0. 引言
关键要点:
-
1)不应忽视量子计算:
目前高度确信未来最终将会建成大规模、容错型量子计算机(FTQC,faulttolerant quantum computer)。
因此区块链以及更广泛的密码学生态系统,必须为这一最终局面的到来做好准备。
-
2)密码学威胁并非迫在眉睫,但如今已经清晰可见:
破解当前密码学体系,需要一种容错型量子计算机(FTQC),这种机器相比当前设备复杂得多。
构建一台能够运行 Shor 算法、用于破解标准加密(如破解 256 位椭圆曲线密钥)的 FTQC,将需要大量物理量子比特和数千万次运算,而这仍然是一个重大的工程挑战。
目前无法给出准确时间线,但本文提供了一些关键里程碑,若这些里程碑被实现,则意味着相关进展已经发生。
NIST 建议PQC(后量子密码)迁移应在 2035 年前完成。
这一建议可能反映了NIST 及其他美国政府机构认为:十年左右是适当的迁移周期。
但目前并不确信 到 2035 年或之后,"具备密码学相关能力的量子计算机(CRQC,cryptographically relevant QC)" 不会出现,因为近期研究表明该时间线可能更短。
-
3)量子模拟是主要驱动力:
短期内,量子计算最现实的商业化希望,以及资金与研发投入的主要驱动力,是量子模拟(物理、化学、材料科学)等领域。
该领域的进展,是判断"密码学相关量子计算机"进展的最可靠领先指标。
-
4)所有区块链层都需要 PQC:
后量子迁移,对于:
- 共识层(如 PoS 中验证者密钥签名)
- 执行层(如用户交易签名)
都至关重要。迁移策略应重点关注在不引入巨大性能或成本惩罚的情况下,实现:
- 共识层 PQ 保护
- 执行层 PQ 保护
-
5)后量子密码学与准备情况:
用于非对称加密、数字签名、密钥交换的抗量子公钥密码方案,已经被研究很多年,并且已有较成熟方案。
此外,NIST 正在推进一套严格的标准化流程,并已经完成了部分方案标准化。
同时,许多区块链也已经开始构建自己的后量子战略。
只要这些工作继续以良好速度推进,那么区块链领域应能在量子威胁真正到来之前,完成充分准备。
-
6)迁移:
整个区块链社区,包括 区块链本身、钱包提供商、交易所、托管机构等,都应尽早为量子时代做准备。等到真正紧急时再行动,并不是一个好主意。
不过,在可能情况下,应采用以下策略:
- 已具备 PQ 保护
- 或可快速切换到 PQ 保护
同时,不在今天就引入巨大性能开销。
本文包含:
- PoS 共识机制迁移策略
- 执行层迁移策略
- 部分主流区块链现有规划
关于量子计算的讨论,经常聚焦于"时间线"。但本文作者认为:关于时间线的争论,除了"威胁并非迫在眉睫"这一点之外,其实并不重要。因为迁移工作现在就应该开始规划和准备。只要准备充分,那么等到真正具备密码学攻击能力的量子计算机出现时,人们将已经做好准备。
-
7)关键挑战:
虽然当前已经拥有后量子解决方案,但仍存在一些必须解决的重要问题。
在密码学层面,包括:
- 性能问题
- 尤其是签名尺寸问题(当前 PQ 签名标准,远大于传统签名)
- 聚合签名
- 高效门限签名
- 对较新 PQ 方案建立更强安全信心(通过研究以及诸如 Poseidon Challenge 之类的计划)
除了密码学与技术问题之外,还存在社区层面的挑战。包括:
- 如何推动用户迁移到 PQ 方案
- 区块链社区如何决定迁移方式与时机
其中一个特别困难的问题是:对于那些未在截止日期前迁移到 PQ 地址的"休眠钱包",应该如何处理?
这些问题都极其困难,但仍强烈建议:各区块链尽早形成决策,并公开这些决策。因为这能够减少当前市场不确定性,而这种不确定性,已经在阻碍部分人投资或增加对加密资产的投资。
1. 量子计算概览与当前技术现状
1.1 何为量子计算机?
量子计算机是一种被提出的新型计算机,它利用量子力学中违反直觉的规律,以远快于传统("经典")计算机的方式,解决某些特定问题。
与经典计算机的基本构件是比特(即 0 和 1)类似,量子计算机的基本构件是量子比特(qubit)。
量子比特可以处于所谓:
- 0 状态
- 1 状态
的"叠加态(superposition)"。
量子计算机的能力,直接来源于以下事实:
- 若要描述一个拥有 N 个量子比特的叠加态,则需要一个包含 2^N 个参数的列表。
当 N=1000 时,其参数数量已经超过了整个可观测宇宙能够写下的数量。
虽然量子计算机的概念,最早由 Richard Feynman、David Deutsch 等物理学家在 1980 年代初提出,但现代意义上的量子计算热潮,始于 1990 年代中期的两项奠基性理论发现:
- 1)Shor 的量子分解算法,其表明:量子计算机能够威胁许多用于保护互联网的加密形式(当时如此,现在依旧如此)。
- 2)量子纠错理论(quantum error correction),其表明:即使硬件存在噪声与缺陷,原则上仍然可以把量子计算扩展到大规模。
此后数十年的所有进展,无论是量子算法理论,还是量子硬件工程,都建立在这一基础之上。
与一种流行误解相反,量子计算机并不是一种通用"魔法盒子",不会对所有经典计算机难以解决的问题,如:
- 优化
- 机器学习
- 密码学
等,都自动实现加速。量子计算机也并不是通过 "并行尝试所有可能答案" 来工作。这种说法,是对一个数学上极其微妙现象的戏剧化过度简化。
相反,量子计算机真正利用的是:
- 量子力学改变了概率规则本身。
- 在量子力学中,概率(0 到 1 之间的实数)被称为"振幅(amplitude)"的复数所替代。
在量子算法中,目标是设计一种"干涉模式":
- 每个错误答案的振幅贡献彼此"相消干涉(destructive interference)"
- 从而彼此抵消
而:
- 正确答案的振幅贡献则方向一致
- 相互增强
只有在这种结构被成功构造时,正确答案才会以高概率被观测到。
而真正困难的地方在于:
- 事先并不知道哪个答案才是正确答案。如果知道,问题本身就已经被解决了。
当然,整个过程只有在以下条件成立时才有意义:
- 量子计算机必须比任何经典计算机更快地得到正确答案。
但经典计算本身也是不断演进的目标:
- 新的经典算法会不断被发现,甚至,人们至今仍不完全理解经典计算能力的极限。
关键在于:
- 以上所讨论的限制,并非工程限制,而是,即使拥有完美量子计算机,只要它仍受量子力学规律约束,这些限制依然存在。
1.2 量子计算机适合做什么?
尽管量子算法在很多方向上都取得了进展,但目前已知的量子计算机现实应用,依然主要集中于三大类,而这三类早在三十年前就已经被提出:
-
1)量子力学模拟
用于:
- 物理
- 化学
- 材料科学
中的量子系统模拟。这是 Feynman、Deutsch 等人在 1980 年代提出量子计算时,最初设想的应用方向。它至今可能仍是已知最具经济价值的量子计算应用。后文还会进一步讨论这一点。
-
2)破解某些公钥密码系统
具体包括:
- RSA
- Diffie-Hellman
- 椭圆曲线密码学(ECC)
- 以及其他基于 Abel 群数学问题的密码系统
这是 Peter Shor 于 1994 年发现的著名应用,也是量子计算真正进入公众视野的重要原因。
必须理解:这里的量子优势,依赖于对这些特定密码系统结构的利用。其方式,正如前文所述:
- 让错误密钥的振幅发生相消干涉
- 让正确密钥的振幅发生相长干涉
在 Shor 算法中,这一点是通过傅里叶变换实现的。它并不是 "并行尝试所有可能密钥"。而且这种方法甚至无法推广到:
- 所有公钥密码系统
- 更不用说所有密码学
- 或所有搜索问题
正如本文其他部分将讨论的那样,目前,将 Shor 算法推广到破解基于格(lattice)的密码系统的尝试,尚未成功。
-
3)搜索、机器学习、采样与估计
量子算法已经被提出用于很多经典计算机科学中的基础任务,但这些算法所带来的加速,通常至少满足以下之一:
- (a)仍属于推测性质
- (b)仅适用于特殊问题
- (c)加速幅度有限
其中一个核心例子是Grover 算法(1996),它适用于极广泛的搜索与优化问题,包括:
- PoW 加密货币挖矿
- 攻击几乎所有密码系统,包括那些不受 Shor 算法影响的系统
但它的缺点在于:相比经典算法,Grover 的加速远小于 Shor。具体而言:
- Grover 只能提供平方根级(quadratic)加速,
- 而 Shor 提供的是指数级加速。
因此,基于 Grover 的密码攻击,通常只需 把密钥长度翻倍,即可抵消其影响。
此外,由于容错量子计算机的巨大固定开销,预计在相当长时间内,Grover 算法都不会比经典计算机更具优势。
除 Shor 与 Grover 外,如今还存在大量其他量子搜索算法,包括adiabatic、QAOA、DQI、HHL、quantum walk等,但总体而言,这些算法的加速效果几乎总是:
- 要么类似 Grover(即加速有限)
- 要么只在实际意义不明确的特殊问题上有效
- 要么根本尚未被 convincingly 证明存在真正优势。
因此,在可预见的近期内,量子计算机真正具备商业价值的现实希望(区别于军事或情报价值),几乎完全建立在第一类应用之上:量子模拟(quantum simulation)。
量子模拟可能被用于:
- 理解高温超导
- 设计新型电池
- 太阳能电池
- 蛋白质
- 工业化学反应
- 更高效的化肥生产等
如果量子模拟在这些领域成功,其收益可能极其巨大,因为它能够帮助人类设计具有特殊性质的新材料,如,若能够实现一种 室温超导且无需高压等特殊条件 的材料,那么它可能彻底改变能源行业乃至更多领域。
不过,即便如此,量子计算是否能真正带来现实收益,仍存在巨大不确定性,这取决于:
- 是否真的存在值得发现的新材料或化学反应
- 以及 完全运行在经典计算机上的近似方法 是否已经足够好,尤其是现代 AI 的全面加持,可能已经能让经典模拟达到实际所需精度,从而使量子模拟变得没有必要。
在此之所以强调这一点,是因为 量子计算硬件的发展,和所有硬件行业一样,最终依赖于一种 "良性循环(virtuous cycle)",即:现实应用推动资金投入,资金投入推动更强设备,更强设备带来更多应用,更多应用再带来更多资金。
目前,推动这一循环的核心希望,很大程度上正是量子模拟。
只有当这一循环真正运转起来,量子计算才可能最终发展到:顺带能够破解当前公钥密码学的程度。
特别是,如果量子模拟迟迟无法落地,那么由于(非政府)资金枯竭,密码学威胁的时间线,可能会被显著推迟。
还需注意,仅仅"破解密码学"本身,未必足以在经济上证明建造量子计算机的投资是合理的,因为当前的数字基础设施,完全可以在必要时,迁移到 能够抵抗量子攻击的密码学,即 后量子密码学(PQC)。
1.3 硬件与时间线
那么,究竟还有多少时间?
到底什么时候,量子计算机会真正被建造出来,并能够运行 Shor 算法,从而破解:
- RSA
- Diffie-Hellman
- 椭圆曲线密码学
这些当前用于保护加密货币的方案?
