五年、十年还是更久？一份关于量子计算威胁的时间线评估

原文作者：Justin Thaler (@SuccinctJT)，a16z 研究合伙人

原文编译：AididiaoJP，Foresight News

量子计算机何时能破解密码？这个问题的时间线常被夸大，引发了对「紧急、全面转向后量子密码学」的呼声。

但这些呼声往往忽视了过早迁移的成本与风险，也忽略了不同密码学工具的威胁本质截然不同：

后量子加密需立即部署，代价再高也得做。因为「现在窃取、未来解密」的攻击已经存在。今天加密的敏感数据，即使几十年后量子计算机才出现，依然价值巨大。后量子加密虽有效能损耗和实施风险，但对需要长期保密的数据来说，我们别无选择。
后量子数字签名则另当别论。它们不易受上述「窃存解密」攻击，而其自身成本与风险（尺寸变大、性能开销、方案不成熟、潜在漏洞）要求的是审慎规划，而非立即行动。

区分这点至关重要。误解会扭曲成本效益分析，让团队忽视更紧迫的安全风险比如程序漏洞。

成功过渡到后量子密码学的真正挑战，在于让行动的紧迫性与真实的威胁相匹配。下文将澄清关于量子计算威胁密码学的常见误解，涵盖加密、签名和零知识证明，并特别聚焦其对区块链的意义。

时间线：我们离能破解加密技术的量子计算机还有多远？

尽管不乏夸张宣传，但在本世纪 20 年代出现「密码学相关量子计算机」的可能性极低。

所谓「密码学相关量子计算机」，我指的是一台容错、纠错的量子计算机，它能运行 Shor 算法，规模足以在合理时间内（例如持续计算不超过一个月）攻破椭圆曲线密码（如 secp256k1）或 RSA（如 RSA-2048）。

根据公开的技术里程碑和资源评估，我们离这样的计算机还非常遥远。虽有公司声称在 2030 年甚至 2035 年前就可能实现，但已知进展并不支持这些说法。

目前，无论是囚禁离子、超导量子比特还是中性原子体系，没有任何量子计算平台，能接近破解 RSA-2048 或 secp256k1 所需的数十万乃至数百万个物理量子比特（具体数量取决于错误率和纠错方案）。

瓶颈不仅是量子比特数量，更在于门保真度、量子比特间的连接性，以及运行深度量子算法所需的持续纠错电路深度。当前有些系统物理量子比特数已超 1000，但仅此数字具有误导性：它们缺乏密码学计算所需的连接性和保真度。

近期系统虽在接近量子纠错所需的物理错误率门槛，但至今无人能稳定运行超过几个逻辑量子比特，更别提运行 Shor 算法所需的数千个高保真、深电路、容错的逻辑量子比特。从原理验证到实现密码分析所需规模，差距依然巨大。

简言之：在量子比特数量和保真度提升数个数量级之前，密码学相关量子计算机遥不可及。

然而，企业新闻稿和媒体报道常令人困惑。主要的混淆点包括：

「量子优势」演示：目前演示的任务多为精心设计，并非实际有用，只因它们能在现有硬件上运行并「显得」很快。这一点在宣传中常被淡化。
「数千物理量子比特」的宣传：这通常指的是量子退火机，而非攻击公钥密码所需的、能运行 Shor 算法的门模型量子计算机。
对「逻辑量子比特」的滥用：物理量子比特有噪声，实用算法需要由许多物理量子比特通过纠错构成的「逻辑量子比特」。运行 Shor 算法需要数千个这样的逻辑量子比特，每个通常需数百至数千个物理量子比特。但有些公司夸大其词，例如最近有宣称用「距离 -2」纠错码（仅能检错，不能纠错）以每逻辑量子比特仅 2 个物理量子比特实现了 48 个逻辑量子比特，这毫无意义。
路线图的误导：许多路线图中的「逻辑量子比特」仅支持「Clifford 操作」，这些操作可被经典计算机高效模拟，不足以运行需要大量「非 Clifford 门」（如 T 门）的 Shor 算法。因此，即便某路线图宣称「在 X 年实现数千逻辑量子比特」，也不意味着该公司预计那时就能破解经典密码。

