量子電腦何時能攻破現有加密技術?a16z 研究合夥人深度剖析量子威脅的真實時間線,釐清加密與簽章面對的不同風險,並為區塊鏈產業提出七大因應建議。本文源自
Justin Thaler / a16z
的研究報告,由
動區
編譯潤飾而成。
(前情提要:
物理專家:再給量子電腦五年就能攻破比特幣私鑰,想升級BTC須全面停機?
)
(背景補充:
比特幣2030前破解?Google Willow「量子回聲」掀專家論戰:多數公鑰早暴露
)
本文目錄
距離能夠攻破比特幣的量子電腦問世,我們究竟還有多遠?
量 子電腦何時能破解現有密碼學?這個問題的時間線經常遭到過度渲染,進而引發「必須緊急且全面轉向後量子密碼學」的呼籲。
然而這些呼籲往往忽略了過早遷移所帶來的成本與風險,也未能認清不同密碼學工具所面臨的威脅本質迥異:
- 後量子加密必須立即部署,無論代價多高都得執行。因為「現在竊取、未來解密」(HNDL)的攻擊手法已然存在。今日加密的敏感資料,即便數十年後量子電腦才問世,其價值依舊非凡。後量子加密雖會造成效能折損和實施風險,但對於需要長期保密的資料而言,我們別無選擇。
- 後量子數位簽章則是另一回事。它們較不容易遭受上述「竊存解密」攻擊,而其本身的成本與風險(體積增大、效能負擔、方案尚未成熟、潛在漏洞)所要求的是審慎規劃,而非立刻行動。
區分這一點至關重要。錯誤的認知會扭曲成本效益分析,導致團隊忽略更迫切的安全風險,例如程式碼漏洞。
成功過渡到後量子密碼學的真正挑戰,在於讓行動的急迫程度與真實威脅相互匹配。下文將釐清關於量子運算威脅密碼學的常見誤解,涵蓋加密、簽章和零知識證明,並特別聚焦其對區塊鏈的意涵。
時間線:距離能攻破加密技術的量子電腦還有多遠?
儘管各種誇大的宣傳不斷,但在本世紀 20 年代出現「密碼學相關量子電腦」的可能性極低。
所謂「密碼學相關量子電腦」,指的是一台具備容錯與糾錯能力的量子電腦,它能夠執行 Shor 演算法,且規模足以在合理時間內(例如持續運算不超過一個月)攻破橢圓曲線密碼(如 secp256k1)或 RSA(如 RSA-2048)。
根據公開的技術里程碑與資源評估,我們距離這樣的電腦仍相當遙遠。儘管有公司宣稱在 2030 年甚至 2035 年前就可能實現,但目前已知的進展並不支持這些說法。
目前,無論是離子阱、超導量子位元或中性原子體系,沒有任何量子運算平台能夠接近破解 RSA-2048 或 secp256k1 所需的數十萬乃至數百萬個物理量子位元(具體數量取決於錯誤率與糾錯方案)。
瓶頸不僅在於量子位元的數量,更在於閘極保真度、量子位元之間的連接性,以及執行深度量子演算法所需的持續糾錯電路深度。當前有些系統的物理量子位元數已超過 1000,但單憑這個數字具有誤導性:它們欠缺密碼學運算所需的連接性與保真度。
近期的系統雖正逐步接近量子糾錯所需的物理錯誤率門檻,但迄今為止無人能穩定執行超過幾個邏輯量子位元,更遑論執行 Shor 演算法所需的數千個高保真、深電路、容錯的邏輯量子位元。從原理驗證到實現密碼分析所需的規模,差距依然巨大。
簡言之:在量子位元數量與保真度提升數個數量級之前,密碼學相關量子電腦仍遙不可及。
然而,企業新聞稿和媒體報道常令人困惑。主要的混淆點包括:
- 「量子優勢」演示:目前演示的任務多為精心設計,並非實際有用,只因它們能在現有硬體上執行並「顯得」很快。這一點在宣傳中常被淡化。
- 「數千物理量子位元」的宣傳:這通常指的是量子退火機,而非攻擊公鑰密碼所需的、能執行 Shor 演算法的門模型量子計算機。
