量子計算威脅密碼學的真實時間表：理性評估"5年、10年還是更久"的爭議

我們經常聽到關於量子計算突破的耸人聽聞的新聞。但量子計算真的會在五年內破解現代密碼學嗎？Justin Thaler是a16z的研究合作夥伴，他在深入分析中指出，關於量子計算將對密碼系統造成威脅的時間表往往被嚴重誇大了。這份研究揭示了一個核心事實：雖然量子計算確實構成長期風險，但其到來的時間遠比許多人聲稱的要晚得多。更重要的是，不同的密碼學工具面臨的威脅程度完全不同——這個關鍵區別往往被忽視。

量子計算對密碼學的威脅並非單一事件，而是一個需要根據具體應用場景精細化分析的複雜問題。本文將系統地解析這些威脅的真實時間表、實際風險以及各行業應該如何應對。

量子計算實際進展：技術現實vs行銷宣傳

當我們談論"量子計算"時，人們通常想像的是能夠破解RSA-2048或secp256k1（比特幣採用的橢圓曲線）這類現代密碼系統的通用量子計算機。這種計算機需要滿足嚴格條件：必須是容錯型、擁有錯誤更正能力、能運行Shor算法，且規模足以在合理時間內（比如一個月內）完成破解。

根據公開的技術報告和資源評估，我們離這樣的系統仍然很遠。雖然一些公司聲稱可能在2030年甚至2035年實現這一目標，但現有的技術進展並不支持這些樂觀估計。目前，無論是離子阱系統、超導量子比特還是中性原子平台，都無法接近破解RSA-2048所需的規模。破解這類密碼需要數萬個，甚至可能需要數百萬個物理量子比特——具體數量取決於錯誤率和更正方案。

關鍵瓶頸不僅是量子比特的數量，還包括閘操作的精度、量子比特之間的連接性，以及支持深層量子算法所需的錯誤更正電路深度。目前一些系統雖然物理量子比特數已超過1000個，但這個數字具有欺騙性：這些系統缺乏必要的連接性和精度來執行密碼分析計算。儘管現代系統正接近物理錯誤更正所需的閾值，但目前沒有人能夠穩定維持哪怕少數幾個邏輯量子比特的工作，更不用說實現數千個高精度邏輯量子比特、深層電路和容錯計算了。從概念驗證到密碼分析實現之間的鴻溝仍然巨大。

為什麼新聞報導如此令人困惑？

商業新聞稿和媒體報導經常製造混淆。主要的混淆來源包括：

"量子優勢"演示的誤導性：目前展示的任務通常經過精心設計，並非真正有用的應用，只是恰好能在現有硬體上運行並顯得"快速"。這一關鍵細節常被宣傳忽略。

"數千個物理量子比特"的誤導：這個說法通常指的是絕熱量子計算機（模擬退火系統），而不是能運行Shor算法並破解公鑰加密系統的門式模型計算機。

"邏輯量子比特"術語的濫用：物理量子比特容易受噪聲影響，而實際應用需要通過錯誤更正用多個物理量子比特構建"邏輯量子比特"。運行Shor算法需要數千個這樣的邏輯量子比特，每個通常需要數百到數千個物理量子比特。然而，一些公司誇大宣傳，聲稱使用"距離-2"錯誤更正碼（只能檢測但不能更正錯誤）達到48個邏輯量子比特，且每個邏輯量子比特僅需2個物理量子比特——這完全是無稽之談。

路線圖中的虛假承諾：許多專案路線圖中聲稱的"邏輯量子比特"實際上只支持"Clifford操作"，這種操作可以在經典計算機上有效模擬，不足以執行Shor算法所需的大量"非Clifford門"（如T門）。因此，即使某個路線圖聲稱在某年實現"數千個邏輯量子比特"，這也不意味著公司預期在那時能破解經典密碼系統。

這些實踐嚴重扭曲了公眾認知（包括許多知情觀察者），對量子計算進展的理解因此產生偏差。

即使專家也在誇大威脅時間

即使是著名的量子計算研究者Scott Aaronson最近也在討論這個問題時表示，考慮到"硬體發展的驚人速度"，他認為"在下屆美國總統選舉前出現容錯量子計算機、能運行Shor算法"是有"真實可能性"的。但他立即澄清，這不是指能破解密碼的量子計算機——即使僅僅是容錯糾正來因式分解15=3×5（用紙筆計算會更快），他就認為這滿足了他的承諾。這仍然只是一個小規模演示，類似的實驗總是瞄準15，因為模15的運算簡單，而稍大一點的數字（如21）就會複雜得多。

