量子計算機的危險期：何時真正威脅加密安全？

量子計算何時能破解加密？這個問題的答案，常被企業宣傳和媒體渲染得面目全非。從科技公司的里程碑演示到政府的政策規劃，關於量子威脅的時間線被不斷誇大，催生了對「立即全面轉向後量子密碼學」的緊急呼聲。但這些聲音往往忽視了一個關鍵現實：不同的密碼學工具面臨的量子威脅本質截然不同，而過早行動的代價可能遠大於延遲行動的風險。

根據a16z研究合夥人Justin Thaler的深度分析，我們需要理性看待這場「危險期計算機」的討論——並非所有密碼學工具都處於同樣的緊急危險期。

量子計算機的真實威脅期：資料拆解背後的真相

關於量子計算破解密碼的時間線，市場上存在許多相互矛盾的預測。有公司聲稱能在2030年甚至2035年前實現這一目標，但當我們深入技術細節時，會發現這些承諾與實際進展之間存在巨大鴻溝。

所謂能破解加密的「密碼學相關量子計算機」，需要滿足幾個苛刻條件：首先，它必須是容錯且能進行糾錯的量子計算機；其次，它必須能運行Shor算法（這是破解現代密碼的關鍵）；最後，它的規模必須足以在合理時間內（比如不超過一個月）攻破橢圓曲線密碼或RSA-2048這樣的現代密碼標準。

根據公開的技術里程碑評估，這樣的計算機仍遠在地平線之外。即便在量子比特數已突破1000的系統中，我們看到的也僅僅是數字的突破，而非實用能力的突破。這些系統普遍缺乏密碼學計算所需的連接性和保真度。

核心的瓶頸不在數量，而在品質。破解現代密碼需要數十萬乃至數百萬個物理量子比特，這還只是初步估計。更嚴峻的挑戰在於：量子比特間的連接性、門保真度，以及運行深度量子算法所需的糾錯能力。當前，即使是最先進的系統也無法穩定運行超過幾個邏輯量子比特，距離運行Shor算法所需的數千個高保真、容錯的邏輯量子比特，差距是指數級的。

理性判斷：在量子比特數量和保真度至少提升3到4個數量級之前，真正能破解現代密碼的「危險期計算機」都不會出現。

然而，企業新聞稿和媒體報導製造的混淆不止一處：

• 「量子優勢」的幻覺：目前演示的大多是精心設計的任務，並非實際有用的應用，只因它們能在現有硬體上運行並「顯得」很快。這一點在宣傳中往往被淡化或隱瞞。

• 物理量子比特數的欺騙：宣傳中的「數千物理量子比特」通常指的是量子退火機，而非能運行Shor算法的門模型量子計算機——兩者完全是兩回事。

• 「邏輯量子比特」的濫用：有些公司聲稱用特定方法以每個邏輯量子比特僅2個物理量子比特的代價實現了48個邏輯量子比特，這在技術上毫無意義，因為所用的糾錯碼根本無法糾錯，只能檢錯。

• 路線圖的誤導：許多路線圖中提到的「邏輯量子比特」僅支持Clifford操作，這些操作可被經典計算機高效模擬，根本無法運行需要大量T門的Shor算法。所以即便路線圖宣稱某年實現數千邏輯量子比特，也不意味著他們預計那時就能破解密碼。

這些做法嚴重扭曲了公眾對量子計算進度的認知，甚至包括一些行業資深觀察者。

「現在竊取、未來解密」：誰真正處於危險期？

為了理解量子威脅的緊迫性，需要先區分兩類密碼學工具的風險差異：加密和數位簽名。

「現在竊取、未來解密」（HNDL）攻擊是這樣的：攻擊者在今天存儲加密流量，等待未來量子計算機出現後再解密。國家級對手很可能已在大量歸檔來自政府和企業的加密通信，為這一天做準備。

因此，加密確實需要立即升級，至少對那些需要10到50年以上保密期的資料。這是一個真實的、不可回避的危險期挑戰。

但數位簽名完全不同。數位簽名沒有需要追溯攻擊的機密性。即使量子計算機在未來出現，也只能從那時起偽造簽名，無法像破解加密那樣「解密」過去的簽名。只要你能證明某個簽名是在量子計算機出現之前生成的，它就永遠不會被偽造。

