量子計算和區塊鏈：將緊迫性與實際威脅相匹配

近期 Bug 風險遠大於量子攻擊。

原文：Quantum computing and blockchains: Matching urgency to actual threats

作者：Justin Thaler

編譯：白話區塊鏈

加密相關的量子計算機的時間線經常被誇大——導致要求緊急、全面過渡到後量子密碼學。

但這些呼籲往往忽略了過早遷移的成本和風險，並忽略了不同加密原語之間截然不同的風險概況：

後量子加密儘管有成本，仍要求立即部署：“先獲取，後解密”（Harvest-Now-Decrypt-Later, HNDL）攻擊已在進行中，因為今天加密的敏感數據在量子計算機到來時仍將有價值，即使那是幾十年後。後量子加密的性能開銷和實現風險是真實存在的，但 HNDL 攻擊使需要長期保密性的數據別無選擇。

後量子簽名面臨不同的考量。它們不易受到 HNDL 攻擊，且其成本和風險（更大的尺寸、性能開銷、實現不成熟和錯誤）要求深思熟慮而非立即遷移。

這些區別至關重要。誤解會扭曲成本效益分析，導致團隊忽略更突出的安全風險——比如程序錯誤（bugs）。

成功過渡到後量子密碼學的真正挑戰在於將緊迫性與實際威脅相匹配。下面，我將闡明關於量子對密碼學的威脅的常見誤解——涵蓋加密、簽名和零知識證明——並特別關注它們對區塊鏈的影響。

我們的時間表進展如何？

儘管有備受關注的說法，但在 2020 年代出現加密相關的量子計算機（CRQC）的可能性極低。

我所指的 “加密相關的量子計算機” 是指一臺容錯、糾錯的量子計算機，能夠以足夠的規模運行 Shor 算法，以便在合理的時間範圍內（例如，在最多一個月的持續計算內破解 {secp}256{k}1  或 {RSA-2048} 攻擊橢圓曲線密碼學或 RSA。

根據對公開里程碑和資源估算的任何合理解讀，我們離加密相關的量子計算機還差得很遠。公司有時聲稱 CRQC 可能在 2030 年之前或遠在 2035 年之前出現，但公開已知的進展並不支持這些說法。

作為背景，在所有當前架構中——囚禁離子、超導量子比特和中性原子系統——今天的量子計算平臺都不接近運行 Shor 算法攻擊 {RSA-2048} 或 {secp}256{k}1  所需的數十萬到數百萬物理量子比特（取決於錯誤率和糾錯方案）。

限制因素不只是量子比特數量，還有門保真度、量子比特連接性，以及運行深度量子算法所需的持續糾錯電路深度。雖然一些系統現在超過 1,000 個物理量子比特，但原始量子比特數量本身具有誤導性：這些系統缺乏加密相關計算所需的量子比特連接性和門保真度。

最近的系統接近量子錯誤校正開始發揮作用的物理錯誤率，但沒有人證明過多於少數邏輯量子比特具有持續糾錯電路深度……更不用說實際運行 Shor 算法所需的數千個高保真度、深電路、容錯邏輯量子比特。證明量子錯誤校正在原理上可行與實現密碼分析所需的規模之間的差距仍然巨大。

