量子计算机的危险期：何时真正威胁加密安全？

量子计算何时能破解加密？这个问题的答案，常被企业宣传和媒体渲染得面目全非。从科技公司的里程碑演示到政府的政策规划，关于量子威胁的时间线被不断夸大，催生了对"立即全面转向后量子密码学"的紧急呼声。但这些声音往往忽视了一个关键现实：不同的密码学工具面临的量子威胁本质截然不同，而过早行动的代价可能远大于延迟行动的风险。

根据a16z研究合伙人Justin Thaler的深度分析，我们需要理性看待这场"危险期计算机"的讨论——并非所有密码学工具都处于同样的紧急危险期。

量子计算机的真实威胁期：数据拆解背后的真相

关于量子计算破解密码的时间线，市场上存在很多相互矛盾的预测。有公司声称能在2030年甚至2035年前实现这一目标，但当我们深入技术细节时，会发现这些承诺与实际进展之间存在巨大鸿沟。

所谓能破解加密的"密码学相关量子计算机"，需要满足几个苛刻条件：首先，它必须是容错且能进行纠错的量子计算机；其次，它必须能运行Shor算法（这是破解现代密码的关键）；最后，它的规模必须足以在合理时间内（比如不超过一个月）攻破椭圆曲线密码或RSA-2048这样的现代密码标准。

根据公开的技术里程碑评估，这样的计算机仍远在地平线之外。即便在量子比特数量已突破1000的系统中，我们看到的也仅仅是数字的突破，而非实用能力的突破。这些系统普遍缺乏密码学计算所需的连接性和保真度。

核心的瓶颈不在数量，而在质量。破解现代密码需要数十万乃至数百万个物理量子比特，这还只是初步估计。更严峻的挑战在于：量子比特间的连接性、门保真度，以及运行深度量子算法所需的纠错能力。当前，即使是最先进的系统也无法稳定运行超过几个逻辑量子比特，距离运行Shor算法所需的数千个高保真、容错的逻辑量子比特，差距是指数级的。

理性判断：在量子比特数量和保真度至少提升3到4个数量级之前，真正能破解现代密码的"危险期计算机"都不会出现。

然而，企业新闻稿和媒体报道制造的混淆不止一处：

• "量子优势"的幻觉：目前演示的大多是精心设计的任务，并非实际有用的应用，只因它们能在现有硬件上运行并"显得"很快。这一点在宣传中往往被淡化或隐瞒。

• 物理量子比特数的欺骗：宣传中的"数千物理量子比特"通常指的是量子退火机，而非能运行Shor算法的门模型量子计算机——两者完全是两回事。

• "逻辑量子比特"的滥用：有些公司声称用特定方法以每个逻辑量子比特仅2个物理量子比特的代价实现了48个逻辑量子比特，这在技术上毫无意义，因为所用的纠错码根本无法纠错，只能检错。

• 路线图的误导：许多路线图中提到的"逻辑量子比特"仅支持Clifford操作，这些操作可被经典计算机高效模拟，根本无法运行需要大量T门的Shor算法。所以即便路线图宣称某年实现数千逻辑量子比特，也不意味着他们预计那时就能破解密码。

这些做法严重扭曲了公众对量子计算进度的认知，甚至包括一些行业资深观察者。

“现在窃取、未来解密”：谁真正处于危险期？

为了理解量子威胁的紧迫性，需要先区分两类密码学工具的风险差异：加密和数字签名。

“现在窃取、未来解密”（HNDL）攻击是这样的：攻击者在今天存储加密流量，等待未来量子计算机出现后再解密。国家级对手很可能已在大量归档来自政府和企业的加密通信，为这一天做准备。

因此，加密确实需要立即升级，至少对那些需要10到50年以上保密期的数据。这是一个真实的、不可回避的危险期挑战。

但数字签名完全不同。数字签名没有需要追溯攻击的机密性。即使量子计算机在未来出现，也只能从那时起伪造签名，无法像破解加密那样"解密"过去的签名。只要你能证明某个签名是在量子计算机出现之前生成的，它就永远不会被伪造。