- 對「邏輯量子位元」的濫用:物理量子位元有噪聲,實用演算法需要由許多物理量子位元透過糾錯構成的「邏輯量子位元」。執行 Shor 演算法需要數千個這樣的邏輯量子位元,每個通常需數百至數千個物理量子位元。但有些公司誇大其詞,例如最近有宣稱用「距離 -2」糾錯碼(僅能檢錯,不能糾錯)以每邏輯量子位元僅 2 個物理量子位元實現了 48 個邏輯量子位元,這毫無意義。
- 路線圖的誤導:許多路線圖中的「邏輯量子位元」僅支援「Clifford 操作」,這些操作可被經典計算機高效模擬,不足以執行需要大量「非 Clifford 門」(如 T 門)的 Shor 演算法。因此,即便某路線圖宣稱「在 X 年實現數千邏輯量子位元」,也不意味著該公司預計那時就能破解經典密碼。
這些做法嚴重扭曲了公眾(包括資深觀察者)對量子計算進度的認知。
當然,進展確實令人興奮。例如 Scott Aaronson 近期寫道,鑑於「硬體進展速度快得驚人」,他認為「在下屆美國總統大選前,我們擁有一臺能執行 Shor 演算法的容錯量子計算機,是一個真實的可能性」。但他隨後澄清,這並非指密碼學相關的量子計算機——即使只是容錯地分解 15=3×5(這用紙筆算更快),他也算其承諾達成。這仍是小規模演示,且此類實驗總以 15 為目標,因為模 15 運算簡單,稍大的數(如 21)就困難得多。
關鍵結論:預計在未來 5 年內出現能破解 RSA-2048 或 secp256k1 的密碼學相關量子計算機——這對實際密碼學至關重要——缺乏公開進展的支援。即便 10 年,也仍具雄心。
因此,對進展的興奮與「仍需十幾年」的時間線判斷並不矛盾。
那麼,美國政府將 2035 年定為政府系統全面後量子遷移的最後期限又如何?我認為這是完成大規模轉型的合理時間規劃,但它並非預測屆時一定會出現密碼學相關量子計算機。
「現在竊取,未來解密」攻擊:適用於誰?不適用於誰?
「現在竊取,未來解密」攻擊指:攻擊者現在儲存加密流量,待未來密碼學相關量子計算機出現後再解密。國家級對手很可能已在大量歸檔來自美國政府的加密通訊,以備未來解密。
因此,加密必須立即升級,至少對於那些需要 10-50 年以上保密期的資料。
但數字簽名(所有區塊鏈的基石)與加密不同:它沒有需要追溯攻擊的機密性。即使未來量子計算機出現,也只能從那時起偽造簽名,而無法「解密」過去的簽名。只要你能證明簽名是在量子計算機出現前生成的,它就不可偽造。
這使得向後量子數字簽名的過渡,遠不如加密過渡緊迫。
主流平臺正是這樣做的:
- Chrome 和 Cloudflare 已為網路 TLS 加密部署了混合 X25519+ML-KEM 方案。「混合」意味著同時使用後量子安全方案(ML-KEM)和現有方案(X25519),兼具兩者安全性,既防 HNDL 攻擊,又在後量子方案出問題時保有經典安全。
- Apple 的 iMessage (PQ3 協議 ) 和 Signal (PQXDH 和 SPQR 協議 ) 也部署了類似的混合後量子加密。
相比之下,後量子數字簽名在關鍵網路基礎設施上的部署則被推遲,直到密碼學相關量子計算機真正迫近。因為當前的後量子簽名方案會帶來效能下降(下文詳述)。
零知識證明(zkSNARKs) 的處境與簽名類似。即使那些非後量子安全的 zkSNARK(它們使用橢圓曲線密碼),其「零知識」屬性本身是後量子安全的。該屬性確保證明不洩露任何關於秘密的資訊(量子計算機也無可奈何),因此沒有可「現在竊取」的機密供未來解密。所以,zkSNARKs 也不易受 HNDL 攻擊。在量子計算機出現前生成的任何 zkSNARK 證明都是可信的(即便它使用橢圓曲線密碼),量子計算機出現後,攻擊者才能偽造假證明。
這對區塊鏈意味著什麼?