当然,没人知道确切答案。
但在思考这一问题时,必须理解 容错量子计算(FTQC)的重要性。
为了运行 Shor 算法,如 分解密码学中使用的 2048 位整数,需要 数百万次双量子比特门(two-qubit gates)操作。但 双量子比特门天生存在噪声,如果不处理这些噪声,误差会不断累积,最终使整个量子计算毫无意义。
因此,学界普遍认为,任何真正威胁密码学的量子计算,都必须依赖 FTQC。
原则上,FTQC 提供了一种方法,即 利用不可靠元件,构建可靠量子计算机,前提是 这些元件不能"太不可靠"。更准确地说,1996 年证明的一个奠基性结果------Threshold Theorem(阈值定理)表明:
- 存在某个常数 c>0,只要每个双量子比特门的失败概率独立且不超过 c,那么,就可以 "以比错误发生更快的速度纠正错误",从而实现任意长时间的量子计算。
而实现这一点,需要 把原始量子计算中的每个"逻辑量子比特(logical qubit)",编码为数百个甚至更多"物理量子比特(physical qubits)"组成的纠缠态。与此同时,双量子比特门的数量,可能增加数千倍甚至数百万倍。
因此,最初人们估算,若要利用 Shor 算法分解 2048 位整数,需要:
- 数百万物理量子比特
- 数十亿甚至万亿级双量子比特门
以当前技术而言,这种规模的设备,甚至可能占满整栋建筑。
需要注意,文末引用的近期研究,已经把这些估算降低了大约两个数量级,但距离真正足以破解现实密码系统的规模,实验上已经实现的水平,仍然还差至少两个数量级。
为了实现 FTQC,系统还必须持续测量物理量子比特,以发现:
- 哪里发生了错误
- 应如何纠正
这些量子比特"错误综合征(error syndromes)"的解码,必须通过经典控制硬件并行完成,而且速度必须足够快,能够赶上错误发生速度。这对经典计算能力提出了极其严苛的要求。
这些困难,也解释了 为何 FTQC 直到最近才真正开始走向实验室。
最后一点,如果物理双量子比特门的错误率,高于关键"阈值" c,那么,该错误将会压倒 FTQC 的纠错能力------因为每一轮纠错,引入的新错误,会比它修复的错误还多。
因此,衡量量子计算可扩展性进展的最重要指标之一,一直是:
- 实验中实现的双量子比特门错误率,与 FTQC 所需阈值相比如何。
而这一进展,可能同时发生在两个方向:
- (1)实验研究者降低物理门错误率
- (2)理论研究者设计能容忍更高错误率的容错方案
只有当这两个数字交叉时,才会进入一种 "自维持链式反应(self-sustaining chain reaction)" 状态------即错误被修复的速度,超过新错误产生的速度。
在此之所以强调这一点,是因为 量子计算公司经常宣传其设备拥有多少量子比特,但事实上,即使拥有数百万量子比特,如果无法在这些量子比特上 稳定执行超过阈值要求的双量子比特门,那么 依然无法实现可扩展量子计算。
更糟的是,有些公司会宣传,当前设备已经能够分解多大的数字,但通常 这些实验甚至根本没有使用 Shor 算法,而是 采用其他量子算法(如绝热优化(adiabatic optimization))------这些算法在整数分解上的扩展性很差。
因此 这种"能分解多大数字"的宣传,对于衡量真正的可扩展量子计算进展,几乎毫无意义。
1.4 目前处于什么阶段?
最初对于容错阈值(fault-tolerant threshold)的估算认为:
- 双量子比特门需要达到 99.9999% 的准确率。
然而借助现代容错方案,如果愿意接受巨大的额外开销(overhead),如:
- 每个逻辑量子比特需要大量物理量子比特
- 每个逻辑门需要大量物理门
那么 99.9% 准确率的双量子比特门,理论上可能已经足够。
与此同时,根据公开信息,不同硬件平台上实验可达到的双量子比特门准确率,已经从~50%、~90%、~99% 提升到了 ~99.9% 甚至更高。
在过去一年中,Quantinuum 与 Google 都宣布 其设备已经实现:
- ~99.9% 准确率的双量子比特门
- 且可在约 ~100 个物理量子比特之间执行
如果这种准确率,能够在扩展到 数万 或数十万个 物理量子比特时继续保持,那么理论上已经足以支持 FTQC。
但即便如此,扩展仍将是一项极其庞大的工程挑战。因为随着系统规模增大,新的问题也会出现,如:
- 如何在更长距离上传输量子比特(对应 trapped-ion 与 neutral-atom qubit)
- 或,如何在超导量子比特之间构建更长距离通信机制
因此,即使只是维持此前已经展示出的双量子比特门准确率,在更大规模系统中,也会变得非常困难。
这些不确定性,解释了为什么 "量子计算何时会威胁当前密码学?" 这个问题如此难以回答。
- 一方面:实现所需的基础构件,如今已经分别被实验验证。
- 另一方面:将这些组件真正集成为一个大型系统,依然看起来极具挑战。
目前在量子计算研究界,关于时间线的估计,大致从 几年 到 十年以上 都有。
既然无法确定,目前能做的最好事情,或许就是 持续关注进展,并做出适当反应。
目前认为以下里程碑,将明确表明 量子计算正朝着密码学威胁方向取得实质进展:
- 1)实现容错双量子比特门,并且其可靠性高于对应的物理门,或者(/且),在扩大编码规模后,可靠性依然提升。
- 2)实现 使用容错版 Shor 算法,对一个小整数进行分解,哪怕只是21也可以,或者,实现其他具有代表性的演示任务。
- 3)实现 单个逻辑量子比特,能够依靠量子容错机制,无限期维持其状态。
- 4)在 量子模拟任务上获得现实意义中的优势,并且这些结果能够被经典计算机验证。
相反,若这些里程碑长期无法实现,则意味着 密码学相关量子计算的发展也将被明显推迟。
当然,也必须考虑另一种可能:
- 当真正接近"密码学相关量子计算(CRQC)"时,后续突破可能不再公开发表。
这可能是:
- 研究者主动保密
- 或政府施压/法令要求
所导致。但在此要说明:目前几乎没有迹象表明这种情况已经发生。
1.5 硬件类型
人们原本可能会以为,当量子计算发展到今天这个阶段时,应该已经出现一种 像经典计算中的硅晶体管那样,统治全行业的硬件平台。
但令人惊讶的是,目前仍有多种截然不同的量子计算硬件路线并行发展,它们各自拥有不同优缺点。
下面是五种主要路线:
-
(1)超导量子计算(Superconducting QC)
代表公司包括:Google、IBM、Rigetti、D-Wave等。其量子比特,基于 超导电路中的电子集体量子态 实现。
当前最先进系统中,双量子比特门准确率已超过 99.8%。
超导量子比特的优势在于:
- 门操作速度极快
- 可利用现有芯片制造工艺构建数百量子比特系统
超导量子比特的缺点在于:量子比特是固定位置的,因此,远距离量子比特之间的交互,必须通过 swap 序列 或其他特殊机制 实现。
此外,进一步扩展规模,似乎需要 多块超导芯片集成,而截至本文写作时,这一点尚未被证明可行。
-
(2)离子阱量子计算(Trapped Ion QC)
代表公司包括:Quantinuum、IonQ等。
其量子比特,基于原子核自旋态实现。
当前最先进系统中,双量子比特门准确率已超过 99.9%
离子阱量子比特的优势在于:
- 极高准确率
- 所有量子比特天然一致
- 可通过激光脉冲移动量子比特,实现全连接(all-to-all connectivity)
离子阱量子比特的缺点在于:门操作速度较慢。
-
(3)中性原子量子计算(Neutral Atom QC)
代表公司包括:QuEra、Atom Computing等。
其量子比特,基于中性原子的自由度实现。
当前最先进系统中,双量子比特门准确率已超过 99.5%。
中性原子量子比特的优势在于:可通过并行操作,扩展到数百量子比特。
但,针对单个量子比特精确执行操作,在这种方案下更困难。
另一个缺点同样是:门操作速度较慢。
-
(4)光子量子计算(Photonic QC)
代表机构包括:PsiQuantum、Xanadu、USTC(由中国政府资助)等。
其量子比特,基于光子状态实现。
光子量子比特的优势在于:相干时间(coherence time)极佳。
光子量子比特的缺点在于:
- 必须不断生成新光子以替换丢失光子
- 由于光子之间缺乏显著相互作用,需要依赖某种自适应测量方案,才能实现通用量子计算
此外,由于 PsiQuantum 并未优先进行公开演示,因此,相比其他路线,外界对该方案当前进展了解更少。
不过Xanadu 与 USTC 已经在一种称为BosonSampling的人工任务上,展示了看似存在的量子优势。
-
(5)拓扑量子计算(Topological QC)
主要由Microsoft推进。
拓扑量子计算需要创造一种新的二维物质态,其能够支持 非阿贝尔任意子(nonabelian anyons)这种激发态。
这些任意子,只需按照特定模式相互编织(braiding),即可实现通用量子计算。
这一方案的核心吸引力在于 如果它真的可行,那么,它对容错机制的依赖可能远低于其他路线。因为,想要引发错误,必须改变 任意子编织结构的拓扑性质。
换句话说:部分容错能力,将直接由物理规律内建实现。
但截至本文写作时,专家们甚至仍在争论,Microsoft 是否真的已经创造出 一个拓扑量子比特。因此,拓扑量子计算,相比前述方案,更偏长期方向。
其最基础构件,目前都尚未被真正验证。
1.6 是否存在无法逾越的挑战?
一些著名数学家、计算机科学家、物理学家,包括Gil Kalai、Leonid Levin、Michel Dyakonov、Gerard 't Hooft 曾主张 量子计算在原理上是不可能实现的------他们认为,别人眼中的"工程难题",实际上永远无法被真正克服。
如,在以下情况下,这种说法可能成立:
- 当尝试扩大量子计算(QC)规模时,量子力学本身失效;
- 或者 发现某种凌驾于量子力学之上的新原理,该原理保证会存在某种噪声,而这种噪声违反了容错阈值定理(Threshold Theorem)的假设,因此无法被容错量子计算(FTQC)所纠正。
需要理解的是,至少自 1996 年容错量子计算(FTQC)被提出以来,这从来都不是专家中的主流观点。主流观点可以概括为:
- 如果量子力学真的失效了,或者发现了某种新的原理来"屏蔽"或"审查"量子计算(QC),那么这将构成物理学上百年一遇的革命,其惊人和令人兴奋的程度,将远远超过"仅仅"成功构建出一个按照理论长期预测那样工作的量子计算机。从物理学角度来看,量子计算按预期工作,其实才是更保守的选项。
无论如何,这场争论已经不再停留在纯粹抽象的层面。实验现在已经能够提供证据。
最积极参与技术讨论的怀疑者之一 Gil Kalai,在 15 年前曾猜测:当量子计算达到数百个量子比特、数千个门操作的规模时,或者在达到之前,将会发现一种"相关噪声(correlated noise)"。这种噪声会违反容错阈值定理关于误差独立性的假设,并且这些相关性将严重到使容错量子计算(FTQC)变得不可能。
然而如今,像 Google、Quantinuum、QuEra 和 IBM 这样的公司,已经在相关规模上持续进行实验,但并没有发现任何这种相关性的迹象。
恰恰相反,如果有 T 个 门,并且每个门的准确率为 p,那么实验观察到整个电路的准确率会按照 p^T 的方式下降,这与误差彼此独立、并且属于 FTQC 最终能够纠正的那类误差时的理论预测完全一致。
这迫使 Kalai 不得不主张:实验本身或实验分析一定存在某种错误------但随着越来越多实验不断报告类似结果,这种立场也越来越难以成立。
总而言之,可以极高置信度地说,人们不应把现有区块链能够长期持续存在的希望,寄托在"量子计算由于某种根本原因不可能实现"这一信念之上。
而应坚信,大规模容错量子计算机最终一定会被建造出来,而区块链必须为这一现实做好准备。
这并不意味着威胁已经迫在眉睫;正如前面讨论的,仍然需要取得大量进展。
然而,本文作者认为,现在就开始为此做准备,才是正确的时机。
2. 后量子密码学(PQC)
2.1 何为后量子密码学?
