本文目录
Toggle当后量子密码学遇上 Solana,代价是网路速度砍九成、每笔交易的签名大小膨胀 40 倍?这不是理论推演,而是 2025 年 12 月底 Solana 与后量子安全新创 Project Eleven 合作,在测试网实测后得出的真实数字。
Project Eleven 执行长 Alex Pruden 直接引述测试资料:现行 Ed25519 签名约 64 bytes,切换至 ML-DSA 后膨胀至约 1,300 至 2,500 bytes,是原来的 20 至 40 倍;测试网整体吞吐量下降幅度约达 90%。
ML-DSA 是什么,为何签名这么大
ML-DSA(模组格签名演算法)是 CRYSTALS-Dilithium 标准化后的正式名称,于 2024 年 8 月由美国国家标准暨技术研究院(NIST)列入 FIPS 204,成为后量子数位签名的官方标准之一。
它的安全基础是「格问题」,一类被认为即使对量子电脑也极难破解的数学难题。相比之下,现行的椭圆曲线密码学(ECC,如 Ed25519)依赖离散对数问题,而量子电脑可以透过 Shor 演算法有效率地破解它。
格密码学的安全性代价,正是较大的金钥与签名尺寸。Ed25519 的签名精简到 64 bytes,是椭圆曲线数学效率的产物;ML-DSA 的签名动辄超过 1,000 bytes,是格问题安全假设的必然结果。
Solana 的结构性弱点:公钥直接暴露
测试结果揭示的效能落差固然显著,但 Solana 还有一个更根本的结构问题。
Bitcoin 和 Ethereum 的钱包地址,是对公钥进行杂凑运算后的结果。这一层杂凑提供了「量子缓冲」:量子电脑就算能破解椭圆曲线,也必须先取得公钥才能进行攻击。而对于从未发生过交易的地址,公钥从未被广播到网路上,量子电脑无从下手。
Solana 的设计截然不同:帐户地址直接等同于原始公钥。这表示,一旦量子电脑达到能够破解椭圆曲线的能力,Solana 上的所有帐户都可以被直接从地址反推出私钥,无需等待使用者发出任何一笔交易。这层结构上的差异,使 Solana 的量子威胁比 Bitcoin 和 Ethereum 网路更为直接且紧迫。
Ethereum 和 Solana 路线图
在应对策略上,两条链目前处于截然不同的阶段。
Vitalik Buterin 于 2026 年 2 月发布「Strawmap」,规划约四年、七次硬分叉的后量子迁移路线图。其中 EIP-8141 提出原生帐户抽象,允许帐户切换至 ML-DSA 等后量子签名型别。Ethereum 的地址本身已是杂凑后的公钥,尚未传送过交易的地址仍有量子缓冲保护。
Solana Foundation 技术副总裁 Matt Sorg 表示:「我们的责任是确保 Solana 今天和未来数十年都保持安全。」但目前这次测试网部署仅定位为「早期具体步骤」,Solana 并未发布任何正式的主网升级路线图。
过渡期间,Solana 社群存在一种名为 Winternitz Vaults 的临时解方:一种基于杂凑的量子安全机制,不需要全网升级,允许个别使用者自愿将资产迁移至量子安全模式,作为等待系统全面升级的桥接方案。
