量子计算与区块链：威胁是真实的，但时间表还未确定

对量子计算机突然使区块链技术过时的担忧已成为主流。头条警告即将到来的密码学崩溃，促使人们呼吁紧急迁移到后量子密码算法。然而，这种普遍焦虑将不同威胁混为一谈，时间线差异巨大。理解现实——区分真正风险与投机性恐惧——对于任何构建或保护区块链系统的人来说都至关重要。诚实的评估是：是的，量子计算机对区块链密码学构成真正威胁，但并不像许多人假设的那样是生存危机或近期威胁。

量子计算机距离破解加密仍有数十年

关于量子计算最常见的神话是其威胁的紧迫性。一个具有密码学相关能力的量子计算机(CRQC)——能够运行Shor算法破解RSA或椭圆曲线加密的系统——在未来5-10年内不会出现，无论近期头条如何宣称。

目前的量子系统面临巨大工程难题。现有平台如陷阱离子、超导量子比特和中性原子系统，通常拥有1000-3000个物理量子比特，但这些数字具有误导性。这些系统缺乏实现密码分析所需的量子比特连接性和门保真度。最重要的是，它们尚未在大规模上展示错误校正：没有系统能持续实现超过几个逻辑量子比特的错误校正电路，更不用说执行Shor算法所需的数千个高保真、容错逻辑量子比特。当前能力与实际密码分析之间的差距巨大——在量子比特数量和保真度方面都相差数个数量级。

这种混淆部分源于量子公告中的误导性营销。当公司声称已实现“数千个逻辑量子比特”时，往往指的是只能执行Clifford操作的量子比特——这些操作可以在经典计算机上高效模拟。这些不能运行Shor算法。同样，在人工任务上的“量子优势”演示并不意味着对密码学的威胁。量子因子分解实验中反复出现的数字15，并非因为研究者取得了进展，而是因为对15取模的因子分解在算术上非常简单；即使是21的因子分解也需要一些捷径，大多数演示不会承认。

甚至像Scott Aaronson这样领先的量子计算研究者也承认了这一差距，他曾建议在下一次美国总统选举前，容错量子计算机可能运行Shor算法——随后他立即澄清，能因子分解15的系统只是一个里程碑，而非密码学威胁。

结论依然严峻：除非量子计算取得突破，根本超越所有现有路线图，否则在未来许多年内，相关的加密用量子计算机都不会出现。即使美国政府设定的2035年完成后量子过渡的截止日期，也不是预测量子计算机会在那之前威胁密码学，而只是完成大规模基础设施迁移的合理时间表。

HNDL攻击：加密与数字签名的非对称性

量子威胁真正需要关注的是“Harvest-Now-Decrypt-Later”(HNDL)攻击。这一威胁模型看似简单：敌手(如国家级实体)，今天拦截并存储加密通信，然后在20或30年后量子计算机出现时解密。具有长期保密需求的数据——政府通信、医疗记录、财务数据——一旦被攻破，无法追溯恢复。

然而，这种紧迫性几乎只适用于加密，而不适用于区块链实际依赖的数字签名。这一关键区别是大多数分析误解的所在。

数字签名不隐藏可以被事后解密的秘密。当你用私钥签名一笔交易时，签名本身不包含等待未来解密的加密信息；它是你授权交易的密码学证明。过去的签名无法被事后伪造，因为其中没有隐藏的机密信息可供提取。一个在量子计算机出现之前创建的签名依然有效——它仅仅证明你在拥有私钥时签署了消息。

这解释了为什么Chrome、Cloudflare等企业立即部署了X25519+ML-KEM的混合加密用于TLS，而后量子数字签名的部署则更为审慎和有序。苹果的iMessage和Signal也优先采用PQ3和PQXDH协议的混合加密。加密的紧迫性是真实的；而签名的紧迫性则不存在。

大多数区块链分析——甚至来自联邦储备等可信来源——错误声称比特币易受HNDL攻击。这是事实错误。比特币的交易在区块链上是公开可见的；对比特币的量子威胁在于签名伪造(推导私钥以盗币)，而非解密公开交易数据。HNDL担忧根本不适用于非隐私性区块链。

不同区块链面临不同的量子风险

量子威胁的轮廓因区块链的设计和用途而大相径庭。

非隐私区块链(比特币、以太坊)： 这些系统依赖数字签名进行交易授权，而非加密。它们不易受到HNDL攻击。其主要的量子风险是未来签名伪造，一旦CRQC出现。这是真实的风险——但距离现在数十年，若规划得当，仍有充分时间进行协议迁移。

