量子计算对区块链的真正威胁：为什么格弗尔算法并不是你想象中的头条新闻

关于量子计算与区块链的叙事已变得严重扭曲。虽然主要科技公司竞相开发量子能力，媒体也警告即将到来的密码学崩溃，但现实远比表面复杂——在某些方面，甚至更不紧迫。被频繁引用为对区块链安全的量子威胁的Grover算法，实际上只构成了比当前加密面临的真实漏洞更小的担忧。理解哪些威胁是迫在眉睫的，哪些还需数十年才能实现，可能会重塑开发者对安全投资优先级的判断。

就区块链而言，量子威胁主要分为两类：需要立即应对、存在即时加密漏洞的威胁，以及允许更从容规划的签名伪造风险。将二者混淆，造成了不必要的恐慌和反效果的迁移压力。本文将拆解哪些是真实的、哪些被夸大，以及2026年区块链团队应当采取的实际行动。

无人愿听的量子时间表：CRQC仍遥遥无期

尽管头条新闻不断，具备密码学相关能力的量子计算机(CRQC)——能够运行Shor算法大规模破解RSA或椭圆曲线密码的——仍然至少还要十年以上。这并非悲观，而是基于当前技术限制的理性判断。

目前的量子系统，无论采用受困离子、超导量子比特还是中性原子方案，都远未达到所需水平。纸面上，现有系统已超过1000个物理量子比特，但这个数字具有误导性。关键在于量子比特的连通性、门操作的保真度以及误差校正的深度。要用Shor算法破解RSA-2048或secp256k1，可能需要数十万到数百万个物理量子比特，而我们距离这个目标还很遥远。

工程差距巨大。近期系统已接近量子误差校正“开始有效”的物理误差率，但要实现持续的误差校正，甚至仅仅是少量逻辑量子比特——远非数千个用于密码分析的规模——仍未实现。每个可信的估计都显示，我们在量子比特数量和保真度方面还需数个数量级的提升。

然而，企业新闻稿常常宣称“即将取得突破”。这些说法混淆了不同概念：

“量子优势”演示：展示的是在特定人工任务上实现的量子加速，专为现有硬件设计，与破解实际密码无关。速度提升是真实的，但对密码破译的实际进展几乎没有帮助。

逻辑量子比特的声明：一些公司宣称已实现“逻辑量子比特”，但“逻辑量子比特”这一术语已被严重稀释。有些声称仅涉及距离为2的纠错码，只能“检测”错误，不能“纠正”。真正的容错逻辑量子比特用于密码分析，通常需要数百到数千个物理量子比特——而非两个。

路线图混淆：许多量子路线图宣称“X年内实现数千个逻辑量子比特”，但只涉及Clifford门(，而这类门可以被经典计算机高效模拟)。运行Shor算法还需要非Clifford T门，这在容错实现上难度极大。

即使是乐观的研究者如Scott Aaronson也澄清过：他曾暗示“在下一次美国总统选举前”可能实现运行Shor的容错量子计算机，但他明确指出这并不意味着“密码学相关”的实现。近年来反复“取得成就”的15的因式分解在经典标准下是微不足道的。

总结：预计在2030年代，最早也可能出现与密码学相关的量子威胁，更现实的时间点是2040年代甚至更远。五到十年，现有公开证据根本无法支撑。美国政府提出的2035年迁移到后量子密码的截止期限，反映了政策上的谨慎——而非技术上CRQC何时出现的现实。

HNDL攻击：为何它们重要(以及区块链为何大多免疫)

“先收集、后解密”HNDL(（Harvest-Now-Decrypt-Later）攻击，是目前最具现实意义的短期量子威胁。攻击方式简单：对手今天记录加密通信，等到几十年后量子计算机出现时，再将所有内容解密。对于国家级行为者存档政府机密通信，这是真实威胁。

但关键区别在于：HNDL攻击只对加密有效，对数字签名无效。

加密隐藏秘密。今天加密的政府机密备忘录，即使被捕获，只要量子计算机尚未出现破解能力，仍然是秘密。而这正是为什么后量子加密的部署对任何需要超过10年保密期的场景都极为紧迫。

相比之下，数字签名并不隐藏秘密，不能“收集后解密”。签名证明你授权了某个消息，但不隐藏信息以供未来提取。比特币和以太坊交易使用数字签名授权转账——而非加密隐藏数据。公共账本已完全可见。这里的量子威胁是“伪造签名”)（推导私钥）(，而非事后解密。

