五年、十年還是更久？一份關於量子計算威脅的時間線評估

原文作者：Justin Thaler (@SuccinctJT)，a16z 研究合夥人

原文編譯：AididiaoJP，Foresight News

量子電腦何時能破解密碼？這個問題的時間線常被誇大，引發了對「緊急、全面轉向後量子密碼學」的呼聲。

但這些呼聲往往忽視了過早遷移的成本與風險，也忽略了不同密碼學工具的威脅本質截然不同：

• 後量子加密需立即部署，代價再高也得做。因為「現在竊取、未來解密」的攻擊已經存在。今天加密的敏感數據，即使幾十年後量子電腦才出現，依然價值巨大。後量子加密雖有效能損耗和實施風險，但對需要長期保密的數據來說，我們別無選擇。
• 後量子數位簽章則另當別論。它們不易受上述「竊存解密」攻擊，而其自身成本與風險（尺寸變大、性能開銷、方案不成熟、潛在漏洞）要求的是審慎規劃，而非立即行動。

區分這點至關重要。誤解會扭曲成本效益分析，讓團隊忽視更緊迫的安全風險比如程式漏洞。

成功過渡到後量子密碼學的真正挑戰，在於讓行動的緊迫性與真實的威脅相匹配。下文將釐清關於量子計算威脅密碼學的常見誤解，涵蓋加密、簽章和零知識證明，並特別聚焦其對區塊鏈的意義。

時間線：我們離能破解加密技術的量子電腦還有多遠？

儘管不乏誇張宣傳，但在本世紀 20 年代出現「密碼學相關量子電腦」的可能性極低。

所謂「密碼學相關量子電腦」，我指的是一台容錯、糾錯的量子電腦，它能運行 Shor 演算法，規模足以在合理時間內（例如持續計算不超過一個月）攻破橢圓曲線密碼（如 secp256k1）或 RSA（如 RSA-2048）。

根據公開的技術里程碑和資源評估，我們離這樣的電腦還非常遙遠。雖有公司聲稱在 2030 年甚至 2035 年前就可能實現，但已知進展並不支持這些說法。

目前，無論是囚禁離子、超導量子位元還是中性原子體系，沒有任何量子計算平台，能接近破解 RSA-2048 或 secp256k1 所需的數十萬乃至數百萬個實體量子位元（具體數量取決於錯誤率和糾錯方案）。

瓶頸不僅是量子位元數量，更在於門保真度、量子位元間的連接性，以及運行深度量子演算法所需的持續糾錯電路深度。當前有些系統實體量子位元數已超 1000，但僅此數字具有誤導性：它們缺乏密碼學計算所需的連接性和保真度。

近期系統雖在接近量子糾錯所需的實體錯誤率門檻，但至今無人能穩定運行超過幾個邏輯量子位元，更別提運行 Shor 演算法所需的數千個高保真、深電路、容錯的邏輯量子位元。從原理驗證到實現密碼分析所需規模，差距依然巨大。

簡言之：在量子位元數量和保真度提升數個數量級之前，密碼學相關量子電腦遙不可及。

然而，企業新聞稿和媒體報導常令人困惑。主要的混淆點包括：

1. 「量子優勢」演示：目前演示的任務多為精心設計，並非實際有用，只因它們能在現有硬體上運行並「顯得」很快。這一點在宣傳中常被淡化。
2. 「數千實體量子位元」的宣傳：這通常指的是量子退火機，而非攻擊公鑰密碼所需的、能運行 Shor 演算法的門模型量子電腦。
3. 對「邏輯量子位元」的濫用：實體量子位元有雜訊，實用演算法需要由許多實體量子位元通過糾錯構成的「邏輯量子位元」。運行 Shor 演算法需要數千個這樣的邏輯量子位元，每個通常需數百至數千個實體量子位元。但有些公司誇大其詞，例如最近有宣稱用「距離 -2」糾錯碼（僅能檢錯，不能糾錯）以每邏輯量子位元僅 2 個實體量子位元實現了 48 個邏輯量子位元，這毫無意義。
4. 路線圖的誤導：許多路線圖中的「邏輯量子位元」僅支援「Clifford 操作」，這些操作可被經典電腦高效模擬，不足以運行需要大量「非 Clifford 門」（如 T 門）的 Shor 演算法。因此，即便某路線圖宣稱「在 X 年實現數千邏輯量子位元」，也不意味著該公司預計那時就能破解經典密碼。

這些做法嚴重扭曲了公眾（包括資深觀察者）對量子計算進度的認知。

當然，進展確實令人興奮。例如 Scott Aaronson 近期寫道，鑑於「硬體進展速度快得驚人」，他認為「在下屆美國總統大選前，我們擁有一台能運行 Shor 演算法的容錯量子電腦，是一個真實的可能性」。但他隨後澄清，這並非指密碼學相關的量子電腦——即使只是容錯地分解 15=3×5（這用紙筆算更快），他也算其承諾達成。這仍是小規模演示，且此類實驗總以 15 為目標，因為模 15 運算簡單，稍大的數（如 21）就困難得多。