这个差异至关重要，因为它决定了不同工具的升级紧迫性。

现实中的平台已经按此逻辑行动：

• Chrome和Cloudflare为网络TLS加密部署了混合X25519+ML-KEM方案。"混合"是关键——同时使用后量子安全方案和现有方案，既防止HNDL攻击，又在后量子方案出现问题时保有经典安全。

• Apple的iMessage（PQ3协议）和Signal（PQXDH和SPQR协议）也部署了类似的混合后量子加密。

相比之下，后量子数字签名在关键基础设施上的部署则被推迟——不是因为不需要，而是因为当前的后量子签名方案会带来显著的性能下降和实施复杂性。

区块链的量子危机：真实的威胁还是过度炒作？

这一点对加密货币来说是个好消息：大多数区块链根本不易受HNDL攻击。

像比特币和以太坊这类非隐私链，其非后量子密码学主要用于交易授权（即数字签名），而非加密。这些签名不构成HNDL风险。比特币区块链是完全公开的——每笔交易都在链上可见。量子威胁在于签名伪造（因而盗取资金），而非解密已经公开的交易数据。

这一关键事实被很多权威机构误解过。美联储等组织曾错误地声称比特币易受HNDL攻击，这严重夸大了迁移的紧迫性。

现实的例外是隐私链。许多隐私链对收款方地址和金额进行加密或隐藏。这些机密信息可以被现在窃取，然后在未来量子计算机破解椭圆曲线密码后被追溯去匿名化。门罗币的环签名与密钥镜像机制可能导致交易图被完整重建。

因此，如果隐私链用户在意其交易不被未来量子计算机暴露，这类链应尽快过渡到后量子原语或混合方案，或者采用根本不将可解密秘密上链的新架构。

比特币的困境：为什么不能只等量子计算机出现

对于比特币，现实因素驱动着现在就开始规划后量子迁移，但这些因素与量子技术本身关系不大。

第一个因素是治理速度。比特币变革极其缓慢，任何争议都可能引发破坏性硬分叉。这种社会协调的困难是根本的。

第二个因素是被动迁移的不可能性。币主必须主动将其币迁移到新的签名方案，这意味着被遗弃、量子脆弱的币无法受到协议保护。据估计，这类"沉睡"且量子脆弱的比特币可能达数百万枚，现值数千亿美元。

但这不是"一夜之间的末日"。早期量子攻击将极其昂贵缓慢，攻击者会理性地选择性瞄准高价值钱包。而且，避免地址复用且不使用Taproot地址的用户，即使没有协议升级，基本也是安全的——他们的公钥在花费前一直隐藏在哈希值后。只有当花费交易广播时，公钥才暴露，此时会有短暂的实时竞赛：诚实用户要尽快确认交易，而量子攻击者试图在此之前计算出私钥。

真正脆弱的是那些公钥已暴露的币：早期P2PK输出、复用地址持有的资产，以及Taproot地址（后者在链上直接暴露公钥）。

对于已被遗弃的脆弱币，解决方案棘手：社区要么约定一个"截止日"，之后未迁移币视为销毁；要么任由其被未来拥有量子计算机的人夺取。后者会带来严重的法律和安全问题。

比特币还有一个独特的挑战：低交易吞吐量。即使迁移计划敲定，以当前速率迁移所有脆弱资金也需要数月之久。

结论：比特币必须现在就开始规划后量子过渡，但理由并非量子计算机可能在2030年前出现（这缺乏支持），而是因为迁移价值数千亿美元资产所需的治理、协调和技术后勤工作本身就需要数年时间。量子威胁对比特币是真实的，但时间压力主要源于其自身约束，而非迫在眉睫的危险期计算机。

后量子迁移的成本与风险：为什么不能仓促

后量子密码学主要基于五类数学难题：哈希、编码、格、多元二次方程组、椭圆曲线同源。方案多样的原因是：结构越多，效率通常越高，但给攻击算法留下的突破口也可能越多，这是一个根本权衡。