簡而言之：除非量子比特數量和保真度都提高几個數量級，否則加密相關的量子計算機仍然遙不可及。

然而，企業新聞稿和媒體報道很容易讓人感到困惑。這裡有一些常見的誤解和困惑來源，包括：

• 聲稱 “量子優勢” 的演示，目前針對的是人為設計的任務。選擇這些任務不是因為它們的實用性，而是因為它們可以在現有硬件上運行，同時似乎表現出很大的量子加速——這一事實在公告中經常被模糊。
• 公司聲稱已實現數千個物理量子比特。 但這指的是量子退火機，而不是運行 Shor 算法攻擊公鑰密碼學所需的門模型機器。
• 公司自由使用術語 “邏輯量子比特”。 物理量子比特是嘈雜的。正如前面提到的，量子算法需要邏輯量子比特；Shor 算法需要數千個。使用量子錯誤校正，可以用許多物理量子比特實現一個邏輯量子比特——通常是數百到數千個，具體取決於錯誤率。但一些公司已將這個術語延伸到面目全非。例如，最近的一個公告聲稱使用距離 2 碼並僅用兩個物理量子比特實現了一個邏輯量子比特。這是荒謬的：距離 2 碼只能檢測錯誤，而不能糾正錯誤。用於密碼分析的真正容錯邏輯量子比特每個需要數百到數千個物理量子比特，而不是兩個。
• 更一般地，許多量子計算路線圖使用術語 “邏輯量子比特” 來指代僅支持 Clifford 操作的量子比特。這些操作可以高效地進行經典模擬，因此不足以運行 Shor 算法，而 Shor 算法需要數千個糾錯的 T 門（或更一般的非 Clifford 門）。
• 即使其中一個路線圖的目標是 “在 X 年實現數千個邏輯量子比特”，這並不意味著該公司預期在同一年 X 運行 Shor 算法來破解經典密碼學。

這些做法嚴重扭曲了公眾對我們距離加密相關的量子計算機有多近的看法，即使在成熟的觀察家中間也是如此。

也就是說，一些專家確實對進展感到興奮。例如，Scott Aaronson 最近寫道，鑑於 “當前驚人的硬件發展速度”，

我現在認為，在下一次美國總統選舉之前，我們將擁有一臺運行 Shor 算法的容錯量子計算機是一個現實的可能性。

但 Aaronson 後來澄清說，他的聲明並不意味著加密相關的量子計算機：他認為即使一個完全容錯的 Shor 算法運行分解了 15 = 3 \times 5，也算作實現——而這個計算用鉛筆和紙可以更快地完成。標準仍然是小規模執行 Shor 算法，而不是加密相關的規模，因為之前在量子計算機上分解 15 的實驗使用了簡化的電路，而不是完整的、容錯的 Shor 算法。而且這些實驗始終針對 15 這個數字進行分解是有原因的：模 15 的算術計算很容易，而分解像 21 這樣稍大一點的數字要困難得多。因此，聲稱分解 21 的量子實驗通常依賴於額外的提示或捷徑。

簡單來說，在未來 5 年內出現一臺能夠破解 {RSA-2048} 或 {secp}256{k}1 的加密相關量子計算機的期望——這對實際密碼學至關重要——沒有公開已知的進展支持。

即使 10 年仍然是雄心勃勃的。考慮到我們離加密相關的量子計算機有多遠，對進步感到興奮完全符合十年以上的時間線。

那麼，美國政府將 2035 年定為政府系統全面後量子（PQ）遷移的最後期限又如何呢？我認為這是完成如此大規模過渡的一個合理的時間表。然而，它不是一個預測加密相關的量子計算機將在那時存在的預測。

HNDL 攻擊適用於哪些情況（不適用哪些情況）？

先獲取，後解密（HNDL）攻擊指的是對手現在存儲加密流量，然後當加密相關的量子計算機存在時再解密。民族國家級別的對手肯定已經在大規模歸檔來自美國政府的加密通信，以便在 CRQC 確實存在多年後解密這些通信。

這就是為什麼加密需要立即過渡——至少對於任何有 10-50 年以上保密需求的人來說。

但是數字簽名——所有區塊鏈都依賴它——與加密不同：沒有保密性可以追溯攻擊。

換句話說，如果加密相關的量子計算機到來，簽名偽造確實從那時起成為可能，但過去的簽名不像加密消息那樣 “隱藏” 秘密。只要你知道數字簽名是在 CRQC 到來之前生成的，它就不可能是偽造的。

這使得過渡到後量子數字簽名不如加密的後量子過渡那樣緊迫。

主要平臺正在相應地採取行動：Chrome  和 Cloudflare  為網絡傳輸層安全（TLS）加密推出了混合 {X}25519+{ML-KEM}。在本篇中，為便於閱讀，我使用加密方案，儘管嚴格來說，像 TLS 這樣的安全通信協議使用的是密鑰交換或密鑰封裝機制，而不是公鑰加密。

這裡的**“混合” 意味著同時使用**後量子安全方案（即 ML-KEM）和現有方案 ({X}25519)，以獲得兩者的組合安全保證。這樣，它們可以（希望）通過 ML-KEM 阻止 HNDL 攻擊，同時在 ML-KEM 被證明即使對今天的計算機也是不安全的情況下，通過 {X}25519 保持經典安全。

