量子计算与区块链：让紧迫性与真实威胁相匹配

1. 引言

关于"具备密码学实际攻击能力的量子计算机（cryptographically relevant quantum computer）"的时间线，经常被夸大------从而导致人们呼吁紧急、全面地迁移到后量子密码学。

但这些呼声往往忽略了过早迁移所带来的成本与风险，也忽视了不同密码学原语之间截然不同的风险特征：

• 后量子加密（encryption） 必须立即部署，即便代价高昂：Harvest-now-decrypt-later（HNDL，"先收集、后解密"）攻击已经在发生，因为今天被加密的敏感数据，在未来量子计算机真正到来时（即便那是几十年后）仍然具有价值。后量子加密确实会带来性能开销与实现风险，但对于那些需要长期保密的数据而言，HNDL 攻击使人们别无选择。
• 后量子签名（signatures） 则面临完全不同的权衡。它们不会受到 HNDL 攻击影响，而其成本与风险（更大的尺寸、性能开销、实现尚不成熟以及 bug）意味着迁移应当是审慎推进的，而不是立刻全面切换。

这些区别非常重要。错误认知会扭曲成本收益分析，使团队忽略那些其实更现实、更紧迫的安全风险------如 bug。

成功推进后量子密码迁移的真正挑战，在于让"紧迫性"与"真实威胁"相匹配。

下面，将澄清一些关于量子威胁与密码学的常见误解，涵盖加密、签名以及零知识证明，并特别关注它们对区块链的影响。

2. 当前处于什么时间节点？

在 2020 年代出现"具备密码学攻击能力的量子计算机（CRQC）"的可能性极低，尽管外界存在一些高调宣传。

所谓"具备密码学攻击能力的量子计算机（cryptographically relevant quantum computer） "，是指一种具备容错（fault-tolerant）与纠错（error-corrected）能力的量子计算机，能够在现实时间范围内运行 Shor's algorithm，从而攻击椭圆曲线密码学或 RSA（如，在最多一个月持续计算内攻破 secp256k1 或 RSA-2048）。

根据目前公开的技术里程碑与资源估算，以任何合理标准来看，当前距离"具备密码学攻击能力的量子计算机"都还非常遥远。一些公司有时会宣称 CRQC 很可能在 2030 年之前、或者远早于 2035 年出现，但公开已知的技术进展并不支持这些说法。

作为参考，在当前所有主流架构中------包括离子阱（trapped ions）、超导量子比特（superconducting qubits）以及中性原子系统（neutral atom systems）------今天没有任何一个量子计算平台，接近运行 Shor 算法攻击 RSA-2048 或 secp256k1 所需的规模。

而根据误差率与纠错方案不同，其所需规模大约是 数十万个（见2025年论文How to factor 2048 bit RSA integers with less than a million noisy qubits） 到数百万个物理量子比特。

限制因素不仅仅是量子比特数量，还包括：

• 门保真度（gate fidelities）
• 量子比特连接性（qubit connectivity）
• 以及运行深层量子算法所需的、可持续的纠错电路深度（sustained error-corrected circuit depth）

虽然如今已经有一些系统的物理量子比特数量超过了 1,000 个，如：

• IBM Condor
• Atom Computing Announces Record-Breaking 1,225-Qubit Quantum Computer

但单纯的原始量子比特数量其实具有很强的误导性：

• 这些系统并不具备进行具备密码学攻击价值（cryptographically relevant）的计算所需的量子比特连接性与门保真度。

近期的一些系统已经开始接近（见2024年论文Quantum error correction below the surface code threshold）量子纠错真正开始生效（见2012年论文Surface codes: Towards practical large-scale quantum computation）所需的物理错误率。

但目前还没有任何人展示出能够维持持续纠错电路深度（sustained error-corrected circuit depth）的逻辑量子比特，数量超过寥寥几个（见2024年论文Quantum error correction below the surface code threshold 和 Demonstration of logical qubits and repeated error correction with better-than-physical error rates）。

