1. 引言
随着量子计算的发展,区块链系统和硬件钱包必须适应新的签名算法和安全约束。
本文要点:
- 量子计算机会威胁当前的安全模型,使得从已公开的公钥中恢复私钥成为可能。
- 这一威胁并非立刻发生,但"先收集、后解密(harvest now, decrypt later)"的模式带来了长期风险。
- 后量子密码(PQC)签名标准已经存在,但带来了权衡:签名更大、内存占用更高、实现更加复杂。
- 硬件钱包必须在受限的安全芯片(Secure Element)中运行 PQC,这使得 RAM 限制和侧信道防护成为主要挑战。
- 迁移必须协调推进,否则碎片化的采用将引入新的运行和安全风险。
量子计算正在快速发展,并有可能彻底改变多个行业。然而,这一强大技术同时也对现有密码系统构成了重大威胁,尤其是支撑区块链生态系统的那些系统。
虽然人们的关注点往往集中在量子威胁本身,但必须牢记:
- 保护私钥这一基本需求依然至关重要。
- 此外,硬件钱包虽然提供了更强的安全性,但也存在自身的约束条件,而且某些密码算法更适合其受限的计算能力,即便这些算法对于区块链节点来说更加资源密集。
本文将概述这些约束、可能性以及未来硬件钱包的发展方向。但首先,为了说明后量子密码为何对硬件钱包如此重要,先来看量子计算是如何威胁当前区块链密码学基础的。
2. 量子计算对区块链的威胁
区块链技术高度依赖密码学原语,尤其是公钥密码学,用于保障交易安全和维护网络完整性。量子计算机由于能够比经典计算机更快地解决某些数学问题,可能会破坏这些密码学基础。
具体而言,像 Shor 算法这样的量子算法会威胁广泛应用于区块链中的椭圆曲线密码(ECC),这些密码用于通过数字签名(如 ECDSA 或 Schnorr/EdDSA)对交易进行授权。如果出现足够强大的量子计算机,它在理论上可以从公钥推导出私钥,从而使攻击者能够攻破钱包并操纵区块链交易。
这一威胁虽然重要,但并非立即发生:能够攻破当前密码标准的实用量子计算机仍需一段时间才能出现。然而,"先收集、后解密"的场景仍然值得关注,即攻击者今天收集加密数据,等到量子计算机成熟后再进行解密。
从区块链的角度来看,这种情况并不完全直接成立,因为严格来说并不存在需要解密的内容。
然而,从某种意义上说,区块链已经在公开地执行"收集(harvest)"这一过程。任何其公钥被公开记录在区块链上的输出(如,"中本聪时代"的比特币曾使用裸公钥作为地址,或那些被重复使用且已经发生过花费、从而暴露了公钥的地址),都会暴露在外,使其对应的私钥面临风险。不同估计有所差异,但总体而言,大约有 25% 的比特币网络资产(按价值计算)其公钥已被公开,一旦量子攻击出现,将立即处于脆弱状态。
鉴于这些潜在风险,即使它们并非迫在眉睫,整个行业也无法等到量子计算机真正出现之后才去更新密码体系。
3. 为后量子时代做准备
好消息是,密码学界已经为此准备了多年。
后量子算法的 NIST 标准化进程始于 2016 年,目前正进入最后阶段,目标是选定能够抵御量子攻击的新型签名方案。
在撰写本文时,后量子签名方案主要分为两大类,各自具有不同的优缺点:
- 基于哈希(Hash-based) :
其设计相对简单,仅依赖于加密哈希函数已被充分研究的安全性质。因此,即使在后量子环境下,其安全性也具有高度可信性。然而,这类方案通常存在签名体积非常大的问题,并且缺乏支持更高级密码结构的数学特性,如类似 BIP-32 的同态密钥派生或门限签名等。 - 基于格(Lattice-based) :
格密码学则提供更紧凑的密钥和签名,并由于其丰富的数学结构支持更灵活的设计。这类算法通常更高效,尤其在验证阶段表现突出,并且适用于大规模或嵌入式部署。然而,其安全假设相对较新,尚不如基于哈希的方案那样经过充分验证,同时实现也更为复杂------如 Falcon 严重依赖浮点运算。
在欧洲,法国国家信息系统安全局(ANSSI)也表达了类似观点。在其 2023 年关于抗量子密码的技术报告中,ANSSI 将基于格的方案视为中期最有前景的方向,并表示正在密切关注 NIST 标准化进程及相关学术研究。
