距离能够攻破比特币的量子电脑问世,我们究竟还有多远?
量子电脑何时能破解现有密码学?这个问题的时间线经常遭到过度渲染,进而引发「必须紧急且全面转向后量子密码学」的呼吁。
然而这些呼吁往往忽略了过早迁移所带来的成本与风险,也未能认清不同密码学工具所面临的威胁本质迥异:
- 后量子加密必须立即部署,无论代价多高都得执行。因为「现在窃取、未来解密」(HNDL)的攻击手法已然存在。今日加密的敏感资料,即便数十年后量子电脑才问世,其价值依旧非凡。后量子加密虽会造成效能折损和实施风险,但对于需要长期保密的资料而言,我们别无选择。
- 后量子数位签章则是另一回事。它们较不容易遭受上述「窃存解密」攻击,而其本身的成本与风险(体积增大、效能负担、方案尚未成熟、潜在漏洞)所要求的是审慎规划,而非立刻行动。
区分这一点至关重要。错误的认知会扭曲成本效益分析,导致团队忽略更迫切的安全风险,例如程式码漏洞。
成功过渡到后量子密码学的真正挑战,在于让行动的急迫程度与真实威胁相互匹配。下文将厘清关于量子运算威胁密码学的常见误解,涵盖加密、签章和零知识证明,并特别聚焦其对区块链的意涵。
时间线:距离能攻破加密技术的量子电脑还有多远?
尽管各种夸大的宣传不断,但在本世纪 20 年代出现「密码学相关量子电脑」的可能性极低。
所谓「密码学相关量子电脑」,指的是一台具备容错与纠错能力的量子电脑,它能够执行 Shor 演算法,且规模足以在合理时间内(例如持续运算不超过一个月)攻破椭圆曲线密码(如 secp256k1)或 RSA(如 RSA-2048)。
根据公开的技术里程碑与资源评估,我们距离这样的电脑仍相当遥远。尽管有公司宣称在 2030 年甚至 2035 年前就可能实现,但目前已知的进展并不支持这些说法。
目前,无论是离子阱、超导量子位元或中性原子体系,没有任何量子运算平台能够接近破解 RSA-2048 或 secp256k1 所需的数十万乃至数百万个物理量子位元(具体数量取决于错误率与纠错方案)。
瓶颈不仅在于量子位元的数量,更在于闸极保真度、量子位元之间的连接性,以及执行深度量子演算法所需的持续纠错电路深度。当前有些系统的物理量子位元数已超过 1000,但单凭这个数字具有误导性:它们欠缺密码学运算所需的连接性与保真度。
近期的系统虽正逐步接近量子纠错所需的物理错误率门槛,但迄今为止无人能稳定执行超过几个逻辑量子位元,更遑论执行 Shor 演算法所需的数千个高保真、深电路、容错的逻辑量子位元。从原理验证到实现密码分析所需的规模,差距依然巨大。
简言之:在量子位元数量与保真度提升数个数量级之前,密码学相关量子电脑仍遥不可及。
然而,企业新闻稿和媒体报道常令人困惑。主要的混淆点包括:
- 「量子优势」演示:目前演示的任务多为精心设计,并非实际有用,只因它们能在现有硬体上执行并「显得」很快。这一点在宣传中常被淡化。
- 「数千物理量子位元」的宣传:这通常指的是量子退火机,而非攻击公钥密码所需的、能执行 Shor 演算法的门模型量子计算机。
- 对「逻辑量子位元」的滥用:物理量子位元有噪声,实用演算法需要由许多物理量子位元透过纠错构成的「逻辑量子位元」。执行 Shor 演算法需要数千个这样的逻辑量子位元,每个通常需数百至数千个物理量子位元。但有些公司夸大其词,例如最近有宣称用「距离 -2」纠错码(仅能检错,不能纠错)以每逻辑量子位元仅 2 个物理量子位元实现了 48 个逻辑量子位元,这毫无意义。
- 路线图的误导:许多路线图中的「逻辑量子位元」仅支援「Clifford 操作」,这些操作可被经典计算机高效模拟,不足以执行需要大量「非 Clifford 门」(如 T 门)的 Shor 演算法。因此,即便某路线图宣称「在 X 年实现数千逻辑量子位元」,也不意味著该公司预计那时就能破解经典密码。
这些做法严重扭曲了公众(包括资深观察者)对量子计算进度的认知。
当然,进展确实令人兴奋。例如 Scott Aaronson 近期写道,鉴于「硬体进展速度快得惊人」,他认为「在下届美国总统大选前,我们拥有一台能执行 Shor 演算法的容错量子计算机,是一个真实的可能性」。但他随后澄清,这并非指密码学相关的量子计算机——即使只是容错地分解 15=3×5(这用纸笔算更快),他也算其承诺达成。这仍是小规模演示,且此类实验总以 15 为目标,因为模 15 运算简单,稍大的数(如 21)就困难得多。
关键结论:预计在未来 5 年内出现能破解 RSA-2048 或 secp256k1 的密码学相关量子计算机——这对实际密码学至关重要——缺乏公开进展的支援。即便 10 年,也仍具雄心。
因此,对进展的兴奋与「仍需十几年」的时间线判断并不矛盾。
那么,美国政府将 2035 年定为政府系统全面后量子迁移的最后期限又如何?我认为这是完成大规模转型的合理时间规划,但它并非预测届时一定会出现密码学相关量子计算机。
「现在窃取,未来解密」攻击:适用于谁?不适用于谁?
