Anza团队的 Solana抗量子思考

1. 引言

具备密码学实际威胁能力的量子计算机，可能仍需数年时间才会出现，但 Solana 不应等到 "Q-day（量子日）" 才开始准备。Anza 团队以及 Solana 社区成员已经开始为后量子迁移铺路：

• 识别协议中依赖椭圆曲线密码学的部分
• 评估后量子签名方案
• 增大交易尺寸以容纳更大的后量子签名
• 规划迁移路径，以确保在真正需要之前，就能保护用户和应用。

2. Q-day 还有多远？

2026年4月，Google Quantum 发布了一篇白皮书，详细介绍了针对 Shor 算法的新型量子电路，可显著降低求解 256 位椭圆曲线离散对数问题（ECDLP-256）所需的资源。ECDLP-256 是目前大多数区块链（包括 Solana）所使用签名方案的数学基础。

Google Quantum 团队编译了两种电路：

• 一种使用少于 1200 个逻辑量子比特和 9000 万个 Toffoli 门；
• 另一种使用少于 1450 个逻辑量子比特和 7000 万个 Toffoli 门（Babbush 等，2026）。

在基于超导架构并采用标准硬件假设的情况下，这些电路有望在数分钟内执行完成，仅需少于 50 万个物理量子比特，相比此前估计减少了约 20 倍（Babbush 等，2026）。

与此同时，Oratomic 发布了一项互补研究，表明在中性原子（neutral-atom）架构下，超高效的量子纠错技术能够进一步降低所需的物理量子比特数量。在仅 26,000 个物理量子比特的条件下，求解 P-256 椭圆曲线离散对数问题的运行时间可能缩短至数天。在最激进的配置中，一个完全容错的量子计算机甚至可能只需要 10,000 到 20,000 个量子比特即可构建（Cain 等，2026）。

基于这些最新进展，Anza团队希望提出一条保护 Solana 免受强大量子对手攻击的路线图。

Anza团队并不认为具备密码学破坏能力的量子计算机会立刻出现。迄今为止，在真实量子硬件上，Shor 算法成功分解的最大数字仅为 21（Martín-López 等，2012），距离破解 256 位椭圆曲线仍存在巨大鸿沟。

但这些论文已经让Anza团队对量子发展的预测概率分布"向左移动"了一些。未来两到三年内，Anza团队仍认为风险几乎可以忽略；然而，如果中性原子架构继续按当前趋势发展，那么在五年内出现强大量子计算机是"可能的"，甚至"不算低概率"。

Anza团队更新后的估计认为：

未来五年内，出现能够破解 ECDLP-256 的量子计算机的概率约为 3%--5%

而此前，Anza团队曾认为这一时间窗口内的风险几乎可以忽略不计。

本文旨在介绍 Anza 在量子抗性方向上的持续工作，并邀请更广泛的社区参与讨论：如何保护协议免受量子对手攻击。

3. Solana需要保护哪些部分？

如今，Solana 协议在四个地方使用了椭圆曲线密码学：

• 账户模型（Account Model） ：
  如果量子对手能够破解 Ed25519，那么他们就能伪造交易签名，从用户账户中盗取资金。
• 区块传播（Block Propagation） ：
  Turbine 和 rotor 依赖签名来验证 shred（区块碎片）的真实性。若攻击者能够伪造验证者签名，他们便可在区块传播过程中向网络灌入大量无效 shred，导致网络可用性下降。
• 共识（Consensus） ：
  Alpenglow 使用基于 pairing-friendly 椭圆曲线的 BLS 签名。如果攻击者能够伪造共识投票，就可能通过伪造冲突分叉上的确认信息来实施双花攻击。
• 用户自定义程序（User-defined Programs） ：
  Solana 上的程序可以通过 syscall 调用签名验证及其他密码学原语。任何依赖椭圆曲线操作来实现授权逻辑、链上多签、托管方案或自定义认证机制的程序，都继承了与底层协议相同的量子脆弱性。

4. 后量子工具箱：后量子签名

当前人们拥有多种工具，可以用来增强协议对量子对手的抵抗能力。

其中最重要的工具就是后量子签名方案。

后量子签名方案与如今的 Ed25519 和 BLS-12-381 扮演相同角色，但不依赖于会被 Shor 算法攻破的离散对数假设。

2016 年，National Institute of Standards and Technology（NIST）启动了后量子密码算法标准化流程，向全球密码学研究人员征集方案。