目前已选定的算法各有权衡,下面对三个主要方案进行更详细说明:
- 1)SPHINCS+ :一种无状态的基于哈希的签名方案。
已在 FIPS-205 中标准化为 SLH-DSA。其主要优势是公钥较短(32 字节),且安全性依赖于成熟且广泛研究的哈希函数。然而,其签名非常大(根据安全级别约为 8--17 KB),签名生成速度较慢,并且 RAM 占用较高,使其不太适合嵌入式系统和区块链这类分布式系统。因此本文不将其纳入后续分析。 - 2)Falcon :一种基于所谓"NTRU 格"和快速傅里叶采样(Fast Fourier Sampling)的签名方案。
预计将以 FN-DSA 的名称正式标准化。目前尚无官方标准实现,现有实现也不保证向前兼容(尽管最终标准版本预计不会与提交版本有较大差异)。其主要优势是签名验证速度快,以及密钥和签名尺寸相对较小(尽管仍明显大于传统密码)。其主要缺点是大量使用浮点运算,导致密钥生成和签名过程较为复杂。 - 3)Dilithium(ML-DSA) :一种基于"模格(module lattices)"的签名方案。
已在 FIPS 204 中由 NIST 正式标准化。其主要优势是基于成熟的模运算,因此签名和密钥生成速度较快。然而,与 Falcon 相比,其公钥和签名尺寸更大,且 RAM 占用更高。
作为硬件钱包开发者,现在必须评估这些新算法在受限环境中的表现,以及将其集成所带来的安全性和效率方面的影响。需要注意的是,在区块链场景中,一笔交易的签名只由花费资金的用户生成一次,而网络中的每一个节点都必须对其进行验证。这种模式意味着,相比优化签名生成成本,优先优化验证成本可能更有意义。然而,这一思路会增加在安全芯片(Secure Element)中实现签名生成的复杂度。因此,在这两者之间取得平衡至关重要。
4. 硬件钱包:优势与约束
硬件钱包被广泛认为是保护加密资产最安全的方式。它们将私钥离线存储,与联网设备隔离,从而显著降低被远程攻击窃取的风险。交易在设备内部完成签名,随后仅将签名后的交易广播到网络。然而,在硬件钱包中引入 PQC("后量子密码")算法时,需要进行权衡:
-
更适合硬件钱包的算法:
某些 PQC 算法,尤其是基于格的密码方案(如 ML-DSA 和 ML-KEM),由于其核心计算主要是格上的算术运算,因此在资源受限设备上的效率较高。这类运算通常较容易在小型处理器上高效实现,使其成为硬件钱包的潜在良好选择。
-
对区块链节点的额外负担:
虽然这些算法在硬件钱包端可能较为高效,但它们的密钥和签名尺寸更大,从而导致交易体积增加。这会对区块链节点带来更高的负担,包括:
- 存储开销增加
- 带宽需求上升
- 验证与传播交易所需的计算资源增加
这些因素对于未来抗量子区块链网络的可扩展性和去中心化至关重要。
- 尽管这些后量子算法可以在硬件钱包中高效运行,但它们也引入了一些挑战,可能限制其在区块链系统中的实际可行性。区块链去中心化的一个核心原则是:运行节点应尽可能简单且对更多参与者开放。然而,后量子算法通常需要更大的密钥和签名,并涉及更复杂的计算,这些都会显著提高节点运行的成本和资源需求。因此,实现向后量子区块链的平滑过渡,需要整个生态的协同努力。
为了从理论走向实践,必须评估这些算法在真实嵌入式硬件上的表现。通过基准测试(benchmarking),可以获得关于内存需求、运行周期(cycle counts)以及在真实环境下可行性的关键洞察。
5. 嵌入式硬件上的 PQC 算法基准测试
当一种算法被提出,尤其是在被接受之后,通常会进行一系列基准测试,以评估其在不同指标下的性能。这些结果通常会发布在算法提案的最终草案(以及/或后续论文)中。为了验证这些理解和假设,Ledger团队首先在传统微控制器上复现了这些参考基准测试。使用一种在电子行业广泛应用的通用 MCU(微控制器单元)(具体为 STM32F439ZI),运行频率为 24 MHz(文献中常见配置),确认了其他研究报告中的总体性能趋势。
