitcoin 会受到 HNDL 攻击影响。这种错误夸大了迁移到后量子密码学的紧迫性。不过需要注意的是“紧迫性降低”并不意味着 Bitcoin 可以慢慢等待。Bitcoin 面临的是另一种时间压力即修改协议所需要的巨大社会协调成本。后文会进一步讨论 Bitcoin 的特殊挑战。目前真正的例外是隐私链privacy chains。许多隐私链会对接收者金额进行加密或隐藏。这些机密数据可以被现在收集并在未来量子计算机能够攻破椭圆曲线密码学之后被事后去匿名化retroactively deanonymized。对于这些隐私链而言攻击严重程度取决于具体区块链设计。如Monero 使用基于椭圆曲线的 ring signatures 与 key images用于阻止双花、针对每个 output 的可链接标签。在这种情况下仅凭公开账本本身就足以在事后大规模重建资金流图spend-graph。但在其他一些系统中损害会更有限。具体细节可参见 Sean Bowe 的Zcash and Quantum Computers 讨论。如果用户希望自己的交易不会在未来被“具备密码学攻击能力的量子计算机”暴露那么隐私链应当尽快迁移到后量子原语或混合方案或采用不会将可解密秘密直接放上链的架构设计5. Bitcoin 的特殊难题治理 被遗弃的币对于 Bitcoin 而言推动其尽早开始迁移到后量子数字签名的紧迫性主要来自两个现实问题。而这两个问题都与量子技术本身无关。其中一个问题是治理速度governance speedBitcoin 的升级与变更速度非常缓慢。任何存在争议的问题都可能在社区无法达成一致时引发具有破坏性的硬分叉hard fork。另一个问题是Bitcoin 向后量子签名的迁移不可能是一种“被动迁移passive migration”。用户必须主动迁移自己的币。这意味着那些已经被遗弃、但仍然暴露于量子攻击风险下的 Bitcoin将无法被保护。一些估算见2025年5月文章Bitcoin and Quantum Computing: Current Status and Future Directions认为目前处于量子脆弱状态、并且可能已经被遗弃的 BTC 数量可能高达数百万枚。按照 2025 年 12 月的价格计算其价值达到数千亿美元。然而量子威胁对于 Bitcoin 来说并不会是一场突然在一夜之间降临的末日灾难……它更像是一种“有选择性的、渐进式的攻击过程”。量子计算机不会同时攻破所有加密系统——Shor’s algorithm 必须一次只针对一个公钥进行攻击。早期的量子攻击将会极其昂贵且缓慢。因此一旦量子计算机能够破解单个 Bitcoin 签名密钥攻击者就会优先、有选择地攻击高价值钱包。此外那些避免了address reuse地址复用、并且没有使用 Taproot addresses其会直接在链上暴露公钥的用户即便不修改协议也基本上是安全的因为他们的公钥在花费之前始终隐藏在哈希函数之后。当他们最终广播一笔花费交易时公钥才会被公开。而这时会出现一个短暂的实时竞赛一边是真正的持币者希望尽快让自己的交易被确认另一边则是拥有量子计算能力的攻击者希望在交易最终确认之前推导出私钥并抢先转移这些币。因此真正脆弱的币是那些公钥已经暴露的币如早期的 P2PK outputs被复用地址中的资金Taproot 地址中的持币对于那些已经被遗弃的、存在量子风险的币目前并没有简单解决方案。一些可能方案包括Bitcoin 社区达成一致设立一个“flag day切换日”在该日期之后所有未迁移的币都被视为已销毁burned。允许那些被遗弃、且暴露于量子风险下的币被任何拥有“具备密码学攻击能力的量子计算机”的人夺取。第二种方案会带来严重的法律与安全问题。即便声称自己拥有合法所有权或善意目的仅凭量子计算机、在没有私钥的情况下获取这些币也可能在许多司法辖区触发盗窃法计算机欺诈法相关严重问题可参见SEAL Whitehat Safe HarborMeet the Vigilantes Who Hack Millions in Crypto to Save It From Thieves此外“被遗弃abandoned”本身也只是基于长期不活跃所做出的推测。但实际上没有人真正知道这些币是否仍然存在活着的所有者且该所有者仍然掌握密钥即便能够证明自己曾经拥有这些币也未必意味着其在法律上有足够权力去突破密码学保护并重新夺回它们。