a16z 長文：量子計(jì)算給加密貨幣帶來哪些風(fēng)險(xiǎn)？

作者 | Justin Thaler, a16z 研究合伙人

編譯 | GaryMa 吳說區(qū)塊鏈

https://a16zcrypto.com/posts/article/quantum-computing-misconceptions-realities-blockchains-planning-migrations/

關(guān)于“能夠?qū)ΜF(xiàn)有密碼體系構(gòu)成實(shí)際威脅的量子計(jì)算機(jī)”何時到來，人們常常做出夸大的時間預(yù)期?—?— 從而引發(fā)了要求立即、大規(guī)模遷移至后量子密碼體系的呼聲。

但這些呼聲往往忽略了過早遷移所帶來的成本與風(fēng)險(xiǎn)，也忽略了不同密碼原語所面對的風(fēng)險(xiǎn)畫像完全不同：

后量子加密即便代價高昂，也必須立即部署： “先收集后解密”（Harvest-now-decrypt-later，HNDL）攻擊已經(jīng)在發(fā)生，因?yàn)楫?dāng)量子計(jì)算機(jī)真正到來時，即便那是幾十年后，今天用加密方式保護(hù)的敏感數(shù)據(jù)仍然會具有價值。盡管后量子加密帶來性能開銷與實(shí)現(xiàn)風(fēng)險(xiǎn)，但對于需要長期保密的數(shù)據(jù)而言，HNDL 攻擊意味著別無選擇。

后量子簽名的考量則完全不同。它不受 HNDL 攻擊影響，而其成本與風(fēng)險(xiǎn)（更大的尺寸、性能開銷、實(shí)現(xiàn)尚不成熟以及潛在漏洞）意味著遷移應(yīng)當(dāng)是審慎推進(jìn)，而非立刻實(shí)施。

這些區(qū)別非常重要。各種誤解會扭曲成本收益分析，使團(tuán)隊(duì)反而忽視更關(guān)鍵的安全風(fēng)險(xiǎn)?—?— 例如漏洞本身。

成功邁向后量子密碼體系的真正挑戰(zhàn)，是讓“緊迫性”與“真實(shí)威脅”匹配。下面，我將澄清關(guān)于量子威脅及其對密碼學(xué)?—?— 包括加密、簽名與零知識證明?—?— 的常見誤解，并特別關(guān)注這些問題對區(qū)塊鏈的影響。

我們目前處于怎樣的時間節(jié)點(diǎn)？

在 2020 年代出現(xiàn)“對密碼學(xué)具有實(shí)際威脅的量子計(jì)算機(jī)（CRQC）”的可能性極低，盡管已有一些引發(fā)關(guān)注的高調(diào)宣稱。

ps：對密碼學(xué)具有實(shí)際威脅的量子計(jì)算機(jī)/ cryptographically relevant quantum computer，下文都將直接使用簡稱 CRQC。

這里所說的“對密碼學(xué)具有實(shí)際威脅的量子計(jì)算機(jī)”，指的是一臺可容錯、已糾錯的量子計(jì)算機(jī)，能夠以足夠規(guī)模運(yùn)行 Shor 算法，在合理的時間框架內(nèi)攻擊橢圓曲線密碼學(xué)或 RSA（例如，在最多一個月的持續(xù)運(yùn)算內(nèi)攻破 secp256k1 或 RSA-2048）。

根據(jù)公開的里程碑與資源評估來看，我們距離這種量子計(jì)算機(jī)還遙遙無期。盡管一些公司宣稱 CRQC 很可能在 2030 年之前甚至 2035 年之前出現(xiàn)，但公開可見的進(jìn)展并不支持這些說法。

從背景來看，在當(dāng)前所有架構(gòu)?—?— 離子阱、超導(dǎo)量子比特以及中性原子系統(tǒng)?—?— 中，沒有任何量子計(jì)算平臺接近運(yùn)行 Shor 算法攻擊 RSA-2048 或 secp256k1 所需的幾十萬到數(shù)百萬個物理量子比特（具體數(shù)量取決于誤差率與糾錯方案）。

限制因素不僅僅是量子比特?cái)?shù)量，還有門保真度、量子比特連通性，以及執(zhí)行深度量子算法所必須的、可持續(xù)運(yùn)行的糾錯電路深度。雖然一些系統(tǒng)現(xiàn)在已超過 1,000 個物理量子比特，但單看數(shù)量會產(chǎn)生誤導(dǎo)：這些系統(tǒng)缺乏執(zhí)行密碼學(xué)相關(guān)計(jì)算所需的連通性與門保真度。

近期的系統(tǒng)雖已接近量子糾錯開始可行的物理誤差水平，但尚無人展示超過少數(shù)幾個具備可持續(xù)糾錯電路深度的邏輯量子比特?—?— 更不用說運(yùn)行 Shor 算法實(shí)際所需的上千個高保真、深電路、容錯的邏輯量子比特了。理論上證明量子糾錯可行與真正達(dá)到能夠進(jìn)行密碼破解所需的規(guī)模之間，仍存在巨大鴻溝。

