1. 引言
当前的分布式账本系统(包括 Hedera)依赖于椭圆曲线签名(如 ECDSA、Ed25519),而未来的量子计算机有能力攻破这些算法。这一威胁并非迫在眉睫,但迁移已经开始:美国国家标准与技术研究院(NIST)已于 2024 年 8 月正式确定了三项后量子密码(PQC)标准,浏览器和即时通信应用也开始部署 PQC 密钥交换机制,而 Hedera 已规划出通向完全后量子化运行的明确路径。
Hedera Hashgraph 是一个面向企业级应用的分布式账本平台,其核心并非传统区块链,而是基于 Hashgraph 共识算法(Gossip + Virtual Voting),能够实现高吞吐、低延迟和快速最终性;网络由全球企业组成的理事会治理,强调稳定性和可控性,同时支持智能合约(EVM 兼容)、代币发行和共识服务(HCS),在性能与企业落地方面表现突出,但相对牺牲了一部分去中心化特性。
2. 为什么量子计算机会威胁分布式账本
公钥密码几乎支撑着所有正在运行的区块链和分布式账本技术(DLT)。当用户使用 Ed25519 或 ECDSA 对交易进行签名时,其安全性依赖于多个因素,其中之一是椭圆曲线离散对数问题(ECDLP,elliptic curve discrete logarithm problem)的计算困难性------经典计算机无法在可接受时间内求解该问题。
而一台足够强大的量子计算机会打破这一假设。Shor 算法可以在多项式时间内求解 ECDLP。拥有"密码学相关规模量子计算机"(CRQC,cryptographically relevant quantum compute)的攻击者,可以从公钥推导出私钥,并伪造签名。这一威胁适用于所有使用椭圆曲线或 RSA 签名的链:比特币、以太坊、Hedera 等。
这一时间线尚不确定,但正在逐渐逼近。专家调查认为,到 2030 年代后期出现密码学相关量子计算机(CRQC)的概率超过 50%,并且在 2030 年代中期就出现的概率也不低(参见 Mosca & Piani 的 Quantum Threat Timeline Report 2024)。同时,CRQC 的研发仍在持续推进,如在这篇最新的 Google 论文------Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations中有所体现。
3. NIST 标准(The NIST Standards)
在深入讨论具体密码学原语如何受到影响之前,有必要先了解替代算法及其当前进展情况。
截至 2024 年 8 月,已有三项标准正式确定:
- FIPS 203,ML-KEM(源自 CRYSTALS-Kyber):用于建立共享密钥的密钥封装机制
- FIPS 204,ML-DSA(源自 CRYSTALS-Dilithium):用于数字签名
- FIPS 205,SLH-DSA(源自 SPHINCS+):基于哈希的数字签名,具有不同的安全假设,用作更保守的备选方案
此外,还有两项标准正在推进中:
- FIPS 206,FN-DSA(源自 Falcon):用于数字签名,具有更紧凑的输出,这对于区块链等带宽受限的应用尤为重要。NIST 表示其初始公开草案即将发布,按照常规评审周期,最终标准预计在 2027 年初左右完成。
- FIPS 207,HQC-KEM(源自 HQC):用于建立共享密钥的密钥封装机制。NIST 表示草案即将发布,最终版本预计在 2027 年完成。
这一过程历时八年:2017 年 NIST 共收到 82 个候选方案,在第一轮筛选中缩减至 69 个,第二轮为 26 个,2022 年 7 月选出 4 个算法,并在后续轮次中加入 HQC。同时,IETF 正在推进 TLS 1.3 的混合密钥交换方案,而 NSA 的 CNSA 2.0 指南则为联邦系统设定了在 2030 至 2035 年之间完成 PQC 迁移的时间表。
4. "后量子"真正意味着什么
"后量子"并不是简单地切换一个开关。分布式账本使用多种密码技术,而量子风险在不同类别中表现不同:
| 类别 | 示例 | 量子风险 | 状态 |
|---|---|---|---|