这种法律上的模糊性会进一步提高一种风险即这些被遗弃、暴露于量子风险下的币最终落入那些愿意无视法律约束的恶意攻击者手中。Bitcoin 还存在另一个特殊问题其交易吞吐量非常低。即便未来迁移方案已经完全确定把所有存在量子风险的资金迁移到后量子安全地址也仍然需要数个月见2024年论文Downtime Required for Bitcoin Quantum-Safety时间——这是按照 Bitcoin 当前交易吞吐率计算的。这些挑战意味着Bitcoin 必须从现在开始规划其后量子迁移并不是因为“具备密码学攻击能力的量子计算机”很可能在 2030 年前出现而是因为完成数十亿美元资产迁移所涉及的治理社会协调技术实施本身就需要数年时间才能解决。量子威胁对于 Bitcoin 确实是真实存在的。但其时间压力更多来自 Bitcoin 自身的约束而不是来自“量子计算机即将到来”这一事实。其他区块链当然也会面临量子脆弱资金的问题但 Bitcoin 的暴露程度尤其严重。因为 Bitcoin 最早期的交易使用的是 pay-to-public-keyP2PK输出它会直接把公钥暴露在链上。这导致 Bitcoin 中有相当大比例的 BTC 会暴露给“具备密码学攻击能力的量子计算机”。而这一技术差异再叠加Bitcoin 的历史年龄财富集中程度低吞吐量僵化的治理结构使得这一问题尤为严重。需要注意的是上面所描述的那些脆弱性影响的是 Bitcoin 数字签名的密码学安全性——但并不影响Bitcoin 区块链的经济安全性economic security。这种经济安全性来源于其工作量证明PoW共识机制而 PoW 并不像数字签名那样容易受到量子计算机攻击其原因有三点PoW 依赖的是哈希函数因此它只会受到 Grover’s search algorithm 带来的平方级量子加速影响而不会受到 Shor’s algorithm 所带来的指数级加速影响。实现 Grover 搜索在实践中存在巨大额外开销因此任何量子计算机即便在 Bitcoin 的工作量证明机制上实现哪怕很小的现实世界加速也都被认为是极不可能见2024年9月视频Invited talk II by Sam Jaques (CHES 2024)的。即便真的实现了显著加速这种加速也只是让大型量子矿工相比小型矿工更具优势而不会从根本上破坏 Bitcoin 的经济安全模型。6. 后量子签名的成本与风险要理解为什么区块链不应该仓促部署后量子签名需要同时理解性能成本以及人们对于后量子安全性仍在演进中的信心目前大多数后量子密码学方案都基于以下五种路线之一哈希hashing编码codes格lattices多变量二次系统multivariate quadratic systemsMQ同源isogenies为什么会存在五种不同路线因为任何后量子密码原语的安全性都建立在这样一种假设之上量子计算机无法高效解决某个特定数学问题。而这个问题越“结构化structured”通常就越能基于它构建出高效的密码协议。但这是一把双刃剑额外的结构性也会给攻击算法提供更多可利用的攻击面。因此会出现一种根本性张力——更强的结构性假设能够带来更好的性能但代价是一旦这些假设最终被证明错误系统就会更容易出现安全漏洞。总体而言**基于哈希的方法hash-based approaches**在安全性上最保守。因为最有信心认为量子计算机无法高效攻击这些协议。但与此同时它们的性能也是最差的。如NIST 已标准化的基于哈希的签名方案即便使用最小参数其签名大小也达到 7~8 KB。相比之下今天基于椭圆曲线的数字签名仅有 64 字节。两者尺寸差距大约达到 100 倍。基于格lattice schemes的方案则是当前部署重点。NIST 已经选定用于标准化的唯一加密方案以及三个签名方案中的两个都基于格。其中一个格方案 ML-DSA前身为 Dilithium其签名尺寸范围为2.4 KB128 位安全级别到 4.6 KB256 位安全级别这意味着它们比今天基于椭圆曲线的签名大约大 40~70 倍。另一个格方案 Falcon 则拥有相对更小的签名Falcon-512666 字节Falcon-10241.3 KB但它依赖复杂的浮点运算而 NIST 本身也将其视为一种特殊实现挑战。