關鍵結論：預計在未來 5 年內出現能破解 RSA-2048 或 secp256k1 的密碼學相關量子電腦——這對實際密碼學至關重要——缺乏公開進展的支持。即便 10 年，也仍具雄心。

因此，對進展的興奮與「仍需十幾年」的時間線判斷並不矛盾。

那麼，美國政府將 2035 年定為政府系統全面後量子遷移的最後期限又如何？我認為這是完成大規模轉型的合理時間規劃，但它並非預測屆時一定會出現密碼學相關量子電腦。

「現在竊取，未來解密」攻擊：適用於誰？不適用於誰？

「現在竊取，未來解密」攻擊指：攻擊者現在儲存加密流量，待未來密碼學相關量子電腦出現後再解密。國家級對手很可能已在大量歸檔來自美國政府的加密通訊，以備未來解密。

因此，加密必須立即升級，至少對於那些需要 10-50 年以上保密期的數據。

但數位簽章（所有區塊鏈的基石）與加密不同：它沒有需要追溯攻擊的機密性。即使未來量子電腦出現，也只能從那時起偽造簽章，而無法「解密」過去的簽章。只要你能證明簽章是在量子電腦出現前生成的，它就不可偽造。

這使得向後量子數位簽章的過渡，遠不如加密過渡緊迫。

主流平台正是這樣做的：

• Chrome 和 Cloudflare 已為網路 TLS 加密部署了混合 X25519+ML-KEM 方案。「混合」意味著同時使用後量子安全方案（ML-KEM）和現有方案（X25519），兼具兩者安全性，既防 HNDL 攻擊，又在後量子方案出問題時保有經典安全。
• Apple 的 iMessage (PQ3 協定 ) 和 Signal (PQXDH 和 SPQR 協定 ) 也部署了類似的混合後量子加密。

相比之下，後量子數位簽章在關鍵網路基礎設施上的部署則被推遲，直到密碼學相關量子電腦真正迫近。因為當前的後量子簽章方案會帶來性能下降（下文詳述）。

零知識證明（zkSNARKs） 的處境與簽章類似。即使那些非後量子安全的 zkSNARK（它們使用橢圓曲線密碼），其「零知識」屬性本身是後量子安全的。該屬性確保證明不洩露任何關於秘密的資訊（量子電腦也無可奈何），因此沒有可「現在竊取」的機密供未來解密。所以，zkSNARKs 也不易受 HNDL 攻擊。在量子電腦出現前生成的任何 zkSNARK 證明都是可信的（即便它使用橢圓曲線密碼），量子電腦出現後，攻擊者才能偽造假證明。

這對區塊鏈意味著什麼？

大多數區塊鏈不易受 HNDL 攻擊。

像現在的比特幣和以太坊這類非隱私鏈，其非後量子密碼學主要用於交易授權（即數位簽章），而非加密。這些簽章不構成 HNDL 風險。例如比特幣區塊鏈是公開的，量子威脅在於簽章偽造（盜取資金），而非解密已公開的交易數據。這消除了來自 HNDL 的即刻密碼學緊迫性。

遺憾的是，即使如美聯儲等權威機構的分析，也曾錯誤地聲稱比特幣易受 HNDL 攻擊，這誇大了過渡的緊迫性。

當然，緊迫性降低不意味著比特幣可以高枕無憂。它面臨著來自協定變更所需巨大社會協調工作的不同時間壓力（下文詳述）。

目前的例外是隱私鏈。許多隱私鏈對收款方和金額進行加密或隱藏。這些機密資訊可以被現在竊取，並在未來量子電腦破解橢圓曲線密碼後被追溯去匿名化。攻擊嚴重性因設計而異（例如門羅幣的環簽章與金鑰鏡像可能使交易圖被完整重建）。因此如果用戶在意其交易不被未來量子電腦暴露，隱私鏈應盡快過渡到後量子原語（或混合方案），或採用不將可解密秘密上鏈的架構。

比特幣的特殊難題：治理僵局與「沉睡幣」

對於比特幣，有兩個現實因素驅動著開始規劃後量子簽章的緊迫性，且都與量子技術本身無關：

• 治理速度慢：比特幣變革緩慢，任何爭議都可能引發破壞性硬分叉。
• 無法被動遷移：幣主必須主動遷移其幣。這意味著被遺棄的、量子脆弱的幣無法受到保護。據估計，這類「沉睡」且量子脆弱的 BTC 可能達數百萬枚，現值數千億美元。

然而，量子威脅對比特幣並非「一夜之間」的末日，更像一個選擇性、漸進式的目標鎖定過程。早期量子攻擊將極其昂貴緩慢，攻擊者會選擇性瞄準高價值錢包。

此外，避免地址複用且不使用 Taproot 地址（後者直接在鏈上暴露公鑰）的用戶，即使沒有協定升級，也基本安全——他們的公鑰在花費前一直隱藏在雜湊值後。只有當花費交易廣播時，公鑰才暴露，此時會有一場短暫的即時競賽：誠實用戶要盡快確認交易，而量子攻擊者則試圖在此之前算出私鑰並盜幣。