• 哈希方案最保守（安全性信心最足），但性能最差。NIST标准化的哈希签名最小也有7到8KB，而当前椭圆曲线签名仅64字节，相差约百倍。

• 格方案成为部署焦点。NIST选定的唯一后量子加密方案（ML-KEM）及三种签名中的两种（ML-DSA、Falcon）均基于格。

• ML-DSA签名大小约2.4到4.6KB，是当前签名的40到70倍。

• Falcon签名较小（0.7到1.3KB），但实现极其复杂，涉及恒定时间浮点运算，已有成功的侧信道攻击案例。其创始人之一称这是"我实现过的最复杂的密码算法"。

实施安全性挑战更大：格基签名比椭圆曲线签名有更多敏感中间值和复杂的拒绝采样逻辑，需要更强的侧信道和故障注入防护。

历史教训值得警醒。NIST标准化过程中的领先候选方案，如Rainbow（基于MQ的签名）和SIKE/SIDH（基于同源的加密），都曾被经典计算机攻破。这说明了过早标准化和部署的风险。

互联网基础设施对签名迁移采取了审慎态度，这尤其值得注意。因为密码学过渡本身就耗时漫长——从MD5/SHA-1的迁移持续了多年，至今仍未彻底完成。

现在就该做的建议

根据以上现实，我们应遵循这些原则：严肃对待量子威胁，但不要预设危险期计算机会在2030年前出现，因为现有进展不支持此预设。同时，有些事我们现在就可以且应该做。

01. 立即部署混合加密

在需要长期保密且成本可接受的地方，应立即部署混合后量子加密。许多浏览器、CDN和通讯应用（iMessage、Signal）已开始部署。混合方案（后量子+经典）既防HNDL攻击，又规避后量子方案潜在弱点。

02. 在宽容场景使用哈希签名

对于那些能容忍大尺寸且低频的场景（如软件/固件更新），现在就可采用混合哈希签名。这提供了一个保守的"救生艇"，以防量子计算机意外提前出现。

03. 区块链应立刻开始规划

虽然区块链无需仓促上马后量子签名，但应立刻开始规划，效仿网络PKI社区的审慎态度，让方案更成熟。

04. 定义迁移路径

比特币等公链需定义清晰的后量子迁移路径，并明确对"沉睡"脆弱资金的政策。比特币尤其需要现在就开始规划——其主要挑战不是技术性的，而是治理和社会协调的问题。

05. 给研究留出成熟时间

给后量子SNARK和可聚合签名的研究留出成熟时间（可能还需几年），避免过早锁定次优方案。

06. 账户设计的启示

对于以太坊等平台，智能合约钱包（可升级）可能提供更顺滑的迁移路径。但账户抽象（解耦账户身份与特定签名方案）能提供更大灵活性，不仅利于后量子迁移，也支持赞助交易、社交恢复等功能。

07. 隐私链应优先考虑

隐私链用户机密性正暴露于HNDL攻击之下。这类链应优先过渡（若性能可接受），可考虑混合方案或架构调整。

08. 短期优先顺序：实施安全>量子威胁

在未来多年中，实施漏洞和侧信道攻击都比量子计算机更现实的威胁。现在就在审计、模糊测试、形式化验证和纵深防御上投入，别让量子焦虑掩盖了更紧迫的安全风险。

09. 持续资助研发

从国家安全角度，必须持续投入资金培养人才。主要对手若率先获得密码学相关量子计算能力，将构成严重风险。

10. 理性看待量子新闻

未来会有更多里程碑。但每一个里程碑恰恰证明了我们离真正的威胁还有多远。应将新闻稿视为需要批判性评估的进展报告，而非仓促行动的信号。

后记：在危险期到来前找到平衡

技术突破可能加速，瓶颈也可能延长预测。我们并非断言五年内绝无可能，只是认为可能性很低，基于公开的技术进展数据。

遵循上述建议，能帮助我们规避更直接、更可能的风险：实施漏洞、仓促部署，以及密码学过渡中常见的失误。这些问题不会在遥远的未来出现，而是在危险期计算机真正威胁我们之前的这些年中，就已经可能对我们造成伤害。