注重隐私的区块链(Monero、Zcash)： 这些系统对交易接收者和金额进行加密或隐藏。当量子计算机破解椭圆曲线密码学时，这些隐私保护可能被事后破坏。具有量子能力的敌手可以追溯整个交易历史，识别交易模式。特别是对Monero而言，交易图的加密本身就能让攻击者逆向重建支出行为。这一漏洞促使早期采用后量子密码算法以保护隐私链——这是HNDL攻击在近期具有真正紧迫性的一个类别。

零知识系统： 出人意料的是，zkSNARKs(零知识简洁非交互式证明)在量子攻击下基本受到保护。其零知识特性确保证明不泄露关于秘密见证的任何信息，即使面对量子敌手。任何在量子计算机出现前生成的zkSNARK证明依然在密码学上有效——所证明的陈述绝对真实。未来的量子计算机无法伪造过去生成的零知识证明，因为其中没有可提取的机密信息。

这种非对称性意味着，依赖签名授权的区块链与依赖加密数据的区块链在量子风险上有根本不同。将它们视为相同会造成虚假的紧迫感。

后量子签名算法的实际成本与风险

如果后量子签名不是迫切需要，为什么还要部署？答案在于当今后量子密码算法的实际成本和不成熟。

后量子方案基于多样的数学假设：格基方案、哈希基方案、多变量二次系统和同源性系统。根本挑战在于，额外的数学结构虽然提升性能，但也为密码分析提供了更多空间。这种张力导致：更强的安全假设通常意味着更好的性能，但也意味着假设最终被攻破的风险更高。

哈希基签名提供最大程度的保守安全——我们高度确信量子计算机无法破解它们。但它们的性能最差：NIST标准化的哈希基方案每签名超过7-8 KB，约为当前64字节椭圆曲线签名的100倍。

格基方案如ML-DSA(曾用名Dilithium)，是目前实际部署的重点。签名大小在2.4 KB到4.6 KB之间，比现有签名多出40-70倍。Falcon的成本略小(666字节（Falcon-512）)，但涉及复杂的浮点运算，Falcon的开发者Thomas Pornin称“是我实现过的最复杂的密码算法”。多次侧信道攻击成功提取了Falcon实现中的密钥。

实现格基算法会增加安全面。ML-DSA的实现需要谨慎防范侧信道和故障注入攻击。Falcon的恒时浮点运算也极难保障安全。这些实现风险——而非量子计算机——才是提前部署后量子签名的直接威胁。

历史给出了警示：Rainbow(多变量二次签名方案)和SIKE/SIDH(同源性加密)在NIST标准化过程中都曾被视为领先候选，最终都被经典破解——用的是现有计算机，而非量子计算机——使多年的研究和部署计划付诸东流。

这段历史说明：仓促部署不成熟的后量子密码算法带来的安全风险远大于遥远的量子计算机。互联网基础设施在签名迁移上一直步步为营——从MD5和SHA-1（已完全被破解）到现在，花费数年时间完成迁移，尽管它们已被积极利用。区块链虽然能比传统基础设施更快升级，但提前迁移仍存在重大风险。

比特币的特殊问题：治理，而非量子物理

大多数区块链面临的量子风险是数十年级别，但比特币面临的则是更早到来的特殊问题。这一紧迫性并非源于量子计算，而是源于比特币的治理结构和历史设计选择。

比特币早期交易使用pay-to-public-key输出，直接在链上暴露公钥。这些暴露的密钥在未花费前无法隐藏在哈希函数后。对于使用地址重用或Taproot地址(（也暴露公钥）)的比特币持有者，一旦存在能推导私钥的量子计算机，就成为真正的威胁。据估算，数百万比特币——按当前价格可能价值数百亿——属于这一脆弱类别。

核心问题是被动的不可能性：比特币无法自动将易受攻击的币迁移到抗量子的地址。用户必须主动转移资金，而许多早期比特币持有者不活跃、缺席或已去世。据估算，大量早期比特币实际上已被遗弃。

这带来了两个治理难题。第一，比特币社区必须就协议变更达成共识——这是极难的协调挑战。第二，即使迁移工具部署完毕，实际将易受攻击的币转移到后量子安全地址，完全依赖用户主动操作。不同于以太坊的可编程智能合约钱包(（可自动升级验证逻辑）)，比特币的外部拥有账户（Externally Owned Accounts）不能被被动迁移到后量子安全。币就这样悬置，量子脆弱，永远存在。