簡而言之：除非量子比特?cái)?shù)量與保真度同時提升幾個數(shù)量級，否則“對密碼學(xué)具有實(shí)際威脅的量子計(jì)算機(jī)”依然遙不可及。

然而，企業(yè)新聞稿與媒體報(bào)道極易導(dǎo)致誤解。常見的誤區(qū)包括：

聲稱實(shí)現(xiàn)“量子優(yōu)勢”的演示，但這些演示目前針對的往往是人為構(gòu)造的問題。這些問題并非因?yàn)閷?shí)用而被選擇，而是因?yàn)樗鼈兛梢栽诂F(xiàn)有硬件上運(yùn)行，同時看似呈現(xiàn)出顯著的量子加速?—?— 這一點(diǎn)常常在宣傳中被刻意弱化。

公司宣稱已實(shí)現(xiàn)數(shù)千個物理量子比特。但這通常指的是量子退火機(jī)，而非運(yùn)行 Shor 算法攻擊公鑰密碼所需的門模型量子計(jì)算機(jī)。

公司對“邏輯量子比特”概念的隨意使用。物理量子比特本身非常嘈雜，量子算法需要邏輯量子比特；如前所述，Shor 算法需要數(shù)千個邏輯比特。使用量子糾錯，一個邏輯比特通常需要由數(shù)百到數(shù)千個物理比特構(gòu)成（取決于誤差率）。然而一些公司已將該術(shù)語濫用到荒謬的地步。例如，某公司近期聲稱通過一個距離為 2 的編碼，用每個邏輯比特僅兩個物理比特就實(shí)現(xiàn)了 48 個邏輯量子比特。這顯然不合理：距離為 2 的編碼只能檢測錯誤，不能糾錯。而真正用于密碼破解的容錯邏輯量子比特每個需要數(shù)百到數(shù)千個物理量子比特，而不是兩個。

更普遍地，許多量子計(jì)算路線圖中將“邏輯量子比特”用于指代僅支持 Clifford 操作的量子比特。這些操作可以被經(jīng)典算法高效模擬，因此不足以運(yùn)行 Shor 算法，而后者需要數(shù)千個糾錯后的 T 門（或更一般的非 Clifford 門）。

因此，即便某條路線圖宣稱“在某一年 X 達(dá)到上千個邏輯量子比特”，也并不代表該公司預(yù)計(jì)在同一年 X 就能運(yùn)行 Shor 算法以攻破經(jīng)典密碼體系。

這些做法嚴(yán)重扭曲了公眾（甚至包括業(yè)內(nèi)專業(yè)人士）對“我們距離真正意義上的 CRQC 有多近”的認(rèn)知。

盡管如此，確實(shí)也有一些專家對進(jìn)展感到振奮。例如 Scott Aaronson 最近寫道，鑒于“當(dāng)前硬件發(fā)展之快速令人震驚”，我現(xiàn)在認(rèn)為，在下屆美國總統(tǒng)大選之前，我們擁有一臺運(yùn)行 Shor 算法的容錯量子計(jì)算機(jī)是種真實(shí)可能。

但 Aaronson 隨后澄清，他的說法并不意味著一臺具備密碼學(xué)相關(guān)能力的量子計(jì)算機(jī)：即便一臺完全容錯的 Shor 算法運(yùn)行只成功分解 15 = 3×5?—?— 一個你用紙筆都能更快算出的數(shù)?—?— 他也會認(rèn)為其觀點(diǎn)被滿足。這里的標(biāo)準(zhǔn)仍然只是微型規(guī)模的 Shor 算法執(zhí)行，而非具有密碼學(xué)意義的規(guī)模；此前對 15 的量子分解使用的還是簡化電路，而非完整的容錯 Shor。此外，量子試驗(yàn)持續(xù)選擇分解 15 不是偶然：因?yàn)槟?15 的算術(shù)計(jì)算極其簡單，而分解稍大一些的數(shù)（如 21）就困難得多。因此，一些聲稱分解 21 的量子實(shí)驗(yàn)往往依賴提示或捷徑。

簡而言之，預(yù)期未來 5 年內(nèi)出現(xiàn)一臺能夠攻破 RSA-2048 或 secp256k1 的量子計(jì)算機(jī)（這才是密碼學(xué)實(shí)際關(guān)心的）并沒有任何公開進(jìn)展作為支撐。

即便 10 年也仍屬激進(jìn)預(yù)測。考慮到我們與真正密碼學(xué)相關(guān)的量子計(jì)算機(jī)之間仍相距甚遠(yuǎn)，即便對進(jìn)展保持興奮，也完全可以與十年以上的時間表并存。