| 哈希函数 | SHA-256 / SHA-384 | 在使用 SHA-384 时风险较低。Brassard-Høyer-Tapp 算法提供三次方加速,意味着 384 位提供约 384 / 3 = 128 384/3 = 128 384/3=128 位安全性;256 位也可能足够。 | SHA-256 是多数网络的常用选择;Hedera 使用 SHA-384,被认为具备后量子安全性 |
| 对称加密 | AES-256 | 风险较低。256 位密钥在后量子环境下仍足够安全。 | 已具备后量子安全性 |
| 密钥协商 | TLS(ECDHE) | 风险较高。Shor 算法可以攻破 ECDHE。 | 行业内正在迁移 |
| 数字签名 | ECDSA、Ed25519 | 风险较高。Shor 算法可以攻破两者。 | 最难升级的部分 |
5. Hedera 当前的密码体系现状
简而言之:在当前密钥长度下,哈希函数和对称加密已经具备抗量子攻击能力,而签名和密钥协商尚不具备。这意味着 Hedera 的密码体系中,一部分已经实现后量子安全,而另一部分则需要有计划地迁移。
当一笔交易被提交到 Hedera 网络时,它首先被发送到某个节点,然后该节点将其转发到共识网络。随后,hashgraph 共识算法通过节点之间的虚拟投票,为该交易确定共识时间戳和顺序。一旦达成共识,该交易就会被应用到网络状态中,如转移 HBAR、执行智能合约或更新文件。下面来看一笔交易生命周期中涉及的密码学原语。
5.1 哈希函数:SHA-384
Hedera 使用 SHA-384 来连接 hashgraph 历史并验证数据完整性。Brassard-Høyer-Tapp 量子算法会将其有效安全性降低到大约 128 位,这仍远高于任何可预见的攻击能力,并被专家认为是安全的。SHA-384 也常出现在高安全级别的后量子安全建议中,与 AES-256 并列。CNSA 标准中也要求使用 SHA-384。许多其他网络使用 SHA-256,其安全性也可能是足够的。
5.2 对称加密:AES-256
Hedera 在 TLS 中使用 AES-256 进行加密传输。Grover 量子算法会将其有效安全性降低至约 128 位,这一水平仍被专家认为是安全的。
5.3 密钥协商:TLS
Hedera 使用 TLS 进行节点之间以及客户端与节点之间的通信。网络本身的安全性并不依赖 TLS,因为 hashgraph 共识机制在传输层之外提供了独立的数据完整性保证。
当前互联网已经开始部署后量子和混合 TLS。自 2024 年 4 月起,Chrome 默认启用了混合密钥交换(X25519 + ML-KEM-768)。Cloudflare、Apple(iMessage PQ3)以及 Signal(PQXDH)也已在生产环境中部署了 PQC 密钥封装机制。随着 TLS 库逐步支持 PQC 和混合密钥交换,Hedera 也将为其网络启用相关能力。这属于配置层面的升级,而不是协议层面的重构。
5.4 签名:需要升级的关键部分
目前,Hedera 的账户和交易使用 ECDSA(secp256k1)和 Ed25519。这两种算法在经典攻击下是安全的,但都不具备抗量子能力。这正是需要迁移的核心领域,包括网络层(节点级事件签名)以及用户层(账户密钥、智能合约授权)。
Hedera 已经具备部分后量子基础设施(如 SHA-384、AES-256),但尚未引入后量子签名,而这对于实现端到端的后量子安全是必要的。这一情况并非 Hedera 独有------目前尚无任何采用传统签名的主流分布式账本网络完成了全面的后量子签名迁移。
6. 网络安全与用户安全(Network Security and User Security)
并非所有签名升级都需要一次性完成。迁移涉及不同层面的需求:
- 1)网络签名(Network signing):
节点在共识过程中对事件进行签名,这些签名在实时共识中至关重要。将其升级为后量子算法,可以保护共识过程的完整性。这属于基础设施层面的变更,不需要终端用户参与。一旦共识达成,签名后的区块和状态会成为永久记录。保护这些签名意味着,即使未来出现 CRQC,账本历史仍然可以被验证。其实现方式和时间表可以不同于事件签名。 - 2)用户密钥(User keys):