在首轮提交的 82 个候选算法中（NIST 2017），目前已有三种数字签名方案被正式确立为联邦标准：

• ML-DSA（CRYSTALS-Dilithium）
  一种基于格（lattice-based）的签名方案，适用于通用签名场景；
• SLH-DSA（SPHINCS+）
  一种基于哈希（hash-based）的方案，作为保守型备用方案；
• FN-DSA（FALCON）
  一种基于格的紧凑签名方案，目前仍处于草案阶段（NIST 2024）。

后量子签名最大的缺点是：

签名尺寸过大

FALCON 是三种 NIST 方案中签名最小的，但其签名尺寸仍然大约是 Ed25519 的 10 倍。

另一个挑战在于，这些方案通常缺乏某些椭圆曲线结构天然具备的：

• 可聚合性（aggregatability）
• 阈值化能力（thresholdizability）

如：

• BLS signature 签名可以非常容易地聚合，而这一特性被包括 Alpenglow 在内的 Simplex 风格共识协议广泛利用。

如何使用后量子密码原语来复现这种能力，仍然是一个活跃研究方向，但目前已经出现了一些有前景的路线。

Ethereum 的后量子研究团队开发了一种方案：

• 使用基于哈希的签名（leanXMSS）为单个验证者签名；
• 再利用后量子 SNARK 对这些签名进行聚合（Drake 等，2025）。

其核心思想在于：

• 即使哈希签名本身不具备可聚合的代数结构，也可以通过 succinct proof（简洁证明）来证明：

  "所有单独签名均有效"

如果证明系统本身仅依赖哈希函数，那么整个结构就有望具备后量子安全性。

另一条研究路线则尝试使用 LaBRADOR 直接聚合 FALCON 签名（Aardal 等，2024）。

由于 FALCON 与 LaBRADOR 都基于格密码代数结构，因此有可能构造出更紧凑的聚合结果。

但其安全分析依赖于：

rewinding techniques（回绕技术）

而这些技术在后量子环境下的安全含义尚未完全明确。

从理论上讲，这两种方案都可以适配到 Solana，但它们面临的工程约束不同：

• Ethereum 需要每个 epoch 聚合数十万验证者的签名，因此主要是：

  带宽问题

• Solana 的验证者数量较少，但签名频率极高，因此更重要的是：

   验证延迟
   + proof 生成延迟

5. 后量子工具箱：迁移（Migration）

Anza 工程师已经完成了一套后量子迁移策略的初步实现。该原型可见于：

• [feat] ed25519-pokos: Proof of Knowledge of Seed (POKOS) for Ed25519

该实现能够在约 55ms 内生成一个大小约为 400 kB 的后量子安全迁移证明。

其核心思路是：

让用户证明：
"自己知道某个现有 Ed25519 账户底层对应的 seed material"

然后在：

不改变用户地址

的前提下，将该账户绑定到一个新的后量子公钥。

这一点至关重要。

因为即便未来已经支持后量子签名方案，迁移过程中最困难的部分，很可能仍然是：

让用户真正完成迁移

任何在"具备密码学攻击能力的量子计算机"出现之前，尚未轮换到后量子密钥的账户，都仍然存在风险。

如果没有安全的迁移路径，那么关键利益相关者最终可能不得不面临一个艰难选择：

• 废弃那些尚未迁移的账户；
• 或继续保留一个可能被量子攻击者利用的攻击面。

实际上，Bitcoin Core 开发者目前也正在讨论完全相同的权衡问题：

• BIP361 discussion

Anza团队的实现基于 Mysten Labs 的最新研究成果，该研究提供了一种绕开上述两难局面的方式。

Baldimtsi、Chalkias 和 Roy（2025）指出：

• 由于 Ed25519 使用 SHA-512 从 seed 确定性地派生私钥，因此用户可以利用：

  后量子零知识证明

  来证明：

  "自己知道该底层 seed"

  随后，该证明可以授权：

  将新的后量子公钥绑定到原有账户

  同时：

  保留原始地址

更关键的是：

即便在 Q-day 之后
该迁移路径依然可能保持安全

也就是说：

• 即便量子计算机已经具备破解 Ed25519 的能力，只要用户仍然掌握自己的助记词（seed phrase），并且系统已经禁用了旧的 Ed25519 签名，那么用户仍然能够：
  • 1）生成该零知识证明；
  • 2）迁移到后量子密钥体系。