那么，美國政府將 2035 年作為政府系統(tǒng)整體遷移至后量子密碼體系的目標(biāo)年份又意味著什么？我認(rèn)為，這對于完成如此大規(guī)模遷移來說是合理的時間表。然而，這并不是對“屆時將出現(xiàn) CRQC”的預(yù)期預(yù)測。

HNDL 攻擊適用于哪些場景（又不適用于哪些場景）？

“先收集、后解密”（Harvest now, decrypt later，HNDL）攻擊是指攻擊者現(xiàn)在儲存所有加密通信數(shù)據(jù)，等待未來某一天當(dāng)“對密碼學(xué)具有實(shí)際威脅的量子計(jì)算機(jī)”出現(xiàn)時，再將其解密。可以肯定的是，國家級攻擊者已經(jīng)在規(guī)模性歸檔美國政府的加密通信，以便在未來量子計(jì)算機(jī)真正出現(xiàn)時將其解密。這就是為什么加密體系必須從今天開始遷移—?— 至少對于那些需要保持 10–50 年以上機(jī)密性的主體而言。

但數(shù)字簽名?—?— 所有區(qū)塊鏈都依賴的技術(shù)?—?— 與加密不同：它不存在可被事后攻擊的“機(jī)密性”。

換句話說，當(dāng)量子計(jì)算機(jī)真正到來時，確實(shí)會從那一刻起使偽造數(shù)字簽名成為可能，但過去的簽名并不像加密消息那樣“隱藏”某種秘密。只要能夠確認(rèn)某個數(shù)字簽名是在 CRQC 出現(xiàn)之前生成的，那么它就不可能是偽造的。

因此，與加密體系相比，向后量子數(shù)字簽名的遷移沒有那么緊迫。

主要平臺的行動也反映了這一點(diǎn)：Chrome 和 Cloudflare 已在 Web 傳輸層安全（TLS）加密中部署了混合式 X25519+ML-KEM。[在本文中，我為了易讀性將這些稱為“加密方案”，雖然嚴(yán)格意義上，TLS 等安全通信協(xié)議使用的是密鑰交換或密鑰封裝機(jī)制，而不是公鑰加密。]

這里的“混合式”意味著同時疊加使用一種后量子安全方案（ML-KEM）與一種現(xiàn)有方案（X25519），從而同時獲得兩者的安全性。這種方式希望通過 ML-KEM 阻止 HNDL 攻擊，同時在 ML-KEM 被證明對當(dāng)下計(jì)算機(jī)都不安全的情況下，由 X25519 提供傳統(tǒng)安全保證。

Apple 的 iMessage 也在其 PQ3 協(xié)議中部署了類似的混合式后量子加密，Signal 也在其 PQXDH 與 SPQR 協(xié)議中實(shí)現(xiàn)了這種機(jī)制。

相比之下，關(guān)鍵 Web 基礎(chǔ)設(shè)施向后量子數(shù)字簽名的遷移會推遲到“真正逼近 CRQC 出現(xiàn)時”再開始，因?yàn)楫?dāng)前的后量子簽名方案帶來了明顯的性能退化（本文稍后會討論）。

zkSNARKs?—?— 即零知識、簡潔、非交互式知識論證，它們是區(qū)塊鏈未來可擴(kuò)展性與隱私性的核心?—?— 在量子威脅方面與數(shù)字簽名類似。原因在于，即使一些 zkSNARK 本身不具備后量子安全性（因?yàn)樗鼈兪褂门c當(dāng)前加密與簽名相同的橢圓曲線密碼學(xué)），其“零知識”性質(zhì)依然是后量子安全的。

零知識性質(zhì)保證證明不會泄露任何關(guān)于秘密 witness 的信息?—?— 即便面對量子攻擊者?—?— 因此不存在可被提前“收集”、未來再解密的機(jī)密數(shù)據(jù)。

因此，zkSNARKs不受 HNDL 攻擊影響。正如今天生成的非后量子數(shù)字簽名是安全的，只要 zkSNARK 證明是在 CRQC 出現(xiàn)之前產(chǎn)生的，它就是可信的（即證明的陳述一定為真）?—?— 哪怕 zkSNARK 使用了橢圓曲線密碼學(xué)。只有在 CRQC 出現(xiàn)之后，攻擊者才可能構(gòu)造出“看似有效但實(shí)際上錯誤”的證明。

這對區(qū)塊鏈意味著什么

大多數(shù)區(qū)塊鏈并不會暴露在 HNDL 攻擊之下：大多數(shù)非隱私型鏈?—?— 例如今日的比特幣與以太坊?—?— 主要在交易授權(quán)中使用非后量子密碼學(xué)，也就是說，它們使用的是數(shù)字簽名而非加密。

再次強(qiáng)調(diào)，數(shù)字簽名不會受到 HNDL 攻擊：“先收集、后解密”攻擊只適用于加密數(shù)據(jù)。例如，比特幣區(qū)塊鏈?zhǔn)枪_的；量子威脅在于偽造簽名（推導(dǎo)私鑰以盜取資金），而不是解密已經(jīng)公開的交易數(shù)據(jù)。這意味著 HNDL 攻擊并不會給當(dāng)前的區(qū)塊鏈帶來立即的密碼學(xué)緊迫性。