用户和应用持有用于授权转账、智能合约调用和代币操作的密钥。引入后量子账户密钥类型,可以让用户和钱包提供方按自身节奏进行迁移。这需要钱包、托管机构、SDK 维护者以及整个生态用户之间的协同。
这些问题相互关联,但可以独立推进。实际操作中,通常先强化网络层安全,再逐步支持用户密钥迁移是一个合理顺序,部分原因在于后量子签名体积较大,会影响交易成本和工具链。
7. PQC的尺寸问题
与当前的椭圆曲线方案相比,后量子签名算法的密钥和签名尺寸要大得多。这是区块链在采用 PQC 时面临的最大实际障碍。
下表对比了在 NIST Level 5 安全级别下各类算法的尺寸:
| 算法 | 公钥 | 签名 | 安全级别 |
|---|---|---|---|
| Ed25519(当前) | 32 字节 | 64 字节 | 约 128 位经典安全 |
| ECDSA secp256k1(当前) | 33 字节 | 64--72 字节 | 约 128 位经典安全 |
| FN-DSA-1024(FIPS 206,草案) | 1,793 字节 | 1,280 字节 | NIST Level 5 |
| ML-DSA-87(FIPS 204) | 2,592 字节 | 4,627 字节 | NIST Level 5 |
| SLH-DSA-256s(FIPS 205) | 64 字节 | 29,792 字节 | NIST Level 5 |
FN-DSA-1024 是在 NIST Level 5 下最紧凑的基于格的方案,其签名大小大约是 Ed25519 的 20 倍,而 ML-DSA-87 则超过 70 倍。这种增长会直接影响交易体积与费用、网络带宽、账本存储增长、最大交易大小限制以及多签复杂度。
在区块链领域:
- FN-DSA 受到了最多关注。其权衡在于:它在签名过程中依赖浮点运算,这会带来实现复杂性以及侧信道风险。
- 相比之下,ML-DSA 更容易实现,但其签名尺寸大约是 FN-DSA 的 3.6 倍。
9. 行业如何应对 PQC?
尽管一些网络已经开始在特定场景中尝试迁移到后量子签名,但目前尚无主流网络完成全面迁移。行业仍处于早期阶段,不同项目采取了不同策略:
- 一些网络倾向于 ML-DSA(Dilithium)
- 另一些则关注 FIPS 206(FN-DSA),因为其输出更紧凑
但挑战是共通的:
- 后量子签名通常比当前方案大 10 到 50 倍,任何生态要实现抗量子能力都将付出真实成本。
10. Hedera 的后量子迁移路径(Hedera's Path to Post-Quantum)
Hedera 采用分阶段推进的策略,从最简单的改动开始,逐步过渡到需要更大生态协同的部分:
- 节点间的后量子 TLS
当 Hedera 使用的 TLS 库支持 PQC/混合方案后,可以在节点之间启用后量子密钥交换。这不会影响共识安全,因为共识机制并不依赖 TLS。 - 客户端连接的后量子 TLS
将同样的升级应用到面向客户端的接口。 - 后量子事件签名
共识节点会对事件和区块进行签名。当 Falcon 草案可用后,事件签名将升级为混合签名(经典 Ed25519 + FN-DSA),在保持经典安全性的同时提供抗量子能力。待 Falcon 最终标准发布后,将过渡为纯 FN-DSA(不再采用混合方案)。 - 用户后量子密钥类型(HAPI)
当 FIPS 206(FN-DSA)正式发布后,可以在 Hedera API 中引入新的后量子密钥类型。用户、智能合约和应用可以按自身节奏迁移和轮换密钥。交易体积将变大(单个 FN-DSA 签名约 1,280 字节,而 Ed25519 仅为 64 字节),因此最大交易大小限制也需要提升。FIPS 206 草案预计很快发布,面向用户的后量子密钥类型目标时间为 2027 年。如果 FIPS 206 延迟,则会使用 Dilithium(ML-DSA)替代 Falcon,这意味着更大的密钥和签名尺寸,但提供相同的后量子安全性。
10.1 这对开发者意味着什么?