如前所述,量子计算机------如果规模足够大且错误率足够低------可以利用 Shor 算法,彻底攻破当前最广泛使用的基于 RSA 和椭圆曲线密码学的公钥加密与数字签名方案。
相比之下,通常认为对称密码学在面对量子攻击时仍然是安全的,前提是密钥长度足够长,以抵消 Grover 算法带来的加速效果。
更具体地说,Grover 算法能够以"密钥空间大小平方根"的复杂度进行密钥搜索。因此,一个 256 位密钥可提供 128 位安全性(因为 2 256 = 2 128 \sqrt{2^{256}}=2^{128} 2256 =2128)。
对于抗碰撞哈希函数而言,要达到 128 位安全性,在经典计算机下需要 256 位输出。虽然确实存在更快的量子算法,但它们需要指数级数量的量子比特,因此并不现实。
因此,认为,例 AES-256 和 SHA-256 仍可被视为能够抵御量子攻击。
简单来说,后量子密码学(post-quantum cryptography,PQC)指的是能够抵御量子攻击者的密码系统。因此,RSA 和椭圆曲线密码学并不属于后量子密码学。
相反,标准分组密码和哈希函数,只要密钥长度/输出长度足够大,就属于后量子安全。
因此,当前最大的挑战在于构建后量子公钥加密方案和数字签名方案。
幸运的是,该领域的学术研究已经持续了二十多年,并且符合学术界长期研究那些可能在数十年后才真正变得重要的问题这一使命。因此,如今已经对如何构建后量子密码系统有了相当深入的理解。
但需要注意的是:由于实际上还没有真正的大规模量子计算机,因此量子密码分析(quantum cryptanalysis)的发展仍然相对不成熟。
澄清 ------ PQC 与 QC(quantum cryptography)" 的区别:
- 在此强调下,后量子密码学(PQC)运行在经典计算机之上,但能够抵御量子攻击者。
- 这与量子密钥分发(QKD,Quantum Key Distribution)等技术不同;后者要求(诚实的)用户自身也使用量子系统。
虽然"量子密码学(quantum cryptography)"在学术和理论上具有研究价值,但总体而言并不实用,尤其与区块链领域几乎无关。因此,在本讨论中不考虑这类方案。
2.2 NIST 后量子标准化
美国国家标准与技术研究院(NIST)早在 2015 年就启动了后量子密码标准化工作,目标包括:
- 公钥加密
- 数字签名
- 密钥交换算法
这一过程与 AES 的标准化过程类似,采用开放竞赛的方式进行:不同团队提交候选方案,并公开发布以供社区进行审查与密码分析。
该竞赛共进行了四轮,每一轮都会根据安全性及其他标准,筛选出部分候选方案进入下一轮。
目前的状态是,在通过第四轮后,已有三种算法于 2024 年 8 月完成标准化:
- FIPS 203 将基于格(lattice)的 ML-KEM 标准化为一种公钥加密方案(严格来说是密钥封装机制,但能实现相同效果)
- FIPS 204 将基于格的 ML-DSA 标准化为一种数字签名方案
- FIPS 205 将基于哈希函数的 SLH-DSA 标准化为一种数字签名方案
此外,另一种基于格的签名方案 FN-DSA 也正在推进标准化,计划成为 FIPS 206。(后面会解释"基于格"或"基于哈希函数"具体是什么意思。)
NIST 仍在继续推进标准化流程,目标是增加更多算法。
这是因为人们已经认识到:尽管这些方案已经经过大量研究与广泛公开审查,但对于这类方案安全性的理解,以及对于量子密码分析的理解,仍远不如对分组密码结构、RSA 与椭圆曲线密码学底层困难问题的理解那样成熟。
需要注意的是,NIST 目前尚未标准化任何密钥交换协议,而这似乎部分是因为一个曾经非常领先的候选方案 ------ SIKE(第四轮候选之一)------ 在 2022 年被彻底攻破。
SIKE 基于一种称为"同源(isogeny)"的底层困难问题(所有密码学构造本质上都依赖某种困难问题)。
该方案在竞赛中存活了五年,但最终却被严重攻破:研究人员能够在一台普通计算机的单核 CPU 上,仅用一小时就提取出密钥。
这令人极为震惊,因为该方案能够走到如此靠后的阶段,并一度被视为领先候选者。
更重要的是,它是被经典计算攻击彻底攻破的,而不是被量子算法攻破的。
所以在此强调,这并不是该流程的失败。
恰恰相反,这反而强有力地验证了 NIST 所采用的方法论,并让人们对那些最终存活下来的方案拥有更高信心。
但即便如此,这仍然凸显出一个事实:
- 人们对 RSA 与椭圆曲线密码学的信心,仍远高于任何后量子密码(PQC)方案,因为后者都还相当新。
2.3 后量子数字签名
数字签名,是保障区块链安全的核心组件,无论是在共识层(consensus layer)还是 执行层(execution layer)都至关重要。
目前存在多种 后量子签名方案,它们基于不同的假设和方法。
其中两类主流路线为:
- 基于格(lattice-based)
- 基于哈希(hash-based)
事实上,NIST 已标准化的两种 PQ 签名:
- ML-DSA(基于格)
- SLH-DSA(基于哈希函数)
正分别对应:
- 基于格
- 基于哈希函数
下面将分别讨论。
-
1)基于格的签名(Lattice-based signatures):
格(lattice)是一种数学结构,它天然对应着某些被认为是困难的问题,即便对于量子计算机而言也是如此。密码学本质上建立在困难问题之上,因此可以利用格来构建数字签名等密码方案,使其即便面对拥有大规模量子计算机的攻击者也依然安全。
基于格的方案之所以极具吸引力,原因如下:
- 首先,基于格的困难性假设并不新鲜,已经被研究了近 30 年。
- 其次,基于格的签名与验证(如 ML-DSA 中标准化的方案)速度非常快,可与 ECDSA 和 EdDSA 等方案相媲美(comparable)。【此处的"可媲美(comparable)",并不是指完全等价,而是指其签名与验证时间足够接近,在区块链应用中通常不会成为关键问题(特别是两者差距在一个数量级以内,而通常甚至远小于这个范围)。】
不过,基于格的签名尺寸可能会大得多。如,ML-DSA 的公钥与签名大小大约是 ECDSA 的 40 倍。这种尺寸差异可能带来显著影响,后文会进一步讨论。
最后,虽然对于基于格的困难性假设总体上已经有较深入理解,但正如前文所述,人们对它们的信心仍无法达到对 ECDSA 这类已经使用数十年的方案那样高。
-
2)基于哈希的签名(Hash-based signatures):
这种方法依赖于哈希函数的安全性。
如果使用 SHA 系列等哈希函数进行实例化,那么对其安全性的信心非常高,事实上已经能够与 ECDSA 相媲美,甚至可能更高。
然而,从性能角度来看,标准的"即插即用"型基于哈希的方案(如 SLH-DSA 中标准化的方案)会面临非常大的挑战。
如,SLH-DSA 有两个变体:
- 一个变体:签名更小,但签名速度更慢
- 另一个变体:签名更大,但签名速度更快
其中,较小签名的变体,其签名尺寸仍约为 ECDSA 的 100 倍,而签名速度则大约慢 10,000 倍。
较快签名的变体,其签名尺寸约为 ECDSA 的 250 倍,而签名速度仍然慢约 1,000 倍。
显然,在区块链中部署这些方案将极具挑战性。
为了解决这些问题,目前有两类思路:
-
1)使用有状态签名(stateful signatures):
标准签名方案是无状态(stateless)的,这意味着每次签名都仅仅是初始私钥与待签消息的函数。
相比之下,像 XMSS 这样的有状态哈希签名方案,则要求签名者保存此前所有已签名消息的记录,或者在每次签名后更新密钥状态。
对于某些场景,如 Ethereum 的 PoS(权益证明)attestation,这种"状态"要求并不是问题;但对于区块链中的用户交易而言,它会引入大量挑战。
如:
- 仅备份初始密钥已经不再足够,因为从备份恢复会把状态回滚到初始位置,从而使整个方案彻底失效;
- 也无法使用多个设备独立签名,因为不同设备可能会重复使用相同的状态路径,而这会破坏整个方案的安全性。
这些障碍并非无法克服,但它们确实意味着:有状态签名无法作为一种直接替代方案。
此外,虽然它们相比无状态哈希签名已经高效得多,但其公钥与签名大小仍至少比 ECDSA 大一个数量级。
-
2)使用带 ZK-SNARK 的签名聚合(signature aggregation with ZKSNARKs):
ZK-SNARK 可以将大量签名聚合为一个短消息,同时还能实现对所有签名的快速验证。
在能够进行聚合的场景下,这可以用于解决区块链中哈希签名尺寸过大的问题。
然而,生成这些 ZK-SNARK 本身可能代价极高,特别是在使用 SHA 系列等标准哈希函数时。
可以将其替换为"ZK-friendly(适合零知识证明)"的哈希函数,如 Poseidon。
但这样一来,又回到了"对方案安全性的信心"这一问题:
- 虽然 Poseidon 如今已被广泛使用,而且目前没有理由怀疑其安全性,但人们对于基于 Poseidon 构建的签名方案的安全信心,仍不如基于 SHA 的方案,也不如 ECDSA 这类成熟方案。
此外,引入签名聚合还需要对区块链进行重大改动,并带来显著额外成本(尤其对于无状态方案而言)。
因此,它同样无法作为一种立即可替代的方案。
聚合签名(Aggregate signatures):
正如下文将讨论的,许多共识机制都会使用数字签名。
在实践中,BLS 被广泛采用,因为它是一种聚合签名方案(aggregate signature scheme)。这意味着各个参与方可以分别进行签名,而之后这些签名可以被公开聚合为一个单独的签名。
截至目前,后量子(PQ)聚合签名仍然是一个活跃的研究领域。虽然已经存在一些方案,但它们尚未达到 BLS 的性能水平,并且在共识场景中的应用仍然具有挑战性。
门限签名(Threshold signatures):
简单来说,一个 K-out-of-N 门限签名方案,是数字签名方案的一种变体,其中签名能力被分散到 N 个用户之间。
其性质是:
- 任意 K 个用户可以共同生成签名;
- 而任意 K−1 个或更少用户则无法生成签名。
这类方案既被用于共识机制,也被广泛用于各种密钥管理系统,以便:
- 提高签名控制能力;
- 避免单点失效问题。
否则,如果完整私钥保存在单一机器中,那么只需攻破这一台机器,就足以盗取该密钥所保护的全部资金。
与聚合签名类似,虽然已经存在后量子门限签名方案,但仍然需要更好的方案,因此这依然是一个持续活跃的研究方向。
2.4 后量子签名与现有方案比较
下表引用自 Cloudflare 2024年11月最新后量子签名标准化候选方案一览 博客中关于 PQ 签名标准化的文章。
其中SLH-DSA 提供两个版本:
- 128s:优化更小的签名尺寸
- 128f:优化更快的签名速度
| 方案 | PQC | 公钥尺寸 (bytes) | 签名尺寸 (bytes) | 签名速度 CPU time | 验签速度 CPU time |
|---|---|---|---|---|---|
| Ed25519 | ❌ | 32 | 64 | 0.15 | 1.3 |
| RSA 2048 | ❌ | 256 | 256 | 80 | 0.4 |
| ML-DSA 44 | ✅ | 1,312 | 2,420 | 1 (baseline) | 1 (baseline) |
| FN-DSA 512 | ✅ | 897 | 666 | 3 | 0.7 |
| SLH-DSA 128s | ✅ | 32 | 7,856 | 14,000 | 40 |
| SLH-DSA 128f | ✅ | 32 | 17,088 | 720 | 110 |
可以看到,ML-DSA(FIPS 204)与 SLH-DSA(FIPS 205)之间存在非常明显的权衡关系。
ML-DSA 具有:
- 更快的签名速度
- 更小的签名尺寸
相比之下,SLH-DSA 的公钥非常小,但其签名要大得多(尤其是 128f 版本)。
FN-DSA 的签名与公钥尺寸则小于 ML-DSA(但仍然远大于 ECDSA 或 EdDSA)。
一旦 FN-DSA 在 FIPS 206 中完成标准化,它可能会比 ML-DSA 更适合作为区块链的默认方案。
无论如何,一个非常明确的事实是:
- 后量子签名相比当前使用的椭圆曲线签名,成本要高得多。
而这将如何影响区块链,将在后文进一步讨论。
3. 后量子密码学与共识层
3.1 什么是共识与状态机(虚拟机)Replication复制
区块链的核心,是一个对交易账本形成共识的引擎,该账本维护着金融资产状态。
分布式账本,作为 数字资产所有权的真实来源(ground-truth source),替代了 由中心化银行与清算机构维护的传统数据库。
分布式共识系统遵循"状态机复制(state-machine replication)"范式,从概念上看通常由两层组成:
- 共识层(consensus layer):负责就一系列交易达成一致;
- 执行层(execution layer):实现为一个状态机(或"虚拟机"),从一个已知的创世状态(genesis state)开始,并按照已达成一致的确定性顺序,将交易原子性地应用到状态上。
要让这两层都具备后量子安全(PQ-safe)能力,本质上是在不破坏性能或活性(liveness)保证的前提下,替换其中使用的密码学原语。
总体而言,迁移到后量子安全时,主要关注的问题包括:
- 数据尺寸
- 计算成本
此外,还有一个额外挑战:
- 如何协调用户主动切换其密码学密钥。
在本节中将重点讨论共识层。
首先,会介绍不同共识核心中使用了哪些经典密码学。
3.2 不同共识核心中,哪些经典密码学会被攻破?