随后,将分析扩展到一个更具安全相关性的环境:安全芯片(Secure Element),即Ledger设备的安全核心。通常,安全芯片会集成专用的密码加速器以提升性能和安全性。然而,由于 PQC 仍然较新,目前的安全芯片尚未内置 PQC 加速器,因此将所测试的算法完全以软件方式实现。
在本次初步研究中,选择重点关注内存使用情况,因为这是嵌入式 PQC 中最具约束性的指标。事实上,安全芯片通常只有非常有限的 RAM,而如前所述,PQC 算法以对象尺寸较大而著称。
下文展示了Ledger团队在 ST33K 安全芯片上针对当前已标准化的两种基于格的算法(ML-DSA 和 Falcon(即将标准化为 FN-DSA))获得的初步内存使用结果。
注意:这些结果是在禁用安全芯片通用防护机制的情况下测得。
内存占用(字节):
| 操作 / 算法 | Falcon-512 | Falcon-1024 | ML-DSA-44 | ML-DSA-65 | ML-DSA-87 |
|---|---|---|---|---|---|
| 密钥生成 | 14,420 | 27,552 | 46,320 | 5,712 | 5,712 |
| 签名 | 32,396 | 内存不足 | 6,056 | 7,600 | 9,128 |
| 签名验证 | 5,268 | 5,364 | 4,088 | 4,088 | 4,088 |
执行时间(毫秒 -- 平均值):
| 操作 / 算法 | Falcon-512 | Falcon-1024 | ML-DSA-44 | ML-DSA-65 | ML-DSA-87 |
|---|---|---|---|---|---|
| 密钥生成 | 1,094 | 3,735 | 533 | 1,046 | 1,780 |
| 签名 | 835 | N/A | 1,096 | 2,309 | 4,383 |
| 签名验证 | < 100 | N/A | 437 | 808 | 1,490 |
为了更好地理解这些结果,有几点值得注意。首先,对于 Falcon 和 ML-DSA,它们分别提供多个安全级别(分别为 2 个和 3 个),每个级别对应不同的对象尺寸,从而带来不同的计算开销。这并不意味着较低级别不安全;在可预见的未来,这些级别都被认为是安全的。Ledger团队对所有这些级别都进行了测试,因为它们都有可能在不同应用场景中被采用。
在 Falcon 的情况下,测试的是一个未经过优化的纯 C 实现,Ledger团队认为它在降低内存占用和/或提升性能方面仍有优化空间。至于 ML-DSA,测试的是 ZKNox 的低内存实现(该实现采用了 2022年论文 Dilithium for Memory Constrained Devices(来自 NXP)中的技术)。这种实现方式通过显著降低内存占用来运行算法,但代价是执行速度更慢。
即便如此,已经观察到:
- Falcon 的内存使用量相当可观,接近 64 KB 安全芯片的极限。
- 而对于 ML-DSA,则观察到其执行时间会严重影响用户体验,签名时间有时甚至超过 10 秒。
这些初步结果有助于更好地理解,将 PQC 引入安全嵌入式系统所面临的工程挑战以及优化权衡。
6. 嵌入式 PQC 的安全性考虑
性能基准测试只是问题的一部分。在安全硬件环境中,尤其是在硬件钱包场景下,实现必须满足严格的安全要求。即便某个密码算法在理论上能够抵抗量子攻击,其在现实世界中的安全性(如对侧信道攻击或故障注入的抵抗能力)在很大程度上取决于具体实现方式。
安全芯片所面对的攻击模型远比普通软件环境更加严苛。它们通常需要具备以下特性:
- 常数时间执行(Constant-time execution),以避免通过执行时间差泄露敏感信息;
- 掩码技术(Masking),通过对内部计算进行随机化以抵御功耗分析攻击;
