理解量子计算对区块链安全的真正影响

量子计算对区块链系统的威胁已成为技术和政策讨论中的反复出现的话题，但事实远比大多数热门报道所暗示的要复杂得多。具有密码学相关性的量子计算机 (CRQC) 的时间表仍然是数十年之后的事，而非一些倡导者所描绘的紧急威胁。然而，这并不意味着可以掉以轻心——相反，它要求采取基于实际风险状况的战略性、差异化的方法，而非一味恐慌。

量子时间线：为何是数十年，而非数年

尽管有企业新闻稿和媒体头条，但实现能够破解当前加密技术的量子计算机的现实路径远比普遍假设的要遥远。一个具有密码学相关性的量子计算机需要运行 Shor 算法到足够的规模，以在合理时间内破坏 RSA-2048 或 secp256k1 椭圆曲线密码学。目前的系统远未达到这一门槛。

当今的量子计算机处于一个根本不同的水平。虽然一些系统已超过 1000 个物理量子比特，但这一指标掩盖了关键限制：量子比特的连通性和门操作的保真度仍不足以进行密码学计算。展示量子误差校正的原理与扩展到执行 Shor 算法所需的数千个高保真、容错逻辑量子比特之间的差距巨大。除非量子比特数量和保真度同时增加几个数量级，否则量子密码分析仍是一个长期目标。

这种混淆很大程度上源于对量子进展的故意或无意误导。“量子优势”演示通常针对人为设计的任务，旨在利用现有硬件，而非实际有用的计算。某些路线图中“逻辑量子比特”一词被稀释到公司声称成功实现距离-2错误码和两个物理量子比特——尽管距离-2码仅能检测错误，不能纠正错误。即使是具备 Shor 算法能力的路线图，也常常将一般的容错系统与密码分析相关系统混为一谈，这一区别极为重要。

即使专家表达乐观态度，精确性仍然关键：Scott Aaronson 最近关于在下一届美国总统选举前可能演示 Shor 算法的评论，特别排除了密码学相关的应用——例如，因子分解像 15 这样的小数字，无论用经典还是量子方法都极其简单。公众没有任何证据支持 CRQC 会在未来五年内出现的预期。十年仍然是一个雄心。

关键区别：攻击中的加密，签名暂时安全 (目前为止)

这也是量子素养对于制定合理政策至关重要的地方。Harvest-Now-Decrypt-Later (HNDL) 攻击代表了一个真实的短期担忧，但仅限于加密数据。具有复杂监控能力的对手可以今天存档加密通信，数十年后用量子计算机解密。对于任何处理需要 10-50 年甚至更长时间保密的秘密的组织来说，这是真实的威胁。

数字签名——所有主要区块链的身份验证支柱——面临的威胁模型则截然不同。原因如下：签名不隐藏可以被后续解密的秘密。过去的签名，一旦验证完成，无论未来的量子能力如何，都不能被追溯伪造。通过“从公钥推导私钥”的签名伪造风险 (只在量子计算机存在时才会出现)，这不会激励攻击者提前存档签名。

这一区别完全改变了紧迫性评估。虽然加密需要立即过渡到后量子算法以减轻 HNDL 暴露，但签名可以采用更为审慎的迁移计划。主要互联网基础设施运营商已理解这一点：Chrome 和 Cloudflare 已部署混合的 X25519+ML-KEM 加密，而签名的迁移仍在等待后量子方案成熟后有意推迟。苹果的 iMessage 和 Signal 也已实施类似的“以加密为先”的策略。

具体到区块链，Bitcoin 和 Ethereum 主要使用签名 (通过 secp256k1 上的 ECDSA)，而非加密。它们的交易数据是公开可见的——没有什么可以在之后解密。量子威胁在于签名伪造和私钥提取，而非 HNDL 攻击。这也消除了某些分析（包括一些声称权威的机构如美联储）错误声称的密码学紧迫性。

区块链面临的风险差异巨大

并非所有区块链都具有相同的量子脆弱性模式。像 Monero 和 Zcash 这样的隐私链会对接收者信息和交易金额进行加密或混淆。一旦量子计算机破解了椭圆曲线密码学，这些历史数据就变得可解密，可能实现追溯性去匿名化。特别是对于 Monero，量子对手可以仅凭公开账本重建整个支出图。Zcash 的架构暴露的风险较小，但仍然存在实质性威胁。