這個差異至關重要，因為它決定了不同工具的升級緊迫性。

現實中的平台已按此邏輯行動：

• Chrome和Cloudflare為網路TLS加密部署了混合X25519+ML-KEM方案。「混合」是關鍵——同時使用後量子安全方案和現有方案，既防止HNDL攻擊，又在後量子方案出現問題時保有經典安全。

• Apple的iMessage（PQ3協議）和Signal（PQXDH和SPQR協議）也部署了類似的混合後量子加密。

相比之下，後量子數位簽名在關鍵基礎設施上的部署則被推遲——不是因為不需要，而是因為目前的後量子簽名方案會帶來顯著的性能下降和實施複雜性。

區塊鏈的量子危機：真實的威脅還是過度炒作？

這一點對加密貨幣來說是個好消息：大多數區塊鏈根本不易受HNDL攻擊。

像比特幣和以太坊這類非隱私鏈，其非後量子密碼學主要用於交易授權（即數位簽名），而非加密。這些簽名不構成HNDL風險。比特幣區塊鏈是完全公開的——每筆交易都在鏈上可見。量子威脅在於簽名偽造（因而盜取資金），而非解密已經公開的交易資料。

這一關鍵事實被很多權威機構誤解過。美聯儲等組織曾錯誤地聲稱比特幣易受HNDL攻擊，這嚴重誇大了遷移的緊迫性。

現實的例外是隱私鏈。許多隱私鏈對收款方地址和金額進行加密或隱藏。這些機密資訊可以被現在竊取，然後在未來量子計算機破解橢圓曲線密碼後被追溯去匿名化。門羅幣的環簽名與密鑰鏡像機制可能導致交易圖被完整重建。

因此，如果隱私鏈用戶在意其交易不被未來量子計算機暴露，這類鏈應盡快過渡到後量子原語或混合方案，或者採用根本不將可解密秘密上鏈的新架構。

比特幣的困境：為何不能只等量子計算機出現

對於比特幣，現實因素驅動著現在就開始規劃後量子遷移，但這些因素與量子技術本身關係不大。

第一個因素是治理速度。比特幣變革極其緩慢，任何爭議都可能引發破壞性硬分叉。這種社會協調的困難是根本的。

第二個因素是被動遷移的不可能性。幣主必須主動將其幣遷移到新的簽名方案，這意味著被遺棄、量子脆弱的幣無法受到協議保護。據估計，這類「沉睡」且量子脆弱的比特幣可能達數百萬枚，現值數千億美元。

但這不是「一夜之間的末日」。早期量子攻擊將極其昂貴緩慢，攻擊者會理性地選擇性瞄準高價值錢包。而且，避免地址重複且不使用Taproot地址的用戶，即使沒有協議升級，基本也是安全的——他們的公鑰在花費前一直隱藏在哈希值後。只有當花費交易廣播時，公鑰才暴露，此時會有短暫的實時競賽：誠實用戶要儘快確認交易，而量子攻擊者試圖在此之前計算出私鑰。

真正脆弱的是那些公鑰已暴露的幣：早期P2PK輸出、重複地址持有的資產，以及Taproot地址（後者在鏈上直接暴露公鑰）。

對於已被遺棄的脆弱幣，解決方案棘手：社群要麼約定一個「截止日」，之後未遷移幣視為銷毀；要麼任由其被未來擁有量子計算機的人奪取。後者會帶來嚴重的法律和安全問題。

比特幣還有一個獨特的挑戰：低交易吞吐量。即使遷移計畫敲定，以目前速率遷移所有脆弱資金也需要數月之久。

結論：比特幣必須現在就開始規劃後量子過渡，但理由並非量子計算機可能在2030年前出現（這缺乏支持），而是因為遷移價值數千億美元資產所需的治理、協調和技術後勤工作本身就需要數年時間。量子威脅對比特幣是真實的，但時間壓力主要源於其自身約束，而非迫在眉睫的危險期計算機。

後量子遷移的成本與風險：為何不能倉促

後量子密碼學主要基於五類數學難題：哈希、編碼、格、多元二次方程組、橢圓曲線同源。方案多樣的原因是：結構越多，效率通常越高，但給攻擊算法留下的突破口也可能越多，這是一個根本權衡。