这个区别被严重误解。甚至像美联储这样的权威机构也错误声称比特币面临HNDL攻击——这是根本性错误，夸大了签名迁移的紧迫性。比特币确实存在量子风险)（详见下文）(，但不是“收集后解密”的场景。

隐私链是例外。 Monero、Zcash等链对交易细节进行加密或隐藏收款人和金额。一旦量子计算机破解椭圆曲线密码，这些隐私保护将被逆转。特别是Monero，公开账本可以用来重建全部支出关系图。这些链如果要保护历史隐私，必须提前进行后量子迁移。

互联网基础设施已内化了这一区别。Chrome、Cloudflare、Apple的iMessage和Signal都在采用结合经典与后量子算法的混合加密方案，以防HNDL攻击，保护长期保密数据。这是合理的。相比之下，数字签名的迁移步伐较慢，原因在于威胁模型的根本不同。

Grover算法与工作量证明：披着羊皮的次要担忧

Grover算法值得特别关注，因为它常被作为对区块链共识的量子威胁被提及。但这种威胁被夸大了。

工作量证明依赖哈希函数，Grover算法确实可以将其加速二次方——实际中大约2倍的速度。这远比Shor算法对公钥密码的指数级加速要小得多。拥有Grover加速的量子矿工可能比经典矿工稍快一些，带来一定优势，但：

1. 不会指数级破解系统)不同于Shor对RSA的攻击(
2. 不会根本破坏经济安全)更大规模的量子矿工会有优势，但今天也一样(
3. 实现成本极高，在达到实际竞争规模前几乎不可能

在任何有意义规模上实现Grover算法的实际开销极大，使得量子计算机在比特币PoW上获得显著加速几乎不可能。其威胁性质与签名攻击截然不同——不是生死攸关的威胁，而是竞争性变化。这也是为什么在严肃的量子安全讨论中，Grover算法很少被提及：风险不在此。

比特币的真正量子问题：不是技术，而是治理

比特币的量子脆弱性，更多源于其自身基础设施的限制，而非量子计算机本身。比特币不能被动迁移其易受攻击的币，用户必须主动将资金转移到量子安全地址。这带来复杂的协调难题，没有技术上的“万能解”。

早期比特币交易使用pay-to-public-key（P2PK）输出，将公钥直接放在链上。结合地址重用和Taproot钱包)（也暴露密钥）(，这造成了潜在的巨大量子脆弱比特币面临数百万比特币（价值数百亿美元）被遗弃的风险，因所有者不再活跃。

当量子计算机到来时，攻击不会同时发生。攻击者会有选择地针对高价值、暴露的地址。避免地址重用、避免使用Taproot的用户，能获得额外保护：他们的公钥在花费前隐藏在哈希后面，形成了真实的“实时竞赛”——合法花费与量子攻击者之间的较量。但真正过时、密钥暴露的币，没有任何保护。

治理难题远大于技术难题。比特币变革缓慢。制定迁移方案、达成社区共识、处理数十亿美元交易，需经过多年规划。有人提出“标记后焚烧”方案——未迁移的易受攻击币由社区持有。也有人质疑，量子攻击者入侵钱包、窃取密钥，是否会面临法律责任。

这些都不是纯粹的量子计算问题，而是社会、法律和后勤问题，必须“现在”就解决，尽管量子计算机还需数十年才能成熟。比特币的规划和实施窗口，比量子技术的威胁时间线要快得多。

后量子签名：强大但尚未成熟

如果需要部署后量子签名，为什么不立即行动？因为现有的后量子签名方案尚不成熟，复杂且存在实现风险，远远超过遥远的量子威胁。

NIST近期已标准化五大类后量子方案：基于哈希、编码、格、多变量二次型和等变方案。这种碎片化反映了真实的安全困境：结构化数学问题能带来更好性能，但攻击面也更大。保守的无结构方案)（哈希签名）(最安全，但性能较差。格方案是NIST的首选，但有明显的折中。

性能成本巨大：

• 哈希签名)NIST标准(：每签名7-8KB)，而当前ECDSA仅64字节——大约100倍
• 格基ML-DSA(NIST选择)：每签名2.4-4.6KB——比ECDSA大40-70倍
• Falcon：稍小一些，666字节到1.3KB(，但采用常数时间浮点运算，开发者Thomas Pornin称“我实现过的最复杂的密码算法”

