.png)
866
我们离能破解比特币的量子计算机还有多远?
撰文:Justin Thaler (@SuccinctJT),a16z 研究合伙人
编译:AididiaoJP,Foresight News
量子计算机何时能破解密码?这个问题的时间线常被夸大,引发了对「紧急、全面转向后量子密码学」的呼声。
但这些呼声往往忽视了过早迁移的成本与风险,也忽略了不同密码学工具的威胁本质截然不同:
区分这点至关重要。误解会扭曲成本效益分析,让团队忽视更紧迫的安全风险比如程序漏洞。
成功过渡到后量子密码学的真正挑战,在于让行动的紧迫性与真实的威胁相匹配。下文将澄清关于量子计算威胁密码学的常见误解,涵盖加密、签名和零知识证明,并特别聚焦其对区块链的意义。
尽管不乏夸张宣传,但在本世纪 20 年代出现「密码学相关量子计算机」的可能性极低。
所谓「密码学相关量子计算机」,我指的是一台容错、纠错的量子计算机,它能运行 Shor 算法,规模足以在合理时间内(例如持续计算不超过一个月)攻破椭圆曲线密码(如 secp256k1)或 RSA(如 RSA-2048)。
根据公开的技术里程碑和资源评估,我们离这样的计算机还非常遥远。虽有公司声称在 2030 年甚至 2035 年前就可能实现,但已知进展并不支持这些说法。
目前,无论是囚禁离子、超导量子比特还是中性原子体系,没有任何量子计算平台,能接近破解 RSA-2048 或 secp256k1 所需的数十万乃至数百万个物理量子比特(具体数量取决于错误率和纠错方案)。
瓶颈不仅是量子比特数量,更在于门保真度、量子比特间的连接性,以及运行深度量子算法所需的持续纠错电路深度。当前有些系统物理量子比特数已超 1000,但仅此数字具有误导性:它们缺乏密码学计算所需的连接性和保真度。
近期系统虽在接近量子纠错所需的物理错误率门槛,但至今无人能稳定运行超过几个逻辑量子比特,更别提运行 Shor 算法所需的数千个高保真、深电路、容错的逻辑量子比特。从原理验证到实现密码分析所需规模,差距依然巨大。
简言之:在量子比特数量和保真度提升数个数量级之前,密码学相关量子计算机遥不可及。
然而,企业新闻稿和媒体报道常令人困惑。主要的混淆点包括:
这些做法严重扭曲了公众(包括资深观察者)对量子计算进度的认知。
当然,进展确实令人兴奋。例如 Scott Aaronson 近期写道,鉴于「硬件进展速度快得惊人」,他认为「在下届美国总统大选前,我们拥有一台能运行 Shor 算法的容错量子计算机,是一个真实的可能性」。但他随后澄清,这并非指密码学相关的量子计算机——即使只是容错地分解 15=3×5(这用纸笔算更快),他也算其承诺达成。这仍是小规模演示,且此类实验总以 15 为目标,因为模 15 运算简单,稍大的数(如 21)就困难得多。
关键结论:预计在未来 5 年内出现能破解 RSA-2048 或 secp256k1 的密码学相关量子计算机——这对实际密码学至关重要——缺乏公开进展的支持。即便 10 年,也仍具雄心。
因此,对进展的兴奋与「仍需十几年」的时间线判断并不矛盾。
那么,美国政府将 2035 年定为政府系统全面后量子迁移的最后期限又如何?我认为这是完成大规模转型的合理时间规划,但它并非预测届时一定会出现密码学相关量子计算机。
「现在窃取,未来解密」攻击指:攻击者现在存储加密流量,待未来密码学相关量子计算机出现后再解密。国家级对手很可能已在大量归档来自美国政府的加密通信,以备未来解密。
因此,加密必须立即升级,至少对于那些需要 10-50 年以上保密期的数据。
但数字签名(所有区块链的基石)与加密不同:它没有需要追溯攻击的机密性。即使未来量子计算机出现,也只能从那时起伪造签名,而无法「解密」过去的签名。只要你能证明签名是在量子计算机出现前生成的,它就不可伪造。
这使得向后量子数字签名的过渡,远不如加密过渡紧迫。
主流平台正是这样做的:
相比之下,后量子数字签名在关键网络基础设施上的部署则被推迟,直到密码学相关量子计算机真正迫近。因为当前的后量子签名方案会带来性能下降(下文详述)。
零知识证明(zkSNARKs) 的处境与签名类似。即使那些非后量子安全的 zkSNARK(它们使用椭圆曲线密码),其「零知识」属性本身是后量子安全的。该属性确保证明不泄露任何关于秘密的信息(量子计算机也无可奈何),因此没有可「现在窃取」的机密供未来解密。所以,zkSNARKs 也不易受 HNDL 攻击。在量子计算机出现前生成的任何 zkSNARK 证明都是可信的(即便它使用椭圆曲线密码),量子计算机出现后,攻击者才能伪造假证明。
大多数区块链不易受 HNDL 攻击。