- 故障检测与容错(Fault detection and tolerance),以抵御通过注入错误并利用异常签名进行攻击的手段;
- 执行顺序打乱与时间扰动(Shuffling and jitter),通过随机化执行顺序并引入时间波动,使侧信道测量更难对齐和平均分析;
这些防护措施并非可选项,而是在处理长期存在的密码密钥时的基本要求。
7. 硬件相关风险与进展
由于底层数学结构的不同,这些安全要求对 Falcon 和 ML-DSA 的影响也各不相同。
Falcon 严重依赖双精度浮点运算,因此很难以常数时间(constant-time)方式实现。因此,它要么需要使用浮点仿真(emulated floating-point operations)(这会非常慢),要么需要针对每种芯片进行专门分析(这将复杂且脆弱)。此外,目前尚不存在专门为嵌入式设备设计、能够抵御侧信道或故障攻击的官方实现。
对于 ML-DSA,目前已有一种掩码化实现(masked version)------见2024年论文Improved High-Order Masked Generation of Masking Vector and Rejection Sampling in Dilithium,用于增强其抗侧信道能力。然而,2025年论文Finding and Protecting the Weakest Link On Side-Channel Attacks on y in Masked ML-DSA 研究 表明仍然存在一定弱点,并且这些防护措施通常会使执行周期增加约 33%。
总的来说,在硬件钱包中实现 PQC,不仅需要选择合适的算法,还必须精心设计嵌入式代码,以满足严格的安全要求。
尽管存在这些挑战,无论是制造商还是更广泛的开发者社区,都在持续推进相关进展。
8. 通过 Ledger 开放平台的社区贡献
Ledger独特的开放平台模型,使其社区多年来能够在基于安全芯片(Secure Element)的环境中持续创新与贡献。后量子密码,尤其是在区块链领域,已成为大量讨论与实验的热点话题,而 Ledger 提供的协作平台正在推动这一进程。
事实上,已经看到相关实践案例:ZKNOX 为资源受限的嵌入式设备开发了一种新的 ML-DSA 实现,使该 PQC 算法能够在 Ledger 应用中运行。基于此,他们成功展示了首个端到端的、由硬件钱包签名的后量子交易,并运行在以太坊区块链上。此外,他们近期提出的 EIP 提案(EIP-8051: ML-DSA verification),正是 Ledger 开放平台所支持的这类创新的典型体现。
9. 结论
量子计算的出现对区块链的密码学基础构成了重大威胁,尽管这一威胁并非立刻发生。然而,保护私钥这一基本原则始终至关重要。硬件钱包为密钥存储提供了一种可靠的解决方案,但在使用时必须充分考虑其自身的约束条件。
在向抗量子未来过渡的过程中,选择合适的 PQC 算法需要在硬件钱包的计算能力限制与区块链节点在处理和存储方面的需求之间取得平衡。同时,还必须保留当前生态系统最成功的部分:对椭圆曲线签名(主要是 secp256k1)的几乎普遍共识。这种统一性使得审计可以复用、库更加成熟、运维更加可预测。过渡过程中真正的风险在于碎片化------不同的链、钱包和交易所选择不同的算法、参数、编码方式以及地址/描述符格式,从而成倍增加工程实现和安全审查的复杂度。
未来的发展路径需要整个区块链生态系统持续进行研究与开发,并采取主动的安全策略------而这正是Ledger团队将持续参与的方向。
参考资料
1\] Ledger团队2026年2月26日博客 [Quantum Computing's Threat to Blockchain: The Enduring Need for Secure Keys](https://www.ledger.com/blog-quantum-computing-threat-to-blockchain)