更不用说 运行 Shor's algorithm 实际所需的那种：

• 数千个
• 高保真
• 深电路
• 容错型

逻辑量子比特。

"证明量子纠错在原理上可行"与"达到真正可用于密码分析的规模"之间，仍然存在巨大的鸿沟。

简而言之：

• 在量子比特数量与保真度同时提升几个数量级之前，具备密码学攻击能力的量子计算机仍然遥不可及。

不过，企业新闻稿与媒体报道很容易让人产生误解。

其中一些常见误区包括：

• 宣称实现"量子优势（quantum advantage）"的演示，目前通常针对的是人为设计的任务。
  这些任务并不是因为具有实际价值而被选择，而是因为它们能够在现有硬件上运行，同时看起来能够展现巨大的量子加速。
  而这一事实往往会在公告中被有意弱化。
• 公司宣称已经实现了数千个物理量子比特。
  但这里指的往往是"量子退火机（quantum annealers）"，而不是运行 Shor 算法、攻击公钥密码学所需的 gate-model 量子计算机。
  如2019年9月博客 TechRepublic: D-Wave Announces 5,000-Qubit Fifth Generation Quantum Annealer。
• 公司大量滥用"逻辑量子比特（logical qubit）"这一术语。
  物理量子比特本身是带噪声的。
  真正的量子算法需要的是逻辑量子比特，正如前文所述，Shor 算法需要数千个这样的逻辑量子比特。
  通过量子纠错，可以用许多个物理量子比特构建一个逻辑量子比特------通常需要数百到数千个物理量子比特，具体取决于错误率。
  但有些公司已经把这个术语使用得面目全非。
  如，最近有一个公告声称：他们已经实现了 48 个逻辑量子比特，而每个逻辑量子比特仅使用两个物理量子比特，并采用 distance-2 code。
  这非常荒谬：distance-2 code 只能"检测"错误，而不能"纠正"错误。
  真正用于密码分析的容错逻辑量子比特，每个都需要数百到数千个物理量子比特，而不是两个。

更广泛地说：

• 许多量子计算路线图会使用"逻辑量子比特"这一术语，来指代仅支持 Clifford operations 的量子比特。

但这些操作可以被高效地经典模拟（见2008年论文Improved Simulation of Stabilizer Circuits），因此根本不足以运行 Shor 算法。

因为 Shor 算法需要：

• 数千个经过纠错的 T gates
• 或更一般意义上的 non-Clifford gates

因此，即便某个路线图宣称："将在 X 年前实现数千个逻辑量子比特"，也并不意味着该公司预计能在同一 X 年运行 Shor 算法并攻破经典密码学。

这些做法已经严重扭曲了公众对于"人们距离具备密码学攻击能力的量子计算机究竟还有多远"的认知------甚至连很多专业观察者也受到影响。

当然，也确实有一些专家对当前进展感到兴奋。

如 Scott Aaronson 最近就在一篇文章Quantum computing: too much to handle!中写道：

鉴于"当前令人震惊的硬件进展速度"，其现在认为，在下一次美国总统大选之前，人们拥有一台运行 Shor 算法的容错量子计算机，已经成为一种现实可能性。

但 Aaronson 后来又澄清并进一步说明（见文章Quantum Investment Bros: Have you no shame?），其说法并不意味着"具备密码学攻击能力的量子计算机（cryptographically relevant quantum computer）"：

• 即便只是完整、容错地运行一次 Shor's algorithm 来分解 15 = 3×5（一个用纸笔都能更快完成的计算），他也会认为这一目标已经达成。

换句话说，目前的门槛仍然只是：实现一个小规模、完整容错的 Shor 算法执行，而不是实现"具备密码学实际攻击能力"的量子计算机。

此前量子计算机对 15 的因数分解实验，通常使用的是简化电路，而不是真正完整、容错的 Shor 算法。而这些实验总是选择"15"作为分解对象，也是有原因的：

• 模 15 的算术计算非常容易，而即便只是稍大一点的数字，如 21，其难度都会高得多------见2025年8月30日博客Why haven't quantum computers factored 21 yet?。

因此，那些声称已经用量子实验分解 21 的结果，通常都会依赖额外提示（hints）或捷径（shortcuts）。

简单来说：未来 5 年内出现能够攻破 RSA-2048 或 secp256k1 的"具备密码学攻击能力的量子计算机"的预期------而这才是真正对**实用密码学（practical cryptography）**有意义的标准------并没有得到公开技术进展的支持。

即便是 10 年时间，也仍然相当激进。

考虑到距离真正具备密码学攻击能力的量子计算机还有多远，对当前进展感到兴奋，与认为它至少还需要十年以上时间这两件事，其实完全不矛盾。

---

那么，美国政府将 2035 设定为政府系统全面完成后量子（PQ）迁移的目标期限，又该如何理解？

（相关政策见：白宫2022年5月4日备忘录 National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems）

