量子计算对区块链的威胁：为什么时间线比你想象的更重要

量子计算对区块链构成的威胁在大众话语中被广泛夸大。虽然具有密码学相关能力的量子计算机（CRQCs）理论上可能突破当前的加密标准，如RSA和secp256k1，带来严重风险，但它们仍然距离成熟还需数十年——远远超出行业讨论中占主导地位的5-10年时间线。然而，这种距离不应成为自满的理由。真正的紧迫性并不来自于即将到来的量子机器，而是来自于迁移数十亿加密货币到抗量子系统所需的治理、协调和技术后勤。

这个区别至关重要，因为它改变了哪些行动应立即关注，哪些属于过早恐慌。理解真正的量子时间线以及区分不同类型的密码学威胁，展现出比标准“量子威胁”叙述更为细腻的图景。

量子时间线：区分炒作与里程碑

尽管量子计算公司和媒体反复声称CRQCs可能在2030年或2035年前到来，但这一时间线缺乏公开可用的技术进展的严格支持。

目前的量子计算平台——无论是基于陷阱离子、超导量子比特还是中性原子系统——都远未达到运行Shor算法攻击真实密码目标的要求。Shor算法是理论上可以破解椭圆曲线密码（如比特币和以太坊使用的secp256k1）的攻击方法，但实现这一点需要数十万到数百万的物理量子比特，以及极高的门保真度和量子比特连接性。目前超过1000个物理量子比特的系统仍缺乏这些关键特性。

现代量子系统与功能性CRQC之间的差距在于量子比特数量、门保真度和误差校正深度的数量级提升。近期在接近量子误差校正阈值方面的进展是真实且重要的——但从理论可行性到实现数千个稳定、深电路逻辑量子比特以进行密码分析，仍是巨大的工程挑战。

关于量子进展的许多混淆源于企业公告和媒体报道中的误导性表述：

• 量子优势声明常指在当前硬件上设计的人工基准测试，旨在显示速度提升，而非实际的密码学威胁。
• 逻辑量子比特声明有时指仅实现Clifford操作的量子比特，这些可以在经典计算机上高效模拟，无法运行Shor算法。
• “到X年拥有数千逻辑量子比特”的路线图里程碑，通常不意味着在该时间框架内具备CRQC能力。

知名量子计算专家Scott Aaronson最近提出，下一次美国总统选举前可能会出现容错量子计算机运行Shor算法，但他明确指出这并不意味着会出现具有密码学相关能力的量子计算机。演示对小数（如15）的因式分解（在现有系统上可行）与破解RSA-2048根本不同。

**底线：**没有公开证据支持CRQC在五年内破解secp256k1的预期。即使十年，也基于目前的进展仍显乐观。

HNDL攻击与数字签名：理解真正的风险层级

量子威胁的计算依据涉及的密码学类型而大不相同。这一区别至关重要，因为它决定了哪些行动需要紧迫，哪些可以等待。

Harvest-Now-Decrypt-Later（HNDL）攻击对加密数据构成真实且迫在眉睫的威胁。国家级对手已开始存档加密通信，假设未来CRQCs到来后能解密。这使得立即部署后量子加密对任何需要10-50年以上数据保密的组织都至关重要。

然而，数字签名——大多数区块链的密码学基础——的风险动态不同。数字签名不会隐藏可以事后解密的秘密。今天生成的签名证明在特定时刻的所有权。即使量子计算机最终破解了基础数学，CRQCs出现前生成的过去签名仍然有效且无法伪造。历史记录保持安全。

这解释了为什么Chrome、Cloudflare、Apple（iMessage）和Signal已部署结合经典和后量子算法的混合加密方案——立即应对HNDL风险——而在关键基础设施的快速后量子签名部署上则持谨慎态度。

这对区块链意味着什么：差异化的风险分析

大多数非隐私导向的区块链如比特币和以太坊目前不面临立即的HNDL威胁。比特币的分布式账本已公开，量子风险在于签名伪造（推导私钥以窃取资金），而非解密已发布的交易数据。这消除了HNDL攻击对机密通信带来的密码学紧迫性。

美联储的分析曾错误声称比特币面临HNDL漏洞，这夸大了后量子迁移的紧迫性。尽管如此，减少的密码学紧迫性并不意味着“比特币可以无限等待”。

例外的是像Monero和Zcash这样的隐私链，它们对接收地址和金额进行加密或隐藏。一旦CRQCs能破解椭圆曲线密码，这些隐私保护将变得可逆，可能导致过去交易的去匿名化。对于这些链，提前迁移到后量子原语或混合方案是合理的。

比特币的独特挑战：治理与过时，而非量子计算机

比特币面临的真正压力来自远远超出技术范畴的因素：

**治理速度：**比特币的变更管理步伐谨慎。就后量子迁移达成共识可能引发破坏性硬分叉或协调失败。

**被动迁移不可能：**不像传统互联网基础设施定期轮换密钥，比特币需要用户主动将资产迁移到抗量子地址。这造成了过时问题：估计数百万比特币存放在易受量子攻击的地址中，价值数百亿美元，若不迁移可能变得无法访问。

**公钥暴露：**早期比特币交易使用pay-to-public-key（P2PK）输出，将公钥直接放在区块链上。现代地址复用和Taproot实现也提前暴露了密钥。这些设计决策扩大了攻击面——但避免地址复用且未使用Taproot的用户，基本仍受保护。其公钥在花费前隐藏在哈希后，CRQCs到来后，形成了“实时竞赛”——诚实的花费者与量子攻击者之间的较量。

