量子计算威胁密码学的真实时间表：理性评估"5年、10年还是更久"的争议

我们经常听到关于量子计算突破的耸人听闻的新闻。但量子计算真的会在五年内破解现代密码学吗？Justin Thaler是a16z的研究合作伙伴，他在深入分析中指出，关于量子计算将对密码系统造成威胁的时间表往往被严重夸大了。这份研究揭示了一个核心事实：虽然量子计算确实构成长期风险，但其到来的时间远比许多人声称的要晚得多。更重要的是，不同的密码学工具面临的威胁程度完全不同——这个关键区别往往被忽视。

量子计算对密码学的威胁并非单一事件，而是一个需要根据具体应用场景精细化分析的复杂问题。本文将系统地解析这些威胁的真实时间表、实际风险以及各行业应该如何应对。

量子计算实际进展：技术现实vs营销宣传

当我们谈论"量子计算"时，人们通常想象的是能够破解RSA-2048或secp256k1（比特币采用的椭圆曲线）这类现代密码系统的通用量子计算机。这种计算机需要满足严格条件：必须是容错型、拥有错误纠正能力，能够运行Shor算法，且规模足以在合理时间内（比如一个月以内）完成破解。

根据公开的技术报告和资源评估，我们离这样的系统仍然很远。虽然一些公司声称可能在2030年甚至2035年实现这一目标，但现有的技术进展并不支持这些乐观估计。目前，无论是离子陷阱系统、超导量子比特还是中性原子平台，都无法接近破解RSA-2048所需的规模。破解这类密码需要数万个，甚至可能需要数百万个物理量子比特——具体数量取决于错误率和纠正方案。

关键瓶颈不仅是量子比特的数量，还包括门操作的精度、量子比特之间的连接性，以及支持深层量子算法所需的错误纠正电路深度。当前一些系统虽然物理量子比特数已超过1000个，但这个数字具有欺骗性：这些系统缺乏必要的连接性和精度来执行密码分析计算。尽管现代系统正接近物理错误纠正所需的阈值，但目前没有人能够稳定维持哪怕少数几个逻辑量子比特的工作，更不用说实现数千个高精度逻辑量子比特、深层电路和容错计算了。从概念验证到密码分析实现之间的鸿沟仍然巨大。

为什么新闻报道如此令人困惑？

商业新闻稿和媒体报道经常制造混淆。主要的混淆来源包括：

"量子优势"演示的误导性：当前展示的任务通常经过精心设计，并非真正有用的应用，只是恰好能在现有硬件上运行并显得"快速"。这一关键细节常被宣传忽略。

"数千个物理量子比特"的误导：这个说法通常指的是绝热量子计算机（模拟退火系统），而不是能够运行Shor算法并破解公钥加密系统的门式模型计算机。

"逻辑量子比特"术语的滥用：物理量子比特容易受噪声影响，而实际应用需要通过错误纠正用多个物理量子比特构建"逻辑量子比特"。运行Shor算法需要数千个这样的逻辑量子比特，每个通常需要数百到数千个物理量子比特。然而，一些公司夸大宣传，声称使用"距离-2"错误纠正码（只能检测但不能纠正错误）达到48个逻辑量子比特，且每个逻辑量子比特仅需2个物理量子比特——这完全是无稽之谈。

路线图中的虚假承诺：许多项目路线图中声称的"逻辑量子比特"实际上只支持"Clifford操作"，这种操作可以在经典计算机上有效模拟，不足以执行Shor算法所需的大量"非Clifford门"（如T门）。因此，即使某个路线图声称将在某年实现"数千个逻辑量子比特"，这也不意味着公司预期在那时能破解经典密码系统。

这些实践严重扭曲了公众认知（包括许多知情观察者），对量子计算进展的理解因此产生偏差。

即使专家也在夸大威胁时间

即使是著名的量子计算研究者Scott Aaronson最近也在讨论这个问题时表示，考虑到"硬件发展的惊人速度"，他认为"在下届美国总统选举前出现容错量子计算机、能够运行Shor算法"是有"真实可能性"的。但他立即澄清，这不是指能破解密码的量子计算机——即使仅仅是容错纠正来因式分解15=3×5（用纸笔计算会更快），他就认为这满足了他的承诺。这仍然只是一个小规模演示，类似的实验总是瞄准15，因为模15的运算简单，而稍大一点的数字（如21）就会复杂得多。