遗憾的是，这种技巧并不适用于 Bitcoin。

因为部分 "Satoshi coins（中本聪时代的比特币）" 所在账户，是在 BIP32/BIP39 升级之前创建的，因此并不存在统一的 seed 派生机制。

还有一种更受限的应用层迁移方案：

quantum vaults（量子保险库）

Vault 程序可以要求：

必须使用后量子签名
才能转移资金

从而让用户无需等待完整协议升级，就能主动启用更强的安全保护。

这种方案适合作为：

早期加固机制

尤其适用于高价值账户，但它并不能替代协议层面的升级。

原因在于：

• Vault 只能保护：

  已经转入 vault 的资产

  却无法保护：

  • 更广泛的账户模型；
  • 验证者身份；
  • 共识投票；
  • 基于 stake-weight 的网络层；
  • 以及继续依赖椭圆曲线签名的任意程序。

最关键的问题是：

Solana 的账户模型本身负责支付手续费

而 Vault 属于用户自定义程序，因此：

在当前 Solana 协议下
Vault 本身无法支付手续费

如果不对账户模型本身进行后量子加固，那么一旦强大量子计算机真正出现：

所有 fee payer account（手续费支付账户）
都可能被清空（drainable）

6. 后量子 Solana 检查清单

6.1 Accounts DB（账户数据库）

当前账户是通过：

Ed25519 公钥

进行索引的，而与该公钥对应的私钥可用于授权交易。

如果出现强大量子对手，他们可以通过求解离散对数问题恢复 Ed25519 私钥，因此需要迁移到类似 FALCON 这样的后量子签名方案。

为实现这一点，需要引入：

地址版本化（address versioning）

由于 FALCON 公钥明显大于 Ed25519 公钥，因此新的后量子账户应当：

按公钥哈希（public key hash）
而非公钥本身进行索引

一种提议是：

将这些哈希映射到地址空间中的 off-curve 区域

以保持地址空间域（address space domain）不变。

6.2 Transactions（交易）

SIMD-0296: Larger Transaction Size 以及 SIMD-0385: Transaction V1 Format 提出将 Solana 的交易大小提升至：

4096 bytes

还需要调整 TPU（Transaction Processing Unit）中的签名验证流水线，以适配新的 FALCON 签名。

6.3 SVM（Solana Virtual Machine）

SIMD-0461: enabling falcon signature verification as a syscall提出为 FALCON 签名验证增加一个：

precompile（预编译）

这样程序便能够：

在链上验证后量子签名

同时避免过高的计算成本。

6.4 Networking（网络层）

XDP（eXpress Data Path）能够提高吞吐量，以抵消后量子 shred 带来的吞吐损失。

目前 shred 中包含签名，以防止 DoS 攻击，但：

后量子签名尺寸更大

因此，理想情况下：

shred 应通过支持更大数据单元的网络协议传输

以缓解带宽成本。

此外：

Stake-weighted QoS

目前依赖 Ed25519 签名来证明 stake 所有权。

这一机制也需要迁移到：

后量子签名方案

6.5 Consensus（共识）

Stake account 和 vote account 是特殊账户，其中包含：

与共识相关的身份信息

这些账户需要迁移到：

后量子安全账户

同时：

vote message

也需要将当前的：

BLS signature

替换为后量子安全替代方案，如：

FALCON

当前协议使用：

BLS signature aggregation

来生成共识证书（consensus certificates）。

但如果有需要，也可以直接将：

原始投票（raw votes）

包含在区块中，从而实现与当前证书相同的功能。

7. 声明（Disclaimer）

上述内容并不意味着：

Solana 已承诺采用某一种特定后量子签名方案

后量子密码学领域仍在快速发展中。

如，基于同源映射（isogeny-based）的方案 SQIsign 已经能够实现比 FALCON 更小的签名尺寸。但它们目前仍不够成熟，并且伴随着明显的性能权衡。

参考资料

1\] Solana Anza团队 2026年4月27日博客 [Securing Solana Against a Powerful Quantum Adversary](https://www.anza.xyz/blog/securing-solana-against-a-powerful-quantum-adversary)