**交易吞吐量限制：**即使有迁移计划，比特币当前的交易速率意味着迁移易受攻击的资产可能需要数月时间——这是数十亿美元资产面临的巨大协调挑战。

这些挑战使得比特币的量子过渡规划变得紧迫——并非因为CRQCs会在2030年前到来，而是比特币自身的结构限制需要数年时间解决。量子威胁是真实的，但时间压力源于比特币的局限性，而非量子计算的进展。

真正的问题：后量子方案复杂且风险高

理解为何区块链不应急于部署后量子签名，需考察这些方案的性能成本和当前的成熟度。

大多数后量子密码学属于五大类：基于哈希、码、格、多变量二次型（MQ）和等变异（isogeny）。其中，SIKE/SIDH是一种基于等变异的加密方案，曾获得大量研究投入，但最近被用经典计算机破解——非量子计算机。Rainbow作为一种MQ签名方案，也在NIST标准化过程中遭遇类似命运。这些失败表明后量子安全假设仍在定型中。

目前标准化的后量子签名方案存在重大缺陷：

哈希签名（如SPHINCS+）：安全性假设极为保守，抗量子攻击，但签名大小为7-8 KB，而当前椭圆签名仅64字节，约100倍大。

格签名（如ML-DSA/Dilithium和Falcon）：提供中等大小的改进，但签名仍比现有标准大40-70倍。ML-DSA需要敏感的中间值和复杂的拒绝逻辑，需侧信道和故障保护。Falcon的浮点运算带来实现难题，Falcon的开发者之一Thomas Pornin称其为“我实现过的最复杂的密码算法”。多次侧信道攻击已成功提取Falcon的密钥。

正确实现这些方案的复杂性意味着实现攻击——侧信道利用、故障注入和微妙的漏洞——比遥远的量子计算机带来的安全风险更为紧迫。这一事实极大改变了风险优先级。

此外，区块链对签名有特殊需求，尤其是快速聚合（目前由BLS签名支持，但后量子不安全）。研究人员正探索基于SNARK的后量子聚合方案，但仍处于早期阶段。迁移可能导致区块链绑定于次优方案，或在出现更好方案时再次迁移。

更大的视野：漏洞比量子计算更重要

未来几年，利用漏洞的风险将超过CRQCs。对于zkSNARKs和后量子签名等复杂原语，程序错误远比量子威胁时间线更具威胁性：

• 数字签名可视为简单的零知识证明，声明“我知道此公钥的私钥并授权此消息”。签名逻辑中的漏洞会直接泄露私钥。
• 后量子签名比传统签名复杂得多，错误概率更高。
• SNARKs远比签名复杂，程序错误的可能性和影响都更大。

实现攻击（侧信道利用、故障注入等）已被充分记录为从部署系统中提取密码秘密的途径。这些威胁是立即存在的，而非像CRQCs那样的理论假设。

安全社区将花费多年时间识别和修复SNARKs及后量子签名的漏洞。过早迁移区块链可能导致部署不成熟的方案，之后又不得不迁移，面对漏洞。

行动框架：七项实用建议

鉴于这些动态，针对不同利益相关者的差异化策略如下：

1. 立即部署混合加密，适用于需要长期数据保密的系统。后量子+经典方案同时防御HNDL攻击，也对新密码学的弱点进行对冲。

2. 对低频更新采用哈希签名：软件补丁、固件更新等场景，签名大小的增加可以接受，应立即采用混合哈希签名方案。这为意外加速的量子进展提供了“救生艇”。

3. 现在规划区块链的后量子迁移，但不要仓促部署。 开发者应遵循互联网PKI基础设施的稳健路径，让后量子方案在性能和安全性上成熟。这为重新架构系统以支持更大签名和更好聚合技术留出空间。

4. 立即制定比特币迁移政策。 比特币社区必须建立应对量子威胁的路径——这是治理问题，而非密码学问题。主动迁移需要提前数年规划，考虑比特币的吞吐量和协调难题。

5. 优先考虑隐私链。 Monero、Zcash等应提前迁移到后量子原语或混合方案，因其用户已面临HNDL风险。

6. 关注短期安全提升。 投资审计、模糊测试、形式验证和多层安全策略。实现攻击和漏洞带来的风险远大于量子计算。

7. 密切关注量子进展。 未来几年将出现大量量子里程碑公告。应将其视为进展报告，保持怀疑态度，而非紧急行动的信号。公告频率本身就显示我们距离密码学量子计算机仍有很远。

未来的设计原则

许多区块链目前将账户身份与特定密码方案紧密绑定。比特币和以太坊使用secp256k1上的ECDSA，其他链默认使用EdDSA。这种绑定使得密码学迁移成本高、风险大。

以太坊向支持升级授权逻辑的智能合约钱包转变，体现了更优的设计原则：将账户身份与任何特定签名方案解耦。 这种灵活性并不意味着后量子迁移变得简单，但比硬编码密码假设提供了更大的适应空间。

这一原则还支持其他优势，如赞助交易、社交恢复和多签方案——表明量子准备和用户体验的改善是相辅相成的。

底线

量子计算对区块链密码学构成的长期威胁是真实的，但主要是一个规划问题，而非迫在眉睫的紧急情况。具有密码学相关能力的量子计算机的时间线远超行业讨论中的5-10年。对于大多数区块链而言，非量子风险——治理挑战、实现攻击和迁移后勤——更需立即关注。

未来的路径在于既要认真对待量子威胁，又要避免因恐慌而做出引入更大风险的决策。长远数据保密的混合加密方案今天已合理，后量子签名的谨慎规划应当从现在开始。但仓促部署未成熟方案，未充分理解其实现风险和技术方案的竞争，将用遥远的威胁换取当前的脆弱。

区块链的量子挑战，归根结底，是关于将紧迫感与实际风险时间线对齐——不是在行动与不行动之间选择，而是在明智准备与仓促行动之间抉择。