• 哈希方案最保守（安全性信心最足），但性能最差。NIST標準化的哈希簽名最小也有7到8KB，而目前橢圓曲線簽名僅64字節，相差約百倍。

• 格方案成為部署焦點。NIST選定的唯一後量子加密方案（ML-KEM）及三種簽名中的兩種（ML-DSA、Falcon）均基於格。

• ML-DSA簽名大小約2.4到4.6KB，是目前簽名的40到70倍。

• Falcon簽名較小（0.7到1.3KB），但實現極其複雜，涉及恆定時間浮點運算，已有成功的側信道攻擊案例。其創始人之一稱這是「我實現過的最複雜的密碼算法」。

實施安全性挑戰更大：格基簽名比橢圓曲線簽名有更多敏感中間值和複雜的拒絕採樣邏輯，需要更強的側信道和故障注入防護。

歷史教訓值得警醒。NIST標準化過程中的領先候選方案，如Rainbow（基於MQ的簽名）和SIKE/SIDH（基於同源的加密），都曾被經典計算機攻破。這說明了過早標準化和部署的風險。

網路基礎設施對簽名遷移採取了審慎態度，這尤其值得注意。因為密碼學過渡本身就耗時漫長——從MD5/SHA-1的遷移持續了多年，至今仍未徹底完成。

現在就該做的建議

根據以上現實，我們應遵循這些原則：嚴肅對待量子威脅，但不要預設危險期計算機會在2030年前出現，因為現有進展不支持此預設。同時，有些事我們現在就可以且應該做。

01. 立即部署混合加密

在需要長期保密且成本可接受的地方，應立即部署混合後量子加密。許多瀏覽器、CDN和通訊應用（iMessage、Signal）已開始部署。混合方案（後量子+經典）既防HNDL攻擊，又規避後量子方案潛在弱點。

02. 在寬容場景使用哈希簽名

對於那些能容忍大尺寸且低頻的場景（如軟體/韌體更新），現在就可採用混合哈希簽名。這提供了一個保守的「救生艇」，以防量子計算機意外提前出現。

03. 區塊鏈應立即開始規劃

雖然區塊鏈無需倉促上馬後量子簽名，但應立即開始規劃，效仿網路PKI社群的審慎態度，讓方案更成熟。

04. 定義遷移路徑

比特幣等公鏈需定義清晰的後量子遷移路徑，並明確對「沉睡」脆弱資金的政策。比特幣尤其需要現在就開始規劃——其主要挑戰不是技術性的，而是治理和社會協調的問題。

05. 給研究留出成熟時間

給後量子SNARK和可聚合簽名的研究留出成熟時間（可能還需幾年），避免過早鎖定次優方案。

06. 帳戶設計的啟示

對於以太坊等平台，智能合約錢包（可升級）可能提供更順暢的遷移路徑。但帳戶抽象（解耦帳戶身份與特定簽名方案）能提供更大彈性，不僅利於後量子遷移，也支持贊助交易、社交恢復等功能。

07. 隱私鏈應優先考慮

隱私鏈用戶機密性正暴露於HNDL攻擊之下。這類鏈應優先過渡（若性能可接受），可考慮混合方案或架構調整。

08. 短期優先順序：實施安全>量子威脅

在未來多年中，實施漏洞和側信道攻擊都比量子計算機更現實的威脅。現在就在審計、模糊測試、形式化驗證和縱深防禦上投入，別讓量子焦慮掩蓋了更緊迫的安全風險。

09. 持續資助研發

從國家安全角度，必須持續投入資金培養人才。主要對手若率先獲得密碼學相關量子計算能力，將構成嚴重風險。

10. 理性看待量子新聞

未來會有更多里程碑。但每一個里程碑恰恰證明了我們離真正的威脅還有多遠。應將新聞稿視為需要批判性評估的進展報告，而非倉促行動的信號。

後記：在危險期到來前找到平衡

技術突破可能加速，瓶頸也可能延長預測。我們並非斷言五年內絕無可能，只是認為可能性很低，基於公開的技術進展數據。

遵循上述建議，能幫助我們規避更直接、更可能的風險：實施漏洞、倉促部署，以及密碼學過渡中常見的失誤。這些問題不會在遙遠的未來出現，而是在危險期計算機真正威脅我們之前的這些年中，就已經可能對我們造成傷害。