个人认为：

• 对于如此大规模的迁移工程来说，这是一个合理的完成时间线。

但这并不意味着：

• 政府预测届时一定会出现具备密码学攻击能力的量子计算机。

3. HNDL 攻击适用于哪些场景（以及不适用于哪些场景）？

Harvest now, decrypt later（HNDL，"先收集、后解密"）攻击指的是：

• 攻击者现在先存储加密通信数据，等未来出现具备密码学攻击能力的量子计算机后，再进行解密。

国家级攻击者如今几乎肯定已经在大规模归档美国政府的加密通信，以便在未来 CRQC 真正出现时，对这些通信进行解密。

这也是为什么：加密（encryption）必须从今天开始迁移。 至少对于那些需要保密 10~50 年以上的数据而言，必须如此。

但数字签名（digital signatures）------也就是所有区块链所依赖的机制------与加密不同：它不存在可被事后攻击的"机密性"。

换句话说：

• 如果未来出现了具备密码学攻击能力的量子计算机，那么从那一刻开始，伪造签名确实会成为可能；
• 但过去的签名并不像加密消息那样"隐藏"着秘密。

只要知道某个数字签名是在 CRQC 出现之前生成的，那么它就不可能是伪造的。

因此：

• 后量子数字签名的迁移紧迫性，要低于后量子加密的迁移紧迫性。

主流平台如今的实际行动，也体现了这一点：

• Chrome（见2023年8月10日博客Protecting Chrome Traffic with Hybrid Kyber KEM）
• Cloudflare（见2022年10月3日博客Defending against future threats: Cloudflare goes post-quantum）

都已经在 Web 传输层安全（TLS）加密中部署了混合方案：X25519+ML-KEM。

• 【注】为了便于阅读，本文统一使用"加密方案（encryption schemes）"这一表述；但严格来说，TLS 等安全通信协议使用的是密钥交换（key exchange）或密钥封装机制（key encapsulation mechanisms），而不是公钥加密本身。

这里的"Hybrid（混合）"意味着，同时叠加使用：

• 一个后量子安全方案（即 ML-KEM）
• 和一个现有经典方案（X25519）

从而同时获得两者的安全保证。

这样一来：

• 它们既能够（希望能够）通过 ML-KEM 抵御 HNDL 攻击；
• 又能在 ML-KEM 最终被证明即便对今天的经典计算机也不安全时，继续依赖 X25519 提供经典安全性。

Apple 的 iMessage 也通过其 PQ3 protocol 部署了这种混合式后量子加密方案；Signal 也同样通过其 PQXDH 与 SPQR 协议进行了部署。

相比之下，关键 Web 基础设施中的后量子 数字签名（digital signatures） 部署，则正在被推迟到"具备密码学攻击能力的量子计算机"真正迫近时才进行。（详情见Building a Deployable Post-quantum Web PKI 和 A look at the latest post-quantum signature standardization candidates）

原因在于：

• 当前的后量子签名方案会带来性能退化（这一点后文会进一步讨论）。

zkSNARKs（zero-knowledge Succinct Non-interactive ARguments of Knowledge，零知识简洁非交互式知识论证）------这是区块链长期扩展性与隐私能力的关键技术------其处境与数字签名非常相似。

这是因为：

• 即便某些 zkSNARKs 本身并不具备后量子安全性（它们像今天的非后量子加密与签名方案一样，依赖椭圆曲线密码学），其"零知识（zero-knowledge）"性质本身却仍然具备后量子安全性。

零知识性质保证：

• 证明中不会泄露关于秘密 witness 的任何信息------即便面对量子攻击者也是如此。

因此：

• 不存在任何可供"现在收集、以后解密（harvest now, decrypt later）"的机密数据。

所以，zkSNARKs 并不容易受到 HNDL 攻击。

正如今天生成的非后量子签名依然是安全的一样，任何在"具备密码学攻击能力的量子计算机"出现之前生成的 zkSNARK 证明，也依然是可信的（也就是说，被证明的 statement 一定为真）------即便该 zkSNARK 使用了椭圆曲线密码学。

只有在真正出现具备密码学攻击能力的量子计算机之后，攻击者才有可能伪造"错误 statement"的可信证明。

4. 这一切对区块链意味着什么

大多数区块链并不会受到 HNDL 攻击影响。

大多数非隐私链（non-privacy chains）------如今天的 Bitcoin 与 Ethereum------使用非后量子密码学的主要目的，是交易授权（transaction authorization）。