像现在的比特币和以太坊这类非隐私链,其非后量子密码学主要用于交易授权(即数字签名),而非加密。这些签名不构成 HNDL 风险。例如比特币区块链是公开的,量子威胁在于签名伪造(盗取资金),而非解密已公开的交易数据。这消除了来自 HNDL 的即刻密码学紧迫性。
遗憾的是,即使如美联储等权威机构的分析,也曾错误地声称比特币易受 HNDL 攻击,这夸大了过渡的紧迫性。
当然,紧迫性降低不意味着比特币可以高枕无忧。它面临着来自协议变更所需巨大社会协调工作的不同时间压力(下文详述)。
目前的例外是隐私链。许多隐私链对收款方和金额进行加密或隐藏。这些机密信息可以被现在窃取,并在未来量子计算机破解椭圆曲线密码后被追溯去匿名化。攻击严重性因设计而异(例如门罗币的环签名与密钥镜像可能使交易图被完整重建)。因此如果用户在意其交易不被未来量子计算机暴露,隐私链应尽快过渡到后量子原语(或混合方案),或采用不将可解密秘密上链的架构。
对于比特币,有两个现实因素驱动着开始规划后量子签名的紧迫性,且都与量子技术本身无关:
然而,量子威胁对比特币并非「一夜之间」的末日,更像一个选择性、渐进式的目标锁定过程。早期量子攻击将极其昂贵缓慢,攻击者会选择性瞄准高价值钱包。
此外,避免地址复用且不使用 Taproot 地址(后者直接在链上暴露公钥)的用户,即使没有协议升级,也基本安全——他们的公钥在花费前一直隐藏在哈希值后。只有当花费交易广播时,公钥才暴露,此时会有一场短暂的实时竞赛:诚实用户要尽快确认交易,而量子攻击者则试图在此之前算出私钥并盗币。
因此,真正脆弱的币是那些公钥已暴露的:早期 P2PK 输出、复用地址和 Taproot 持有资产。
对于已被遗弃的脆弱币,解决方案棘手:要么社区约定一个「截止日」,之后未迁移币视为销毁;要么任由其被未来拥有量子计算机的人夺取。后者会带来严重的法律与安全问题。
比特币特有的最后一个难题是低交易吞吐量。即使迁移计划敲定,以当前速率迁移所有脆弱资金也需要数月之久。
这些挑战使得比特币必须现在就开始规划后量子过渡——并非因为量子计算机可能在 2030 年前出现,而是因为迁移价值数千亿美元资产所需的治理、协调和技术后勤工作,本身就需要数年时间。
比特币的量子威胁是真实的,但时间压力主要源于其自身约束,而非迫在眉睫的量子计算机。
注:以上关于签名的漏洞,不影响比特币的经济安全性(即工作量证明共识)。PoW 依赖哈希运算,仅受 Grover 搜索算法的二次加速影响,且实际开销巨大,不太可能实现显著加速。即便有,也只是让大矿工更有优势,而非颠覆其经济安全模型。
为什么区块链不应仓促部署后量子签名?我们需要理解其性能成本及我们对这些新方案仍在演化的信心。
后量子密码学主要基于五类数学难题:哈希、编码、格、多元二次方程组、椭圆曲线同源。之所以多样,是因为方案效率与所依赖问题的「结构性」有关:结构越多,效率通常越高,但给攻击算法留下的突破口也可能越多,这是一种根本的权衡。
这些问题带来的直接风险,远比遥远的量子计算机现实得多。
历史教训也让我们需保持谨慎:NIST 标准化过程中的领先候选方案,如 Rainbow(基于 MQ 的签名)和 SIKE/SIDH(基于同源的加密),都曾被经典计算机攻破。这说明了过早标准化和部署的风险。
互联网基础设施对签名迁移采取了审慎态度,这尤其值得注意,因为密码学过渡本身就耗时漫长(例如从 MD5/SHA-1 的迁移持续了多年且仍未彻底完成)。
有利的是,由开源社区维护的区块链(如以太坊、Solana)可以比传统网络基础设施更快升级。不利的是,传统网络可通过频繁密钥轮换来缩小攻击面,而区块链的币和关联密钥可能长期暴露。
但总体上,区块链仍应效仿网络的审慎签名迁移策略。两者在签名上都不受 HNDL 攻击,过早迁移的成本和风险都很大。
区块链还有一些特有的复杂性使其过早迁移尤其危险:
当前更严重的问题是:实施安全性。
未来多年,实施漏洞将比量子计算机构成更大的安全风险。对于 SNARKs,主要威胁是程序漏洞。数字签名和加密已有挑战,而 SNARKs 复杂得多。实际上,数字签名可视为一种极简的 zkSNARK。
对于后量子签名,侧信道和故障注入等实施攻击是更紧迫的威胁。社区需要数年时间来加固这些实现。
因此,在尘埃落定之前过早过渡,可能将自己锁定在次优方案中,或被迫二次迁移以修复漏洞。
基于以上现实,我对各方(从建设者到决策者)提出以下建议。总原则是:严肃对待量子威胁,但不要预设 2030 年前就会出现密码学相关量子计算机(现有进展不支持此预设)。同时,有些事我们现在就可以且应该做:
当然,技术突破可能加速,瓶颈也可能延长预测。我并非断言五年内绝无可能,只是认为可能性很低。遵循上述建议,能帮助我们规避更直接、更可能的风险:实施漏洞、仓促部署以及密码学过渡中常见的失误。