首先讨论当今分布式共识技术中所使用的、容易受到后量子攻击影响的密码学原语。
总体而言,主要威胁来自 Shor 算法:强大的后量子计算机可能利用它来攻破传统公钥密码学。
此外,还需要关注 Grover 算法对哈希函数的攻击。
下面,首先讨论基于工作量证明(Proof-of-Work, PoW)的 Nakamoto Consensus(NC)在面对 Grover 攻击时可能存在的脆弱性。
随后,将探讨各种基于权益证明(Proof-of-Stake, PoS)的拜占庭容错(BFT)共识中,经典密码学的使用情况。
3.3 Nakamoto Consensus
Nakamoto Consensus 依赖于"求逆哈希函数"的困难性,来保障用于维护 Bitcoin 链生成过程的密码学谜题机制(cryptographic puzzle mechanism)。
此外,它还依赖于"寻找哈希碰撞"的困难性,通过哈希链(hash-chaining)来维持链结构的安全性。
从原理上说,Grover 攻击会通过减少搜索时间而构成威胁;对于求解密码学谜题这一场景,其加速效果为平方级(quadratic reduction)。
但在实践中,由于量子计算机中每次量子比特操作的速度,远慢于当前用于挖矿的高度优化 ASIC,因此 Grover 的平方级加速并不会真正转化为针对现有谜题规模的实际性能优势。
因此,Nakamoto 共识机制本质上可以视为具备后量子安全性。
3.4 拜占庭容错(Byzantine Fault Tolerance, BFT)
许多区块链认为 PoW 的能耗过高或速度过慢,因此转而依赖 BFT 共识问题的解决方案,由一个指定节点委员会(committee)共同维护全局账本的安全性与完整性。
在大多数实际部署中,共识委员会的配置是动态变化的,并且其配置本身也是由区块链维护的。
治理委员会配置的一种流行方式是权益证明(Proof-of-Stake)。
不同区块链的 BFT 引擎会使用各种不同的密码学原语。
几乎所有 BFT 协议都会使用公钥密码学------如:
- Sui
- Aptos
- Ethereum
都使用 BLS 签名,在验证者之间维持共识。
Algorand 则依赖可验证随机函数(VRF,Verifiable Random Function)来生成随机性并选择验证者。
Ethereum 使用 KZG commitment 来实现数据可用性采样(data availability sampling)。
如果运行在足够强大的量子计算机上,这些密码学原语都会受到 Shor 算法的威胁,从而破坏其安全性。
3.5 BFT 与聚合签名 / 门限签名(Aggregate/Threshold-Signatures)
许多区块链将聚合签名方案作为其 BFT 共识的核心组成部分。
其基本思想是:由于验证者会对同一个区块进行投票,因此这些投票可以被聚合(aggregate)或门限化(thresholded),从而降低:
- 发送验证者签名的通信成本
- 验证签名的成本
- 存储签名的成本
如,在 Ethereum 的每一个 slot 中,都会有数千个验证者对下一个区块进行 attestation(投票)。
Ethereum 不会将数千个签名全部写入链上,而是:
- 将它们聚合为少量 BLS 签名
- 并附带一个 bitfield,说明哪些验证者参与了签名
Ethereum Finality Gadget 也运行了一种使用 BLS 门限签名的 BFT 算法。
此外,Ethereum Light Client 服务还使用来自(512 个)验证者的 sync committee BLS 聚合签名,以读取 Ethereum 的账本状态。
同样地:
- Sui
- Aptos
以及其他 HotStuff 系协议,也会使用 BLS 门限签名与签名聚合,为区块及协议步骤形成 certificate。
其他区块链,如 Polkadot,则在共识协议中使用 Schnorr 门限签名。
还有许多区块链也使用聚合签名,以降低通信与存储成本。
重要的是:
- 现有的门限签名与聚合签名方法都不具备后量子安全性。
尤其值得注意的是:
- 目前不存在任何一种后量子方案,能够拥有 BLS 那样简洁的聚合特性。
因此:
- 依赖聚合签名与门限签名进行共识的区块链,并不具备后量子安全性;
- 而且目前也不存在能够"即插即用(plug-and-play)"地替换它们、从而实现后量子安全的简单方案。
3.6 基于认证信道的共识及其在 MPC 中的应用
有一类天然能够抵御量子计算威胁的共识方案,会用"认证通信信道(authenticated communication channels)"来替代密码学签名。
一个自然的质疑是:
- 建立认证信道本身似乎又循环依赖于公钥密码学。
然而,信道建立只是一次性操作,在这一过程中:
- 计算成本
- 签名尺寸
通常并不是关键问题。
一旦建立了后量子安全(PQ)的认证信道,后续通信便只需要依赖对称密码学即可持续运行。
在这种模型下的共识方案:
- 不使用签名
- 更不用说签名聚合或门限签名
它们主要使用:
- 对称加密
- 哈希函数
因此,它们能够抵御针对公钥加密方案的量子计算攻击。
早期不依赖签名的协议(如 Bracha的 broadcast 与 PBFT),虽然能够在部分同步网络(partial synchrony)下实现实用延迟,但其通信成本很高,而且协议相当复杂。
而该模型下的较新协议(如 2020年论文 Information-Theoretic HotStuff 与 2026年论文 TetraBFT: Reducing Latency of Unauthenticated, Responsive BFT Consensus)则已经具备通信高效性。
异步方案虽然可能具有更高的期望延迟,但能够在完全异步环境下保证活性(liveness)------如2024年论文 Asynchronous Consensus without Trusted Setup or Public-Key Cryptography 和 2025年论文 Optimistic, Signature-Free Reliable Broadcast and Its Applications。
不过,这种模型存在一个根本性限制:
- 参与者之间达成的共识决策,无法被第三方外部验证。
尽管如此,仍有充分理由认为:
- 某些区块链未来可能会采用这种方式作为其共识核心。
一种合理设计是:
- 验证者之间通过认证信道提交共识决策。
而当外部观察者需要验证某个区块时,可以:
- 通过认证信道查询 F+1 个验证者;
- 或者在实践中,像今天很多人一样,直接信任单个 RPC 服务器来查询区块链状态。
此外,正如下文对传统共识链所建议的那样,这些链还可以定期生成带签名的 checkpoint(可能是后量子的)。
此外,缺乏外部可验证性的共识,还能够被用于提升 MPC(安全多方计算)的性能(如 HoneyBadgerMPC 与 Velox),以及实现某些额外性质,如公平性(fairness)。
区块链与 MPC 共享相同的假设与愿景:
- 尽量减少对单个参与者的信任
- 将信任放在整个委员会之上
MPC 在区块链中有大量应用场景,可用于:
- 补充零知识证明
- 或替代零知识证明
如,一个 MPC 网络可以实现:
- 私密智能合约(如 Uniswap Labs 的拍卖)
- DAO 风格协作(如 Aragon)
由 Near Protocol Chain Signatures 提供的 Account Abstraction,则通过 MPC 来集体托管用户的跨链账户。
MPC 还被部署在去中心化 TEE 网络之上,如:
- 在 MEV-boost 中,用于安全地进行 MEV 提取与协调
- 在 Chainlink 与 LayerZero Oracle 中,用于最小化信任与机密计算。
3.7 共识层中 PQC 的成本
在考虑 PQ 安全替代方案时,共识层中的主要问题包括:
- 签名生成/验证时间
- 签名通信成本
这些签名用于验证者对交易区块投票并形成共识。
每个区块都可能需要每个验证者提供一个签名,而共识最终性(consensus finality)则要求网络中达到某个门限数量的验证者签名。
这些签名的:
- 生成
- 验证
- 传播通信
都会带来扩展性挑战。
以 Ethereum 为例,目前估计约有一百万个验证者,其中三分之二需要在每个 384 秒的 epoch 内提供已签名的区块 attestation。
这意味着:
- 每 6.4 分钟大约需要处理 ~1,000,000 个 attestation。
其他网络通常拥有更少的投票验证者,如:
- Cosmos
- Sui
目前大约各有 200 个验证者;而 Algorand 虽然拥有数千个验证者,但它会通过 sortition(抽签机制)在每个区块中采样子委员会(sampled sub-committees)。
因此,这些网络面临的签名扩展问题没有那么严重,但仍然可能成为性能瓶颈。
3.8 聚合 / 门限怎么办?
即便是在经典签名方案下,大多数共识系统也会采用聚合(aggregation)或门限化(thresholding)机制,以解决扩展性问题。
然而,虽然已经存在后量子(PQ)门限/聚合签名方案,但它们仍处于研究或早期发展阶段,并且存在一些低效问题,如:
- 签名尺寸很大(增长幅度与单个 PQ 签名相近)
- 签名速度较慢
目前,NIST 尚未发布任何完全标准化的后量子聚合签名或后量子门限签名方案。
此外,NIST 目前也没有标准化后量子可聚合签名(aggregatable signatures)的计划。
许多现有 PQ 门限/聚合方案的一个重要缺点是:
- 如果它们输出的是真正的签名(而不是"签名存在性"的零知识证明),那么参与者之间通常需要进行多轮通信。
- 因此,其结果合并并不像非后量子安全的 BLS 那样,只需简单的离线代数合并即可完成;相反,它要求签名过程中存在交互。
这在共识协议中尤其成问题,特别是在异步环境下:
- 每个参与者计算出自己的部分签名份额后,签名节点之间必须进行交互式通信(或者与一个负责交互的 combiner 通信),才能生成最终签名。
密码学文献有时将这一问题称为:
- "交互式签名问题(interactive signing problem)"
- 或"交互式组合瓶颈(interactive combination bottleneck)"
相比之下,经典签名的已知门限方案(如 threshold-BLS)则是非交互式(non-interactive)的。
除了当前 PQ 门限/聚合研究与最佳经典方案之间存在性能差距之外,与所有新兴密码方案一样,这些新标准还需要社区专家进一步审查,以增强人们对其安全性的信心。
另一种选择是:
- 使用基于通用零知识证明(ZKP)的聚合签名构造------由 combiner 来证明其掌握了 t-of-n 个签名。
其核心思想是:
- 使用 Merkle 树压缩所有签名,并通过 succinct ZK-proof 来验证 t 个 Merkle proof,从而实现快速(次线性,sub-linear)验证。
这一方案的优点是:
- setup 无需可信初始化(silent setup)
- 参数动态可调(容易修改 n 与 t)
然而,目前那些能够实现"压缩证明"的方案(如 Groth16 或基于 pairing 的 Plonk),在量子计算机存在的情况下会变得不安全(unsound);而其他证明方案则会产生相当大的签名。
此外,生成 ZKP 所需的计算量,也比普通签名高出多个数量级。
不过,在很多情况下,签名聚合可以被移出共识关键路径(critical path):
- 也就是说,可以在共识提交完成之后,再对区块链进行延迟压缩(lazy post-consensus compression)。
3.9 建议------共识层
在大多数区块链系统中,账本历史的完整性会通过哈希链(hash-chaining)天然得到增强。
每个区块都包含其前驱区块的密码学哈希,因此验证一个区块,也就隐式地认证了它之前的所有区块。
因此,一旦某个区块被接受,并且之后又受到强密码学原语的保护,那么此前整个区块链上的所有区块也都会继承这种保护。
这一性质在后量子迁移中具有重要意义:
- 即便只是在链上增加一个后量子签名,也能有效地为此前所有区块建立锚定(anchor),并保护它们免受事后伪造(retrospective forgery)。
换句话说:
- 向后认证(backward certification)会自然地从账本的哈希链接结构中产生。
因此,考虑到:
- 替换共识核心中的经典签名可能十分复杂;
- 并且可能引入性能开销;
建议采用一种基于 checkpoint 的分阶段迁移策略。
在这种方案中,后量子签名会先被选择性地引入,如:
- 每隔 k 个区块签名一次(如每 1000 个区块)
这些受到 PQ 保护的 checkpoint,将成为其之前历史记录的密码学锚点。
另一种方式是:
- 在关键验证路径之外,以"事后方式(retroactively)"进行 checkpoint------即周期性地为当前链 tip 生成带 PQ 签名的 attestation。
如果未来 checkpoint 之间使用的经典签名最终被攻破,那么潜在损害范围也仅限于:
- 最近一个 PQ checkpoint 之后的有限区块范围。
而该范围内的任何争议,都可以通过社区治理或社会共识机制来解决。
要彻底完成现有区块链共识核心的迁移,最终仍然需要替换验证者生成的数字签名。
由于 PQ 签名标准仍在演进,建议在验证者层面保持密码学灵活性(cryptographic agility)。
这要求:
- 修改共识协议本身;
- 并且需要将验证者最新公钥配置发布在"共识决策之外"的某个位置,
以防止其被长程攻击(long-range attack)覆盖。
对于那些高度依赖聚合签名或门限签名的区块链,其迁移会面临特殊挑战。
正如前文所讨论的:
- 当前已知的后量子签名方案,通常并不具备与现有方案相同的聚合能力或效率。
因此,这类系统迁移到后量子安全时,可能不仅需要替换签名原语,还需要修改整个共识协议本身。
虽然关于后量子聚合签名与门限签名的研究正在积极推进,并且前景良好,但目前仍不存在可直接替换的即插即用方案。
因此,建议依赖这些机制的区块链,应尽早开始制定后量子迁移路线图(migration roadmap),包括:
- 不依赖近期 PQ 聚合技术成熟的应急预案(contingency plans)。
4. 后量子密码学与执行层
4.1 交易签名
在状态机复制中,执行层负责将已经达成一致的交易序列,以确定性方式应用到共享状态中。在区块链中,从一个已知的创世状态开始,这一层会执行改变账本状态的交易,如余额、合约存储或应用变量。
附加在交易上的密码学签名用于认证发送者并授权状态变更,确保只有有效的、经所有者批准的操作会在执行过程中被应用。
由于每笔交易都必须携带密码学授权数据,而这些数据需要被广播、验证和存储,因此在大多数区块链中,交易是带宽和存储成本的主要来源之一。
因此,区块链大量采用紧凑签名方案,如 ECDSA 和 Schnorr,以及多签和门限聚合技术,以减少交易体积。
所有这些机制都需要被后量子替代方案替换。
4.2 后量子签名与一种朴素的 PQC 策略
理论上,可以直接迁移到上述某种后量子安全签名方案,这样量子计算机就不再是执行层的潜在威胁。
但在实践中,事情远没有这么简单。
原因在于,没有任何后量子签名方案可以作为等价替代品。
具体来说,考虑用 ML-DSA 或 SLH-DSA(或 FN-DSA,待其标准化后)替换 ECDSA/EdDSA 的策略。
尽管这看起来像是一个直接的解决方案,但实际上相当有问题。
对于 ML-DSA 或 FN-DSA 这类基于格的方案,这实际上可能是在降低安全性,因为这会迁移到一种使用历史远短、研究深度远不及 ECDSA 和 EdDSA 的签名方案。
考虑到目前实际上还没有量子威胁,这一点尤其令人担忧。
因此本文作者强烈认为,为潜在未来攻击做准备的策略,不应削弱现有的安全态势。
然而,如从 ECDSA 切换到 ML-DSA,在某种意义上正是在这样做。
对于切换到基于哈希的签名,如 SLH-DSA,则要么会遇到签名大得多的问题,并产生后文"执行层中 PQC 的成本"所讨论的影响;要么需要重新设计区块链,使其默认配合基于 SNARK 的签名聚合工作。
这会阻止即插即用式替换,并需要更大规模的重新设计。
此外,在许多情况下,为了让性能合理,人们希望使用 Poseidon 哈希函数,而其安全性尚未像 SHA 系列等其他哈希函数那样成熟。
因此,今天直接迁移到后量子签名似乎并不是最优策略。幸运的是,如下文所述,还有其他替代方案。
4.3 后量子签名的策略与安全性
在描述更多策略之前,先列举一些期望属性;并非所有策略都会满足全部属性,但这一列举有助于分析和比较不同策略。
- P1:迁移不会削弱当前的安全态势。也就是说,任何能够攻破新方案的攻击者,也已经能够攻破现有方案。(这意味着,"安全性的提升"并不是主观意义上的,而是数学上可以保证的。)
- P2:新方案能够提供后量子安全性。这又分为两种情况:
- P2a:新方案本身即具备后量子安全性。
- P2b:新方案能够支持快速切换到后量子安全;所需的仅仅是决定以一种已经部署好的不同方式运行。
- P3:只要量子威胁尚未迫在眉睫,新方案就不会给当前工作方式带来显著额外成本。
- P4:只要量子威胁尚未迫在眉睫,新方案就只需要对区块链及当前工作方式进行最小程度(如果有的话)的修改。
需要注意的是,并非所有性质都同等重要。
- P1 与 P2 是关键性质;
- 在 P2 中,P2a 更强,但目前来看 P2b 似乎已经足够。
而 P3 与 P4 则更具主观性,因为"显著成本"与"最小修改"并没有数学上的严格定义。
在继续讨论新的策略之前,先使用上述性质,分析前面提到的"切换到 ML-DSA 或 FN-DSA"这一策略:【由于 SLH-DSA 若作为直接替代方案使用并不现实(除非再进行额外修改),因此这里不考虑它。】
- P1:该性质不满足。
- P2:该性质满足,并且属于更强的 P2a 形式。
- P3:该性质不满足。
- P4:该性质不满足。
下面考虑另外三种策略,然后给出建议。
- 1)策略 1:将私钥生成为哈希输出【见2025年论文Post-Quantum Readiness in EdDSA Chains】
- 2)策略 2:迁移到 2-of-2 混合/双重签名
- 3)策略 3:迁移到 1-of-2(或更多)签名
4.3.1 策略 1:将私钥生成为哈希输出
密码学哈希函数基本上是后量子安全的,意思是增加输出长度就足够了。这并不一定总是成立,但对于标准密码学哈希函数,通常假设如此。
这意味着,对于合适的哈希函数 H,给定 y=H(x) 后寻找 x,即使对量子计算机来说也是困难问题,前提是 H 的输出足够长;为此,256 位已经足够。
现在,不再通过随机选择私钥 x 并计算公钥 Q=x·G 来选择 ECDSA 密钥,而是考虑这样一种策略:
- 随机选择 x,然后将椭圆曲线私钥设为 y=H(x),公钥设为 Q=y·G。
显然,这没有区别。事实上,在很多情况下,密钥------尤其是所有通过 BIP-39 中描述的 mnemonic 生成的密钥------已经是以这种方式生成的。
因此,区块链本身完全无需改变,一切都可以像今天一样继续运行,唯一变化是私钥的选择方式。
需要注意的是,EdDSA 密钥已经按照标准规定以这种方式生成。
这如何帮助实现后量子安全?
思路是:如果量子威胁变得现实,那么仍可以继续使用相同地址和密钥,但不再使用 ECDSA 或 EdDSA 签名,而是基于所有者知道私钥关于 H 的原像这一事实来构造签名。
技术上,给定一个地址 Q 或 H'(Q)(取决于区块链使用的某个哈希函数 H'),签名可以基于一个 ZK 证明:所有者知道 x,使得 Q=H(x)·G。
重要的是,当前人们知道如何从这类 ZK 证明构造安全签名,也知道如何将其构造为后量子安全。
因此,所需做的只是停止接受原来的 ECDSA 或 EdDSA 签名,并从那一刻起只接受基于后量子 ZK 的签名。
这一方案极具吸引力,因为今天几乎什么都不需要做,只需改变密钥生成方式,并构建用于接受这些新后量子签名的软件栈,但现在并不使用该栈。
此外,许多现有钱包无需做任何改变,因为它们已经使用 mnemonic,因此拥有所需的原像。
还指出,上述方案的一个变体也可用于以常规方式生成的密钥,即不知道 Q 原像的密钥,只要链上只公开过公钥的哈希 H'(Q)。
在这种情况下,可以提供一个 ZK 证明,证明所有者知道 x,使得 address=H'(Q),其中 Q=x·G。
针对上述性质,有如下结论:
- P1:该性质满足。(因为区块链当前仍然像以前一样继续使用 ECDSA 或 EdDSA。)
需要注意的是:- 一旦区块链启用了基于 ZK 证明的签名,那么这一性质是否成立,将取决于构造该 ZK 证明时所依赖的安全假设。
- P2:该性质满足,但属于较弱的 P2b 形式。(因为只有当区块链声明"仅接受新的签名类型"时,系统才真正实现后量子安全。)
- P3:该性质满足。
- P4:该性质满足。唯一需要的修改是:
- 改变密钥生成方式;
- 增加验证基于后量子 ZK 的签名能力。
因此,这看起来像是一种理想方案,而且如今甚至已经在部署中(参见 soundness.xyz)。
然而,它仍然存在一个重大缺点:
- 这类签名很可能会非常昂贵,因此在真正的后量子世界中,它并不是一个好的长期解决方案。
此外,还存在一种风险:
- 即便用户没有 preimage(原像),他们也可能不会迁移资产,因为系统表面上一切仍然照常运行。不过,这会引出一个更大的讨论------关于个人责任的问题,而这超出了本文档的范围。
在此还要指出:
- 只要公钥仍然保持哈希状态(如 Bitcoin 使用一次性密钥时的情况),那么 P2a 性质实际上也是成立的。
原因在于:
- 如果量子计算机无法看到公钥本身,那么它就无法攻破椭圆曲线签名。
4.3.2 策略 2:迁移到 2-of-2 混合/双重签名
Multisig 是一种方法,它允许多方定义多个地址,并为某项资产关联一个门限值,其结果是:只有提供这些地址中达到门限数量的有效签名时,交易才有效。
Multisig 自 2012 年起就是 Bitcoin 的一部分,因此是一个众所周知的范式。
这一策略的工作方式是:添加一种后量子签名方案,并要求每笔交易同时包含 ECDSA/EdDSA 签名和后量子签名,如 ML-DSA。
与现在直接迁移到某种后量子方案相比,这一策略更好,因为安全性被严格增强。
具体来说,只有当椭圆曲线方案和后量子签名方案都被攻破时,新方案才会被攻破。
对于前述属性,该策略表现如下:
- P1:该属性满足,因为攻破交易签名还需要攻破当前正在使用的椭圆曲线方案。
- P2:该属性满足,并且满足更强的 P2a 变体,因为所有交易从第一天起都需要后量子签名。
- P3:该属性不满足,因为从第一天起就会产生后量子签名成本。
- P4:这取决于区块链。在原生支持智能合约的区块链中,如 Ethereum,该属性满足。在 Bitcoin 这类不支持智能合约的区块链中,则需要更大的改变,因为需要增加对新签名方案的支持。
不过,即使对于 Bitcoin,这也不是激进改变,而只是新增一种签名方案,并修改策略,要求所有签名都是这种类型的 2-of-2 签名。
因此,这一策略在 P1 和 P2 上是理想的,但在 P3 和 P4 上存在问题;对于 P4,则取决于具体区块链。
4.3.3 策略 3:迁移到 1-of-2(或更多)签名
这一策略与前一种非常相似,但区别在于,它不要求同时提供两种签名,而是只需提供椭圆曲线方案或后量子方案中的任意一种签名即可。
如果量子威胁变得现实,那么区块链只需停止接受椭圆曲线签名,并且只接受后量子签名。
这有一个重大优点:今天不会产生额外成本。
需要注意,如果以朴素方式实现,P1 属性可能不满足,因为任意一种签名方案被攻破,就足以生成欺诈交易。
这可以通过只包含每个公钥的哈希,并且只揭示被使用方案的公钥来补救。
这使得现在可以使用椭圆曲线签名,并在需要时切换到后量子签名,而且只在切换发生后按需揭示那些公钥。
对于前述属性,该策略表现如下:
- P1:该属性满足,因为不揭示实际后量子公钥时,攻破该方案的唯一方式就是攻破椭圆曲线签名。
- P2:该属性满足,但满足的是较弱的 P2b 变体,因为在区块链切换之前,攻破椭圆曲线密码学就足够了。
- P3:该属性满足,因为椭圆曲线签名继续像今天一样运行。
- P4:与策略 2 一样,这取决于区块链。