也就是说：它们使用的是数字签名，而不是加密。

再次强调：这些签名并不属于 HNDL 风险。

"Harvest now, decrypt later"攻击适用于的是加密数据（encrypted data）。

如 Bitcoin 区块链本身就是公开的；量子威胁在这里体现为：

• 签名伪造（即推导私钥并盗取资金）

而不是去"解密"本来就已经公开的交易数据。

因此，这消除了 HNDL 攻击所带来的那种"立即必须迁移"的密码学紧迫性。

不幸的是，即便是像美联储（Federal Reserve）这样可信来源的分析，也曾错误地声称 Bitcoin 会受到 HNDL 攻击影响。

这种错误夸大了迁移到后量子密码学的紧迫性。

不过，需要注意的是："紧迫性降低"并不意味着 Bitcoin 可以慢慢等待。

Bitcoin 面临的是另一种时间压力：即修改协议所需要的巨大社会协调成本。

（后文会进一步讨论 Bitcoin 的特殊挑战。）

目前真正的例外是隐私链（privacy chains）。

许多隐私链会对：

• 接收者
• 金额

进行加密或隐藏。

这些机密数据可以被现在收集，并在未来量子计算机能够攻破椭圆曲线密码学之后，被事后去匿名化（retroactively deanonymized）。

对于这些隐私链而言，攻击严重程度取决于具体区块链设计。

如Monero 使用基于椭圆曲线的 ring signatures 与 key images（用于阻止双花、针对每个 output 的可链接标签）。在这种情况下，仅凭公开账本本身，就足以在事后大规模重建资金流图（spend-graph）。

但在其他一些系统中，损害会更有限。

具体细节可参见 Sean Bowe 的Zcash and Quantum Computers 讨论。

如果用户希望自己的交易不会在未来被"具备密码学攻击能力的量子计算机"暴露，那么隐私链应当：

• 尽快迁移到后量子原语（或混合方案）
• 或采用不会将可解密秘密直接放上链的架构设计

5. Bitcoin 的特殊难题：治理 + 被遗弃的币

对于 Bitcoin 而言，推动其尽早开始迁移到后量子数字签名的紧迫性，主要来自两个现实问题。

而这两个问题都与量子技术本身无关。

其中一个问题是：治理速度（governance speed）

Bitcoin 的升级与变更速度非常缓慢。

任何存在争议的问题，都可能在社区无法达成一致时，引发具有破坏性的硬分叉（hard fork）。

另一个问题是：Bitcoin 向后量子签名的迁移，不可能是一种"被动迁移（passive migration）"。

用户必须主动迁移自己的币。

这意味着：那些已经被遗弃、但仍然暴露于量子攻击风险下的 Bitcoin，将无法被保护。

一些估算（见2025年5月文章Bitcoin and Quantum Computing: Current Status and Future Directions）认为：

• 目前处于量子脆弱状态、并且可能已经被遗弃的 BTC 数量，可能高达数百万枚。

按照 2025 年 12 月的价格计算，其价值达到数千亿美元。

然而，量子威胁对于 Bitcoin 来说，并不会是一场突然在一夜之间降临的末日灾难......

它更像是一种"有选择性的、渐进式的攻击过程"。

量子计算机不会同时攻破所有加密系统------Shor's algorithm 必须一次只针对一个公钥进行攻击。

早期的量子攻击将会极其昂贵且缓慢。

因此，一旦量子计算机能够破解单个 Bitcoin 签名密钥，攻击者就会优先、有选择地攻击高价值钱包。

此外，那些避免了address reuse（地址复用）、并且没有使用 Taproot addresses（其会直接在链上暴露公钥）的用户，即便不修改协议，也基本上是安全的：

因为他们的公钥在花费之前，始终隐藏在哈希函数之后。

当他们最终广播一笔花费交易时，公钥才会被公开。

而这时会出现一个短暂的实时竞赛：

• 一边是真正的持币者，希望尽快让自己的交易被确认；
• 另一边则是拥有量子计算能力的攻击者，希望在交易最终确认之前推导出私钥并抢先转移这些币。

因此，真正脆弱的币，是那些公钥已经暴露的币，如：

• 早期的 P2PK outputs
• 被复用地址中的资金
• Taproot 地址中的持币

对于那些已经被遗弃的、存在量子风险的币，目前并没有简单解决方案。

一些可能方案包括：

• Bitcoin 社区达成一致，设立一个"flag day（切换日）"，在该日期之后，所有未迁移的币都被视为已销毁（burned）。
• 允许那些被遗弃、且暴露于量子风险下的币，被任何拥有"具备密码学攻击能力的量子计算机"的人夺取。

第二种方案会带来严重的法律与安全问题。

即便声称自己拥有合法所有权或善意目的，仅凭量子计算机、在没有私钥的情况下获取这些币，也可能在许多司法辖区触发：

• 盗窃法
• 计算机欺诈法

相关严重问题，可参见：

• SEAL Whitehat Safe Harbor
• Meet the Vigilantes Who Hack Millions in Crypto to Save It From Thieves