核心結論：認為未來5年內會出現能破解RSA-2048或secp256k1的量子計算機——這兩者對實際密碼學至關重要——這種說法沒有得到公開技術成果的支持。即使放寬到10年的時間框架，這個目標仍然很宏大。因此，對進展的興奮與"還需要幾十年"這樣的時間評估並無矛盾。

兩類密碼學威脅的完全不同風險等級

理解量子計算威脅的關鍵在於認識到不同的密碼學工具面臨截然不同的風險。這個區別極其重要，但常被忽視。

"現在加密、未來解密"攻擊只針對特定工具

“現在加密、未來解密”（Harvest Now, Decrypt Later）攻擊的運作原理：攻擊者當下採集加密的通訊流量，存儲保存，等待量子計算機出現後再進行解密。國家級對手可能已經在大規模存檔來自美國政府的加密資訊，以便在未來解密。

這種攻擊對加密算法構成直接威脅。機密資料如果今天加密，其價值可能在未來數十年內仍然存在，到那時量子計算機出現時就會被破解。因此，對於需要長期保密的資料，後量子加密必須立即部署，儘管成本高昂且實現存在風險。這是不可避免的。

但這種攻擊對數位簽名完全不適用。

數位簽名面臨的風險完全不同

數位簽名（所有區塊鏈的基礎）無需提供需要保護的機密性來抵禦恢復性攻擊。即使未來出現量子計算機，它只能日後偽造簽名，但無法"解密"過去的簽名。只要你能證明某個簽名是在量子計算機出現之前生成的，該簽名就不可能被偽造。

這使得遷移到後量子數位簽名的緊迫性遠低於加密遷移。後量子簽名方案自身帶來的代價（增大尺寸、性能開銷、方案不成熟、潛在漏洞）需要謹慎規劃而非倉促行動。

零知識證明的獨特屬性

關於零知識證明（zkSNARK）的情況類似於簽名。即使zkSNARK使用非量子耐受的橢圓曲線密碼學，其"零知識"屬性本身就是量子耐受的。這個屬性保證了證明不會洩露關於秘密的任何資訊——即使對量子計算機也無法洩露——因此沒有"現在竊取、未來解密"的秘密。因此，zkSNARK不易受到此類攻擊。

區塊鏈生態面臨的量子計算威脅評估

大多數公鏈對此類攻擊天然免疫

比特幣和以太坊等非隱私公鏈面臨的情況：在這些區塊鏈中，後量子密碼學主要用於交易授權（即數位簽名），而非加密。這些簽名不受"現在加密、未來解密"攻擊的威脅。比特幣是公開的——量子威脅在於偽造簽名（盜取資金），而非解密已發布的交易資料。這消除了立即進行後量子遷移的密碼學必要性。

遺憾的是，即使是美國聯邦儲備委員會這樣的權威機構的分析，也錯誤地聲稱比特幣容易受到此類攻擊，這誇大了遷移的緊迫性。

當然，這並不意味著比特幣可以高枕無憂。它面臨各種時間限制，主要源於進行協議變更所需的大規模社會協調工作。

隱私幣的真實風險

例外情況：隱私鏈。許多隱私鏈加密或隱藏收款人和金額。這些秘密資料可能今天就被竊取，並在未來用破解橢圓曲線密碼的量子計算機來匿名化。攻擊的嚴重程度取決於設計（例如，Monero的環簽名和關鍵鏡像可能允許恢復整個交易圖）。因此，如果用戶擔心自己的交易在未來被量子計算機揭露，隱私鏈應儘快遷移到後量子原語或混合方案，或採用不在鏈上記錄可解密秘密的架構。