对于 Bitcoin 和 Ethereum，立即的密码学风险是：一旦量子计算机出现，针对暴露的公钥的定向攻击将成为可能。并非所有 Bitcoin 都同样脆弱。早期的 pay-to-public-key (P2PK) 输出将公钥直接放在链上；随后重用的地址在首次支出时会暴露密钥；Taproot 控制的资金同样在链上暴露密钥。那些从未重用地址、采用谨慎密钥管理的币种，仍然受到哈希函数的保护，真正暴露的只有在支出交易时——这是合法所有者与量子攻击者之间的短暂竞赛。

然而，Bitcoin 真正紧迫的量子挑战并非来自密码学限制，而是治理和物流问题。Bitcoin 变革缓慢；有争议的升级可能引发破坏性分叉。更关键的是，迁移不能被动进行——用户必须主动将币转移到后量子安全地址。当前估计，仍有数百万 Bitcoin 可能无限期留在易受攻击的地址中，价值数百亿。这一迁移时间表的压力来自 Bitcoin 自身的限制，而非即将到来的量子机器。

后量子密码学的真实成本：为何仓促行动会带来直接风险

当前的后量子签名方案带来的性能惩罚相当大，值得对提前部署保持谨慎。NIST 标准化的格基方案展示了权衡：ML-DSA 生成的签名大小为 2.4-4.6 KB——是当前 64 字节 ECDSA 签名的 40 到 70 倍。Falcon 的签名尺寸略小 (666 字节到 1.3 KB)，但需要复杂的常数时间浮点运算，其设计者之一的密码学家 Thomas Pornin 描述为“我实现过的最复杂的密码算法”。

基于哈希的签名方案提供最保守的安全假设，但性能极差：NIST 标准化的哈希签名在最低安全参数下也达 7-8 KB——大约是当前方案的 100 倍。

实现复杂性本身也带来直接风险。ML-DSA 由于涉及敏感中间值和复杂的拒绝逻辑，需要复杂的侧信道和故障注入保护。Falcon 的浮点操作已被证明容易受到侧信道攻击，从而恢复出密钥。这些实现风险比遥远的量子计算机带来的威胁更为紧迫。

历史经验强调谨慎：SIKE (超奇异等比线性密钥封装)及其前身 SIDH，曾是 NIST 标准化过程中的领先候选，直到被经典计算机破解——而非量子计算机。这并非晦涩的学术发现，而是在标准制定的后期发生，迫使重新调整。同样，Rainbow (多变量二次多项式签名方案)也在经过多年审查后被破解。

这些失败表明：数学问题越有结构，性能越好，但结构也意味着攻击面越大。这一根本矛盾意味着，性能强的后量子方案也更可能被证明不安全。过早部署会将系统锁定在潜在次优或日后被攻破的方案中，导致昂贵的二次迁移。

隐私链应优先，其他链应审慎规划

对于以交易隐私为核心价值的区块链，提前迁移到后量子加密或混合方案（结合经典和后量子算法）是合理的，前提是性能允许。HNDL 攻击面在这些系统中是真实存在的。

对于非隐私链，紧迫性则大不相同。其紧迫性源于治理复杂性和物流，而非密码学的迫在眉睫。Bitcoin 和 Ethereum 应立即开始规划迁移，但执行应遵循网络 PKI 社区的审慎做法。这样可以让后量子签名方案在性能和安全性方面成熟，开发者也有时间重新设计系统以适应更大的签名和更好的签名聚合技术。

BLS 签名因其快速聚合能力在区块链共识机制中广泛使用，但它们并非后量子安全。研究者正在探索基于 SNARK 的后量子聚合方案，虽已展现潜力，但仍处于早期阶段。社区也在探索基于哈希的结构用于后量子 SNARKs，格基方案预计在未来几年出现，可能提供更好的性能，但仍需成熟后才能投入生产。

Ethereum 通过区分由 secp256k1 私钥控制的外部账户 (EOAs) 和具有可编程授权逻辑的智能合约钱包，创造了不同的迁移路径。可升级的智能合约钱包可以通过合约升级切换到后量子验证，而 EOA 需要主动将资金迁移到新地址。Ethereum 研究人员提出了应急硬分叉机制，允许在量子威胁意外出现时，受影响的 EOA 持有人通过后量子安全的 SNARK 恢复资金。