此外，"被遗弃（abandoned）"本身也只是基于长期不活跃所做出的推测。

但实际上，没有人真正知道这些币是否仍然存在：

• 活着的所有者
• 且该所有者仍然掌握密钥

即便能够证明自己曾经拥有这些币，也未必意味着其在法律上有足够权力去突破密码学保护并重新夺回它们。

这种法律上的模糊性，会进一步提高一种风险：

• 即这些被遗弃、暴露于量子风险下的币，最终落入那些愿意无视法律约束的恶意攻击者手中。

Bitcoin 还存在另一个特殊问题：

• 其交易吞吐量非常低。

即便未来迁移方案已经完全确定，把所有存在量子风险的资金迁移到后量子安全地址，也仍然需要数个月（见2024年论文Downtime Required for Bitcoin Quantum-Safety）时间------这是按照 Bitcoin 当前交易吞吐率计算的。

这些挑战意味着：Bitcoin 必须从现在开始规划其后量子迁移，并不是因为"具备密码学攻击能力的量子计算机"很可能在 2030 年前出现；而是因为完成数十亿美元资产迁移所涉及的：

• 治理
• 社会协调
• 技术实施

本身就需要数年时间才能解决。

量子威胁对于 Bitcoin 确实是真实存在的。

但其时间压力，更多来自 Bitcoin 自身的约束，而不是来自"量子计算机即将到来"这一事实。

其他区块链当然也会面临量子脆弱资金的问题；但 Bitcoin 的暴露程度尤其严重。

因为 Bitcoin 最早期的交易使用的是 pay-to-public-key（P2PK）输出，它会直接把公钥暴露在链上。这导致 Bitcoin 中有相当大比例的 BTC 会暴露给"具备密码学攻击能力的量子计算机"。而这一技术差异，再叠加：

• Bitcoin 的历史年龄
• 财富集中程度
• 低吞吐量
• 僵化的治理结构

使得这一问题尤为严重。

需要注意的是：上面所描述的那些脆弱性，影响的是 Bitcoin 数字签名的密码学安全性------但并不影响 Bitcoin 区块链的经济安全性（economic security）。

这种经济安全性来源于其工作量证明（PoW）共识机制，而 PoW 并不像数字签名那样容易受到量子计算机攻击，其原因有三点：

1. PoW 依赖的是哈希函数，因此它只会受到 Grover's search algorithm 带来的平方级量子加速影响，而不会受到 Shor's algorithm 所带来的指数级加速影响。
2. 实现 Grover 搜索在实践中存在巨大额外开销，因此任何量子计算机即便在 Bitcoin 的工作量证明机制上实现哪怕很小的现实世界加速，也都被认为是极不可能（见2024年9月视频Invited talk II by Sam Jaques (CHES 2024)）的。
3. 即便真的实现了显著加速，这种加速也只是让大型量子矿工相比小型矿工更具优势，而不会从根本上破坏 Bitcoin 的经济安全模型。

6. 后量子签名的成本与风险

要理解为什么区块链不应该仓促部署后量子签名，需要同时理解：

• 性能成本
• 以及人们对于后量子安全性仍在演进中的信心

目前，大多数后量子密码学方案都基于以下五种路线之一：

• 哈希（hashing）
• 编码（codes）
• 格（lattices）
• 多变量二次系统（multivariate quadratic systems，MQ）
• 同源（isogenies）

为什么会存在五种不同路线？

因为任何后量子密码原语的安全性，都建立在这样一种假设之上：量子计算机无法高效解决某个特定数学问题。

而这个问题越"结构化（structured）"，通常就越能基于它构建出高效的密码协议。

但这是一把双刃剑：额外的结构性，也会给攻击算法提供更多可利用的攻击面。

因此会出现一种根本性张力------更强的结构性假设能够带来更好的性能，但代价是：

• 一旦这些假设最终被证明错误，系统就会更容易出现安全漏洞。

总体而言：

• **基于哈希的方法（hash-based approaches）**在安全性上最保守。

因为最有信心认为：量子计算机无法高效攻击这些协议。但与此同时，它们的性能也是最差的。

如NIST 已标准化的基于哈希的签名方案，即便使用最小参数，其签名大小也达到 7~8 KB。相比之下，今天基于椭圆曲线的数字签名仅有 64 字节。两者尺寸差距大约达到 100 倍。

基于格（lattice schemes）的方案则是当前部署重点。

NIST 已经选定用于标准化的：

• 唯一加密方案
• 以及三个签名方案中的两个

都基于格。

其中一个格方案 ML-DSA（前身为 Dilithium），其签名尺寸范围为：

• 2.4 KB（128 位安全级别）
• 到 4.6 KB（256 位安全级别）

这意味着：它们比今天基于椭圆曲线的签名大约大 40~70 倍。

另一个格方案 Falcon 则拥有相对更小的签名：

• Falcon-512：666 字节
• Falcon-1024：1.3 KB

但它依赖复杂的浮点运算，而 NIST 本身也将其视为一种特殊实现挑战。

Falcon 的作者之一 Thomas Pornin 甚至表示：

"这是其实现过的、迄今为止最复杂的密码算法。"