在此指出,这本质上就是 Bitcoin 的 BIP-360 所提议的内容。
BIP-360 比这里描述的更灵活,但实现了相同效果。
它还被设计为利用现有 Bitcoin 方法,使改变不至于太大。
与策略 1 一样,只要公钥仍保持哈希形式(即使用一次性密钥时),就能实现 P2a 属性。
4.3.4 汇总表
在下表中总结了这四种策略(包括最朴素的方案)以及它们所满足的性质:
| 即插即用替代 | 私钥作为哈希输出 | 迁移到 2-of-2 | 迁移到 1-of-2 | ||
|---|---|---|---|---|---|
| P1(当前安全性) | 否 | 是 | 是 | 是 | |
| P2(PQ 安全性) | 是(P2a) | 是(P2b) | 是(P2a) | 是(P2b) | |
| P3(当前成本) | 否 | 是 | 否 | 是 | |
| P4(改变) | 否 | 是 | 取决于具体情况 | 取决于具体情况 | |
| 备注 | PQ 签名效率不高,因此不是长期方案。只要只揭示哈希地址,就能实现 P2a。 | 本质上是 Bitcoin 的 BIP-360。只要只揭示哈希地址,就能实现 P2a。 |
4.4 建议------执行层
什么才是最佳方案,并没有确定的正确答案。这是因为其中存在不可比较的权衡,如:是否更应该从第一天起就承担成本并获得更高安全性。
更重要的是,这非常取决于每条区块链及其现有设计。
如,由于 Ethereum 基于智能合约,它可以很容易地支持执行层签名工作方式的重大改变,而完全不需要任何治理层面的修改。
事实上,每个智能合约所有者都可以自行决定自己的策略。
因此,对于 Ethereum 来说,现在立即修改执行层没有那么重要;但共识层不同,确实需要改变。
不过,为了呈现完整的后量子方案,Ethereum 可能仍希望进行执行层变更。
相比之下,Bitcoin 的任何变更都需要大量时间,并且需要改变矿工处理交易和工作的方式。
因此,Bitcoin 的解决方案需要尽量减少改变,并且需要更早被考虑。
确实,BIP-360 是朝这一方向迈出的重要一步。在上述所有内容基础上,建议采用"迁移到 1-of-2"策略。它在为后量子威胁做准备与在需要之前不支付额外成本之间,取得了极佳平衡。
在此强调,如上所述,该策略只是一个高层模板,可以用很多不同方式实现;本文作者建议是采用基于这一思想或等价思想的方法。
无论选择何种策略,在任何 PQ 升级之后,除了第一种策略中那些本来已经以这种方式生成的密钥之外,账户持有人都需要将余额转移到由 PQ 签名方案保护的新账户中。
这些转账会由底层共识引擎最终确认。
因此,这些转账也必须由 checkpoint 或 PQ 验证者签名升级来保护;否则,它们将面临长程攻击风险,正如前文关于共识层所讨论的那样。
协调所有者切换密钥本身也会带来若干麻烦。
- 首先,存在数百万个归属账户/UTXO;按照 Bitcoin 和 Ethereum 等区块链当前的交易速率,仅提交如此庞大数量的切换交易,就可能需要数月时间。
用户必须在账户被停用前完成迁移的周期,很可能会相当长,甚至以年计。 - 其次,不可避免地会存在一些所有者不会参与切换的账户。
处理这些脆弱账户有两种可能方式:- 将其留作等待被黑的"蜜罐"
- 销毁其币余额
将在下文更详细讨论这一具体两难问题。
4.5 Crypto-Agility(密码学敏捷性)
Crypto-agility 指的是:在一个应用中切换密码学算法的容易或困难程度。
一般来说,应用越依赖算法的具体细节------如强依赖密钥和密文的尺寸------就越难切换到另一种密码学方案。
Crypto-agility 通常是一种高度推荐的实践,因为密码学方案有时会被攻破,如 MD5 和 SHA-1;密钥尺寸有时也需要更新,如从 RSA-1024 更新到 RSA-2048 或更高。
不过,在 PQC 语境下,这一点更加重要,因为后量子安全密码系统要新得多。
虽然它们已经经历了大量审查,但人们对它们的理解仍不如 RSA 和 ECC 等原语充分,所需密钥长度也可能随着时间变化。
因此,在此强烈建议,区块链应纳入敏捷性规划,以便在需要替换某个密码学算法时,能够快速替换且不造成重大中断。
4.6 执行层中 PQC 的成本
让执行层具备后量子安全性,需要替换现有签名方案,并为用户提供迁移密钥的机制。
这里有两个主要挑战。
- 第一个挑战是组织迁移,确保用户不会失去资产访问权。
关键在于,切换到后量子签名要求所有者主动迁移其币,并且系统还必须处理那些不可避免会出现的、未升级的废弃账户。 - 第二个挑战是性能。
这里的关键关注点是:携带交易数据的区块大小,以及验证成本。
每个区块都携带多笔已签名交易,如 Ethereum 上约 200 笔,Algorand 上可达数千笔。
现有区块链通常按大小或存储 gas 成本限制区块,而不是按交易数量限制,因为交易在大小和计算时间上可能差异巨大。
即使每个输入只增加几十个字节,在规模化时也会累积成巨大的带宽、费用和存储成本。
4.6.1 交易签名尺寸对通信和存储有什么影响?
典型 ECDSA 签名的原始形式为 64 字节,DER 编码时平均约 71 字节。
假设一个 1 MB 区块中 60% 是签名数据,这是一个假设数字,对应约 14,000 个 ECDSA 签名。
在每天 144 个区块的情况下,这意味着每天仅签名数据就需要存储约 86 MB,或每年约 31 GB。
如果将其替换为 PQ 签名,如 2,420 字节签名的 ML-DSA,那么在相同交易数量下,区块大小将增加约 38 倍,达到约 38 MB。在相同速率下,这将要求每年存储超过 1 TB 的签名数据。
不过,签名和公钥尺寸增加对交易速率、吞吐量以及整体区块链存储和成本的精确影响,并不容易推导。
如,自 SegWit(BIP141,2017)以来,Bitcoin 不再单纯按字节衡量区块大小。
它改用权重系统,其中非 witness 数据的权重是 witness 数据的四倍;公钥和签名被视为 witness 数据;每个区块最大为 4,000,000 权重单位。
一个虚拟字节(vB)被定义为四个权重单位,因此每个区块的有效限制为 1,000,000 vbytes。
如上文所述,将 ECDSA 签名(DER 编码 71 字节)替换为 ML-DSA-44 签名(2,420 字节),会使签名大小增加约 38 倍,公钥大小增加幅度类似。
然而,由于 witness 数据享有四倍折扣,对 vbytes 的影响较小。
近几年,按原始字节计算,Bitcoin 签名和公钥平均占交易大小的 50%-66%。
若按 vbytes 计算,PQ 膨胀系数大约只是:
0.5 + 0.5 × (38/4) ≈ 5
到:
0.33 + 0.66 × (38/4) ≈ 7
根据这一粗略估算,一个区块中可容纳的 PQ 交易数量以及吞吐量,将大约下降 5-7 倍,而不是 38 倍。
另一个比较点是,Ethereum 每笔交易只使用一个签名,但区块受 gas 限制而不是大小限制。
不过,PQ 原语的计算成本尚未被充分理解,因此很难将签名尺寸增加直接转换为吞吐量和成本预测。
综上可以清楚看到,如果以朴素方式使用,将交易签名替换为 PQ 签名,会使区块链吞吐量降低一到两个数量级,大幅提高费用,或导致链数据爆炸式增长。
因此,在后量子世界中,签名尺寸会成为一阶架构约束。
签名并不是区块链上的新税负;事实上,已有若干扩容方法可以缓解存储和通信成本。
这些方法包括:
- 剪枝区块链历史
- 将归档责任延后给专用基础设施
- 数据可用性服务,用于抵消验证者通信和短期存储成本
- 与链下数据可用性结合的 rollup,移除验证者处理交易的需要
除 PQC 密码学本身之外,这些技术以及其他技术也可作为向 PQ 区块链迁移策略的一部分来考虑。
4.7 建议------PQC 密钥管理
上文关于执行层 PQC 的讨论,重点放在了区块链挑战上。
不过,在考虑执行层时,同样必须考虑通过执行层与区块链交互的用户所受到的影响。
特别是,签名密钥如何被管理和保护------无论是用户钱包,还是交易所/托管机构的密钥管理系统(KMS)------都必须更新,以支持相关区块链将要迁移到的后量子签名方案。
这一迁移可能带来相当大的挑战。
如,如果相关钱包/KMS 是基于硬件的,那么硬件就需要更新以支持新的签名方案。
特别是,向专用或通用 HSM 添加新算法需要时间。
同样,基于门限签名(MPC)的密钥管理也需要更新,以支持新方案。
不过,并非所有签名方案都有已知的高效 MPC 协议。
此外,并非所有签名方案似乎都适合高效 MPC。如,ML-DSA 看起来适合高效 MPC,并且已经有一些协议发表。然而,SLH-DSA 不太可能存在高效 MPC 协议。
使上述挑战更加复杂的是,不同区块链可能采用不同 PQ 签名方案,而多数主流区块链尚未明确承诺会使用哪种算法。
因此,目前还无法开始完全准备迁移。
基于以上内容,建议提供 KMS 服务的组织------无论其形式是硬件设备、用户软件,还是交易所或托管机构------开始理解为了迁移到不同算法,它们需要满足什么要求,并制定清晰计划,说明迁移将如何执行。
这将使它们在区块链迁移到 PQC 时,能够及时响应。
5. 主流区块链的后量子规划
每条区块链都需要做出一些调整,才能实现后量子安全。本节将考察 Bitcoin、Ethereum、Solana、Algorand、Sui 和 Aptos 链的一些提案。
要使这些链具备后量子安全性,需要更新共识节点软件和用户钱包软件。同时,也需要用户采取行动。
5.1 Bitcoin
Bitcoin 资产保存在称为 UTXO(未花费交易输出,unspent transaction output)的对象中。转移 UTXO 中的资产通常需要一笔已签名交易,尽管某些 UTXO 也可以通过其他方式花费。
Bitcoin 原生支持 ECDSA 和 Schnorr 签名方案来签署交易。
在某些 UTXO 中,链上只提供花费该 UTXO 所需公钥的哈希,而明文公钥仍然隐藏。这类 UTXO 可以避免针对公钥的直接量子攻击。不过,需要注意,即使这类 UTXO 也可能存在风险。
- 第一,明文公钥可能通过链下数据暴露,如支付通道,这会使这些 UTXO 面临量子攻击。
- 第二,当一个 UTXO 被花费时,花费交易会以明文形式暴露公钥。由于花费交易在被打包进区块前会在 mempool 中停留数分钟,理论上量子攻击者有几分钟时间来破解密钥,并发布一笔竞争交易来盗取该 UTXO 中的资产。能够在这么短时间内破解密钥的量子计算机,看起来比需要数天或数周才能破解密钥的量子计算机更遥远。尽管如此,Bitcoin 社区正在探索一种 commit/reveal 方法,以安全花费那些链上没有明文公钥的前量子 UTXO。虽然这需要对矿工操作方式做小幅修改,但它为花费前量子 UTXO 提供了一种相对安全的方式。
对于某些 UTXO,相关公钥已经以明文形式存在于链上,这类 UTXO 可能容易遭受量子攻击:攻击者只需收集链上公钥,并使用量子计算机恢复相应签名密钥即可。
截至本文撰写时,Project 11 估计,目前约有 690 万 BTC 存放在明文公钥已知的 UTXO 中,其中:
- 约 170 万 BTC 存放在旧的 Pay-to-Public-Key(P2PK)UTXO 中,这类 UTXO 的公钥在链上以未哈希形式可见。其中一些被称为"Satoshi coins",代表 Bitcoin 早期的挖矿奖励。每个 Satoshi UTXO 持有 50 BTC,总体上由约 20,000 个不同公钥控制。由于其中许多是旧 UTXO,相当一部分币可能已经被遗弃,即花费私钥已不再为人所知。这些被遗弃的币无法迁移到后量子地址,除非大型量子计算机可用,或发现针对 ECDSA 的经典攻击。关于如何处理被遗弃币的问题------这影响所有链,而不只是 Bitcoin------将在本节末尾讨论。
- 在这 690 万枚暴露 BTC 中,约 100 万枚仅存放在 11 个不同地址中。如果不做任何改变,那么未来对这 11 个公钥运行量子计算机,可能导致约 100 万 BTC 被盗。由于这些鲸鱼地址当前每个都持有远超 1000 BTC,因此持有少于 1000 BTC 的地址可能不会成为攻击者的首批目标。因此,这 11 个地址可以作为大型量子计算机上线时的良好"金丝雀"信号,当然前提是它们没有提前迁移。