比特幣的獨特挑戰：治理瓶頸與"僵屍幣"問題

對比特幣而言，存在兩個與現實相關的因素，造成了後量子簽名規劃的緊迫性，但這兩個因素都與量子技術本身無關：

治理的緩慢性：比特幣演進緩慢，任何分歧可能導致破壞性硬分叉。

被動遷移不可行：幣的所有者必須主動遷移他們的幣。這意味著被遺棄和易受量子攻擊的幣無法得到保護。據估計，可能有數百萬的"僵屍"且易受量子攻擊的比特幣，按今天的價格相當於數萬億美元。

然而，針對比特幣的量子威脅並非一夜之間的啟示錄，而是選擇性的、逐步針對的。早期的量子攻擊將極其昂貴且緩慢，其組織者將選擇性地針對高價值錢包。此外，避免地址重用且不使用Taproot的用戶（後者直接在區塊鏈中暴露公鑰）基本上仍然安全，即使沒有協議升級：他們的公鑰在使用前保持隱藏在哈希後面。只有在交易廣播時，公鑰才會被暴露，然後開始短暫的競速：誠實用戶爭取盡快確認交易，而量子對手試圖在此前計算私鑰並盜取幣。

真正易受攻擊的是公鑰已暴露的幣：早期P2PK輸出、多次使用的地址和Taproot中存儲的資產。對於已被遺棄的易受攻擊的幣，解決方案複雜：要麼社群同意"截止日期"，在此之後未遷移的幣被視為銷毀；要麼放任自流，允許未來的量子計算機擁有者在以後盜取它們。另一個比特幣的特定問題是低交易吞吐量。即使遷移計劃達成一致，以目前速率遷移所有易受攻擊的資金也需要數月時間。

這些挑戰迫使比特幣現在就開始規劃後量子時代的過渡——不是因為量子計算機可能在2030年出現，而是因為管理、協調和技術物流工作，對數百億美元資產的遷移本身就需要數年時間完成。

補充說明：上述與簽名相關的漏洞不影響比特幣的經濟安全（即工作量證明共識）。PoW需要哈希計算，只有Grover算法能提供二次加速，但實際上需要巨大成本，顯著加速不太可能。即使確實發生了，這也會給大型礦工優勢，但不會破壞經濟安全模型。

後量子簽名的成本與風險分析

為什麼區塊鏈不應倉促實施後量子簽名？我們需要理解這些新方案在性能方面的代價以及對這些仍在發展中的新解決方案的信任程度。

後量子密碼學主要基於五類數學困難問題：哈希、編碼、格、二次多項式系統、橢圓曲線等距。這種多樣性的原因在於方案的效率與其所基的問題的"結構性"相關：結構性越強，效率通常越高，但可能有更多的攻擊入口。這是根本性的權衡。

哈希方案：最保守（安全信心最高），但性能最差。NIST標準化的哈希算法的最小簽名大小為7-8 KB，而目前橢圓曲線簽名僅為64字節——相差數百倍。

格方案：是當前部署的焦點。NIST唯一選定的後量子加密方案（ML-KEM）和三個簽名方案中的兩個（ML-DSA、Falcon）都基於格。

• ML-DSA簽名大小約2.4-4.6 KB，比當前簽名大40-70倍。
• Falcon簽名體積較小（0.7-1.3 KB），但實現極其複雜，涉及恆定時間浮點運算，已遭遇成功的側信道攻擊。其創建者稱之為"我所實現過的最複雜的密碼算法"。
• 實現安全性更困難：格簽名有更多中間值和更複雜的採樣拒絕邏輯，比橢圓曲線簽名需要更強的側信道防護和故障注入防護。

與遠離的量子計算機相比，這些實現問題構成的風險遠為迫切。歷史經驗也警示我們要謹慎：NIST標準化的主要候選如Rainbow（基於MQ的簽名）和SIKE/SIDH（基於等距的加密）已被在經典計算機上破解。這表明過早標準化和部署的風險。

互聯網基礎設施在新簽名轉換上表現謹慎，這點尤為重要，因為轉換本身耗時多年（例如從MD5/SHA-1的遷移已進行多年，仍未完成）。

互聯網基礎設施與區塊鏈的共同挑戰

正面因素是，由開源社群支持的區塊鏈（如以太坊、Solana）可比傳統網路基礎設施升級更快。負面因素是，傳統網路可通過頻繁密鑰輪換來縮小攻擊面，而區塊鏈幣和關聯的密鑰可能長期保持易受攻擊。