与基于椭圆曲线的签名方案相比，基于格（lattice-based）的签名方案在实现安全性方面也更加困难：

ML-DSA 存在更多敏感中间值，并且包含复杂的拒绝采样逻辑（rejection-sampling logic），这些部分都需要进行：

• 侧信道（side-channel） 防护
• 以及 故障（fault） 攻击防护

而 Falcon 则进一步引入了：

• 常数时间（constant-time）
• 浮点运算
• 实现安全

等方面的问题。

事实上，针对 Falcon 实现的多种侧信道攻击已经能够恢复私钥（见2022年Breaking FALCON Post-Quantum Signature Scheme through Side-Channel Attacks）。

这些问题带来的都是"当前现实中的直接风险"，而不是像"具备密码学攻击能力的量子计算机"那样仍然遥远的未来威胁。

对于那些性能更好的后量子密码方案，人们有充分理由保持谨慎。

历史上，像：

• Rainbow（基于 MQ 的签名方案）
• SIKE/SIDH（基于同源的加密方案）

这样的领先候选者，都曾被，也就是使用今天的经典计算机，而不是量子计算机，彻底攻破，详情见：

• 2022年论文 Breaking Rainbow Takes a Weekend on a Laptop
• 2022年论文 [An efficient key recovery attack on SIDH(https://eprint.iacr.org/2022/975.pdf)

而且，这些攻击发生时，NIST 的标准化流程已经推进到了很后期。

这其实是健康科学过程正常发挥作用的体现。

但它也说明：过早标准化与部署，可能会适得其反。

正如前文提到的，互联网基础设施目前对签名迁移采取的是一种审慎推进（deliberate）的策略。

这一点尤其值得注意，因为：互联网密码迁移一旦开始，真正完成往往需要非常长时间。

如淘汰 MD5 与 SHA-1 哈希函数------尽管它们多年前就已经被 Web 标准组织正式弃用------真正落实到整个基础设施中，仍然花费了许多年，并且在某些场景下直到今天仍未彻底完成。

而这一切发生时，这些方案其实已经被完全攻破，而不仅仅是"可能在未来技术下存在风险"，详情见：

• Creating a rogue CA certificate
• do instant MD5 collisions of any pair of PDFs
• 2005年论文 How to Break MD5 and Other Hash Functions

7. 区块链相对于互联网基础设施的独特挑战

幸运的是，那些由活跃开源社区维护的区块链------如：

• Ethereum
• Solana

------其升级速度通常快于传统互联网基础设施。

但另一方面，传统互联网基础设施有一个优势：它们会频繁轮换密钥（key rotation）。

这意味着：

• 它们的攻击面变化速度，通常快于早期量子计算机能够真正实施攻击的速度。

而区块链并不具备这种"奢侈条件"：

• 因为链上的币及其对应密钥，可能会长期暴露在那里。

不过，综合来看：

• 区块链仍然应该采用互联网那种"审慎推进"的签名迁移方式。

因为，对于数字签名而言，两者都不会受到 HNDL 攻击；

• 而无论密钥存续多久，过早迁移到尚不成熟的后量子方案，其成本与风险始终都非常显著。

此外，还有一些区块链特有的问题，使得"过早迁移"尤其危险且复杂。

如区块链对于签名方案有特殊需求，尤其是能够快速聚合大量签名。

如今，BLS 签名之所以被广泛使用，就是因为它能够实现非常快速的签名聚合，但它并不具备后量子安全性。

研究人员目前正在探索基于 SNARK 的后量子签名聚合方案，详情见：

• 以太坊2025年7月31日博客 lean Ethereum
• 以太坊2025年论文 Hash-Based Multi-Signatures for Post-Quantum Ethereum

这一方向前景很好，但仍处于早期阶段。

对于 SNARK 本身而言：

当前社区主要聚焦于 基于哈希的构造，作为主要的后量子方案。但一个重大转变正在到来：

• 相信，在未来几个月乃至几年内，基于格（lattice-based）的方案将会成为极具吸引力的替代选择。

  这些方案在多个方面都会比基于哈希的 SNARK 拥有更好性能，如：

  • 显著更短的证明（proof）

  这与"基于格的签名比基于哈希的签名更短"这一现象是类似的。

8. 当前更大的问题：实现安全性（Implementation security）

在未来很多年里，实现层面的漏洞（implementation vulnerabilities） 都会比"具备密码学攻击能力的量子计算机"构成更大的安全风险。

对于 SNARK 而言，首要问题是 bugs。

Bug 对数字签名与加密方案本身就已经是一个challenge（见2024年论文Finding Bugs and Features Using Cryptographically-Informed Functional Testing），而 SNARK 的复杂度则远远更高。