遺憾的是，一些可信機(jī)構(gòu)（包括美國聯(lián)邦儲備）在分析中仍然錯誤聲稱比特幣易受 HNDL 攻擊，這種錯誤會夸大向后量子密碼遷移的緊迫程度。

不過，“緊迫性降低”并不代表比特幣可以無限期等待：由于協(xié)議升級所需的巨大社會協(xié)調(diào)，比特幣面臨著不同的時間壓力。（下面會更詳細(xì)討論比特幣的獨(dú)特挑戰(zhàn)。）

當(dāng)前的一個例外是隱私鏈，其中許多通過加密或其他方式隱藏收款人和金額。這類機(jī)密性信息可以被提前“收集”，一旦量子計(jì)算機(jī)能夠攻破橢圓曲線密碼學(xué)，就可能被事后去匿名化。

對于此類隱私鏈，攻擊的嚴(yán)重程度因鏈的設(shè)計(jì)不同而異。例如，就 Monero 的基于橢圓曲線的環(huán)簽名與 key image（用于阻止雙花的一種每個輸出唯一的可鏈接標(biāo)簽）而言，僅憑公共賬本即足以在未來重建整個交易流圖。但在其他隱私鏈中，破壞程度會更有限?—?— 詳見 Zcash 密碼工程師兼研究員 Sean Bowe 的相關(guān)討論。

如果用戶認(rèn)為“交易在未來不會因量子計(jì)算機(jī)出現(xiàn)而暴露”非常重要，那么隱私鏈應(yīng)盡快遷移至后量子密碼原語（或混合方案）。或者，它們應(yīng)采用完全不在鏈上放置可被解密秘密的架構(gòu)。

比特幣的特殊難題：治理機(jī)制 + 被遺棄的幣

對比特幣而言，有兩項(xiàng)現(xiàn)實(shí)因素使得開始向后量子數(shù)字簽名遷移變得緊迫，而這兩項(xiàng)因素與量子技術(shù)本身毫無關(guān)系。第一項(xiàng)擔(dān)憂是治理速度：比特幣的演進(jìn)極其緩慢。任何存在爭議的問題，只要社區(qū)無法就適當(dāng)?shù)慕鉀Q方案達(dá)成一致，都可能觸發(fā)一次具有破壞性的硬分叉。

第二項(xiàng)擔(dān)憂是，比特幣切換至后量子簽名無法通過被動遷移完成：幣的持有者必須主動遷移資金。這意味著那些已被遺棄、但仍暴露于量子威脅的幣無法受到保護(hù)。一些估計(jì)認(rèn)為，量子脆弱且可能已被遺棄的 BTC 數(shù)量高達(dá)數(shù)百萬枚，以當(dāng)前價格（截至 2025 年 12 月）計(jì)算價值數(shù)千億美元。

不過，量子威脅并不會讓比特幣出現(xiàn)某種突如其來的“災(zāi)難性一夜崩塌”……更可能呈現(xiàn)為一種選擇性、逐步展開的攻擊過程。量子計(jì)算機(jī)不會一次性攻破所有加密方案?—?— Shor 算法必須逐個目標(biāo)地破解公鑰。早期量子攻擊的成本將極其高昂且緩慢。因此，一旦量子計(jì)算機(jī)能夠攻破單個比特幣簽名密鑰，攻擊者將優(yōu)先選擇價值最高的錢包下手。

此外，只要用戶避免地址復(fù)用，且不使用 Taproot 地址（后者會直接在鏈上暴露公鑰），即便協(xié)議本身尚未升級，他們也基本受到保護(hù)：其公鑰在花費(fèi)之前仍隱藏在哈希函數(shù)之后。當(dāng)他們最終廣播一筆花費(fèi)交易時，公鑰才變?yōu)楣_，此時會存在一個短暫的“實(shí)時競賽窗口”：誠實(shí)用戶需要讓自己的交易盡快確認(rèn)，而量子攻擊者則試圖在交易確認(rèn)前找出私鑰并搶先花費(fèi)這筆幣。因此，真正脆弱的幣，是那些公鑰已暴露多年的：早期 P2PK 輸出、被重復(fù)使用的地址、以及 Taproot 持倉。

對于那些已經(jīng)被遺棄的脆弱幣，目前沒有容易的解決方案。可選方案包括：

比特幣社區(qū)達(dá)成共識，設(shè)定一個“旗幟日”（flag day），在該日之后所有未遷移的幣視為已銷毀。

放任所有已被遺棄且暴露于量子風(fēng)險(xiǎn)的幣任由任何擁有 CRQC 的人奪取。

第二種方案會帶來嚴(yán)重的法律與安全問題。使用量子計(jì)算機(jī)在沒有私鑰的情況下占有資金?—?— 即便聲稱是出于合法所有權(quán)或善意?—?— 在許多司法轄區(qū)都會觸及盜竊與計(jì)算機(jī)欺詐法律。