这些做法严重扭曲了公众（包括资深观察者）对量子计算进度的认知。

当然，进展确实令人兴奋。例如 Scott Aaronson 近期写道，鉴于「硬件进展速度快得惊人」，他认为「在下届美国总统大选前，我们拥有一台能运行 Shor 算法的容错量子计算机，是一个真实的可能性」。但他随后澄清，这并非指密码学相关的量子计算机——即使只是容错地分解 15=3×5（这用纸笔算更快），他也算其承诺达成。这仍是小规模演示，且此类实验总以 15 为目标，因为模 15 运算简单，稍大的数（如 21）就困难得多。

关键结论：预计在未来 5 年内出现能破解 RSA-2048 或 secp256k1 的密码学相关量子计算机——这对实际密码学至关重要——缺乏公开进展的支持。即便 10 年，也仍具雄心。

因此，对进展的兴奋与「仍需十几年」的时间线判断并不矛盾。

那么，美国政府将 2035 年定为政府系统全面后量子迁移的最后期限又如何？我认为这是完成大规模转型的合理时间规划，但它并非预测届时一定会出现密码学相关量子计算机。

「现在窃取，未来解密」攻击：适用于谁？不适用于谁？

「现在窃取，未来解密」攻击指：攻击者现在存储加密流量，待未来密码学相关量子计算机出现后再解密。国家级对手很可能已在大量归档来自美国政府的加密通信，以备未来解密。

因此，加密必须立即升级，至少对于那些需要 10-50 年以上保密期的数据。

但数字签名（所有区块链的基石）与加密不同：它没有需要追溯攻击的机密性。即使未来量子计算机出现，也只能从那时起伪造签名，而无法「解密」过去的签名。只要你能证明签名是在量子计算机出现前生成的，它就不可伪造。

这使得向后量子数字签名的过渡，远不如加密过渡紧迫。

主流平台正是这样做的：

Chrome 和 Cloudflare 已为网络 TLS 加密部署了混合 X25519+ML-KEM 方案。「混合」意味着同时使用后量子安全方案（ML-KEM）和现有方案（X25519），兼具两者安全性，既防 HNDL 攻击，又在后量子方案出问题时保有经典安全。
Apple 的 iMessage (PQ3 协议 ) 和 Signal (PQXDH 和 SPQR 协议 ) 也部署了类似的混合后量子加密。

相比之下，后量子数字签名在关键网络基础设施上的部署则被推迟，直到密码学相关量子计算机真正迫近。因为当前的后量子签名方案会带来性能下降（下文详述）。

零知识证明（zkSNARKs）的处境与签名类似。即使那些非后量子安全的 zkSNARK（它们使用椭圆曲线密码），其「零知识」属性本身是后量子安全的。该属性确保证明不泄露任何关于秘密的信息（量子计算机也无可奈何），因此没有可「现在窃取」的机密供未来解密。所以，zkSNARKs 也不易受 HNDL 攻击。在量子计算机出现前生成的任何 zkSNARK 证明都是可信的（即便它使用椭圆曲线密码），量子计算机出现后，攻击者才能伪造假证明。

这对区块链意味着什么？

大多数区块链不易受 HNDL 攻击。

像现在的比特币和以太坊这类非隐私链，其非后量子密码学主要用于交易授权（即数字签名），而非加密。这些签名不构成 HNDL 风险。例如比特币区块链是公开的，量子威胁在于签名伪造（盗取资金），而非解密已公开的交易数据。这消除了来自 HNDL 的即刻密码学紧迫性。

遗憾的是，即使如美联储等权威机构的分析，也曾错误地声称比特币易受 HNDL 攻击，这夸大了过渡的紧迫性。

当然，紧迫性降低不意味着比特币可以高枕无忧。它面临着来自协议变更所需巨大社会协调工作的不同时间压力（下文详述）。

目前的例外是隐私链。许多隐私链对收款方和金额进行加密或隐藏。这些机密信息可以被现在窃取，并在未来量子计算机破解椭圆曲线密码后被追溯去匿名化。攻击严重性因设计而异（例如门罗币的环签名与密钥镜像可能使交易图被完整重建）。因此如果用户在意其交易不被未来量子计算机暴露，隐私链应尽快过渡到后量子原语（或混合方案），或采用不将可解密秘密上链的架构。