大多數區塊鏈並不容易受到 HNDL 攻擊。
如同現今的比特幣和以太坊這類非隱私鏈,其非後量子密碼學主要用於交易授權(即數位簽章),而非加密。這些簽章並不構成 HNDL 風險。以比特幣區塊鏈為例,它是公開的,量子威脅在於簽章偽造(竊取資金),而非解密已公開的交易資料。這消除了來自 HNDL 的即刻密碼學急迫性。
遺憾的是,即便如聯準會等權威機構的分析,也曾錯誤地宣稱比特幣容易受到 HNDL 攻擊,這誇大了過渡的急迫性。
當然,緊迫性降低不意味著比特幣可以高枕無憂。它面臨著來自協議變更所需巨大社會協調工作的不同時間壓力(下文詳述)。
目前的例外是隱私鏈。許多隱私鏈對收款方和金額進行加密或隱藏。這些機密資訊可以被現在竊取,並在未來量子計算機破解橢圓曲線密碼後被追溯去匿名化。攻擊嚴重性因設計而異(例如門羅幣的環簽名與金鑰映象可能使交易圖被完整重建)。因此如果使用者在意其交易不被未來量子計算機暴露,隱私鏈應儘快過渡到後量子原語(或混合方案),或採用不將可解密秘密上鍊的架構。
比特幣的特殊難題:治理僵局與「沉睡幣」
對於比特幣而言,有兩個現實因素驅動著開始規劃後量子簽章的急迫性,而這兩者都與量子技術本身無關:
- 治理速度緩慢:比特幣的變革進程遲緩,任何爭議都可能引發具破壞性的硬分叉。
- 無法被動遷移:幣的持有者必須主動遷移其資產。這意味著被遺棄的、對量子攻擊脆弱的幣將無法獲得保護。據估計,這類「沉睡」且對量子脆弱的 BTC 可能多達數百萬枚,以當前價值計算達數千億美元。
然而,量子威脅對比特幣並非「一夕之間」的末日,更像是一個選擇性、漸進式的目標鎖定過程。早期的量子攻擊將極為昂貴且緩慢,攻擊者會選擇性地瞄準高價值錢包。
此外,避免地址重複使用且不使用 Taproot 地址(後者會直接在鏈上暴露公鑰)的使用者,即便沒有協議升級,也基本上是安全的——他們的公鑰在花費之前一直隱藏在雜湊值之後。唯有當花費交易被廣播時,公鑰才會暴露,屆時將展開一場短暫的即時競賽:誠實使用者要盡快確認交易,而量子攻擊者則試圖在此之前算出私鑰並盜取資金。
因此,真正脆弱的幣是那些公鑰已經暴露的:早期 P2PK 輸出、重複使用的地址,以及以 Taproot 方式持有的資產。
對於已被遺棄的脆弱幣,解決方案頗為棘手:要嘛社群約定一個「截止日期」,之後未遷移的幣視為銷毀;要嘛任由其被未來擁有量子電腦的人奪取。後者將帶來嚴重的法律與安全問題。
比特幣特有的最後一個難題是低交易吞吐量。即便遷移計畫已經敲定,以當前的速率遷移所有脆弱資金也需耗費數月之久。
這些挑戰使得比特幣必須從現在就開始規劃後量子過渡——並非因為量子電腦可能在 2030 年前問世,而是因為遷移價值數千億美元資產所需的治理、協調和技術後勤工作,本身就需要數年時間。
比特幣面臨的量子威脅是真實存在的,但時間壓力主要源於其自身的限制,而非迫在眉睫的量子電腦。
注:以上關於簽名的漏洞,不影響比特幣的經濟安全性(即工作量證明共識)。PoW 依賴雜湊運算,僅受 Grover 搜尋演算法的二次加速影響,且實際開銷巨大,不太可能實現顯著加速。即便有,也只是讓大礦工更有優勢,而非顛覆其經濟安全模型。
後量子簽名的成本與風險
為什麼區塊鏈不應倉促部署後量子簽名?我們需要理解其效能成本及我們對這些新方案仍在演化的信心。
後量子密碼學主要基於五類數學難題:雜湊、編碼、格、多元二次方程組、橢圓曲線同源。之所以多樣,是因為方案效率與所依賴問題的「結構性」有關:結構越多,效率通常越高,但給攻擊演算法留下的突破口也可能越多,這是一種根本的權衡。
- 雜湊方案最保守(安全性信心最足),但效能最差。例如 NIST 標準化的雜湊簽名最小也有 7-8KB,而當前橢圓曲線簽名僅 64 位元組,相差約百倍。
- 格方案是當前部署焦點。NIST 選定的唯一後量子加密方案(ML-KEM)及三種簽名中的兩種(ML-DSA,Falcon)均基於格。
- ML-DSA 簽名大小約 2.4-4.6KB,是當前簽名的 40-70 倍。
- Falcon 簽名較小(0.7-1.3KB),但實現極其複雜,涉及恆定時間浮點運算,已有側通道攻擊成功案例。其創始人之一稱這是「我實現過的最複雜的密碼演算法」。
- 實施安全挑戰更大:格基簽名比橢圓曲線簽名有更多敏感中間值和複雜的拒絕取樣邏輯,需要更強的側通道和故障注入防護。
這些問題帶來的直接風險,遠比遙遠的量子計算機現實得多。