此外，“被遺棄”本身是一種基于不活躍性的假設(shè)，但沒有人能確切知道這些幣是否真的失去了擁有密鑰的活躍持有者。即便某人能證明自己曾經(jīng)持有這些幣，也未必?fù)碛泻戏?quán)力去破壞密碼保護(hù)以“重新取回”它們。這種法律上的模糊性，使得這些被遺棄、且暴露于量子風(fēng)險(xiǎn)的幣極有可能落入無視法律約束的惡意攻擊者之手。

比特幣的另一個特殊問題是其極低的交易吞吐量。即使遷移方案最終敲定，要將所有暴露于量子威脅的資金遷移至后量子安全地址，按比特幣當(dāng)前的交易速率仍需要數(shù)月時間。

這些挑戰(zhàn)使得比特幣必須從現(xiàn)在開始規(guī)劃后量子遷移?—?— 不是因?yàn)?2030 年之前很可能出現(xiàn) CRQC，而是因?yàn)閰f(xié)調(diào)治理、達(dá)成共識、以及實(shí)際遷移價值數(shù)千億美元資金的技術(shù)物流，將需要多年才能完成。

比特幣面臨的量子威脅是真實(shí)的，但時間壓力來自比特幣自身的結(jié)構(gòu)約束，而不是量子計(jì)算機(jī)的迫近。其他區(qū)塊鏈也面臨量子脆弱資金的問題，但比特幣尤其獨(dú)特：最早的交易使用 pay-to-public-key (P2PK) 輸出，直接將公鑰暴露在鏈上，使相當(dāng)大比例的 BTC 暴露于量子威脅之下。其技術(shù)歷史，加上鏈齡久遠(yuǎn)、價值集中度高、吞吐量低、治理僵化，使得問題格外嚴(yán)重。

需要注意的是，上述脆弱性只適用于比特幣數(shù)字簽名的密碼安全性?—?— 并不涉及比特幣區(qū)塊鏈的經(jīng)濟(jì)安全性。比特幣的經(jīng)濟(jì)安全來自其工作量證明（PoW）共識機(jī)制，而這并不像簽名方案那樣易受量子攻擊，原因有三：

PoW 依賴哈希函數(shù)，因此最多只會受到 Grover 搜索算法帶來的二次方量級加速，而不會受到 Shor 算法帶來的指數(shù)級加速。

實(shí)施 Grover 搜索的實(shí)際開銷極大，使得任何量子計(jì)算機(jī)在比特幣 PoW 上獲得哪怕有限的實(shí)際加速，都極其不可能。

即便量子計(jì)算機(jī)真能實(shí)現(xiàn)顯著加速，其效果只會讓擁有量子算力的大型礦工相對更具優(yōu)勢，而不會從根本上破壞比特幣經(jīng)濟(jì)安全模型。

后量子簽名的成本與風(fēng)險(xiǎn)

要理解為什么區(qū)塊鏈不應(yīng)該倉促部署后量子簽名，我們需要同時考慮性能成本與我們對于后量子安全性仍在演變中的信心。

大多數(shù)后量子密碼學(xué)基于以下五類方法之一：哈希（hashing）、碼（糾錯碼）、格（lattices）、多變量二次方程組（MQ）、同源（isogenies）。

為什么會有五種不同的方法？原因是，任何后量子密碼原語的安全性都依賴一個假設(shè)：量子計(jì)算機(jī)無法高效求解某個特定數(shù)學(xué)問題。問題的結(jié)構(gòu)越“強(qiáng)”，我們就能構(gòu)建出效率越高的密碼協(xié)議。

但這是一把雙刃劍：更多結(jié)構(gòu)也意味著更大的攻擊面，算法更容易被突破。這造成了根本性的張力?—?— 更強(qiáng)的假設(shè)帶來更好的性能，但代價是潛在的安全漏洞（即假設(shè)被證明錯誤的可能性更高）。

總體而言，從安全性角度看，基于哈希的方法最為保守穩(wěn)健，因?yàn)槲覀冏钣行判牧孔佑?jì)算機(jī)無法高效攻擊它們。但它們的性能也是最差的。例如，NIST 標(biāo)準(zhǔn)化的哈希簽名方案，即使在最小參數(shù)設(shè)置下，其簽名大小也有 7–8 KB。作為對比，如今基于橢圓曲線的數(shù)字簽名只有 64 字節(jié)，約小 100 倍。