比特币的特殊难题：治理僵局与「沉睡币」

对于比特币，有两个现实因素驱动着开始规划后量子签名的紧迫性，且都与量子技术本身无关：

治理速度慢：比特币变革缓慢，任何争议都可能引发破坏性硬分叉。
无法被动迁移：币主必须主动迁移其币。这意味着被遗弃的、量子脆弱的币无法受到保护。据估计，这类「沉睡」且量子脆弱的 BTC 可能达数百万枚，现值数千亿美元。

然而，量子威胁对比特币并非「一夜之间」的末日，更像一个选择性、渐进式的目标锁定过程。早期量子攻击将极其昂贵缓慢，攻击者会选择性瞄准高价值钱包。

此外，避免地址复用且不使用 Taproot 地址（后者直接在链上暴露公钥）的用户，即使没有协议升级，也基本安全——他们的公钥在花费前一直隐藏在哈希值后。只有当花费交易广播时，公钥才暴露，此时会有一场短暂的实时竞赛：诚实用户要尽快确认交易，而量子攻击者则试图在此之前算出私钥并盗币。

因此，真正脆弱的币是那些公钥已暴露的：早期 P2PK 输出、复用地址和 Taproot 持有资产。

对于已被遗弃的脆弱币，解决方案棘手：要么社区约定一个「截止日」，之后未迁移币视为销毁；要么任由其被未来拥有量子计算机的人夺取。后者会带来严重的法律与安全问题。

比特币特有的最后一个难题是低交易吞吐量。即使迁移计划敲定，以当前速率迁移所有脆弱资金也需要数月之久。

这些挑战使得比特币必须现在就开始规划后量子过渡——并非因为量子计算机可能在 2030 年前出现，而是因为迁移价值数千亿美元资产所需的治理、协调和技术后勤工作，本身就需要数年时间。

比特币的量子威胁是真实的，但时间压力主要源于其自身约束，而非迫在眉睫的量子计算机。

注：以上关于签名的漏洞，不影响比特币的经济安全性（即工作量证明共识）。PoW 依赖哈希运算，仅受 Grover 搜索算法的二次加速影响，且实际开销巨大，不太可能实现显著加速。即便有，也只是让大矿工更有优势，而非颠覆其经济安全模型。

后量子签名的成本与风险

为什么区块链不应仓促部署后量子签名？我们需要理解其性能成本及我们对这些新方案仍在演化的信心。

后量子密码学主要基于五类数学难题：哈希、编码、格、多元二次方程组、椭圆曲线同源。之所以多样，是因为方案效率与所依赖问题的「结构性」有关：结构越多，效率通常越高，但给攻击算法留下的突破口也可能越多，这是一种根本的权衡。

哈希方案最保守（安全性信心最足），但性能最差。例如 NIST 标准化的哈希签名最小也有 7-8KB，而当前椭圆曲线签名仅 64 字节，相差约百倍。
格方案是当前部署焦点。NIST 选定的唯一后量子加密方案（ML-KEM）及三种签名中的两种（ML-DSA，Falcon）均基于格。
ML-DSA 签名大小约 2.4-4.6KB，是当前签名的 40-70 倍。
Falcon 签名较小（0.7-1.3KB），但实现极其复杂，涉及恒定时间浮点运算，已有侧信道攻击成功案例。其创始人之一称这是「我实现过的最复杂的密码算法」。
实施安全挑战更大：格基签名比椭圆曲线签名有更多敏感中间值和复杂的拒绝采样逻辑，需要更强的侧信道和故障注入防护。

这些问题带来的直接风险，远比遥远的量子计算机现实得多。

历史教训也让我们需保持谨慎：NIST 标准化过程中的领先候选方案，如 Rainbow（基于 MQ 的签名）和 SIKE/SIDH（基于同源的加密），都曾被经典计算机攻破。这说明了过早标准化和部署的风险。

互联网基础设施对签名迁移采取了审慎态度，这尤其值得注意，因为密码学过渡本身就耗时漫长（例如从 MD5/SHA-1 的迁移持续了多年且仍未彻底完成）。

区块链 vs. 互联网基础设施的独特挑战

有利的是，由开源社区维护的区块链（如以太坊、Solana）可以比传统网络基础设施更快升级。不利的是，传统网络可通过频繁密钥轮换来缩小攻击面，而区块链的币和关联密钥可能长期暴露。

