1. 引言
Zcash 的协议设计者与密码学家,对于量子计算机究竟会在"多快"成为现实威胁这一问题,存在不同看法;但普遍认同:
- 提前为其可能对用户隐私与安全造成的影响做好准备,是至关重要的。
这种谨慎态度从项目创立之初就已经存在:
- Zcash团队始终预期未来会出现新的密码学突破------无论是量子方向还是其他方向------并努力将协议中依赖脆弱安全假设的部分进行隔离(compartmentalize)。
作为重视细节的一个极端例子,ZIP-212: Allow Recipient to Derive Ephemeral Secret from Note Plaintext 曾识别并修复了这样一个问题:
- 如果某个攻击者(甚至可能是一个非量子攻击者)能够攻破 zk-SNARK 的 soundness,那么在某种较为特殊的人为场景下,其将有能力破坏隐私。
正如该 ZIP 中提到的:
"Zcash团队一直在努力避免协议中出现任何一种情况,使隐私性(即便是在交互式攻击下)依赖于强密码学假设。"
在整个项目历史中,始终对这些威胁保持警觉。
得益于这种谨慎的协议设计,Zcash 的 shielded transactions 在许多常见场景下,其实已经具备后量子隐私性。【除非量子攻击者同时掌握你的 payment address(收款地址),否则 Zcash 的 shielded transactions 在链上是**完全不可区分(completely indistinguishable)**的。】
尤其值得注意的是:
- 量子攻击者完全无法破坏链上的匿名性(anonymity)。
【
在其他以隐私为重点的区块链中(如 Monero),所谓的 "key images" 并不具备后量子隐藏性(post-quantum hiding)。
因此,对于量子攻击者而言,其交易图(transaction graph)将会变得完全透明。
而 Zcash 的 nullifiers(一个等价概念)则是基于强密码学构造的,如 keyed PRFs(带密钥伪随机函数),这类原语并不容易受到量子计算机攻击。
】
这一优势来源于 Zcash 对以下密码学技术的使用:
- 零知识证明(zero-knowledge proofs)
- (完美隐藏的)承诺方案(perfectly hiding commitment schemes)
- 经过盲化(blinded)的签名密钥
- 以及协议各部分所采用的强对称密码原语
尽管如此,Zcash团队从未宣称自己已经实现了"后量子隐私",因为这些安全保证成立的具体上下文,对用户而言并不直观。
更愿意等到整个情况被彻底完善之后,再进行此类声明,以避免误导用户。
作为通过 Project Tachyon 持续扩展 Zcash 的工作之一,计划从 Tachyon 交易中移除 in-band secret distribution,从而:在链上交易隐私方面,全面抵御所有量子攻击。
这是至关重要的一步,因为:
- 对于区块链协议而言,harvest now, decrypt later(先收集、后解密)威胁极其危险。
2. Soundness(健全性)
在Zcash协议的 shielded 组件中,关于量子计算机所剩余的主要担忧,来自于椭圆曲线密码学(elliptic curve cryptography)可能存在的脆弱性。
这类密码学突破将会危及Zcash协议的 soundness(健全性):
- 它可能允许攻击者伪造资产(counterfeiting),或者(某种意义上等价地)窃取用户资金;
- 但未必会对用户隐私构成风险。
目前,Zcash的用户仍然受到与几乎所有其他加密货币相同的密码学安全假设保护。 【Zcash 最新的 shielded 协议(Orchard)并未使用 pairing-friendly elliptic curves(适用于配对的椭圆曲线)。因此,Zcash对于这类密码学突破的脆弱性更低。
】
尽管必须尽一切努力,在面对量子攻击者时继续提升协议的隐私保证,但相比之下,soundness 被攻破的问题优先级要低一些,
因为Zcash仍然拥有适应并响应量子技术发展的能力。【量子导致的隐私性破坏(privacy breaks)通常是"可追溯到过去"的(retroactive),而 soundness 被攻破通常并非如此。】
为了完全 抵御未来量子计算机而修改协议,本身会带来巨大的机会成本。
【Zcash 所需要的后量子密码学------包括:
- 递归 zk-SNARKs(recursive zk-SNARKs)
- 签名方案
- 以及可能更多组件
------都会导致交易体积变大,并且可能会对硬件钱包等生态造成破坏性变化。
如果过早采用这些最前沿(bleeding-edge)的密码学技术,可能会:
- 减缓 shielded transactions 的采用速度
- 让Zcash项目偏离正在形成的行业标准
- 使Zcash被锁定在未来几年内很可能过时的低效技术上
- 或暴露于那些尚未被充分研究的密码学假设风险之下】
对于Zcash项目生存而言,还有许多更加迫在眉睫的风险。
【Zcash协议需要:
- 用户
- 可扩展性
- 可持续开发与投资
- 去中心化
并且必须在当前监管环境仍然可接受的时候,尽快 实现这一切。
】
不过,可以尽量降低尾部风险(tail risk)。
在其他加密货币领域,人们正在兴起一类关于"量子鲁棒性(quantum robustness)"技术的研究,其核心思想是:
- 如果社区未来切换一个开关(flip a switch),将资金花费条件替换为、或增强为更严格的后量子验证机制,那么资金便能够在合理假设下,对量子攻击者保持免疫。【参见2025年论文The Post-Quantum Security of Bitcoin's Taproot as a Commitment Scheme 以及相关讨论。】
Electric Coin Company 的协议设计者,在过去一年中,也一直在为 Zcash 的 shielded transactions(特别是 Orchard)开发一种被称为 quantum recoverability 的机制。
在钱包工作方式完成修改之后(预计会在未来一年内集成),如果量子计算机真的突然出现,那么用户将能够通过一种特殊机制安全恢复自己的资金,并阻止量子攻击者盗取这些资金。
这一机制同时也能够保护用户隐私。
此外,还有其他改进正在推进中,如Tachyon 的设计继承了许多理念,而这些理念也正是上述恢复协议能够成立的基础。
另外,还在考虑一种通用的 长期存储协议(long-term storage protocol)------它允许用户进一步加固自己的(冷存储)资金,以应对:
- 量子计算机风险
- 或更广义上的密码学实现 bug
最后,Zcash团队也一直在努力确保:
- Zcash对"前量子时代密码学假设"的依赖,被隔离在那些未来可以被后量子抗性技术替换的密码原语中。
3. 当前最佳实践(Today's Best Practices)
保护你的 shielded 资金免受"量子末日"影响的最佳实践,就是:把你的币转入 shielded 状态,并等待后续软件升级。
即便完成了前文提到的那些改进之后,量子计算机所带来的主要 soundness 威胁,仍然是:攻击者能够伪造 shielded coins。
虽然 Zcash 的密码学家会持续领先于技术发展,努力保护用户,
但最后一道防线仍然是 turnstiles。
参考资料
1\] Zcash团队2025年10月16日博客 [Zcash and Quantum Computers](https://seanbowe.com/blog/zcash-and-quantum-computers/)