格方案是當(dāng)前部署的重點(diǎn)方向。NIST 已經(jīng)選定的唯一加密方案、以及三種簽名算法中的兩種，都基于格。其中一種格簽名（ML-DSA，原名 Dilithium）在 128-bit 安全級別下的簽名大小為 2.4 KB，在 256-bit 安全級別下為 4.6 KB?—?— 約為當(dāng)前橢圓曲線簽名的 40–70 倍。另一種格方案 Falcon 的簽名更小（Falcon-512 為 666 字節(jié)，F(xiàn)alcon-1024 為 1.3 KB），但依賴復(fù)雜的浮點(diǎn)運(yùn)算，NIST 自己也將其標(biāo)記為實(shí)現(xiàn)時的重大挑戰(zhàn)。Falcon 設(shè)計(jì)者之一 Thomas Pornin 稱其為“迄今為止我實(shí)現(xiàn)過的最復(fù)雜的密碼算法”。

在實(shí)現(xiàn)安全性方面，格簽名比橢圓曲線方案困難得多：ML-DSA 包含更多敏感的中間值與復(fù)雜的拒絕采樣邏輯，這些都需要側(cè)信道和故障攻擊防護(hù)。Falcon 更是增加了恒定時間浮點(diǎn)運(yùn)算的復(fù)雜性；已有多個針對 Falcon 實(shí)現(xiàn)的側(cè)信道攻擊成功恢復(fù)私鑰。

這些問題帶來的風(fēng)險(xiǎn)是立即存在的，完全不同于“對密碼學(xué)具有實(shí)際威脅的量子計(jì)算機(jī)”這種遙遠(yuǎn)威脅。

對更高性能的后量子密碼方案保持謹(jǐn)慎是有充分理由的。歷史上曾領(lǐng)先的方案，如 Rainbow（基于 MQ 的簽名）與 SIKE/SIDH（基于同源的加密），都被“經(jīng)典地”攻破了?—?— 也就是說，它們被當(dāng)今的計(jì)算機(jī)擊破，而非量子計(jì)算機(jī)。

這發(fā)生在 NIST 標(biāo)準(zhǔn)化流程已經(jīng)推進(jìn)很深的階段。這當(dāng)然反映了健康的科學(xué)過程，但也說明過早標(biāo)準(zhǔn)化與部署可能帶來反效果。

如前所述，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施正在采取慎重方式推進(jìn)簽名遷移。這一點(diǎn)值得注意，因?yàn)榛ヂ?lián)網(wǎng)的密碼過渡一旦啟動往往需要多年才能完成。即便 MD5 與 SHA-1 等哈希函數(shù)被互聯(lián)網(wǎng)標(biāo)準(zhǔn)機(jī)構(gòu)正式廢棄多年，它們的實(shí)際遷移仍持續(xù)多年，至今在部分場景仍未完全淘汰。這些算法是被完全破解的，而非僅僅“可能在未來某天會被破解”。

區(qū)塊鏈 vs 互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的獨(dú)特挑戰(zhàn)

幸運(yùn)的是，由開源社區(qū)維護(hù)的區(qū)塊鏈（如以太坊、Solana）比傳統(tǒng)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施更容易快速升級。另一方面，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施受益于頻繁的密鑰輪換，這意味著攻擊面變化比早期量子計(jì)算機(jī)能追上的速度更快?—?— 而區(qū)塊鏈不具備這一點(diǎn)，因?yàn)閹偶捌涿荑€可能無限期暴露。但總體而言，區(qū)塊鏈仍應(yīng)借鑒互聯(lián)網(wǎng)的謹(jǐn)慎方法推進(jìn)簽名遷移。兩者都不受簽名類 HNDL 攻擊影響，而過早遷移至尚未成熟的后量子方案的成本與風(fēng)險(xiǎn)，依然顯著，不隨密鑰生命周期長短而改變。

此外，區(qū)塊鏈還有一些讓過早遷移尤其危險(xiǎn)且復(fù)雜的挑戰(zhàn)：例如，區(qū)塊鏈對簽名方案有獨(dú)特需求，特別是對“快速聚合大量簽名”的需求。如今常用的 BLS 簽名因其高效聚合能力而流行，但它們并不具備后量子安全性。研究者正在探索基于 SNARK 的后量子簽名聚合方案。盡管進(jìn)展可期，但仍處于早期階段。

針對 SNARK 本身，當(dāng)前社區(qū)主要關(guān)注基于哈希的后量子結(jié)構(gòu)。但一個重大轉(zhuǎn)變即將到來：我有信心在未來數(shù)月與數(shù)年中，格方案將成為極具吸引力的替代路線。它們將在多個維度上提供更優(yōu)性能，例如更短的證明長度?—?— 類似格簽名比哈希簽名更短。

當(dāng)前更嚴(yán)重的問題：實(shí)現(xiàn)安全

在未來多年內(nèi)，實(shí)現(xiàn)漏洞將遠(yuǎn)比“真正威脅密碼學(xué)的量子計(jì)算機(jī)”更現(xiàn)實(shí)、更嚴(yán)重。對于 SNARK，首要擔(dān)憂是漏洞（bugs）。