總體而言，區塊鏈應效仿網路PKI社群展示的謹慎策略來規劃簽名遷移。兩者都不易受"現在加密、未來解密"攻擊，後量子遷移的成本和風險都很高。

區塊鏈還有幾個特定特徵使早期轉換尤為危險：

簽名聚合需求：區塊鏈經常需要快速聚合大量簽名（如BLS簽名）。BLS很快，但不提供後量子安全。基於SNARK的後量子簽名聚合研究前景光明，但仍處早期階段。

SNARK的未來：目前社群主要傾向於基於哈希的後量子SNARK，但我相信在未來數月和數年會出現基於格的替代SNARK，在證明長度等多方面表現優越。

更緊迫的問題是確保實現安全。未來幾年，實現漏洞和側信道攻擊對SNARK和後量子簽名構成的安全威脅比量子計算機更大。對於SNARK，主要威脅是軟體漏洞。數位簽名和加密已有其複雜性，SNARK更複雜。實際上，數位簽名可視為簡約版zkSNARK。對後量子簽名，側信道和故障注入攻擊構成更迫切的威脅。社群需要數年來強化這些實現。

因此，轉換太早——在塵埃未落之前——可能讓你陷入不理想的處境，或被迫重新遷移以修復缺陷。

向前推進：七項策略建議

基於上述現實，我向所有利益相關者（從開發者到決策者）提出以下建議。指導原則：認真看待量子威脅，但不要假設2030年前會出現能破解密碼系統的量子計算機（現有成果不支持這個假設）。儘管如此，有些事情我們現在就能也應該做：

1. 立即部署混合加密：至少在需要長期保密且成本可接受的場景中。許多瀏覽器、CDN和資訊應用（如iMessage、Signal）已開始部署。混合方案（後量子+經典）防護此類攻擊，並防止後量子方案的潛在缺陷。

2. 在可容忍大尺寸的場景立即使用基於哈希的簽名：例如低頻軟體/韌體更新（大小無關緊要），現在可使用混合哈希簽名（混合性提供對新方案實現漏洞的保險）。如果量子計算機意外提前出現，這提供謹慎的"救生筏"。

3. 區塊鏈不需急於部署後量子簽名，但應立即開始規劃。

4. 開發者應效仿網路PKI社群的謹慎態度，使提議的解決方案更加成熟。

5. 比特幣等公鏈必須現在就確定遷移路徑和"僵屍"易受攻擊資金政策。比特幣尤其需要現在規劃，因為其挑戰主要不是技術性的（緩慢的治理、大量高價值"僵屍"地址）。

6. 為後量子SNARK和可聚合簽名的研究成熟預留時間（可能再需幾年），以避免過早固定為次優方案。

7. 關於以太坊帳戶：智能合約錢包（可升級）可提供更平順的遷移路徑，但差別不大。最關鍵的是社群繼續推進後量子原語研究和應急響應計畫。更寬泛的設計結論：將帳戶身份與具體簽名方案解耦（如帳戶抽象）可提供更多彈性，這不僅促進後量子時代的遷移，也支持交易贊助、社會恢復等功能。

8. 隱私鏈應優先轉換（如果性能可接受）：用戶隱私已經易受此類攻擊。考慮混合方案或改變架構以避免在鏈上記錄可解密的秘密。

9. 短期策略：優先保護實現安全性，而非過度關注量子威脅。對於SNARK和後量子簽名等複雜密碼學方法，實現漏洞和側信道攻擊在未來數年構成的安全威脅比量子計算機更大。現在就投資審計、模糊測試、形式驗證和分層防護，不讓量子焦慮掩蓋更迫切的漏洞威脅。

10. 持續資助量子計算研發：從國家安全角度，需要持續投資和人才培養。如果主要對手率先獲得密碼學級量子計算能力，這將構成嚴重風險。

11. 理性看待量子計算新聞：未來會有更多里程碑。但每個里程碑恰好證明我們距離目標仍很遠。將新聞稿視為需要批判性評估的進展報告，而非倉促行動的信號。當然，技術突破可能加速發展，瓶頸可能延緩進展。我不聲稱五年內不可能發生，但我認為概率極低。

遵循上述建議將幫助我們規避更直接、更可能的風險：實現漏洞、倉促部署以及密碼學轉換中的常見錯誤。