「现在窃取,未来解密」攻击指:攻击者现在储存加密流量,待未来密码学相关量子计算机出现后再解密。国家级对手很可能已在大量归档来自美国政府的加密通讯,以备未来解密。
因此,加密必须立即升级,至少对于那些需要 10-50 年以上保密期的资料。
但数字签名(所有区块链的基石)与加密不同:它没有需要追溯攻击的机密性。即使未来量子计算机出现,也只能从那时起伪造签名,而无法「解密」过去的签名。只要你能证明签名是在量子计算机出现前生成的,它就不可伪造。
这使得向后量子数字签名的过渡,远不如加密过渡紧迫。
主流平台正是这样做的:
- Chrome 和 Cloudflare 已为网路 TLS 加密部署了混合 X25519+ML-KEM 方案。「混合」意味著同时使用后量子安全方案(ML-KEM)和现有方案(X25519),兼具两者安全性,既防 HNDL 攻击,又在后量子方案出问题时保有经典安全。
- Apple 的 iMessage (PQ3 协议 ) 和 Signal (PQXDH 和 SPQR 协议 ) 也部署了类似的混合后量子加密。
相比之下,后量子数字签名在关键网路基础设施上的部署则被推迟,直到密码学相关量子计算机真正迫近。因为当前的后量子签名方案会带来效能下降(下文详述)。
零知识证明(zkSNARKs) 的处境与签名类似。即使那些非后量子安全的 zkSNARK(它们使用椭圆曲线密码),其「零知识」属性本身是后量子安全的。该属性确保证明不泄露任何关于秘密的资讯(量子计算机也无可奈何),因此没有可「现在窃取」的机密供未来解密。所以,zkSNARKs 也不易受 HNDL 攻击。在量子计算机出现前生成的任何 zkSNARK 证明都是可信的(即便它使用椭圆曲线密码),量子计算机出现后,攻击者才能伪造假证明。
这对区块链意味著什么?