核心结论：认为未来5年内会出现能破解RSA-2048或secp256k1的量子计算机——这两者对实际密码学至关重要——这种说法没有得到公开技术成果的支持。即使放宽到10年的时间框架，这个目标仍然很宏大。因此，对进展的兴奋与"还需要几十年"这样的时间评估并无矛盾。

两类密码学威胁的完全不同风险等级

理解量子计算威胁的关键在于认识到不同的密码学工具面临截然不同的风险。这个区别极其重要，但常被忽视。

"现在加密、未来解密"攻击只针对特定工具

“现在加密、未来解密”（Harvest Now, Decrypt Later）攻击的工作原理：攻击者当下采集加密的通信流量，存储保存，等待量子计算机出现后再进行解密。国家级对手可能已经在大规模存档来自美国政府的加密信息，以便在未来解密。

这种攻击对加密算法构成直接威胁。机密数据如果今天加密，其价值可能在未来数十年内仍然存在，到那时量子计算机出现时就会被破解。因此，对于需要长期保密的数据，后量子加密必须立即部署，尽管成本高昂且实现存在风险。这是不可避免的。

但这种攻击对数字签名完全不适用。

数字签名面临的风险完全不同

数字签名（所有区块链的基础）无需提供需要保护的机密性来抵御恢复性攻击。即使未来出现量子计算机，它只能今后伪造签名，但无法"解密"过去的签名。只要你能证明某个签名是在量子计算机出现之前生成的，那个签名就不可能被伪造。

这使得迁移到后量子数字签名的紧迫性远低于加密迁移。后量子签名方案自身带来的代价（增大尺寸、性能开销、方案不成熟、潜在漏洞）需要谨慎规划而非仓促行动。

零知识证明的独特属性

关于零知识证明（zkSNARK）的情况类似于签名。即使zkSNARK使用非量子耐受的椭圆曲线密码学，其"零知识"属性本身就是量子耐受的。这个属性保证了证明不会泄露关于秘密的任何信息——即使对量子计算机也无法泄露——因此没有"现在窃取、未来解密"的秘密。因此，zkSNARK不易受到此类攻击。

区块链生态面临的量子计算威胁评估

大多数公链对此类攻击天然免疫

比特币和以太坊等非隐私公链面临的情况：在这些区块链中，后量子密码学主要用于交易授权（即数字签名），而非加密。这些签名不受"现在加密、未来解密"攻击的威胁。比特币是公开的——量子威胁在于伪造签名（盗取资金），而非解密已发布的交易数据。这消除了立即进行后量子迁移的密码学必要性。

遗憾的是，即使是美国联邦储备委员会这样的权威机构的分析，也错误地声称比特币容易受到此类攻击，这夸大了迁移的紧迫性。

当然，这并不意味着比特币可以高枕无忧。它面临各种时间限制，主要源于进行协议变更所需的大规模社会协调工作。

隐私币的真实风险

例外情况：隐私链。许多隐私链加密或隐藏收款人和金额。这些秘密数据可能今天就被窃取，并在未来用破解椭圆曲线密码的量子计算机来匿名化。攻击的严重程度取决于设计（例如，Monero的环签名和关键镜像可能允许恢复整个交易图）。因此，如果用户担心自己的交易在未来被量子计算机揭露，隐私链应尽快迁移到后量子原语或混合方案，或采用不会在链上记录可解密秘密的架构。

比特币的独特挑战：治理瓶颈与"僵尸币"问题

对比特币而言，存在两个与现实相关的因素，造成了后量子签名规划的紧迫性，但这两个因素都与量子技术本身无关：

治理的缓慢性：比特币演进缓慢，任何分歧可能导致破坏性硬分叉。

被动迁移不可行：币的所有者必须主动迁移他们的币。这意味着被遗弃和易受量子攻击的币无法得到保护。据估计，可能有数百万的"僵尸"且易受量子攻击的比特币，按今天的价格相当于数万亿美元。