在整个迁移过程中,现有的 Ed25519 和 ECDSA 密钥仍将继续可用。目前无需进行任何更改。
对于构建长期资产或长期密钥应用的开发者来说,有一些值得提前关注的事项:
- 关注 FIPS 206(FN-DSA)的进展,因为该标准将决定 Hedera 上何时支持后量子用户密钥;可通过 NIST PQC project page 跟踪最新状态。
- 如果当前应用中的密钥轮换机制不够流畅,即使不考虑 PQC,也值得优化;但在未来需要切换密钥类型时,这一点将更加重要。
- 对于那些进行交易打包、接近交易大小限制或优化最小负载的应用,需要提前评估当签名体积增加 10 倍时会带来的影响。
- 对于希望进行实践测试的开发者,可以参考 Open Quantum Safe 项目,该项目提供了 ML-KEM、ML-DSA 等 PQC 算法的参考实现。
11. 常见问题(FAQ)
Hedera 当前是否已经"抗量子"?
Hedera 已使用后量子安全的哈希(SHA-384)和对称加密(AES-256)。但完整的后量子安全还需要在网络操作和用户密钥中引入后量子数字签名,目前这一迁移正在进行中。
Ed25519 和 ECDSA 是否具备抗量子能力?
不具备。这两种算法都依赖椭圆曲线数学,而 Shor 算法可以攻破该类问题。但在经典攻击模型下,它们仍然是安全的。
为什么使用 SHA-384 而不是 SHA-256?
量子算法 Brassard-Høyer-Tapp 对哈希函数提供三次方加速,因此需要 384 位输出才能达到约 384 / 3 = 128 384/3 = 128 384/3=128 位的安全性。这也是美国政府在 CNSA 标准中要求使用 SHA-384 来保护最高机密信息的原因之一。
不过,近期也有讨论认为该算法在现实中可能需要过高的内存开销,并提出 SHA-256 可能已经足够安全的观点。但可以确定的是,SHA-384 是安全的。
后量子签名会让交易更昂贵吗?
FN-DSA-1024 的签名大小约为 1,280 字节,而 Ed25519 仅为 64 字节。ML-DSA 的签名更大(超过 2,420 字节)。这将影响任何区块链上的交易体积和存储需求,并可能带来成本增加。
用户何时可以在 Hedera 上使用后量子密钥?
新的密钥类型将在 FIPS-206(Falcon)正式标准发布后部署;如果该标准延迟,则预计在 2027 年推出。一旦上线,钱包软件需要更新,以支持用户进行密钥轮换。钱包开发者应提前准备,以便快速支持该功能。同时,可以考虑通过周期性弹窗提醒用户升级到新密钥,并尽量简化升级流程。
为什么不等到量子计算机更接近现实再行动?
跨越网络、钱包、托管服务以及开发工具的密码迁移通常需要很长时间。现在开始行动,在标准刚刚确定且时间尚充裕的情况下推进迁移,要比在压力下仓促完成更为稳妥。
当然,PQC 的实现仍在不断成熟中,密码学界也在持续分析 FN-DSA 和 ML-DSA 的安全假设。因此,采用分阶段推进的策略,可以同时兼顾紧迫性与持续审查的需要。
参考资料
1\] Hedera团队2026年4月10日博客 [Post-Quantum Cryptography and Blockchain: Where the Industry Stands](https://hedera.com/blog/post-quantum-cryptography-and-blockchain/)