区块链中的量子威胁：区分真正的优先事项与虚假的紧急情况

真正的危险：收获攻击与后期解密

量子计算带来的直接风险并非假设。它被称为“即收获，后解密”(HNDL)：复杂的对手今天收集加密通信，意在在量子能力成熟时解密。对于必须在几十年甚至更长时间内保持机密的数据——尤其是国家级敏感信息——这种威胁是切实存在的，且需要立即采取预防措施。需要保护10-50年或更长时间的系统应立即开始实施抗量子攻击的密码方案，而无需等待技术完全普及。

数字签名：不那么紧迫的威胁

与加密不同，数字签名面临的风险前景不同。在区块链安全的支柱——ECDSA和EdDSA签名中，如果未来量子算法成功破解，它们不会包含可被逆向恢复的私钥信息。一次成功的量子攻击只会危及未来的交易和授权；绝不会使历史签名失效或泄露过去的秘密。因此，虽然这些签名最终需要升级，但目前没有迫切的迁移需求。

零知识证明：最小的问题

zkSNARKs的安全模型与对称或非对称加密完全不同。虽然许多现有实现基于椭圆曲线，但其基本特性——“证明知识而不泄露信息”——对抗量子攻击仍然有效。因为证明中不包含可被量子算法恢复的私有数据，所以不存在“收获和后期解密”的场景。因此，基于zkSNARKs的系统在所有区块链架构中紧迫性最低。

量子迁移的优先级排序

量子威胁对区块链技术的各层影响不同：

• 最高优先级：隐私网络和存储未来机密数据的长效加密系统
• 中等优先级：依赖现有签名方案的传统公链
• 较低优先级：基于zkSNARKs和零知识证明的系统
• 特殊情况：比特币，需优先迁移

比特币：需要提前应对的例外

尽管大部分区块链生态系统可以等待，但比特币是一个例外，值得立即开始量子迁移的规划。原因复杂且多样。

首先，比特币协议的升级周期极其缓慢。任何与共识或密码逻辑相关的变更都可能引发争议，甚至导致无法调和的分裂或硬分叉。这种制度刚性意味着完成一次量子迁移可能需要十年以上。

其次，比特币不能强制自动迁移资产。私钥由用户独占所有，协议没有机制强制升级。据估计，数百万比特币仍存放在不活跃、遗失或过时的钱包中，一旦量子计算变得可行，这些资产将永远暴露在未来的量子攻击风险中。

第三，比特币的起源带来特殊风险：Pay-to-Public-Key（P2PK）结构在区块链上直接暴露公钥。Shor算法可以立即从这些可见的公钥推导出私钥。相比之下，现代方案——基于哈希隐藏公钥——只在交易中暴露数据，为攻击者提供行动的时间窗口。

比特币的迁移超越了纯技术范畴：涉及法律风险(所有权证明问题)、大规模社会协调、实际实施时间表和高昂成本。虽然量子威胁尚远，但比特币必须设计一份不可逆且可执行的迁移路线图。

谨慎平衡：避免仓促迁移

矛盾的是，虽然威胁存在，但突然全面升级生态系统可能带来更大风险。目前的后量子算法面临诸多挑战：签名尺寸大幅增长、实现复杂、在历史上某些情况下还发现了漏洞——如Rainbow和SIKE(是显著例子)。

新兴的主要后量子签名方案——ML-DSA和Falcon——的签名长度是现有方案的10到100倍。其实现易受侧信道攻击、浮点误差或参数配置不当的影响，可能导致私钥泄露。

推荐策略：逐步且模块化采纳

区块链应避免盲目迁移到后量子方案。替代方案是采用分阶段、多样化、可替换的架构策略：

• 混合加密：用于长时间敏感通信，结合后量子算法与成熟经典方案
• 哈希签名：在不频繁签名的场景中使用(固件更新、系统变更)
• 持续研究：在公开协议层面同步推进，配合互联网公钥基础设施的稳步发展
• 抽象模块化架构：允许签名机制演进，不影响历史身份或资产链的连续性

此策略确保区块链能在不仓促的情况下适应，安全且必要时引入抗解密的后量子方案，而不破坏现有的稳定性。