然而，针对比特币的量子威胁并非一夜之间的启示录，而是选择性的、逐步针对的。早期的量子攻击将极其昂贵且缓慢，其组织者将选择性地针对高价值钱包。此外，避免地址重用且不使用Taproot的用户（后者直接在区块链中暴露公钥）基本上仍然安全，即使没有协议升级：他们的公钥在使用前保持隐藏在哈希后面。只有在交易广播时，公钥才会被暴露，然后开始短暂的竞速：诚实用户争取尽快确认交易，而量子对手试图在此前计算私钥并盗取币。

真正易受攻击的是公钥已暴露的币：早期P2PK输出、多次使用的地址和Taproot中存储的资产。对于已被遗弃的易受攻击的币，解决方案复杂：要么社区同意"截止日期"，在此之后未迁移的币被视为销毁；要么放任自流，允许未来的量子计算机拥有者在以后盗取它们。后者可能导致严重的法律和技术问题。

另一个特定于比特币的具体问题是低交易吞吐量。即使迁移计划达成一致，以当前速率迁移所有易受攻击的资金也需要数月时间。

这些挑战迫使比特币现在就开始规划后量子时代的过渡——不是因为量子计算机可能在2030年出现，而是因为管理、协调和技术物流工作，对数百亿美元资产的迁移本身就需要数年时间完成。

补充说明：上述与签名相关的漏洞不影响比特币的经济安全（即工作量证明共识）。PoW需要哈希计算，只有Grover算法能提供二次加速，但实际上需要巨大成本，显著加速不太可能。即使确实发生了，这也会给大型矿工优势，但不会破坏经济安全模型。

后量子签名的成本与风险分析

为什么区块链不应仓促实施后量子签名？我们需要理解这些新方案在性能方面的代价以及对这些仍在发展中的新解决方案的信任程度。

后量子密码学主要基于五类数学困难问题：哈希、编码、格、二次多项式系统、椭圆曲线等距。这种多样性的原因在于方案的效率与其所基的问题的"结构性"相关：结构性越强，效率通常越高，但可能有更多的攻击入口。这是根本性的权衡。

哈希方案：最保守（安全信心最高），但性能最差。NIST标准化的哈希算法的最小签名大小为7-8 KB，而当前椭圆曲线签名仅为64字节——相差数百倍。

格方案：是当前部署的焦点。NIST唯一选定的后量子加密方案（ML-KEM）和三个签名方案中的两个（ML-DSA、Falcon）都基于格。

• ML-DSA签名大小约2.4-4.6 KB，比当前签名大40-70倍。
• Falcon签名体积较小（0.7-1.3 KB），但实现极其复杂，涉及恒定时间浮点运算，已遭遇成功的侧信道攻击。其创建者称之为"我所实现过的最复杂的密码算法"。
• 实现安全性更困难：格签名有更多中间值和更复杂的采样拒绝逻辑，比椭圆曲线签名需要更强的侧信道防护和故障注入防护。

与远离的量子计算机相比，这些实现问题构成的风险远为迫切。历史经验也警示我们要谨慎：NIST标准化的主要候选如Rainbow（基于MQ的签名）和SIKE/SIDH（基于等距的加密）已被在经典计算机上破解。这表明过早标准化和部署的风险。

互联网基础设施在新签名转换上表现谨慎，这点尤为重要，因为转换本身耗时多年（例如从MD5/SHA-1的迁移已进行多年，仍未完成）。

互联网基础设施与区块链的共同挑战

正面因素是，由开源社区支持的区块链（如以太坊、Solana）可比传统网络基础设施升级更快。负面因素是，传统网络可通过频繁密钥轮换来缩小攻击面，而区块链币和关联的密钥可能长期保持易受攻击。

