(120BTC.COm)讯:随着量子运算(Quantum Computing)技术持续突破,市场与政策圈近年频频出现必须立刻全面转向后量子密码学(Post-Quantum Cryptography,PQ)的呼声。不过,创投机构a16z研究合伙人、乔治城大学电脑科学副教授Justin Thaler指出,这类论述往往混淆不同密码学元件的实际风险,过早迁移的成本高昂、且充满漏洞。
量子运算专家Scott Aaronson近期虽表示,未来数年内执行完整Shor演算法在理论上是可能的,但他随后澄清,即便只成功分解15(3×5)这样的玩具级案例,也算达标,距离破解实际加密系统仍极为遥远。因此Thaler认为,未来5~10年内,量子电脑大规模破解主流公钥密码的可能性极低。
HNDL攻击指的是先搜集资料,等到量子运算成熟再解密。国家级单位肯定已经存有美国政府的加密资料,以便在量子计算机出现时解密。不过大部分公链如比特币主网、以太坊,核心用途是在数字签章(Signature),不涉及事后解密问题。只要签章是在量子电脑出现前生成,就不可能被事后伪造。反而是Monero、Zcash这种隐私链,更要担心解密问题。
可破解密码的量子电脑短期内并不存在
Thaler所定义的具密码学破坏力的量子电脑(CRQC),是指能在合理时间内执行Shor演算法、破解RSA-2048或secp256k1(比特币、以太坊使用的椭圆曲线)的容错量子电脑。
他直言,尽管企业与媒体宣称「2030年前出现CRQC」,但从公开的技术里程碑来看,这种预期并不成立。目前不论是超导量子位、离子阱或中性原子架构,距离实际需要的数千个高品质逻辑量子位仍相差数个数量级。
量子运算专家Scott Aaronson近期虽表示,未来数年内执行完整Shor演算法在理论上是可能的,但他随后澄清,即便只成功分解15(3×5)这样的玩具级案例,也算达标,距离破解实际加密系统仍极为遥远。因此Thaler认为,未来5~10年内,量子电脑大规模破解主流公钥密码的可能性极低。
为何加密必须现在换,签章却不用?
加密(Encryption):现在就必须动手
原因在于「先搜集、后解密」(Harvest-Now-Decrypt-Later,HNDL)攻击。国家级对手已开始大量储存今日的加密通讯,等未来量子电脑成熟后再回头解密。因此,只要资料需要10~50年以上的机密性,就没有不转向后量子加密的选项。
这也是为何Cloudflare、Google Chrome已部署混合式X25519+ML-KEM;Apple(iMessage)与Signal也已上线后量子通讯协议。
补充:HNDL攻击指的是敌对势力现在储存加密流量,然后在出现具备密码学意义的量子电脑后对其进行解密。国家级敌对势力肯定已经在大规模地存档来自美国政府的加密通信,以便在多年后,当具备密码学意义的量子计算机出现时,他们能够解密这些通信。
数字签章(Signatures):可以慢慢来
数字签章不涉及事后解密问题。只要签章是在量子电脑出现前生成,就不可能被事后伪造。因此,后量子签章的迁移重点在于治理与工程成熟度,而非即时安全性。
区块链其实多数不受HNDL攻击影响
Thaler指出,多数公链(如Bitcoin、Ethereum)的核心用途是交易授权(签章)而非加密,帐本本身是公开的,因此不存在「先搜集、后解密」风险。他特别点名,有些官方报告(甚至包括美国联准会相关分析)误称比特币面临HNDL攻击,实际上是错误解读。
例外:隐私链
隐私型区块链若在链上使用椭圆曲线加密来隐藏金额或收款人,就可能被未来量子电脑回溯去匿名化。例如Monero、Zcash,风险程度依设计不同而异。对这类链而言,后量子迁移的急迫性显著更高。
比特币的真正压力:不是量子,是治理与历史包袱
Thaler认为,比特币必须现在就开始规划后量子迁移,但原因并非量子电脑即将到来,而是三个非技术因素:
治理极慢:任何重大改动都需长期共识,且存在分叉风险
必须主动迁移:未迁移的旧币(尤其早期P2PK、公钥已曝光的地址)无法被被动保护
大量疑似遗失的BTC:可能高达数百万颗,一旦量子可用,将成为优先攻击目标
他警告,量子攻击不会是一夜毁灭,而是昂贵、缓慢、选择性地锁定高价值钱包。更迫切的威胁其实是实作漏洞,Thaler直言,在可预见的未来,实作漏洞、侧信道攻击、SNARK Bug的风险,远高于量子电脑。
后量子签章(如格基密码ML-DSA、Falcon)动辄0.6~4KB,远高于现行64位元组ECDSA,且实作极其复杂。历史上,多个「准标准」方案(如Rainbow、SIKE)都在量子电脑出现前就被经典攻击击破。
对区块链而言,过早部署不成熟的后量子方案,可能导致:
锁定在次优架构
因漏洞被迫二次迁移
破坏交易吞吐与签章聚合能力(如BLS)