但总体上，区块链仍应效仿网络的审慎签名迁移策略。两者在签名上都不受 HNDL 攻击，过早迁移的成本和风险都很大。

区块链还有一些特有的复杂性使其过早迁移尤其危险：

签名聚合需求：区块链常需快速聚合大量签名（如 BLS 签名）。BLS 虽快，但非后量子安全。基于 SNARK 的后量子签名聚合研究有前景，但仍处早期。
SNARKs 的未来：社区目前主要看好基于哈希的后量子 SNARK，但我相信未来数月到数年，基于格的 SNARK 替代方案将会出现，它们将在多方面（如证明长度）表现更优。

当前更严重的问题是：实施安全性。

未来多年，实施漏洞将比量子计算机构成更大的安全风险。对于 SNARKs，主要威胁是程序漏洞。数字签名和加密已有挑战，而 SNARKs 复杂得多。实际上，数字签名可视为一种极简的 zkSNARK。

对于后量子签名，侧信道和故障注入等实施攻击是更紧迫的威胁。社区需要数年时间来加固这些实现。

因此，在尘埃落定之前过早过渡，可能将自己锁定在次优方案中，或被迫二次迁移以修复漏洞。

我们应该怎么做？七条建议

基于以上现实，我对各方（从建设者到决策者）提出以下建议。总原则是：严肃对待量子威胁，但不要预设 2030 年前就会出现密码学相关量子计算机（现有进展不支持此预设）。同时，有些事我们现在就可以且应该做：

立即部署混合加密：至少在需要长期保密且成本可接受的地方。许多浏览器、CDN 和通讯应用（如 iMessage、Signal）已开始部署。混合方案（后量子 + 经典）可防 HNDL 攻击，并规避后量子方案潜在弱点。
在能容忍大尺寸的场景，立即使用基于哈希的签名：例如软件 / 固件更新等低频、对大小不敏感的场景，现在就可采用混合哈希签名（混合是为对冲新方案的实施漏洞）。这提供了一个保守的「救生艇」，以防量子计算机意外提前出现。
区块链无需仓促上马后量子签名，但应立刻开始规划：
开发者应效仿网络 PKI 社区的审慎态度，让方案更成熟。
比特币等公链需定义迁移路径和对「沉睡」脆弱资金的政策。比特币尤其需要现在就开始规划，因其挑战主要是非技术性的（治理慢、高价值「沉睡」地址多）。
给后量子 SNARKs 和可聚合签名的研究留出成熟时间（可能还需几年），避免过早锁定次优方案。
关于以太坊账户：智能合约钱包（可升级）可能提供更顺滑的迁移路径，但差别有限。比账户类型更重要的是，社区继续推进后量子原语研究和应急计划。更广泛的设计启示：解耦账户身份与特定签名方案（如账户抽象）能提供更大灵活性，不仅利于后量子迁移，也支持赞助交易、社交恢复等功能。
隐私链应优先过渡（若性能可接受）：其用户机密性正暴露于 HNDL 攻击之下。可考虑混合方案或架构调整，避免可解密秘密上链。
短期内，优先保障实施安全性，而非过度关注量子威胁：对于 SNARKs 和后量子签名等复杂密码学，漏洞和实施攻击在未来多年都是比量子计算机更大的风险。现在就在审计、模糊测试、形式化验证和纵深防御上投入，别让量子焦虑掩盖了更紧迫的漏洞威胁。
持续资助量子计算研发：从国家安全角度，必须持续投入资金和培养人才。主要对手若率先获得密码学相关量子计算能力，将构成严重风险。
理性看待量子计算新闻：未来会有更多里程碑。但每一个里程碑恰恰证明了我们离目标尚有距离。应将新闻稿视为需要批判性评估的进展报告，而非仓促行动的信号。

当然，技术突破可能加速，瓶颈也可能延长预测。我并非断言五年内绝无可能，只是认为可能性很低。遵循上述建议，能帮助我们规避更直接、更可能的风险：实施漏洞、仓促部署以及密码学过渡中常见的失误。