总体而言，区块链应效仿网络PKI社区展示的谨慎策略来规划签名迁移。两者都不易受"现在加密、未来解密"攻击，后量子迁移的成本和风险都很高。

区块链还有几个特定特征使早期转换尤为危险：

签名聚合需求：区块链经常需要快速聚合大量签名（如BLS签名）。BLS很快，但不提供后量子安全。基于SNARK的后量子签名聚合研究前景光明，但仍处早期阶段。

SNARK的未来：当前社区主要倾向于基于哈希的后量子SNARK，但我相信在未来数月和数年会出现基于格的替代SNARK，在证明长度等多个方面表现优越。

更紧迫的问题是确保实现安全。未来几年，实现漏洞和侧信道攻击对SNARK和后量子签名构成的安全威胁比量子计算机更大。对于SNARK，主要威胁是软件漏洞。数字签名和加密已有其复杂性，SNARK更复杂。实际上，数字签名可视为简约版zkSNARK。对后量子签名，侧信道和故障注入攻击构成更迫切的威胁。社区需要数年来强化这些实现。

因此，转换太早——在尘埃未落之前——可能让你陷入不理想的处境，或被迫重新迁移以修复缺陷。

向前推进：七项战略建议

基于上述现实，我向所有利益相关者（从开发者到决策者）提出以下建议。指导原则：认真看待量子威胁，但不要假设2030年前会出现能破解密码系统的量子计算机（现有成果不支持这个假设）。尽管如此，有些事情我们现在就能也应该做：

1. 立即部署混合加密：至少在需要长期保密且成本可接受的场景中。许多浏览器、CDN和信息应用（如iMessage、Signal）已开始部署。混合方案（后量子+经典）防护此类攻击，并防止后量子方案的潜在缺陷。

2. 在可容忍大尺寸的场景立即使用基于哈希的签名：例如低频软件/固件更新（大小无关紧要），现在可使用混合哈希签名（混合性提供对新方案实现漏洞的保险）。如果量子计算机意外提前出现，这提供谨慎的"救生筏"。

3. 区块链不需急于部署后量子签名，但应立即开始规划。

4. 开发者应效仿网络PKI社区的谨慎态度，使提议的解决方案更加成熟。

5. 比特币等公链必须现在就确定迁移路径和"僵尸"易受攻击资金政策。比特币特别需要现在规划，因为其挑战主要不是技术性的（缓慢的治理、大量高价值"僵尸"地址）。

6. 为后量子SNARK和可聚合签名的研究成熟预留时间（可能再需几年），以避免过早固定为次优解决方案。

7. 关于以太坊账户：智能合约钱包（可升级）可提供更平顺的迁移路径，但区别不大。最关键的是社区继续推进后量子原语研究和应急响应计划。更宽泛的设计结论：将账户身份与具体签名方案解耦（如账户抽象）可提供更多灵活性，这不仅促进后量子时代迁移，还支持交易赞助、社会恢复等功能。

8. 隐私链应优先转换（如果性能可接受）：用户隐私现已易受此类攻击。考虑混合方案或改变架构以避免在链上记录可解密的秘密。

9. 短期战略：优先保护实现安全性，而不是过度关注量子威胁。对于SNARK和后量子签名等复杂密码学方法，实现漏洞和侧信道攻击在未来几年构成的安全威胁比量子计算机大得多。现在就投资审计、模糊测试、形式验证和分层防护，不让量子焦虑遮蔽更迫切的漏洞威胁。

10. 持续资助量子计算研发：从国家安全角度，需要持续投资和人才培养。如果主要对手率先获得密码学级量子计算能力，这将构成严重风险。

11. 理性看待量子计算新闻：未来会有更多里程碑。但每个里程碑恰好证明我们距离目标仍很远。将新闻稿视为需要批判性评估的进展报告，而非仓促行动的信号。当然，技术突破可能加速发展，瓶颈可能延缓进展。我不声称五年内不可能发生，但我认为概率极低。

遵循上述建议将帮助我们规避更直接、更可能的风险：实现漏洞、仓促部署以及密码学转换中的常见错误。