事实上，一个数字签名方案，本质上可以被视为一种非常简单的 zkSNARK，其证明 statement 类似于：

"我知道与该公钥对应的私钥，并且我授权了这条消息。"

对于后量子签名而言，当前现实中的风险还包括各种实现攻击，如：

• 侧信道攻击（side-channel attacks）
• 故障注入攻击（fault-injection attacks）

这些攻击已经被充分研究，并且确实能够从真实部署系统中提取私钥。

相比遥远的量子计算机，这些威胁更加现实、更加紧迫。

未来很多年里，社区都需要持续：

• 发现并修复 SNARK 中的 bug
• 加固后量子签名实现，以抵御侧信道与故障注入攻击

由于后量子 SNARK 与可聚合签名方案目前仍远未尘埃落定，因此：

那些过早迁移的区块链，很可能会被锁死在次优方案上。

之后当：

• 更好的方案出现
• 或发现实现漏洞

时，它们又不得不进行第二次迁移。

9. 应该怎么做？7 条建议

基于前面讨论的现实情况，最后给不同参与方------从开发者到政策制定者------提出一些建议。

核心原则是 认真对待量子威胁，但不要基于一种未经证实的前提采取行动------即"具备密码学攻击能力的量子计算机会在 2030 年前出现"。

当前技术进展并不支持这种假设。

但即便如此，现在依然有很多事情值得立刻去做。

• 1）应该立即部署混合式加密（hybrid encryption）

  至少，在那些 长期保密性重要 且成本可接受 的场景中，应立即部署。

  许多浏览器、CDN 与消息应用（如 iMessage 与 Signal）已经部署了混合方案。

  这种"后量子 + 经典"的混合方式：既能抵御 HNDL 攻击，又能在后量子方案本身最终存在漏洞时，保留经典密码学安全性。

• 2）在能够接受大尺寸签名的场景中，立即使用基于哈希的签名

  软件 / 固件更新，以及其他 低频率、对尺寸不敏感 的场景，应当现在就 采用混合式哈希签名。

  （这里采用 hybrid，并不是因为人们怀疑基于哈希的安全假设，而是为了防范新方案实现中的 bug。）

  这是一个保守而稳妥的策略。

  它能够在极小概率下、若"具备密码学攻击能力的量子计算机"意外提前出现时，为社会提供一条明确的"救生艇（lifeboat）"。

  否则，如果在 CRQC 出现之前，尚未部署支持后量子签名的软件更新机制，那么未来就会陷入一个 bootstrap 问题：将无法安全地分发那些用于抵御量子攻击的后量子密码修复更新。

• 3）区块链不需要仓促部署后量子签名------但现在就应该开始规划

  区块链开发者应当学习 Web PKI 社区的做法，以审慎方式推进后量子签名部署。

  这样可以给后量子签名方案更多时间：

  • 在性能方面继续成熟
  • 在安全性理解方面继续深化

  同时也能让开发者有时间：

  • 重构系统以适配更大的签名
  • 开发更好的聚合技术

  对于 Bitcoin 与其他 L1： 社区需要尽快明确：

  • 迁移路径
  • 以及对被遗弃、存在量子风险资金的处理政策

  因为被动迁移是不可能的，所以规划至关重要。

  而 Bitcoin 又面临特殊挑战------并且这些挑战大多不是技术问题：

  • 缓慢的治理机制
  • 大量高价值、可能已经被遗弃、且暴露于量子风险的钱包地址

  因此，Bitcoin 社区尤其应该现在就开始规划。

  与此同时也需要给 后量子 SNARK、可聚合签名（aggregatable signatures）相关研究继续成熟的时间（很可能还需要几年）。

  再次强调：过早迁移，可能会导致系统被锁定在次优方案上，或者未来因实现漏洞而被迫再次迁移。

  关于 Ethereum 的账户模型说明： Ethereum 支持两类账户，而它们对于后量子迁移的影响并不相同：

  • externally owned accounts（EOAs）
    • 即传统账户
    • 由 secp256k1 私钥控制
  • smart contract wallets
    • 即具有可编程授权逻辑的钱包