此外，比特币的交易吞吐限制带来操作压力。即使迁移工具已就绪，所有用户配合完美，将数十亿美元的币迁移到后量子安全地址，按照比特币当前的交易速率，也可能需要数月甚至数年。乘以数百万易受攻击的地址，操作难度极大。

因此，比特币真正的量子威胁是社会和组织层面，而非密码学。比特币需要立即开始规划迁移——不是因为量子计算机会在2026或2030年到来，而是因为成功迁移数十亿美元的易受攻击币所需的治理、共识、协调和技术后勤将耗费数年。

立即的安全优先事项：实现风险，而非量子计算机

这里常被忽视的一个现实是：实现错误带来的安全风险远大于未来数年的量子计算机威胁。

对于后量子签名，侧信道攻击和故障注入攻击是已知的主要威胁。这些攻击可以实时提取密钥——不是几年后，而是今天。密码学界将花费多年时间识别和修复zkSNARK实现中的程序漏洞，以及增强后量子签名实现对这些实现层面攻击的防护。

对于部署后量子密码算法的隐私区块链，主要风险在于程序错误——复杂密码实现中的漏洞。一个经过良好实现、彻底审计的经典签名方案，远比仓促部署、存在漏洞或实现缺陷的后量子方案安全得多。

这提出了明确的优先顺序：区块链团队应优先进行审计、模糊测试、形式验证和深度防御措施，而非仓促部署后量子密码原语。量子威胁是真实的，但还远未到迫在眉睫的地步；实现错误则是现实且紧迫的。

实用的七步前行框架

鉴于这些现实，区块链团队、政策制定者和基础设施运营者应当采取哪些行动？

立即部署混合加密。 对于任何需要长期数据保密的系统，将后量子方案(如ML-KEM)与现有方案(如X25519)同时结合。这既防御HNDL攻击，也对潜在的后量子方案弱点进行对冲。主要浏览器、内容分发网络（CDN）和消息应用已采用混合方案。

对低频更新采用哈希签名。 固件更新、软件补丁等不频繁签名操作应立即采用混合哈希签名。签名大小的增加在低频场景下可以接受，也为在量子计算机提前到来时提供保守的后备。

规划，但不要仓促部署后量子签名。 采用互联网基础设施的稳健方式——给予后量子签名算法时间成熟。让研究者识别漏洞、提升性能、开发更佳的聚合技术。对比特币而言，这意味着定义迁移策略，规划如何处理遗弃的易受攻击资金。对其他L1链，则应开始架构设计，支持更大签名而非仓促部署。

优先考虑隐私链的早期迁移。 加密或隐藏交易细节的区块链面临真正的HNDL威胁。若性能允许，隐私链应比隐私保护系统更早转向后量子密码算法，或采用结合经典与后量子算法的混合方案。

拥抱账户抽象和签名灵活性。 量子威胁分析的一个重要教训是：将账户身份与特定密码学原语紧密绑定会带来迁移难题。区块链应解耦账户身份与特定签名方案，使账户能在不丢失链上历史的情况下升级验证逻辑。以太坊向智能账户钱包的转变，以及其他链上的类似抽象层，正体现这一原则。

现在就投资安全基础。 审计智能合约和zkSNARK电路。实施形式验证。部署模糊测试和侧信道测试。这些短期安全改进的回报远大于仓促迁移到后量子方案。

保持对量子进展的批判性关注。 未来几年将出现大量量子计算的公告和里程碑。应将其视为进展报告，保持怀疑态度，而非立即行动的信号。每个里程碑都只是通往密码学相关量子计算机的众多桥梁之一。突破虽有可能，但也存在根本的扩展瓶颈。基于当前时间线的建议在面对这些不确定性时依然稳健。

结论：协调，而非恐慌

量子对区块链密码学的威胁是真实的，需认真规划。但这不同于常听到的紧急全面迁移呼吁。它要求在实际威胁时间线与真正紧迫性之间达成协调——区分数十年后到来的理论风险与当下需要关注的即时安全漏洞。

通过精心规划、成熟的后量子解决方案、以及强化短期安全基础，区块链可以成功应对量子过渡。那些仓促部署不成熟后量子密码算法、基于夸大威胁时间线的风险，反而可能引入比远期量子计算机更为紧迫的漏洞。未来的道路不是恐慌，而是耐心、规划和优先排序。