5.1.1 Bitcoin 将如何实现后量子安全?
Bitcoin 当前的方案是确保所有 UTXO 公钥都可以隐藏在哈希函数之后。Pay-to-Public-Key-Hash(P2PKH)输出类型支持这一点,但流行的 Pay-to-Taproot(P2TR)输出类型包含一个链上明文 ECDSA 密钥,该密钥可用于花费 taproot 输出。因此,Bitcoin 网络上的所有 P2TR UTXO 当前都存在量子脆弱性。
为缓解这一问题,BIP-360 提案引入了一种新的 taproot 输出类型,称为 Pay-to-Merkle-Root(P2MR),它完全移除了该公钥。一旦该提案在 Bitcoin 主网上启用,将 P2TR 输出迁移到 P2MR 输出就会消除这一脆弱性。
除了这些将资产保护在哈希公钥之后的温和提案之外,Bitcoin Core 开发者正在采取观望态度。等待的一个原因是,研究社区未来可能会开发出更好的后量子签名方案。此外,一些 Core 开发者正在探索用于 Bitcoin 的基于哈希的签名。这些签名方案很有吸引力,因为它们可以在不向 Bitcoin 网络引入新密码学假设的情况下实现。缺点是这些签名比 ECDSA 签名大得多,如果没有额外技术,可能会降低 Bitcoin 的交易速率。不过需指出,观望策略是有代价的,因为它会造成市场不确定性。因此,等待确切迁移计划可以是合理的,但应配合明确的战略声明和准备工作,以便在需要时快速迁移。
5.1.2 过渡期
一旦 Bitcoin 采用后量子解决方案,所有脆弱 UTXO 都需要被花费并迁移到后量子地址。Project 11 估计,目前约有 1360 万个暴露地址,即公钥已在链上明文可见的地址。考虑到 Bitcoin 交易速率较低,过渡至少需要数月才能完成。
5.1.3 对工作量证明的影响
到目前为止,讨论的是量子计算机对 Bitcoin UTXO 的影响。量子计算机也可能通过 Grover 算法影响工作量证明共识。Grover 算法是一种量子算法,理论上可为所有搜索问题提供二次加速。运行 Grover 算法的量子计算机理论上可以比经典计算机更快解决工作量证明挑战。因此,使用量子计算机的 Bitcoin 矿工理论上可以获得所有 Bitcoin 挖矿奖励,并中心化所有出块。
然而,这不太可能发生。对于工作量证明挑战的规模而言,在量子计算机上运行 Grover 算法的开销非常高,会压倒其二次加速。因此,预计在未来许多年里,经典 Bitcoin 矿工始终会优于量子 Bitcoin 矿工。
5.2 Ethereum
Ethereum 网络目前有四个可能受到量子计算机影响的组件:
- 1)在执行层(EL),外部拥有账户(EOA)存在脆弱性:花费 EOA 资产的交易使用 ECDSA 签名;如果该 EOA 至少发起过一笔出账交易,则其公钥可以从链上存储的数据中推导出来。量子攻击者可以攻破该公钥,并代表 EOA 所有者发起交易。
- 2)在共识层(CL),验证者使用 BLS 签名方案对新区块进行 attest,其中公钥在链上可见。量子攻击者可以攻破该公钥,并代表验证者对无效区块进行 attest。
- 3)EVM 提供用于验证基于 pairing 的证明的预编译,如 Groth16 证明。量子攻击者可以攻破证明系统的结构化参考字符串(SRS,structured reference string),并构造有效证明。
- 4)Ethereum 的数据可用性层使用 KZG 承诺。量子攻击者同样可以攻破 KZG 承诺。
Ethereum 社区已经发布了一套详细方案,用于缓解上述四个问题中的每一个。
这也是 Ethereum 一项重大升级的一部分,该升级还将提升网络的交易吞吐率。
下面先来回顾 Ethereum 针对后量子签名方案的规划。
5.2.1 Ethereum 的后量子签名
共识层和执行层都需要后量子签名:
- 共识层用于对区块进行 attest,执行层用于签署交易。
当前计划是在共识层和执行层都迁移到基于哈希的签名。基于哈希的签名主要优点是:其安全性完全基于底层哈希函数的安全性。如果使用标准密码学哈希函数,那么这不会向 Ethereum 引入新的安全假设。基于哈希签名的缺点是签名通常较长,但可以通过基于 SNARK 的签名聚合来解决,详见下文。
基于哈希的签名有两种类型:无状态和有状态。简而言之,在有状态签名方案中,签名者维护某种状态,并在每次生成新签名时更新该状态;关键要求是同一状态绝不能被重复用于签署两个不同消息。有状态签名方案的优点是,签名通常比无状态方案更短。
- 有状态哈希签名非常适合共识层(CL),因为区块高度可以作为不重复状态。事实上,验证者本就不应在同一高度签署两个不同区块,因为这可能触发 slashing 事件。为此提出的签名方案称为 leanXMSS。
- 无状态签名非常适合执行层(EL),这样账户所有者就不会受到状态管理错误的影响。为此提出的签名方案称为 leanSPHINCS。它是 NIST SPHINCS+ 标准的一个变体,签名更短,也更适合聚合,见下文。
5.2.2 签名聚合
为了处理较长的签名,每个 slot 内验证者为给定区块生成的所有签名,都会使用 SNARK 风格的证明系统聚合成一个短证明。
这类似于当前 BLS 签名的聚合方式,但不同之处在于 leanXMSS 签名不会像 BLS 签名那样被直接代数聚合。相反,聚合者会生成一个证明,证明"其知道足够多的有效 leanXMSS 签名"。
这种聚合方式称为 leanXMSS。与 BLS 聚合类似,leanXMSS 具有"利他性",因为它足够便宜,并且对具备足够硬件资源的验证者默认启用。
用于签名聚合的证明系统将建立在 leanVM 之上,leanVM 是一个用于通用基于哈希密码学的极简 zkVM。底层证明系统本身也是基于哈希的,证明大小约为一百 KB。这比 BLS 聚合签名大得多,后者小于一百字节,因此这一迁移会带来一定区块大小增加。
在此强调,为加速证明生成,上述基于哈希的签名方案可能会使用一种非标准、SNARK 友好的哈希函数 Poseidon,该函数设计于 2019 年;其安全性是 Poseidon Initiative 以及即将启动的 100 万美元 Poseidon Prize 的关注重点。
有了这些基础之后,接下来简要讨论本节开头列出的四个问题正在考虑的缓解措施。
5.2.3 从执行层消除 ECDSA
目标是为每个 EOA 启用账户抽象,使其由智能合约钱包控制(最新提案见 EIP-8141: Frame Transaction -- Add frame abstraction for transaction validation, execution, and gas payment)。这意味着 EOA 将由代码控制,代码决定什么是有效交易,并且该代码可以实现用户希望使用的任何认证机制,包括基于哈希的签名,甚至 ML-DSA 这样的基于格的签名方案。
为实现这一目标,EIP-8051: Precompile for ML-DSA signature verification -- Precompiled contracts for FIPS-204 ML-DSA signature verification and an EVM-optimized variant 提议将 ML-DSA 验证作为 EVM 预编译加入。该方法的好处是,用户可以保留现有地址,而无需把所有资产迁移到新的后量子地址。
在此强调,这一迁移需要用户行动:用户必须签署一笔交易,将其 EOA 的控制权交给智能合约钱包。此外,为了安全性,链必须停止接受该 EOA 的 ECDSA 签名,可能按照 EIP-7851: Code-Controlled EOA Delegation -- Allow EIP-7702 delegated EOAs to update delegation through code while permanently disabling residual ECDSA authority 中概述的方式进行。
5.2.4 后量子共识层
这将通过让验证者使用有状态哈希签名方案对每个区块进行 attest 来完成,并且针对某个特定区块的所有 attest 都会使用基于哈希的简洁证明系统聚合成单个证明。
缓解本节开头列出的最后两个问题稍微更技术化。
- 首先,近期的 EIP-8141: Frame Transaction -- Add frame abstraction for transaction validation, execution, and gas payment 提案包含一种方法,用于将验证 Groth16 证明的 EVM 预编译替换为后量子证明验证。
- 其次,数据可用性层的后量子更新更加复杂,将在其他地方讨论。
5.3 Solana
Solana 创建了一种新的 vault 类型,称为 Solana Winternitz Vault。Winternitz 签名方案是一种基于哈希的签名方案,其签名大小可控,尽管签名比 ECDSA 签名大两个数量级。Solana 代币持有人可以将资产迁移到新的基于 Winternitz 的地址。迁移完成后,这些资产就不再暴露给量子攻击者。
5.4 Algorand
Algorand 是最早在生产环境中于共识相关机制和执行层部署后量子(PQ)签名方案的区块链平台之一,并遵循一条分阶段路线图,迈向完整量子就绪状态。
在共识层面,Algorand 的 State Proof 框架采用 NIST 选定的 FALCON 签名(将作为 FIPS 206 中的 FN-DSA 标准化),通过将约 256 个 round 的区块头压缩成可由轻客户端和外部链验证的简洁证书,来生成区块链状态的抗量子 attest。这一机制保护账本历史完整性,使其抵抗未来量子攻击。
不过,核心共识操作仍部分依赖经典密码学:区块提议和委员会投票使用 Ed25519 签名,而用于基于 sortition 的委员会选择的可验证随机函数(VRF)仍容易受到量子攻击。Algorand 已承认这些限制,并正在积极研究逐步保护其共识核心的方法。
在交易和执行层,Algorand 已经提供了支持抗量子账户所需的密码学工具。该网络最近(2025年9月25日)在主网上使用 FN-DSA 执行了首笔后量子交易,并将 FN-DSA 验证集成为原生虚拟机原语。通过验证交易标识符上 FN-DSA 签名的 logic signature,用户无需协议修改即可创建抗量子账户。
5.5 Sui
Sui 已经概述了若干迁移到后量子安全链的策略。目前尚不清楚将部署其中哪一种策略。
5.6 Aptos
Aptos 在向后量子安全交易过渡方面处于有利位置。在 Aptos 中,用户地址并不是由用户公钥的哈希派生出来的。相反,用户公钥(称为 authentication key)作为与用户账户关联的元数据存储。因此,希望实现后量子安全的用户只需签署一笔交易,将其 authentication key 更新为后量子公钥。无需将资产迁移到新账户。
在 AIP-137: Post-quantum Aptos accounts via SLH-DSA-SHA2-128s signatures 中,Aptos 概述了其增加对 SLH-DSA-SHA2-128 签名和公钥支持的计划。这些是基于哈希的签名。一旦该 AIP 被实现并部署,Aptos 用户只需更新与其账户关联的 authentication key。无需其他操作。
5.7 Layer 2 链
一些 Layer 2 链,如 Optimism、Arbitrum、Base 等,也已经宣布了后量子计划。
如,Optimism 宣布其 superchain 的后量子计划,是从 EOA 账户迁移到智能合约钱包。这些智能合约钱包可以由后量子公钥保护,并且可以使用 EIP-7702 委托机制管理存储在 EOA 账户中的资产。因此,用户无需将资产从 EOA 地址迁出。
不过,控制 EOA 账户的 ECDSA 密钥需要被弃用。为此,Optimism 宣布了一个 flag day,计划在 2036 年 1 月之后,ECDSA 签名密钥将不再能够控制 EOA 资产。在该日期之后,EOA 账户中的资产只能由智能合约钱包控制。
5.8:如何处理被遗弃资产?