蘋果的 iMessage  也通過其 PQ3 協議部署了這種混合後量子加密，Signal  也通過其 PQXDH  和 SPQR 協議部署了。

相比之下，將後量子數字簽名推廣到關鍵網絡基礎設施正在被推遲，直到加密相關的量子計算機真正臨近，因為當前的後量子簽名方案會帶來性能下降（稍後在本篇中會詳細介紹）。

zkSNARKs——零知識簡潔非交互式知識論證，這是區塊鏈長期可擴展性和隱私的關鍵——與簽名處於相似的境地。這是因為，即使對於非後量子安全的 {zkSNARKs}（它們使用橢圓曲線密碼學，就像今天的非後量子加密和簽名方案一樣），它們的零知識屬性是後量子安全的。

零知識屬性確保在證明中不會洩露關於秘密證人的任何信息——即使是對量子對手——因此沒有機密信息可供 “先獲取” 以供日後解密。

因此，{zkSNARKs} 不容易受到先獲取，後解密攻擊。就像今天生成的非後量子簽名是安全的一樣，在加密相關的量子計算機到來之前生成的任何 {zkSNARK} 證明都是值得信賴的（即所證明的陳述絕對是真實的）——即使 {zkSNARK} 使用橢圓曲線密碼學。只有在加密相關的量子計算機到來之後，攻擊者才能找到令人信服的虛假陳述的證明。

這對區塊鏈意味著什麼

大多數區塊鏈不會暴露於 HNDL 攻擊：

• 大多數非隱私鏈，如今天的比特幣和以太坊，主要將非後量子密碼學用於交易授權——即它們使用數字簽名，而不是加密。
• 同樣，這些簽名不是 HNDL 風險：“先獲取，後解密” 攻擊適用於加密數據。例如，比特幣的區塊鏈是公開的；量子威脅是簽名偽造（推導出私鑰以竊取資金），而不是解密已經公開的交易數據。這消除了 HNDL 攻擊帶來的即時加密緊迫性。
• 不幸的是，即使是像美聯儲這樣可信來源的分析也錯誤地聲稱比特幣容易受到 HNDL 攻擊，這個錯誤誇大了過渡到後量子密碼學的緊迫性。
• 話雖如此，緊迫性降低並不意味著比特幣可以等待：它面臨來自更改協議所需的巨大社會協調的不同時間線壓力。

截至今天的例外是隱私鏈，其中許多加密或以其他方式隱藏了接收者和金額。一旦量子計算機能夠破解橢圓曲線密碼學，這種機密性現在就可以被獲取，並被追溯性地去匿名化。

對於此類隱私鏈，攻擊的嚴重性因區塊鏈設計而異。例如，對於 Monero  基於曲線的環簽名和密鑰圖像（用於阻止雙重花費的每個輸出的可鏈接性標籤），公共賬本本身就足以追溯性地重建花費圖。但在其他鏈中，損害更有限——詳情請參閱 Zcash 加密工程師和研究員 Sean Bowe 的討論。

如果用戶的交易不被加密相關的量子計算機暴露很重要，那麼隱私鏈應該在可行的情況下儘快過渡到後量子原語（或混合方案）。或者，它們應該採用避免將可解密秘密放在鏈上的架構。

比特幣的特殊難題：治理 + 廢棄幣

特別是對於比特幣，有兩個現實推動了開始轉向後量子數字簽名的緊迫性。兩者都與量子技術無關。

一個擔憂是治理速度：  比特幣變化緩慢。如果社區無法就適當的解決方案達成一致，任何有爭議的問題都可能引發破壞性的硬分叉。

另一個擔憂是比特幣轉向後量子簽名不能是  被動遷移：所有者必須主動遷移他們的幣。這意味著廢棄的、量子易受攻擊的幣無法受到保護。一些估計將量子易受攻擊且可能廢棄的 BTC 數量定為數百萬個幣，按當前價格計算（截至 2025 年 12 月）價值數百億美元。