大多数区块链并不容易受到 HNDL 攻击。
如同现今的比特币和以太坊这类非隐私链,其非后量子密码学主要用于交易授权(即数位签章),而非加密。这些签章并不构成 HNDL 风险。以比特币区块链为例,它是公开的,量子威胁在于签章伪造(窃取资金),而非解密已公开的交易资料。这消除了来自 HNDL 的即刻密码学急迫性。
遗憾的是,即便如联准会等权威机构的分析,也曾错误地宣称比特币容易受到 HNDL 攻击,这夸大了过渡的急迫性。
当然,紧迫性降低不意味著比特币可以高枕无忧。它面临著来自协议变更所需巨大社会协调工作的不同时间压力(下文详述)。
目前的例外是隐私链。许多隐私链对收款方和金额进行加密或隐藏。这些机密资讯可以被现在窃取,并在未来量子计算机破解椭圆曲线密码后被追溯去匿名化。攻击严重性因设计而异(例如门罗币的环签名与金钥映象可能使交易图被完整重建)。因此如果使用者在意其交易不被未来量子计算机暴露,隐私链应尽快过渡到后量子原语(或混合方案),或采用不将可解密秘密上链的架构。
比特币的特殊难题:治理僵局与「沉睡币」
对于比特币而言,有两个现实因素驱动著开始规划后量子签章的急迫性,而这两者都与量子技术本身无关:
- 治理速度缓慢:比特币的变革进程迟缓,任何争议都可能引发具破坏性的硬分叉。
- 无法被动迁移:币的持有者必须主动迁移其资产。这意味著被遗弃的、对量子攻击脆弱的币将无法获得保护。据估计,这类「沉睡」且对量子脆弱的 BTC 可能多达数百万枚,以当前价值计算达数千亿美元。
然而,量子威胁对比特币并非「一夕之间」的末日,更像是一个选择性、渐进式的目标锁定过程。早期的量子攻击将极为昂贵且缓慢,攻击者会选择性地瞄准高价值钱包。
此外,避免地址重复使用且不使用 Taproot 地址(后者会直接在链上暴露公钥)的使用者,即便没有协议升级,也基本上是安全的——他们的公钥在花费之前一直隐藏在杂凑值之后。唯有当花费交易被广播时,公钥才会暴露,届时将展开一场短暂的即时竞赛:诚实使用者要尽快确认交易,而量子攻击者则试图在此之前算出私钥并盗取资金。
因此,真正脆弱的币是那些公钥已经暴露的:早期 P2PK 输出、重复使用的地址,以及以 Taproot 方式持有的资产。
对于已被遗弃的脆弱币,解决方案颇为棘手:要嘛社群约定一个「截止日期」,之后未迁移的币视为销毁;要嘛任由其被未来拥有量子电脑的人夺取。后者将带来严重的法律与安全问题。
比特币特有的最后一个难题是低交易吞吐量。即便迁移计划已经敲定,以当前的速率迁移所有脆弱资金也需耗费数月之久。
这些挑战使得比特币必须从现在就开始规划后量子过渡——并非因为量子电脑可能在 2030 年前问世,而是因为迁移价值数千亿美元资产所需的治理、协调和技术后勤工作,本身就需要数年时间。
比特币面临的量子威胁是真实存在的,但时间压力主要源于其自身的限制,而非迫在眉睫的量子电脑。
注:以上关于签名的漏洞,不影响比特币的经济安全性(即工作量证明共识)。PoW 依赖杂凑运算,仅受 Grover 搜寻演算法的二次加速影响,且实际开销巨大,不太可能实现显著加速。即便有,也只是让大矿工更有优势,而非颠覆其经济安全模型。
后量子签名的成本与风险
为什么区块链不应仓促部署后量子签名?我们需要理解其效能成本及我们对这些新方案仍在演化的信心。
后量子密码学主要基于五类数学难题:杂凑、编码、格、多元二次方程组、椭圆曲线同源。之所以多样,是因为方案效率与所依赖问题的「结构性」有关:结构越多,效率通常越高,但给攻击演算法留下的突破口也可能越多,这是一种根本的权衡。
- 杂凑方案最保守(安全性信心最足),但效能最差。例如 NIST 标准化的杂凑签名最小也有 7-8KB,而当前椭圆曲线签名仅 64 位元组,相差约百倍。
- 格方案是当前部署焦点。NIST 选定的唯一后量子加密方案(ML-KEM)及三种签名中的两种(ML-DSA,Falcon)均基于格。
- ML-DSA 签名大小约 2.4-4.6KB,是当前签名的 40-70 倍。
- Falcon 签名较小(0.7-1.3KB),但实现极其复杂,涉及恒定时间浮点运算,已有侧通道攻击成功案例。其创始人之一称这是「我实现过的最复杂的密码演算法」。
- 实施安全挑战更大:格基签名比椭圆曲线签名有更多敏感中间值和复杂的拒绝取样逻辑,需要更强的侧通道和故障注入防护。