实现复杂性带来直接风险。ML-DSA需要谨慎处理敏感中间值和复杂的拒绝逻辑。Falcon的浮点运算难以安全实现，多个实现曾遭遇侧信道攻击，泄露密钥。

历史经验令人警醒。Rainbow（基于多变量多项式）和SIKE/SIDH（基于等变）等领先候选方案，早在NIST标准化后期就被用现代计算机破解——这是科学的正常过程，但也说明，过早部署不成熟方案会带来直接风险。

互联网基础设施的签名迁移也反映了这种谨慎。MD5和SHA-1的废弃历时多年，尽管已被完全破解。将新颖、复杂的后量子方案部署到关键基础设施，也需要时间。

区块链面临更复杂的挑战。以太坊等链可以比传统基础设施更快迁移，但比特币的限制和用户主动迁移的需求，极大增加难度。此外，区块链特有的签名需求——尤其是快速聚合签名以实现扩展——目前还没有成熟的后量子解决方案。BLS签名支持快速聚合，但尚未有生产级的后量子替代方案。

更大、更近的威胁：实现错误胜过量子计算机

当加密界争论后量子时间线时，更紧迫的威胁是：实现错误和侧信道攻击。

对于zkSNARKs等复杂密码原语（用于隐私和扩展），程序漏洞是巨大隐患。zkSNARKs比签名方案复杂得多，本质上试图证明计算性陈述。漏洞可能完全破坏安全。行业需要数年时间识别和修复微妙的实现缺陷。

后量子签名也带来侧信道和故障注入风险：时间分析、电磁泄漏、功耗分析、物理故障注入，都能成功提取密钥。这些攻击已被充分理解且切实可行——不是理论上的量子密码分析。

这形成一种残酷的讽刺：仓促部署后量子签名，反而引入即时的实现漏洞，而对抗十年后才出现的威胁。当前的安全重点应放在审计、模糊测试、形式验证和多层防御，减少实现中的风险。

2026年的七条实用建议

**1. 立即部署混合加密)，特别是如果长期保密重要(。**结合经典的)X25519(和后量子)ML-KEM(加密。这既防HNDL，又保持后备安全。浏览器、CDN、消息应用已在做，长远保密需求的区块链也应跟进。

**2. 对低频更新采用哈希签名。**软件和固件更新允许签名变大，应立即采用混合哈希签名方案。这提供保守的安全保障，也作为“救生艇”，应对后量子方案意外变弱。

**3. 区块链应规划但不应仓促部署后量子签名。**现在开始架构重设计，处理更大签名、开发更佳的聚合技术。不要过早部署不成熟的方案，让标准成熟、实现风险显现。

**4. 比特币需立即进行治理规划)，而非部署(。**定义迁移路径、社区对废弃易受攻击资金的政策、合理的时间表。比特币的治理和吞吐限制，需经过多年规划，才能应对量子威胁。

5. 隐私链应优先考虑提前迁移。 Monero、Zcash等项目真正面临HNDL暴露。如果保护历史交易隐私很重要，迁移到后量子原语或架构变更应优先于非隐私链。

**6. 现在就投资安全优先的密码学，而非未来的量子密码。**审计zkSNARKs、修复漏洞、实现形式验证、抵御侧信道攻击。这些风险远大于量子计算带来的威胁。

**7. 支持量子计算研究，保持批判性认知。**美国国家安全依赖于量子技术领导。量子相关公告到来时——它们会越来越多——应视为进展报告，进行评估，而非立即行动的信号。

未来之路：紧迫感应与现实保持一致

量子对区块链的威胁是真实的，但被扭曲的时间线造成了反效果的恐慌。HNDL攻击正当理由促使紧急部署后量子加密，用于长期保密数据。签名伪造风险值得认真规划，但不应仓促采用不成熟方案。

尽管Grover算法带来量子加速，但对工作量证明没有生死攸关的威胁。比特币的难题在于治理和协调，而非即将到来的量子计算机。实现错误和侧信道攻击，远比十年后破解的密码分析带来的风险更大。

应对策略应细致：立即部署混合加密，让后量子签名在谨慎规划中成熟，优先考虑隐私链的迁移，并大量投入短期安全修复。这种方法能应对不确定性——如果量子突破加快，这些措施提供防御；如果时间线更长，团队也避免陷入次优方案。

量子计算将重塑密码学。关键在于区块链是否能以符合实际威胁的紧迫感作出回应，还是陷入引发更大漏洞的恐慌，从而无法防范它本应应对的危险。