然而，對比特幣的量子威脅不會是突然的、一夜之間的災難……而更像是有選擇的、漸進式的目標定位過程。量子計算機不會同時破解所有加密——Shor 算法必須一次針對一個公鑰。早期的量子攻擊將極其昂貴和緩慢。因此，一旦量子計算機能夠破解單個比特幣簽名密鑰，攻擊者將有選擇地捕食高價值錢包。

此外，避免地址重用且不使用 Taproot 地址——這些地址直接在鏈上暴露公鑰——的用戶即使沒有協議更改，也在很大程度上受到保護：他們的公鑰在他們的幣被花費之前隱藏在哈希函數後面。當他們最終廣播一筆花費交易時，公鑰變得可見，並且在需要讓交易得到確認的誠實花費者和想要在真正所有者的交易最終確定之前找到私鑰並花費這些幣的量子裝備攻擊者之間會有一場短暫的實時競賽。因此，真正易受攻擊的幣是公鑰已暴露的幣：早期的  點對點 K 輸出、重用地址和 Taproot 持有。

對於已被廢棄的易受攻擊的幣，沒有簡單的解決方案。一些選擇包括：

• 比特幣社區同意一個 “標誌日”，在此之後，任何未遷移的幣被宣佈銷燬。
• 將廢棄的量子易受攻擊的幣容易被任何擁有加密相關量子計算機的人奪取。

第二個選項會造成嚴重的法律和安全問題。使用量子計算機在沒有私鑰的情況下佔有幣——即使聲稱擁有合法所有權或有良好意圖——可能在許多司法管轄區根據盜竊和計算機欺詐法引發嚴重問題。

此外，“廢棄” 本身是基於不活動的推定。但沒有人真正知道這些幣是否缺乏擁有密鑰的活著的擁有者。您曾經擁有這些幣的證據可能不足以提供破解加密保護以收回它們的法律授權。這種法律上的模糊性增加了廢棄的量子易受攻擊的幣落入願意忽略法律限制的惡意行為者手中的可能性。

比特幣特有的最後一個問題是其低交易吞吐量。即使遷移計劃最終確定，將所有量子易受攻擊的資金遷移到後量子安全地址，以比特幣當前的交易速率也需要數月。

這些挑戰使得比特幣現在就開始規劃其後量子過渡變得至關重要——不是因為加密相關的量子計算機可能在 2030 年之前到來，而是因為遷移價值數十億美元的幣所需的治理、協調和技術物流將需要數年才能解決。

對比特幣的量子威脅是真實的，但時間線壓力來自於比特幣自身的限制，而不是迫在眉睫的量子計算機。其他區塊鏈面臨著各自的量子易受攻擊資金挑戰，但比特幣面臨獨特的暴露：其最早的交易使用了付費到公鑰（點對點 K）輸出，將公鑰直接放在鏈上，使得相當大一部分 BTC 特別容易受到加密相關量子計算機的攻擊。這種技術差異——加上比特幣的年代久遠、價值集中、低吞吐量和治理僵化——使問題尤為嚴重。

請注意，我上面描述的漏洞適用於比特幣數字簽名的加密安全——但不適用於比特幣區塊鏈的經濟安全。這種經濟安全源於工作量證明（PoW）共識機制，它不容易受到量子計算機的攻擊，原因有三：

• PoW 依賴於哈希，因此只受 Grover 搜索算法的二次量子加速影響，而不受 Shor 算法的指數加速影響。
• 實施 Grover 搜索的實際開銷使得任何量子計算機極不可能在比特幣的工作量證明機制上實現哪怕是適度的實際加速。
• 即使實現了顯著的加速，這些加速也會賦予大型量子礦工相對於小型礦工的優勢，但不會從根本上破壞比特幣的經濟安全模型。

後量子簽名的成本與風險

要了解為什麼區塊鏈不應該急於部署後量子簽名，我們需要了解性能成本以及我們對後量子安全仍在演變中的信心。

大多數後量子密碼學基於以下五種方法之一：

1. 哈希 (hashing)
2. 編碼 (codes)
3. 格 (lattices)
4. 多元二次系統 (multivariate quadratic systems, MQ)
5. 同源 (isogenies)。