因此，真正脆弱的幣是那些公鑰已暴露的：早期 P2PK 輸出、複用地址和 Taproot 持有資產。

對於已被遺棄的脆弱幣，解決方案棘手：要麼社區約定一個「截止日」，之後未遷移幣視為銷毀；要麼任由其被未來擁有量子電腦的人奪取。後者會帶來嚴重的法律與安全問題。

比特幣特有的最後一個難題是低交易吞吐量。即使遷移計劃敲定，以當前速率遷移所有脆弱資金也需要數月之久。

這些挑戰使得比特幣必須現在就開始規劃後量子過渡——並非因為量子電腦可能在 2030 年前出現，而是因為遷移價值數千億美元資產所需的治理、協調和技術後勤工作，本身就需要數年時間。

比特幣的量子威脅是真實的，但時間壓力主要源於其自身約束，而非迫在眉睫的量子電腦。

注：以上關於簽章的漏洞，不影響比特幣的經濟安全性（即工作量證明共識）。PoW 依賴雜湊運算，僅受 Grover 搜尋演算法的二次加速影響，且實際開銷巨大，不太可能實現顯著加速。即便有，也只是讓大礦工更有優勢，而非顛覆其經濟安全模型。

後量子簽章的成本與風險

為什麼區塊鏈不應倉促部署後量子簽章？我們需要理解其性能成本及我們對這些新方案仍在演化的信心。

後量子密碼學主要基於五類數學難題：雜湊、編碼、格、多元二次方程組、橢圓曲線同源。之所以多樣，是因為方案效率與所依賴問題的「結構性」有關：結構越多，效率通常越高，但給攻擊演算法留下的突破口也可能越多，這是一種根本的權衡。

• 雜湊方案最保守（安全性信心最足），但性能最差。例如 NIST 標準化的雜湊簽章最小也有 7-8KB，而當前橢圓曲線簽章僅 64 位元組，相差約百倍。
• 格方案是當前部署焦點。NIST 選定的唯一後量子加密方案（ML-KEM）及三種簽章中的兩種（ML-DSA，Falcon）均基於格。
• ML-DSA 簽章大小約 2.4-4.6KB，是當前簽章的 40-70 倍。
• Falcon 簽章較小（0.7-1.3KB），但實現極其複雜，涉及恆定時間浮點運算，已有側通道攻擊成功案例。其創始人之一稱這是「我實現過的最複雜的密碼演算法」。
• 實施安全挑戰更大：格基簽章比橢圓曲線簽章有更多敏感中間值和複雜的拒絕取樣邏輯，需要更強的側通道和故障注入防護。

這些問題帶來的直接風險，遠比遙遠的量子電腦現實得多。

歷史教訓也讓我們需保持謹慎：NIST 標準化過程中的領先候選方案，如 Rainbow（基於 MQ 的簽章）和 SIKE/SIDH（基於同源的加密），都曾被經典電腦攻破。這說明了過早標準化和部署的風險。

網際網路基礎設施對簽章遷移採取了審慎態度，這尤其值得注意，因為密碼學過渡本身就耗時漫長（例如從 MD5/SHA-1 的遷移持續了多年且仍未徹底完成）。

區塊鏈 vs. 網際網路基礎設施的獨特挑戰

有利的是，由開源社區維護的區塊鏈（如以太坊、Solana）可以比傳統網路基礎設施更快升級。不利的是，傳統網路可透過頻繁金鑰輪換來縮小攻擊面，而區塊鏈的幣和關聯金鑰可能長期暴露。

但總體上，區塊鏈仍應效仿網路的審慎簽章遷移策略。兩者在簽章上都不受 HNDL 攻擊，過早遷移的成本和風險都很大。

區塊鏈還有一些特有的複雜性使其過早遷移尤其危險：

• 簽章聚合需求：區塊鏈常需快速聚合大量簽章（如 BLS 簽章）。BLS 雖快，但非後量子安全。基於 SNARK 的後量子簽章聚合研究有前景，但仍處早期。
• SNARKs 的未來：社區目前主要看好基於雜湊的後量子 SNARK，但我相信未來數月到數年，基於格的 SNARK 替代方案將會出現，它們將在多方面（如證明長度）表現更優。

當前更嚴重的問題是：實施安全性。

未來多年，實施漏洞將比量子電腦構成更大的安全風險。對於 SNARKs，主要威脅是程式漏洞。數位簽章和加密已有挑戰，而 SNARKs 複雜得多。實際上，數位簽章可視為一種極簡的 zkSNARK。

對於後量子簽章，側通道和故障注入等實施攻擊是更緊迫的威脅。社區需要數年時間來加固這些實現。

因此，在塵埃落定之前過早過渡，可能將自己鎖定在次優方案中，或被迫二次遷移以修復漏洞。

我們應該怎麼做？七條建議

基於以上現實，我對各方（從建設者到決策者）提出以下建議。總原則是：嚴肅對待量子威脅，但不要預設 2030 年前就會出現密碼學相關量子電腦（現有進展不支持此預設）。同時，有些事我們現在就可以且應該做：

1. 立即部署混合加密：至少在需要長期保密且成本可接受的地方。許多瀏覽器、CDN 和通