漏洞已經(jīng)在數(shù)字簽名與加密算法中是主要挑戰(zhàn)，而 SNARK 的復(fù)雜度要高得多。實(shí)際上，一個數(shù)字簽名方案可以被視為一種極其簡化的 zkSNARK，用于證明“我知道與公鑰對應(yīng)的私鑰，并且我授權(quán)了這條消息。”

對于后量子簽名，當(dāng)前真正緊迫的風(fēng)險(xiǎn)還包括實(shí)現(xiàn)攻擊，例如側(cè)信道攻擊與故障注入攻擊。這些攻擊類型已有大量實(shí)證，并能從現(xiàn)實(shí)系統(tǒng)中提取私鑰。它們帶來的威脅遠(yuǎn)比“遙遠(yuǎn)未來的量子攻擊”迫切得多。

社區(qū)將在未來多年持續(xù)識別并修復(fù) SNARK 的漏洞，并加固后量子簽名的實(shí)現(xiàn)以抵御側(cè)信道與故障注入攻擊。在后量子 SNARK 與簽名聚合方案尚未穩(wěn)定成型的階段過早遷移，區(qū)塊鏈將面臨將自己鎖定在次優(yōu)方案中的風(fēng)險(xiǎn)?—?— 一旦更好的方案出現(xiàn)或當(dāng)前方案暴露重大實(shí)現(xiàn)漏洞，就可能不得不再次遷移。

我們應(yīng)該怎么做？七條建議

基于前文討論的現(xiàn)實(shí)情況，我將以下建議提供給不同的參與者?—?— 從開發(fā)者到政策制定者。總體原則是：認(rèn)真對待量子威脅，但不要在“2030 年前必然出現(xiàn)對密碼學(xué)構(gòu)成實(shí)際威脅的量子計(jì)算機(jī)”這一前提下采取行動。目前的技術(shù)進(jìn)展并不支持這一前提。然而，我們現(xiàn)在仍然有許多可以、也應(yīng)該著手進(jìn)行的準(zhǔn)備工作：

1. 立即部署混合加密

至少在長期機(jī)密性重要且性能成本可接受的場景中。許多瀏覽器、CDN、以及消息應(yīng)用（如 iMessage 和 Signal）已經(jīng)部署了混合方案。混合方案?—?— 后量子 + 經(jīng)典密碼?—?— 既能抵御 HNDL 攻擊，又能防范后量子方案本身潛在的弱點(diǎn)。

2. 在能容忍大尺寸簽名的場景中立即使用哈希簽名

軟件／固件更新等低頻率、對大小不敏感的場景應(yīng)當(dāng)立即采用混合式哈希簽名。（混合是為了防范新方案中的實(shí)現(xiàn)漏洞，而不是因?yàn)楣０踩约僭O(shè)存在疑問。）這是保守且穩(wěn)妥的做法，可以為社會提供一個明確的“救生艇”，以防量子計(jì)算機(jī)突然提前到來。如果沒有已經(jīng)部署的后量子簽名的軟件更新機(jī)制，那么在 CRQC 出現(xiàn)后我們將面臨引導(dǎo)問題：無法安全地分發(fā)抵御量子威脅所需的密碼更新。

3. 區(qū)塊鏈不需要倉促部署后量子簽名?—?— 但應(yīng)從現(xiàn)在開始規(guī)劃

區(qū)塊鏈開發(fā)者應(yīng)學(xué)習(xí) Web PKI 的做法，以審慎方式推進(jìn)后量子簽名的部署。這讓后量子簽名方案有時間在性能和安全理解上進(jìn)一步成熟。同時，這也給開發(fā)者時間重新設(shè)計(jì)系統(tǒng)，以容納更大的簽名并開發(fā)更好的聚合技術(shù)。對于比特幣和其他一層鏈：社區(qū)需要制定遷移路徑，以及關(guān)于量子脆弱且被遺棄資金的政策。被動遷移不可能，因此規(guī)劃至關(guān)重要。而比特幣面臨的挑戰(zhàn)大多不是技術(shù)性的?—?— 治理緩慢，以及大量高價值潛在被遺棄的量子脆弱地址?—?— 更凸顯了比特幣社區(qū)應(yīng)盡早開始規(guī)劃。

與此同時，需要讓后量子 SNARK 與可聚合簽名的研究繼續(xù)成熟（可能還需要數(shù)年）。再次強(qiáng)調(diào)，過早遷移可能導(dǎo)致被鎖定在次優(yōu)方案中，或者在發(fā)現(xiàn)實(shí)現(xiàn)漏洞后不得不再次遷移。

關(guān)于以太坊賬戶模型的一點(diǎn)說明：以太坊支持兩種賬戶類型，對后量子遷移有不同影響：由 secp256k1 私鑰控制的外部賬戶（EOAs），以及具有可編程授權(quán)邏輯的智能合約錢包。