為什麼有五種不同的方法？任何後量子加密原語的安全性都基於量子計算機無法有效解決特定數學問題的假設。該問題越 “結構化”，我們可以從中構建的加密協議就越高效。

但這有利有弊：額外的結構也為攻擊算法創造了更多的利用空間。這造成了一種根本性的矛盾——更強的假設能夠實現更好的性能，但代價是潛在的安全漏洞（即假設被證明是錯誤的可能性增加）。

一般來說，基於哈希的方法在安全性方面最為保守，因為我們最有信心量子計算機無法有效地攻擊這些協議。但它們也是性能最差的。例如，NIST 標準化的基於哈希的簽名方案，即使在其最小參數設置下，大小也為 7-8 KB。相比之下，今天的基於橢圓曲線的數字簽名只有 64 字節。這大約是 100 倍的大小差異。

格方案是當今部署的主要焦點。NIST 已經選擇用於標準化的唯一加密方案和三個簽名算法中的兩個都基於格。一種格方案（ML-DSA，以前稱為 Dilithium）產生的簽名大小從 2.4 KB（在 128 位安全級別）到 4.6 KB（在 256 位安全級別）不等——使其比今天的基於橢圓曲線的簽名大約大 40-70 倍。另一種格方案 Falcon  具有稍小的簽名（Falcon-512 為 666 字節，Falcon-1024 為 1.3 KB），但帶有複雜的浮點運算，NIST 本身將其標記為特殊的實現挑戰。Falcon 的一位創建者 Thomas Pornin  稱其為“我實現過的最複雜的加密算法”。

格基數字簽名的實現安全性也比橢圓曲線基簽名方案更具挑戰性：ML-DSA 具有更多的敏感中間值和非平凡的拒絕採樣邏輯，需要側信道和故障保護。Falcon  增加了常數時間浮點問題；事實上，對 Falcon 實現的幾次側信道攻擊已經恢復了秘密密鑰。

這些問題構成了即時風險，不像加密相關的量子計算機的遙遠威脅。

在部署性能更高的後量子密碼學方法時，有充分的理由保持謹慎。歷史上，像 Rainbow（一種基於 MQ 的簽名方案）和 SIKE/SIDH（一種基於同源的加密方案）這樣的領先候選方案在經典上就被破解了，也就是說，使用今天的計算機，而不是量子計算機，就被破解了。

這發生在 NIST 標準化過程的很晚階段。這是健康的科學在發揮作用，但這說明過早的標準化和部署可能會適得其反。

正如前面提到的，互聯網基礎設施正在對簽名遷移採取深思熟慮的方法。考慮到互聯網的加密過渡一旦開始需要多長時間，這一點尤其值得注意。從 MD5 和 SHA-1 哈希函數的轉變——幾年前已被網絡管理機構在技術上棄用——花了許多年才在基礎設施中實際實施，並且在某些情況下仍在進行中。發生這種情況的原因是這些方案是完全被破解的，而不僅僅是潛在地容易受到未來技術的影響。

區塊鏈與互聯網基礎設施的獨特挑戰

幸運的是，像以太坊或 Solana  這樣由開源開發者社區積極維護的區塊鏈，可以比傳統網絡基礎設施更快地升級。另一方面，傳統網絡基礎設施受益於頻繁的密鑰輪換，這意味著其攻擊面移動得比早期量子機器可以針對的速度更快——這是區塊鏈沒有的奢侈，因為幣及其相關密鑰可以無限期地暴露。

但總的來說，區塊鏈仍應遵循網絡的深思熟慮的簽名遷移方法。兩種設置的簽名都不暴露於 HNDL 攻擊，而且無論密鑰持續多久，過早遷移到不成熟的後量子方案的成本和風險仍然很大。

還有特定於區塊鏈的挑戰，使得過早遷移特別冒險和複雜：例如，區塊鏈對簽名方案有獨特的要求，特別是快速聚合許多簽名的能力。今天，BLS 簽名因其能夠實現非常快速的聚合而常被使用，但它們不是後量子安全的。研究人員正在探索基於 SNARK 的後量子簽名聚合。這項工作很有前景，但仍處於早期階段。