歷史教訓也讓我們需保持謹慎:NIST 標準化過程中的領先候選方案,如 Rainbow(基於 MQ 的簽名)和 SIKE/SIDH(基於同源的加密),都曾被經典計算機攻破。這說明了過早標準化和部署的風險。
網際網路基礎設施對簽名遷移採取了審慎態度,這尤其值得注意,因為密碼學過渡本身就耗時漫長(例如從 MD5/SHA-1 的遷移持續了多年且仍未徹底完成)。
區塊鏈 vs. 網際網路基礎設施的獨特挑戰
有利的是,由開源社群維護的區塊鏈(如以太坊、Solana)可以比傳統網路基礎設施更快升級。不利的是,傳統網路可透過頻繁金鑰輪換來縮小攻擊面,而區塊鏈的幣和關聯金鑰可能長期暴露。
但總體上,區塊鏈仍應效仿網路的審慎簽名遷移策略。兩者在簽名上都不受 HNDL 攻擊,過早遷移的成本和風險都很大。
區塊鏈還有一些特有的複雜性使其過早遷移尤其危險:
- 簽名聚合需求:區塊鏈常需快速聚合大量簽名(如 BLS 簽名)。BLS 雖快,但非後量子安全。基於 SNARK 的後量子簽名聚合研究有前景,但仍處早期。
- SNARKs 的未來:社群目前主要看好基於雜湊的後量子 SNARK,但我相信未來數月到數年,基於格的 SNARK 替代方案將會出現,它們將在多方面(如證明長度)表現更優。
當前更嚴重的問題是:實施安全性。
未來多年,實施漏洞將比量子計算機構成更大的安全風險。對於 SNARKs,主要威脅是程式漏洞。數字簽名和加密已有挑戰,而 SNARKs 複雜得多。實際上,數字簽名可視為一種極簡的 zkSNARK。
對於後量子簽名,側通道和故障注入等實施攻擊是更緊迫的威脅。社群需要數年時間來加固這些實現。
因此,在塵埃落定之前過早過渡,可能將自己鎖定在次優方案中,或被迫二次遷移以修復漏洞。
我們該怎麼因應?七大建議
基於以上現實,我向各方(從建設者到決策者)提出以下建議。總體原則是:認真看待量子威脅,但不要預設 2030 年前就會出現密碼學相關量子電腦(目前的進展不支持此預設)。同時,有些事情我們現在就可以而且應該著手進行:
- 立即部署混合加密:至少在需要長期保密且成本可接受的地方。許多瀏覽器、CDN 和通訊應用(如 iMessage、Signal)已開始部署。混合方案(後量子 + 經典)可防 HNDL 攻擊,並規避後量子方案潛在弱點。
- 在能容忍大尺寸的場景,立即使用基於雜湊的簽名:例如軟體 / 韌體更新等低頻、對大小不敏感的場景,現在就可採用混合雜湊簽名(混合是為對沖新方案的實施漏洞)。這提供了一個保守的「救生艇」,以防量子計算機意外提前出現。
- 區塊鏈無需倉促上馬後量子簽名,但應立刻開始規劃:
- 開發者應效仿網路 PKI 社群的審慎態度,讓方案更成熟。
- 比特幣等公鏈需定義遷移路徑和對「沉睡」脆弱資金的政策。比特幣尤其需要現在就開始規劃,因其挑戰主要是非技術性的(治理慢、高價值「沉睡」地址多)。
- 給後量子 SNARKs 和可聚合簽名的研究留出成熟時間(可能還需幾年),避免過早鎖定次優方案。
- 關於以太坊賬戶:智慧合約錢包(可升級)可能提供更順滑的遷移路徑,但差別有限。比賬戶型別更重要的是,社群繼續推進後量子原語研究和應急計劃。更廣泛的設計啟示:解耦賬戶身份與特定簽名方案(如賬戶抽象)能提供更大靈活性,不僅利於後量子遷移,也支援贊助交易、社交恢復等功能。
- 隱私鏈應優先過渡(若效能可接受):其使用者機密性正暴露於 HNDL 攻擊之下。可考慮混合方案或架構調整,避免可解密秘密上鍊。
- 短期內,優先保障實施安全性,而非過度關注量子威脅:對於 SNARKs 和後量子簽名等複雜密碼學,漏洞和實施攻擊在未來多年都是比量子計算機更大的風險。現在就在審計、模糊測試、形式化驗證和縱深防禦上投入,別讓量子焦慮掩蓋了更緊迫的漏洞威脅。
- 持續資助量子計算研發:從國家安全形度,必須持續投入資金和培養人才。主要對手若率先獲得密碼學相關量子計算能力,將構成嚴重風險。
- 理性看待量子計算新聞:未來會有更多里程碑。但每一個里程碑恰恰證明了我們離目標尚有距離。應將新聞稿視為需要批判性評估的進展報告,而非倉促行動的訊號。
當然,技術突破可能加速,瓶頸也可能延長預測。我並非斷言五年內絕無可能,只是認為可能性很低。遵循上述建議,能幫助我們規避更直接、更可能的風險:實施漏洞、倉促部署以及密碼學過渡中常見的失誤。
?相關報導?
Adam Back防量子電腦「破解比特幣」:建議用SLH-DSA整合Taproot
馬斯克嚴峻提問:量子電腦能否破解比特幣?
BTQ研究》後量子時代的區塊鏈資安(下):更強的加密?淺談NIST後量子密碼標準