这些问题带来的直接风险,远比遥远的量子计算机现实得多。
历史教训也让我们需保持谨慎:NIST 标准化过程中的领先候选方案,如 Rainbow(基于 MQ 的签名)和 SIKE/SIDH(基于同源的加密),都曾被经典计算机攻破。这说明了过早标准化和部署的风险。
网际网路基础设施对签名迁移采取了审慎态度,这尤其值得注意,因为密码学过渡本身就耗时漫长(例如从 MD5/SHA-1 的迁移持续了多年且仍未彻底完成)。
区块链 vs. 网际网路基础设施的独特挑战
有利的是,由开源社群维护的区块链(如以太坊、Solana)可以比传统网路基础设施更快升级。不利的是,传统网路可透过频繁金钥轮换来缩小攻击面,而区块链的币和关联金钥可能长期暴露。
但总体上,区块链仍应效仿网路的审慎签名迁移策略。两者在签名上都不受 HNDL 攻击,过早迁移的成本和风险都很大。
区块链还有一些特有的复杂性使其过早迁移尤其危险:
- 签名聚合需求:区块链常需快速聚合大量签名(如 BLS 签名)。BLS 虽快,但非后量子安全。基于 SNARK 的后量子签名聚合研究有前景,但仍处早期。
- SNARKs 的未来:社群目前主要看好基于杂凑的后量子 SNARK,但我相信未来数月到数年,基于格的 SNARK 替代方案将会出现,它们将在多方面(如证明长度)表现更优。
当前更严重的问题是:实施安全性。
未来多年,实施漏洞将比量子计算机构成更大的安全风险。对于 SNARKs,主要威胁是程式漏洞。数字签名和加密已有挑战,而 SNARKs 复杂得多。实际上,数字签名可视为一种极简的 zkSNARK。
对于后量子签名,侧通道和故障注入等实施攻击是更紧迫的威胁。社群需要数年时间来加固这些实现。
因此,在尘埃落定之前过早过渡,可能将自己锁定在次优方案中,或被迫二次迁移以修复漏洞。
我们该怎么因应?七大建议
基于以上现实,我向各方(从建设者到决策者)提出以下建议。总体原则是:认真看待量子威胁,但不要预设 2030 年前就会出现密码学相关量子电脑(目前的进展不支持此预设)。同时,有些事情我们现在就可以而且应该著手进行:
- 立即部署混合加密:至少在需要长期保密且成本可接受的地方。许多浏览器、CDN 和通讯应用(如 iMessage、Signal)已开始部署。混合方案(后量子 + 经典)可防 HNDL 攻击,并规避后量子方案潜在弱点。
- 在能容忍大尺寸的场景,立即使用基于杂凑的签名:例如软体 / 韧体更新等低频、对大小不敏感的场景,现在就可采用混合杂凑签名(混合是为对冲新方案的实施漏洞)。这提供了一个保守的「救生艇」,以防量子计算机意外提前出现。
- 区块链无需仓促上马后量子签名,但应立刻开始规划:
- 开发者应效仿网路 PKI 社群的审慎态度,让方案更成熟。
- 比特币等公链需定义迁移路径和对「沉睡」脆弱资金的政策。比特币尤其需要现在就开始规划,因其挑战主要是非技术性的(治理慢、高价值「沉睡」地址多)。
- 给后量子 SNARKs 和可聚合签名的研究留出成熟时间(可能还需几年),避免过早锁定次优方案。
- 关于以太坊账户:智慧合约钱包(可升级)可能提供更顺滑的迁移路径,但差别有限。比账户型别更重要的是,社群继续推进后量子原语研究和应急计划。更广泛的设计启示:解耦账户身份与特定签名方案(如账户抽象)能提供更大灵活性,不仅利于后量子迁移,也支援赞助交易、社交恢复等功能。
- 隐私链应优先过渡(若效能可接受):其使用者机密性正暴露于 HNDL 攻击之下。可考虑混合方案或架构调整,避免可解密秘密上链。
- 短期内,优先保障实施安全性,而非过度关注量子威胁:对于 SNARKs 和后量子签名等复杂密码学,漏洞和实施攻击在未来多年都是比量子计算机更大的风险。现在就在审计、模糊测试、形式化验证和纵深防御上投入,别让量子焦虑掩盖了更紧迫的漏洞威胁。
- 持续资助量子计算研发:从国家安全形度,必须持续投入资金和培养人才。主要对手若率先获得密码学相关量子计算能力,将构成严重风险。
- 理性看待量子计算新闻:未来会有更多里程碑。但每一个里程碑恰恰证明了我们离目标尚有距离。应将新闻稿视为需要批判性评估的进展报告,而非仓促行动的讯号。
当然,技术突破可能加速,瓶颈也可能延长预测。我并非断言五年内绝无可能,只是认为可能性很低。遵循上述建议,能帮助我们规避更直接、更可能的风险:实施漏洞、仓促部署以及密码学过渡中常见的失误。