對於 SNARKs  來說，社區目前專注於基於哈希的結構作為領先的後量子選項。但一個重大轉變即將到來：我相信在接下來的幾個月和幾年裡，基於格的選項將成為有吸引力的替代方案。這些替代方案將在各個方面具有比基於哈希的 {SNARKs} 更好的性能，例如更短的證明——類似於基於格的簽名比基於哈希的簽名更短。

當前更大的問題：實現安全性

在未來幾年，實現漏洞將是比加密相關的量子計算機更大的安全風險。對於 {SNARKs} 來說，主要關注點是程序錯誤（bugs）。

程序錯誤已經是數字簽名和加密方案的一個挑戰，而 {SNARKs} 要複雜得多。確實，一個數字簽名方案可以被視為一種非常簡單的 {zkSNARK}，用於陳述 “我知道對應於我的公鑰的私鑰，並且我授權了此消息。”

對於後量子簽名，即時風險還包括實現攻擊，例如側信道和故障注入攻擊。這些類型的攻擊有據可查，可以從已部署的系統中提取秘密密鑰。它們比遙遠的量子計算機構成了更緊迫的威脅。

社區將工作多年來識別和修復 {SNARKs} 中的程序錯誤，並強化後量子簽名實現以抵抗側信道和故障注入攻擊。由於關於後量子 {SNARKs} 和簽名聚合方案的塵埃尚未落定，過早過渡的區塊鏈面臨鎖定在次優方案中的風險。當更好的選項出現時，或者當實現漏洞被發現時，他們可能需要再次遷移。

我們應該怎麼做？7 條建議

鑑於我上面概述的現實情況，我將以對各種利益相關者——從構建者到政策制定者——的建議作為總結。首要原則：認真對待量子威脅，但不要以加密相關的量子計算機將在 2030 年之前到來的假設行事。  這種假設沒有被當前的進展所證實。儘管如此，我們現在仍然可以而且應該做一些事情：

我們應該立即部署混合加密。

或者至少在長期保密性很重要且成本可承受的情況下。

許多瀏覽器、CDN 和消息應用（如 iMessage 和 Signal）已經部署了混合方法。混合方法——後量子 + 經典——可以防禦 HNDL 攻擊，同時對後量子方案中潛在的弱點進行對沖。

  在尺寸可承受時立即使用基於哈希的簽名。

軟件/固件更新——以及其他此類低頻率、對尺寸不敏感的場景——應該立即採用混合基於哈希的簽名。（混合是為了對沖新方案中的實現錯誤，而不是因為基於哈希的安全假設存在疑問。）

這很保守，並且在加密相關的量子計算機意外早日出現的不太可能的情況下，為社會提供了明確的 “救生艇”。如果事先沒有部署後量子簽名的軟件更新，在 CRQC 出現後，我們將面臨引導問題：我們將無法安全地分發我們需要抵禦它的後量子密碼學修復。

區塊鏈無需急於部署後量子簽名——但應立即開始規劃。

區塊鏈開發者應該遵循網絡 PKI 社區的領導，對後量子簽名部署採取深思熟慮的方法。這允許後量子簽名方案在性能和我們對其安全性的理解方面繼續成熟。這種方法也讓開發者有時間重新架構系統以處理更大的簽名，並開發更好的聚合技術。