Falcon 的作者之一 Thomas Pornin 甚至表示“这是其实现过的、迄今为止最复杂的密码算法。”与基于椭圆曲线的签名方案相比基于格lattice-based的签名方案在实现安全性方面也更加困难ML-DSA 存在更多敏感中间值并且包含复杂的拒绝采样逻辑rejection-sampling logic这些部分都需要进行侧信道side-channel 防护以及 故障fault 攻击防护而 Falcon 则进一步引入了常数时间constant-time浮点运算实现安全等方面的问题。事实上针对 Falcon 实现的多种侧信道攻击已经能够恢复私钥见2022年Breaking FALCON Post-Quantum Signature Scheme through Side-Channel Attacks。这些问题带来的都是“当前现实中的直接风险”而不是像“具备密码学攻击能力的量子计算机”那样仍然遥远的未来威胁。对于那些性能更好的后量子密码方案人们有充分理由保持谨慎。历史上像Rainbow基于 MQ 的签名方案SIKE/SIDH基于同源的加密方案这样的领先候选者都曾被也就是使用今天的经典计算机而不是量子计算机彻底攻破详情见2022年论文 Breaking Rainbow Takes a Weekend on a Laptop2022年论文 [An efficient key recovery attack on SIDH(https://eprint.iacr.org/2022/975.pdf)而且这些攻击发生时NIST 的标准化流程已经推进到了很后期。这其实是健康科学过程正常发挥作用的体现。但它也说明过早标准化与部署可能会适得其反。正如前文提到的互联网基础设施目前对签名迁移采取的是一种审慎推进deliberate的策略。这一点尤其值得注意因为互联网密码迁移一旦开始真正完成往往需要非常长时间。如淘汰 MD5 与 SHA-1 哈希函数——尽管它们多年前就已经被 Web 标准组织正式弃用——真正落实到整个基础设施中仍然花费了许多年并且在某些场景下直到今天仍未彻底完成。而这一切发生时这些方案其实已经被完全攻破而不仅仅是“可能在未来技术下存在风险”详情见Creating a rogue CA certificatedo instant MD5 collisions of any pair of PDFs2005年论文 How to Break MD5 and Other Hash Functions7. 区块链相对于互联网基础设施的独特挑战幸运的是那些由活跃开源社区维护的区块链——如EthereumSolana——其升级速度通常快于传统互联网基础设施。但另一方面传统互联网基础设施有一个优势它们会频繁轮换密钥key rotation。这意味着它们的攻击面变化速度通常快于早期量子计算机能够真正实施攻击的速度。而区块链并不具备这种“奢侈条件”因为链上的币及其对应密钥可能会长期暴露在那里。不过综合来看区块链仍然应该采用互联网那种“审慎推进”的签名迁移方式。因为对于数字签名而言两者都不会受到 HNDL 攻击而无论密钥存续多久过早迁移到尚不成熟的后量子方案其成本与风险始终都非常显著。此外还有一些区块链特有的问题使得“过早迁移”尤其危险且复杂。如区块链对于签名方案有特殊需求尤其是能够快速聚合大量签名。如今BLS 签名之所以被广泛使用就是因为它能够实现非常快速的签名聚合但它并不具备后量子安全性。研究人员目前正在探索基于 SNARK 的后量子签名聚合方案详情见以太坊2025年7月31日博客 lean Ethereum以太坊2025年论文 Hash-Based Multi-Signatures for Post-Quantum Ethereum这一方向前景很好但仍处于早期阶段。对于 SNARK 本身而言当前社区主要聚焦于 基于哈希的构造作为主要的后量子方案。但一个重大转变正在到来相信在未来几个月乃至几年内基于格lattice-based的方案将会成为极具吸引力的替代选择。这些方案在多个方面都会比基于哈希的 SNARK 拥有更好性能如显著更短的证明proof这与“基于格的签名比基于哈希的签名更短”这一现象是类似的。8. 