被忽视的优先事项：当前的实现风险远大于未来的量子威胁

虽然量子时间线引人关注，但更紧迫的安全挑战是程序错误和实现攻击。对于像 SNARK 和后量子签名这样复杂的密码学原语，漏洞和侧信道漏洞带来的短期风险远远大于数十年后量子计算机的威胁。

区块链社区应优先进行严格审计、模糊测试、形式验证和多层次安全架构，而非加快后量子转型。同样，针对后量子签名，立即应关注实现攻击——已证明能够从部署系统中提取密钥的侧信道和故障注入攻击。这些威胁不是未来的幻想，而是当下的现实。

战略行动建议：七项针对性措施

立即部署混合加密。 对于任何需要长期保密的数据系统，实施结合经典 (X25519) 和后量子 (ML-KEM) 的混合方案。这既能防范 HNDL 攻击，也能缓解潜在后量子方案的风险。性能成本相较于安全收益是可以接受的。

在低频更新场景中立即采用哈希签名。 软件更新、固件补丁等低频、对签名大小容忍的场景应立即采用混合哈希签名。这提供了保守的安全保障，也为未来在意外提前到来的量子计算机时分发后量子密码学更新打下基础。

谨慎规划区块链迁移，避免仓促部署。 区块链开发者应遵循已建立的网络 PKI 社区最佳实践，而非仓促采用后量子签名。应留出时间让方案成熟、安全性理解深入、实现最佳实践得以巩固。这种审慎的方式可以降低陷入次优方案、需要二次迁移的风险。

特别为 Bitcoin 制定废弃易受攻击资金的政策。 Bitcoin 独特的挑战——缓慢的治理、众多易受攻击的地址、被动迁移的不可行性——要求在短期内制定明确政策，处理永久无法访问的易受攻击的比特币。延迟讨论只会增加大量价值落入恶意者手中的风险。

优先考虑隐私链的早期后量子迁移。 如果性能允许，隐私链应比非隐私系统更早迁移到后量子加密或混合方案。HNDL 攻击面在这些系统中差异巨大——追溯性去匿名化是不可逆的损失，而交易授权的迁移则可以后续补救。

理性评估量子计算公告，而非盲目反应。 每次量子里程碑的宣布都将引发兴奋和紧迫感。应将其视为需要严格批判性分析的进展报告，而非仓促行动的信号。公告的频率实际上反映了我们距离密码学相关性仍有多远；每一项都代表着众多障碍中的一个。

同时投资于短期安全措施和量子研究。 不应让量子担忧掩盖更紧迫的威胁，而应增加对审计、测试、形式验证和侧信道防御的投入。同时，资助量子计算研究——任何主要对手在西方之前实现密码学量子能力的国家安全影响，值得持续关注。

更广泛的设计教训：解耦身份与密码学原语

许多区块链目前将账户身份与特定签名方案紧密绑定：Bitcoin 和 Ethereum 依赖 secp256k1 上的 ECDSA，其他链依赖 EdDSA 或其他方案。这一架构选择在量子转型成为必要时，反而带来了迁移难题。

更好的长期设计应将账户身份与任何特定的签名算法解耦。Ethereum 正在推进智能合约账户抽象的工作，正是这种思路的体现：账户可以在不放弃链上历史或状态的前提下升级验证逻辑。这种架构的灵活性不仅使后量子转型更为顺畅，也支持诸如赞助交易、社会恢复、多签方案等其他功能。

结论：认真对待量子威胁，但避免虚假的紧迫感

量子计算对区块链密码学的威胁是真实的——但其时间线和风险状况远比流行叙述所暗示的要复杂。具有密码学相关性的量子计算机仍然是数十年之后的事，而非未来 5-10 年内，尽管一些企业公告暗示如此。

然而，行动是必要的——只是要根据实际威胁模型进行调整。加密方面，需立即部署混合的后量子方案以确保长期保密。签名方面，应遵循成熟标准和最佳实践，进行深思熟虑、审慎的迁移。实现安全和漏洞预防比遥远的量子威胁更为紧迫。隐私链应优先于非隐私系统进行迁移。Bitcoin 面临的治理和协调挑战也与密码学紧迫性无关。

核心原则：认真对待量子威胁，但不要基于没有依据的假设行动。相反，采纳上述建议——即使出现意外的加速，也能保持稳健，同时避免因实现错误、仓促部署和密码学迁移不当带来的更大风险。