在非緊急情境中，當(dāng)以太坊增加后量子簽名支持時，可升級的智能合約錢包可以通過合約升級切換到后量子驗(yàn)證?—?— 而 EOA 則可能需要將資產(chǎn)轉(zhuǎn)移到新的后量子安全地址（盡管以太坊也可能為 EOAs 提供專門的遷移機(jī)制）。在量子緊急情境下，以太坊研究者提出了硬分叉方案：凍結(jié)脆弱賬戶，讓用戶用后量子安全的 SNARK 通過證明自己掌握助記詞來恢復(fù)資產(chǎn)。此機(jī)制適用于 EOAs 和未升級的智能錢包。

對用戶的實(shí)際影響是：經(jīng)過良好審計(jì)且可升級的智能錢包可能帶來稍微更順暢的遷移路徑?—?— 但差距不大，并伴隨對錢包提供方與升級治理的信任權(quán)衡。相比賬戶類型，更重要的是以太坊社區(qū)持續(xù)推進(jìn)后量子原語與應(yīng)急方案。

更廣泛的設(shè)計(jì)啟示：很多區(qū)塊鏈將賬戶身份與特定密碼原語緊密耦合?—?— 例如比特幣和以太坊都綁定 secp256k1，其他鏈綁定 EdDSA。后量子遷移的困難凸顯了將賬戶身份從特定簽名方案中解耦的價值。以太坊向智能賬戶（smart accounts）的演進(jìn)，以及其他鏈的賬戶抽象趨勢，都體現(xiàn)了這一方向：允許賬戶升級其認(rèn)證邏輯，同時保留鏈上歷史與狀態(tài)。這不會讓后量子遷移變得簡單，但比起將賬戶固定在單一簽名方案上，靈活性顯著提升。（這也啟用其他功能，如代付交易、社交恢復(fù)、多簽等。）

4. 對隱私鏈來說，只要性能允許，應(yīng)優(yōu)先推進(jìn)遷移

這些鏈對交易細(xì)節(jié)進(jìn)行加密或隱藏，因此用戶隱私目前暴露于 HNDL 攻擊?—?— 盡管嚴(yán)重程度因設(shè)計(jì)而異。那些僅憑公共賬本即足以完全事后去匿名化的鏈風(fēng)險(xiǎn)最高。可以采用混合方案（后量子 + 經(jīng)典）以防后量子方案本身被證明在經(jīng)典場景下也不安全，或采用架構(gòu)改造避免把可解密的秘密放在鏈上。

5. 近期優(yōu)先關(guān)注實(shí)現(xiàn)安全?—?— 而不是量子威脅緩解

尤其對于 SNARK 和后量子簽名這種復(fù)雜原語，漏洞與實(shí)現(xiàn)攻擊（側(cè)信道、故障注入）將在未來多年內(nèi)遠(yuǎn)比 CRQC 更現(xiàn)實(shí)、更緊迫。現(xiàn)在就應(yīng)該投入審計(jì)、模糊測試、形式化驗(yàn)證、以及多層防御等工作?—?— 不要讓對量子威脅的擔(dān)憂蓋過漏洞這一更緊迫的真實(shí)威脅！

6. 支持量子計(jì)算發(fā)展

從國家安全角度看，我們必須持續(xù)投入量子計(jì)算的研發(fā)與人才培養(yǎng)。如果主要對手國家比美國更早實(shí)現(xiàn) CRQC，將對美國及全球帶來嚴(yán)重的國家安全風(fēng)險(xiǎn)。

7. 對量子計(jì)算相關(guān)公告保持正確視角

隨著量子硬件成熟，未來幾年會出現(xiàn)大量里程碑式新聞。矛盾的是，這些新聞的頻繁出現(xiàn)本身就是我們距離 CRQC 仍相當(dāng)遙遠(yuǎn)的證據(jù)：每個里程碑都只是通往最終目標(biāo)的眾多橋梁之一，而每座橋梁的跨越都會引發(fā)一波媒體關(guān)注與興奮。應(yīng)將新聞稿視為需要批判性評估的進(jìn)度報(bào)告，而不是要求立即行動的信號。

當(dāng)然，未來可能出現(xiàn)意外突破，加速時間表；也可能出現(xiàn)嚴(yán)重瓶頸，拖慢時間表。

我要強(qiáng)調(diào)的是：我并不認(rèn)為在五年內(nèi)出現(xiàn) CRQC 是“絕對不可能”，只是“極不可能”。以上建議對這種不確定性具有穩(wěn)健性，并且可以幫助我們避免那些更直接、更現(xiàn)實(shí)的風(fēng)險(xiǎn)：漏洞、倉促部署，以及密碼遷移中常見的各種錯誤。

Justin Thaler 是 a16z 的研究合伙人，也是喬治城大學(xué)計(jì)算機(jī)科學(xué)系的副教授。他的研究方向包括可驗(yàn)證計(jì)算、復(fù)雜性理論，以及大規(guī)模數(shù)據(jù)集的算法。