• 對於比特幣和其他 L1： 社區需要定義遷移路徑和關於廢棄的量子易受攻擊資金的政策。被動遷移是不可能的，因此規劃至關重要。而且由於比特幣面臨特殊的非技術性挑戰——緩慢的治理和大量高價值潛在廢棄的量子易受攻擊地址——比特幣社區現在開始規劃尤為重要。
• 同時，我們需要允許關於後量子 {SNARKs} 和可聚合簽名的研究成熟（可能還需要幾年時間）。再次強調，過早遷移有鎖定在次優方案中或需要第二次遷移來解決實現錯誤的風險。
• 關於以太坊的賬戶模型的一點說明： 以太坊支持兩種賬戶類型，對後量子遷移有不同的影響——外部擁有賬戶 (EOAs)，由 {secp}256{k}1 私鑰控制的傳統賬戶類型；以及具有可編程授權邏輯的智能合約錢包。
  • 在非緊急情況下，如果以太坊增加了後量子簽名支持，可升級的智能合約錢包可以通過合約升級切換到後量子驗證——而 EOAs 可能需要將其資金轉移到新的後量子安全地址（儘管以太坊很可能也會為 EOAs 提供專門的遷移機制）。
  • 在量子緊急情況下，以太坊研究人員提出了一個硬分叉計劃，以凍結易受攻擊的賬戶，並讓用戶通過使用後量子安全 {SNARKs} 證明其助記詞的知識來恢復資金。這種恢復機制將適用於 EOA 和任何尚未升級的智能合約錢包。
  • 對用戶的實際影響： 經過良好審計、可升級的智能合約錢包可能提供略微平滑的遷移路徑——但差異不大，並且伴隨著對錢包提供商和升級治理的信任方面的權衡。更重要的是以太坊社區繼續其關於後量子原語和應急響應計劃的工作。
• 對構建者的更廣泛設計教訓： 今天許多區塊鏈將賬戶身份與特定的加密原語緊密耦合——比特幣和以太坊與 {secp}256{k}1 上的 ECDSA 簽名，其他鏈與 EdDSA。後量子遷移的挑戰突顯了將賬戶身份與任何特定的簽名方案解耦的價值。以太坊向智能賬戶的邁進以及其他鏈上的類似賬戶抽象工作反映了這一趨勢：允許賬戶升級其認證邏輯，而無需放棄其鏈上歷史和狀態。這種解耦不會使後量子遷移變得微不足道，但它確實提供了比將賬戶硬編碼到單個簽名方案中更多的靈活性。（這也支持了諸如贊助交易、社交恢復和多重簽名等不相關的功能）。

對於隱私鏈，它們加密或隱藏交易細節，如果性能可承受，應優先考慮更早的過渡。

這些鏈上的用戶機密性目前暴露於 HNDL 攻擊，儘管嚴重程度因設計而異。僅憑公共賬本就能實現完全追溯去匿名化的鏈面臨最緊迫的風險。

考慮混合方案（後量子 + 經典）以防止表面上的後量子方案被證明甚至在經典上也是不安全的，或實施避免將可解密秘密放在鏈上的架構更改。

在近期，優先考慮實現安全性——而不是量子威脅緩解。

特別是對於像 {SNARKs} 和後量子簽名這樣複雜的加密原語，程序錯誤和實現攻擊（側信道攻擊、故障注入）在未來幾年將是比加密相關的量子計算機大得多的安全風險。

立即投資於審計、模糊測試、形式驗證，以及深度防禦/分層安全方法——不要讓量子擔憂掩蓋更緊迫的程序錯誤威脅！

資助量子計算發展。

上述所有內容的一個重要國家安全影響是，我們需要持續資助和人才培養量子計算。

一個主要對手在美國之前實現加密相關的量子計算能力，將對我們和世界其他國家構成嚴峻的國家安全風險。

對量子計算公告保持透視。

隨著量子硬件的成熟，未來幾年將會有許多里程碑。矛盾的是，這些公告的頻率本身就證明了我們離加密相關的量子計算機還有多遠：每個里程碑代表著我們在到達該點之前必須跨越的眾多橋樑之一，每個里程碑都將產生自己的頭條新聞和興奮浪潮。

將新聞稿視為需要批判性評估的進展報告，而不是採取突然行動的提示。

當然，可能會有令人驚訝的進展或創新加速預期的時間線，就像可能會有嚴重的擴展瓶頸延長它們一樣。

我不會爭辯說在五年內出現加密相關的量子計算機是絕對不可能的，只是極不可能。上述建議對這種不確定性是穩健的，並且遵循它們可以避免更即時、更可能的風險：實現錯誤、倉促部署以及加密過渡出錯的普通方式。

Justin Thaler  是 a16z 的研究合夥人，也是喬治城大學計算機科學系的副教授。他的研究興趣包括可驗證計算、複雜性理論和大規模數據集算法。

免責聲明：作為區塊鏈信息平臺，本站所發佈文章僅代表作者及嘉賓個人觀點，與 Web3Caff 立場無關。文章內的信息僅供參考，均不構成任何投資建議及要約，並請您遵守所在國家或地區的相關法律法規。