当前更大的问题实现安全性Implementation security在未来很多年里实现层面的漏洞implementation vulnerabilities都会比“具备密码学攻击能力的量子计算机”构成更大的安全风险。对于 SNARK 而言首要问题是 bugs。Bug 对数字签名与加密方案本身就已经是一个challenge见2024年论文Finding Bugs and Features Using Cryptographically-Informed Functional Testing而 SNARK 的复杂度则远远更高。事实上一个数字签名方案本质上可以被视为一种非常简单的 zkSNARK其证明 statement 类似于“我知道与该公钥对应的私钥并且我授权了这条消息。”对于后量子签名而言当前现实中的风险还包括各种实现攻击如侧信道攻击side-channel attacks故障注入攻击fault-injection attacks这些攻击已经被充分研究并且确实能够从真实部署系统中提取私钥。相比遥远的量子计算机这些威胁更加现实、更加紧迫。未来很多年里社区都需要持续发现并修复 SNARK 中的 bug加固后量子签名实现以抵御侧信道与故障注入攻击由于后量子 SNARK 与可聚合签名方案目前仍远未尘埃落定因此那些过早迁移的区块链很可能会被锁死在次优方案上。之后当更好的方案出现或发现实现漏洞时它们又不得不进行第二次迁移。9. 应该怎么做7 条建议基于前面讨论的现实情况最后给不同参与方——从开发者到政策制定者——提出一些建议。核心原则是 认真对待量子威胁但不要基于一种未经证实的前提采取行动——即“具备密码学攻击能力的量子计算机会在 2030 年前出现”。当前技术进展并不支持这种假设。但即便如此现在依然有很多事情值得立刻去做。1应该立即部署混合式加密hybrid encryption至少在那些 长期保密性重要 且成本可接受 的场景中应立即部署。许多浏览器、CDN 与消息应用如 iMessage 与 Signal已经部署了混合方案。这种“后量子 经典”的混合方式既能抵御 HNDL 攻击又能在后量子方案本身最终存在漏洞时保留经典密码学安全性。2在能够接受大尺寸签名的场景中立即使用基于哈希的签名软件 / 固件更新以及其他 低频率、对尺寸不敏感 的场景应当现在就采用混合式哈希签名。这里采用 hybrid并不是因为人们怀疑基于哈希的安全假设而是为了防范新方案实现中的 bug。这是一个保守而稳妥的策略。它能够在极小概率下、若“具备密码学攻击能力的量子计算机”意外提前出现时为社会提供一条明确的“救生艇lifeboat”。否则如果在 CRQC 出现之前尚未部署支持后量子签名的软件更新机制那么未来就会陷入一个 bootstrap 问题将无法安全地分发那些用于抵御量子攻击的后量子密码修复更新。3区块链不需要仓促部署后量子签名——但现在就应该开始规划区块链开发者应当学习 Web PKI 社区的做法以审慎方式推进后量子签名部署。这样可以给后量子签名方案更多时间在性能方面继续成熟在安全性理解方面继续深化同时也能让开发者有时间重构系统以适配更大的签名开发更好的聚合技术对于 Bitcoin 与其他 L1社区需要尽快明确迁移路径以及对被遗弃、存在量子风险资金的处理政策因为被动迁移是不可能的所以规划至关重要。而 Bitcoin 又面临特殊挑战——并且这些挑战大多不是技术问题缓慢的治理机制大量高价值、可能已经被遗弃、且暴露于量子风险的钱包地址因此Bitcoin 社区尤其应该现在就开始规划。与此同时也需要给 后量子 SNARK、可聚合签名aggregatable signatures相关研究继续成熟的时间很可能还需要几年。再次强调过早迁移可能会导致系统被锁定在次优方案上或者未来因实现漏洞而被迫再次迁移。关于 Ethereum 的账户模型说明Ethereum 支持两类账户而它们对于后量子迁移的影响并不相同externally owned accountsEOAs即传统账户由 secp256k1 私钥控制smart contract wallets即具有可编程授权逻辑的钱包在非紧急情况下如果 Ethereum 增加后量子签名支持可升级的智能合约钱包可以通过合约升级切换到后量子验证逻辑而 EOA 则很可能需要把资金迁移到新的后量子安全地址。当然Ethereum 未来也可能为 EOA 提供专门迁移机制。