每条计划实现后量子安全的链,都面临一个关键决策:
- 选项(1):
宣布一个"flag date",在该日期之后,所有受量子脆弱公钥保护的资产都将被撤销,资产将永久丢失。 - 选项(2):
不设"flag day",意味着没有迁移到后量子公钥的资产将永远保持活跃。这些资产未来某个时间点可能面临被量子攻击者盗取的风险。
对于 Bitcoin,还有第三种选项,用来处理那些公钥已在链上暴露、且被认为可能已遗弃的 UTXO,尤其是本节开头讨论的所谓 Satoshi coins。回忆一下,约有 170 万枚这类 BTC 存放在 P2PK 输出中。[Hourglass spending rule[(https://github.com/cryptoquick/bips/blob/4587b5c5af5e1f76c0848c7b352cd92e628b0fef/bip-hourglass-v2.mediawiki) 提案不是直接撤销这些 UTXO,而是将花费 P2PK 输出的速度限制为每个区块最多 1 BTC。这样一来,能够攻破 P2PK 公钥的攻击者,在花费其现在控制的被遗弃资产时,速度会受到极大限制。此外,攻击者发起的任何此类交易都会提醒社区 ECDSA 存在不安全性,从而把 Satoshi coins 用作量子攻击者存在的"金丝雀",同时限制其对 Bitcoin 造成的负面后果。
回到上述选项(1)和(2),两种方案都有充分理由。支持 flag day 的理由,即在量子计算机被建造出来之前取消暴露资产:
- 没有 flag day 的情况下,受制裁实体或流氓国家可能率先开发出量子计算机,并用它盗取资产,为其非法行动提供资金。
- 没有 flag day 的情况下,一旦量子计算机被建造出来,它可能被用于盗取休眠的暴露资产。这可能大幅增加代币供应,并可能导致代币价值崩盘。
反对 flag day 的理由,即让暴露资产继续暴露:
- 无论发布多少关于 flag day 的信息,总会有人不知道它的存在,也不会把资产迁移到后量子地址。在 flag day 之后,这些人会失去资产,导致用户不满和潜在诉讼。
- 暴露的 UTXO 可作为开发量子计算机的激励,而量子计算机可能在人类生活的其他领域产生积极应用,如第一节所讨论。它们也可作为金丝雀,提醒人们大规模量子计算机已经被开发出来。
- 量子计算机会让丢失代币的人有机会取回代币。如,如果某个人或实体能够提供令人信服的证据,证明某个 Ethereum 钱包属于自己,那么拥有强大量子计算机的公司可以帮助他们恢复锁定资产。这里的假设是,第一个强大量子计算机将由诚实参与者开发。事实上,这可能成为量子计算机最早的商业应用之一。
无法就采用上述两个选项中的哪一个达成共识的链,可能会分叉:一个分叉实现选项(1),另一个分叉实现选项(2)。随后由市场力量决定哪个分叉更有价值。由于决策大多掌握在代币持有人手中,他们可能会偏向实现选项(1)的分叉,即取消暴露代币,因为该选项减少代币供应,使代币持有人手中的代币更有价值。考虑到这一可能走向,在此希望各链能够避免经历链分叉的考验。
鼓励受此问题影响的区块链社区认识到,市场不确定性始终是一个问题,而围绕被遗弃资产的不确定性已经造成损害。因此,做出决定并公开传达,应成为主流区块链的优先事项。
6. 签名之外的后量子安全
在前文中,讨论了量子计算对交易签名的影响。本节将考察除签名之外、也需要被替换的其他密码学原语。
6.1 Threshold signatures(门限签名)
门限签名在整个区块链生态系统中用于保护签名密钥。
使用一个 t-out-of-n 签名方案,可以确保即使 t-1 方被攻破,攻击者也无法获知关于秘密签名密钥的任何信息;但任意 t 方仍可以对消息进行签名。
像 BLS 这样的前量子签名方案支持一种非常简单的单轮门限签名协议。Schnorr 签名方案也支持门限签名协议,但它需要签名参与方之间进行两轮(如Frost)或三轮通信,才能对一条消息签名。
在后量子场景下,有多种方式可以支持门限签名。第一种选择是为 ML-DSA 签名方案实现门限签名协议。回忆一下,ML-DSA 是 Schnorr 签名方案的基于格的类似物。虽然 ML-DSA 的门限签名协议比 Schnorr 更复杂,但已经存在一些协议(如2025年论文Threshold Signatures Reloaded: ML-DSA and Enhanced Raccoon with Identifiable Aborts(注意该论文于2026年5月7日撤回)),其效率较高,并且只需要签名参与方之间进行三轮通信。未来研究预计会增强人们对现有协议安全性的信心,并开发进一步提升性能的新协议。
对于需要更强安全保证的应用,可以使用基于哈希的签名方案,如 SLH-DSA 的任一变体。这些签名方案更难直接门限化,相关讨论可参见2022年论文Coalition and Threshold Hash-Based Signatures和2025年论文Hash-based Signature Schemes for Bitcoin。另一种做法是使用通用技术(如2025年论文Hash-Based Multi-Signatures for Post-Quantum Ethereum),将非门限签名方案通过简洁证明系统(也称 SNARK)转换成门限方案。
在这里,n 个参与方各自生成一对公钥/私钥。然后,所有公钥被放在 Merkle 树的叶子上,所得 Merkle root 成为该方案的公钥。现在,要对消息 m 签名时,某个由 t 个参与方组成的集合各自使用自己的签名密钥完成签名。最终签名是一个 SNARK 证明,其中 witness 是这 t 个签名,以及对应 t 个公钥的 Merkle proof。
在这种方案中,公钥很短(一个 Merkle root),签名与 SNARK 证明一样短,验证时间等同于验证 SNARK 证明的时间。该方案支持所谓的"silent setup":没有多轮分布式密钥生成(DKG)协议,并且 n 个签名参与方集合和门限 t 可以按需轻松动态改变。此外,该方案既可以作为私有门限签名方案运行(最终签名不会泄露门限 t 以及哪些参与方签了名),也可以作为可问责多签运行(最终签名会标识签名的 t 个参与方集合)。这是 Ethereum 当前的后量子共识签名计划(见2025年论文Hash-Based Multi-Signatures for Post-Quantum Ethereum)。缺点是签名相对较长------与后量子 SNARK 证明一样长------并且签名过程依赖复杂的 SNARK prover。
建议:
后量子门限签名方案领域仍在演进。如果可能,最好等待更好的方案出现。如果不能等待,那么基于 SNARK 的门限 SLH-DSA 是一个合理选择。
6.2 Collision Resistant and one-way hash functions(抗碰撞与单向哈希函数)
抗碰撞哈希函数在区块链中无处不在。从 Merkle tree、Patricia tree,到基于哈希的证明系统和签名,都会用到它们。类似地,单向哈希函数用于哈希时间锁合约(HTLC)。
当前的知识表明(见2009年论文Cost analysis of hash collisions: Will quantum computers make SHARCS obsolete?),抗碰撞性通常不受量子计算机影响。也就是说,对于通用哈希函数,量子计算机在寻找碰撞方面并不比经典计算机更强。不过,有两个注意事项:
- 对于 SHA256、SHA3、Poseidon 等具体哈希函数的量子抗碰撞性,相关分析还不够充分。虽然可能性不大,但也许存在某种巧妙的量子算法,能够比寻找通用函数碰撞所需时间更短地找到这些函数的碰撞。
- 有一些证据表明(见1997年论文Quantum cryptanalysis of hash and claw-free functions),未来可能还会出现比当前已知方法更好的通用量子碰撞查找算法。不过,这目前仍是一个开放问题。尤其是,已知更快的碰撞查找算法需要大量量子比特,因此并不实用。
HTLC 合约中使用的单向哈希函数,理论上会受到 Grover 算法影响。实践中,Grover 的二次加速并不会转化为真正的速度提升。尽管如此,为了后量子安全,可以将这些哈希函数的输出大小翻倍,以消除对 Grover 算法攻击的任何担忧。
6.2.1 Proof of work hash functions(工作量证明哈希函数)
理论上,Grover 算法提供的二次加速表明,量子计算机应当能够比经典计算机更快解决 Bitcoin 工作量证明。实践中,对于现实世界的 PoW 参数,Grover 算法的开销会压倒其二次加速,因此并不会获得加速。所以,根据当前技术水平,PoW 系统无需改变。
6.2.2 Succinct proof systems(也称 ZK proofs 或 SNARKs)
这些证明系统用于 ZK-rollup 系统和桥。一般来说,证明系统有三类:
- 基于 pairing 的:基于 pairing 的证明系统在大规模量子计算机面前会变得不可靠,需要被废弃。尤其是,流行的 Groth16 证明系统需要作为向后量子区块链迁移的一部分被废弃。
- 基于哈希的:基于哈希的证明系统基本不受量子计算机影响。不过,这些证明系统通常依赖 Fiat-Shamir 变换,而该变换的可靠性会受到 Grover 算法理论二次加速的影响。虽然这种加速可能只是理论上的担忧,但建议这些证明系统降低其可靠性错误(soundness error),以计入这一风险。
- 以及基于格的
建议:
ZK-rollup 系统和 ZK-bridge 需要准备从 Groth16 迁移出去。这并不是一个容易的迁移,因为后量子证明尺寸要大得多。未来研究可能会产生更好的解决方案,但目前应开始进行后量子证明实验。
6.3 Zero knowledge proof systems(也称 ZKZK proofs 或 zk-SNARKs)
这些系统用于隐私系统,如私密交易系统(如 Aleo 和 Aztec),以及 mixer(如 Railgun 和 PrivacyPools)。这些系统的零知识性质通常是信息论意义上的,因此不受量子计算机影响。
6.4 Public key encryption and the TLS protocol(公钥加密与 TLS 协议)
TLS 是一种双方传输层安全协议,也是互联网上部署最广泛的安全协议。前量子 TLS 存在一种称为"harvest-now-decrypt-later(HNDL,先收集、后解密)"的攻击风险:攻击者今天记录有价值的加密 TLS 会话,以便几十年后量子计算机可用时将其解密。
同样情况也适用于公钥加密数据:今天生成的密文,未来可能被量子计算机解密。这对商业机密、健康记录、金融数据和政府机密数据都是重大风险。HNDL 攻击风险是美国政府要求 2035 年之后销售的产品使用后量子加密的主要动因。在此强调,2035 年是被选为一个让产业完成向后量子加密迁移的合理时间线,并不表示预期到 2035 年将会出现密码学相关量子计算机。
在区块链领域,TLS 如用于保护交易在发送给 block builder 途中不被窃听。公钥加密用于保护交易在发送到加密 mempool 途中的内容。在这些场景中,交易机密性只在相对较短时间内重要。通常,这些交易在十年后被解密的风险可能并不是强烈担忧。尽管如此,后量子 TLS 已经在互联网上广泛部署;p截至 2026 年 2 月,Cloudflare 超过 60% 的互联网流量](https://radar.cloudflare.com/adoption-and-usage?dateStart=2026-02-01\&dateEnd=2026-02-28#post-quantum-encryption-adoption)使用混合后量子安全密码套件 X25519MLKEM768。当支持时,迁移到后量子 TLS 相对直接。因此,建议遵循 Cloudflare 和 Google 等互联网服务提供商的最佳实践。
在某些区块链中,公钥加密数据需要永久保持隐藏。如,一些隐私链和协议使用公钥加密来保护交易内容。针对加密方案的量子攻击会暴露原本应永久隐藏的交易数据。这可能会揭示付款方、收款方和金额的身份信息,尽管相关链宣称提供隐私保证。
量子计算机造成的具体损害取决于系统架构。在 Zcash 语境下,参考 Sean Bowe 2025年10月的文章Zcash and Quantum Computers,其中讨论了量子计算机如何影响 Zcash 交易隐私。对于其他隐私链,如 Aleo 和 Aztec,对公钥加密方案的量子攻击也可能影响隐私。
在此强调,由于存在 harvest-now-decrypt-later(HNDL)攻击风险,迁移到后量子公钥加密方案比迁移到后量子数字签名更加紧迫。
6.5 Trusted Execution Environments(TEE,可信执行环境)
TEE 在区块链领域被广泛使用,如用于区块构建、某些 Layer 2 系统以及可信 oracle。现有 TEE,如 Intel 的 TDX,依赖 RSA 签名进行远程证明。所有依赖这类 TEE 的硬件部署都需要升级到后量子签名。处理器的其他能力,如已签名的微码更新,也依赖 RSA 签名,同样需要升级。
7. Additional Reading(延伸阅读)
关于量子计算、密码学和区块链,已有许多论文。下面提供一些自认为对希望了解更多信息的人有帮助的来源:
-
1)关于量子计算和后量子密码学的一般链接:
- State of the post-quantum Internet in 2025(2025年10月28日,Cloudflare团队)
- The quantum era is coming. Are we ready to secure it?(2026年2月6日,Google团队)
- Quantum is unimportant to post-quantum(2024年7月1日,The Trail of Bits Blog)
- Quantum computing: quantifying the current state of the art to assess cybersecurity threats(2025年1月,文章)
- Tracking the Cost of Quantum Factoring(2025年5月23日,Google团队)
- Dora Research - Blog posts on quantum computing(博客集)
-
2) 关于量子计算及其对区块链影响的链接:
- Quantum computing and blockchains: Matching urgency to actual threats(2025年12月5日,a16zcrypto团队的Justin Thaler)
- Quantum computing: What, when, where, how(2025年8月5日,a16zcrypto团队)
- Hardware wallets: the post-quantum upgrade problem(2026年2月27日,project 11团队)
-
3)关于量子与区块链的学术论文:
- Quantum Disruption: An SOK of How Post-Quantum Attackers Reshape Blockchain Security and Performance(2025年12月论文)
- Assessing the Impact of Post-Quantum Digital Signature Algorithms on Blockchains
- Hash-based Signature Schemes for Bitcoin(2025年论文)
- Hash-Based Multi-Signatures for Post-Quantum Ethereum(2025年论文)
-
4)关于尺寸/时间估算的近期研究:
参考资料
1\] Coinbase团队2026年4月21日报告 [Quantum Computing and Blockchain](https://assets.ctfassets.net/sygt3q11s4a9/6EjYavuGdtJDYCqaJrASj9/9f464a8bf26f44bd6c85710fe7e4a29f/Quantum_Computing_and_Blockchain_v10.3_15April2026.pdf),作者有: * Scott Aaronson 教授(UT Austin) * Dan Boneh 教授(Stanford) * Justin Drake(Ethereum Foundation) * Sreeram Kannan 教授(Eigen Labs \& University of Washington) * Yehuda Lindell 教授(Coinbase \& Bar-Ilan University) * Dahlia Malkhi 教授(UCSB)