  在非紧急情况下，如果 Ethereum 增加后量子签名支持：

  • 可升级的智能合约钱包，可以通过合约升级切换到后量子验证逻辑；
  • 而 EOA 则很可能需要把资金迁移到新的后量子安全地址。

  （当然，Ethereum 未来也可能为 EOA 提供专门迁移机制。）

  而在量子紧急状态下，Ethereum 研究者已经提出了一种硬分叉方案：冻结脆弱账户，并允许用户通过后量子安全 SNARK 证明自己掌握 seed phrase，从而恢复资金。这种恢复机制既适用于EOA、也适用于尚未升级的智能合约钱包

  对于普通用户而言，其实际含义是：那些经过充分审计、支持升级的智能合约钱包，可能会提供稍微更平滑的迁移路径。但这种差异其实有限，并且会带来额外权衡，如对钱包提供方的信任、升级治理问题。

  真正更重要的是，Ethereum 社区能够持续推进 后量子原语、应急响应方案 相关工作。

  给开发者的更广泛设计启示：

  如今很多区块链，都把"账户身份"与某种具体密码原语紧密绑定，如：

  • Bitcoin 与 Ethereum 绑定到 secp256k1 上的 ECDSA
  • 其他链绑定到 EdDSA

  而后量子迁移所暴露出的核心问题之一，就是：账户身份不应该与某种具体签名方案强耦合。

  Ethereum 正在向 smart accounts 演进，而其他链也在推进类似的账户抽象（account abstraction）工作，详情见：

  • Sui All About Account Abstraction
  • Sui Cryptography in Sui: Agility
  • Aptos Introducing Account Abstraction on Aptos
  • Near Unlocking Web3 Usability with Account Aggregation

  其核心思想是：允许账户在不放弃其链上历史与状态的前提下，升级自身认证逻辑。

  这种解耦并不能让后量子迁移变得"轻而易举"，但它确实会比"把账户永久绑定到单一签名方案"提供更大的灵活性。

  （此外，这还会顺带支持一些与后量子无关的功能，如sponsored transactions、social recovery、multisig 等。）

• 4）对于会加密或隐藏交易细节的隐私链，如果性能可接受，应优先、更早地推进迁移。

  这些链上的用户机密性目前暴露于 HNDL 攻击风险之下，不过不同设计之间的严重程度有所不同。

  那些仅凭公开账本就能够实现完整事后去匿名化（retroactive deanonymization）的链，面临的风险最为紧迫。

  应考虑采用混合方案（后量子 + 经典），以防那些"看似后量子安全"的方案最终甚至被经典计算机攻破；或者，应当通过架构改造，避免将可被解密的秘密直接放到链上。

• 5）在短期内，应优先关注"实现安全性（implementation security）"，而不是量子威胁缓解。

  尤其对于 SNARK 与后量子签名这类复杂密码原语而言，未来很多年里，bug、实现攻击（侧信道攻击、故障注入）都会比"具备密码学攻击能力的量子计算机"构成更大的安全风险。

  现在就应投入资源到：

  • 审计（auditing）
  • 模糊测试（fuzzing）
  • 形式化验证（formal verification）
  • defense in depth / 分层安全（layered security）

  等方向。

  不要让对量子威胁的担忧，掩盖了更加现实、更加紧迫的 bug 风险！

• 6）继续资助量子计算发展。

  上述所有讨论背后，一个重要的国家安全含义是：需要持续投入资金，并培养量子计算人才。

  如果某个主要对手国家先于美国实现"具备密码学攻击能力的量子计算能力"，将会对美国乃至全球带来严重国家安全风险。

• 7）对量子计算相关新闻保持理性判断。

  随着量子硬件不断成熟，未来几年一定还会出现大量"里程碑式"公告。

  但具有讽刺意味的是：这些公告出现得越频繁，恰恰越说明：距离真正"具备密码学攻击能力的量子计算机"其实仍然很远。

  因为每一个里程碑，都只是通往那个目标道路上的众多桥梁之一，而每一个桥梁，都会带来自己的一轮媒体标题与市场兴奋。

  应把新闻稿视为：需要批判性分析的"进展报告（progress reports）"，而不是推动仓促行动的信号。

当然，未来也可能出现令人意外的突破或创新，从而加速当前时间预期；同样，也可能出现严重扩展瓶颈，使时间线进一步拉长。

在此并不会声称："五年内出现具备密码学攻击能力的量子计算机"在绝对意义上不可能；只是认为其概率极低。

而上述建议，对于这种不确定性本身就是鲁棒的（robust）。

遵循这些建议，也能帮助避免那些更加现实、更有可能发生的风险：

• 实现 bug
• 仓促部署
• 以及密码学迁移过程中常见的失败方式

参考资料

1\] a16zcrypto团队2025年12月5日博客 [Quantum computing and blockchains: Matching urgency to actual threats](https://a16zcrypto.com/posts/article/quantum-computing-misconceptions-realities-blockchains-planning-migrations/)