而在量子紧急状态下Ethereum 研究者已经提出了一种硬分叉方案冻结脆弱账户并允许用户通过后量子安全 SNARK 证明自己掌握 seed phrase从而恢复资金。这种恢复机制既适用于EOA、也适用于尚未升级的智能合约钱包对于普通用户而言其实际含义是那些经过充分审计、支持升级的智能合约钱包可能会提供稍微更平滑的迁移路径。但这种差异其实有限并且会带来额外权衡如对钱包提供方的信任、升级治理问题。真正更重要的是Ethereum 社区能够持续推进 后量子原语、应急响应方案 相关工作。给开发者的更广泛设计启示如今很多区块链都把“账户身份”与某种具体密码原语紧密绑定如Bitcoin 与 Ethereum 绑定到 secp256k1 上的 ECDSA其他链绑定到 EdDSA而后量子迁移所暴露出的核心问题之一就是账户身份不应该与某种具体签名方案强耦合。Ethereum 正在向 smart accounts 演进而其他链也在推进类似的账户抽象account abstraction工作详情见Sui All About Account AbstractionSui Cryptography in Sui: AgilityAptos Introducing Account Abstraction on AptosNear Unlocking Web3 Usability with Account Aggregation其核心思想是允许账户在不放弃其链上历史与状态的前提下升级自身认证逻辑。这种解耦并不能让后量子迁移变得“轻而易举”但它确实会比“把账户永久绑定到单一签名方案”提供更大的灵活性。此外这还会顺带支持一些与后量子无关的功能如sponsored transactions、social recovery、multisig 等。4对于会加密或隐藏交易细节的隐私链如果性能可接受应优先、更早地推进迁移。这些链上的用户机密性目前暴露于 HNDL 攻击风险之下不过不同设计之间的严重程度有所不同。那些仅凭公开账本就能够实现完整事后去匿名化retroactive deanonymization的链面临的风险最为紧迫。应考虑采用混合方案后量子 经典以防那些“看似后量子安全”的方案最终甚至被经典计算机攻破或者应当通过架构改造避免将可被解密的秘密直接放到链上。5在短期内应优先关注“实现安全性implementation security”而不是量子威胁缓解。尤其对于 SNARK 与后量子签名这类复杂密码原语而言未来很多年里bug、实现攻击侧信道攻击、故障注入都会比“具备密码学攻击能力的量子计算机”构成更大的安全风险。现在就应投入资源到审计auditing模糊测试fuzzing形式化验证formal verificationdefense in depth / 分层安全layered security等方向。不要让对量子威胁的担忧掩盖了更加现实、更加紧迫的 bug 风险6继续资助量子计算发展。上述所有讨论背后一个重要的国家安全含义是需要持续投入资金并培养量子计算人才。如果某个主要对手国家先于美国实现“具备密码学攻击能力的量子计算能力”将会对美国乃至全球带来严重国家安全风险。7对量子计算相关新闻保持理性判断。随着量子硬件不断成熟未来几年一定还会出现大量“里程碑式”公告。但具有讽刺意味的是这些公告出现得越频繁恰恰越说明距离真正“具备密码学攻击能力的量子计算机”其实仍然很远。因为每一个里程碑都只是通往那个目标道路上的众多桥梁之一而每一个桥梁都会带来自己的一轮媒体标题与市场兴奋。应把新闻稿视为需要批判性分析的“进展报告progress reports”而不是推动仓促行动的信号。当然未来也可能出现令人意外的突破或创新从而加速当前时间预期同样也可能出现严重扩展瓶颈使时间线进一步拉长。在此并不会声称“五年内出现具备密码学攻击能力的量子计算机”在绝对意义上不可能只是认为其概率极低。而上述建议对于这种不确定性本身就是鲁棒的robust。遵循这些建议也能帮助避免那些更加现实、更有可能发生的风险实现 bug仓促部署以及密码学迁移过程中常见的失败方式参考资料[1] a16zcrypto团队2025年12月5日博客 Quantum computing and blockchains: Matching urgency to actual threats
)
