量子计算对区块链的威胁：辨别真实风险与炒作

围绕区块链安全的量子计算叙事正变得越来越扭曲。虽然威胁是真实存在的，但时间线被严重误解，真正的紧迫性并非来自于量子机器的快速发展，而是源于区块链治理的限制和工程复杂性。经过仔细分析发现，大多数区块链面临的风险根本不同，取决于其加密架构，而仓促采用后量子方案可能带来比遥远的量子威胁更为直接的危险。

时间线的现实：为何具有密码学相关性的量子计算机仍需数十年

尽管普遍担忧，具有密码学相关性的量子计算机（CRQC）——能够大规模运行Shor算法以破解RSA或椭圆曲线密码学的量子计算机——在2030年前极不可能出现。目前的量子计算平台，无论是基于离子阱、超导量子比特还是中性原子，都远未达到进行此类攻击所需的数十万到数百万个物理量子比特，更不用说执行密码分析所需的数千个高保真、容错逻辑量子比特。

限制因素远不止量子比特数量。门操作的保真度、量子比特的连接性以及纠错电路的深度都仍然是重大瓶颈。虽然一些系统现在已超过1000个物理量子比特，但大多数缺乏进行有意义密码学计算所需的连接性和门操作保真度。尚无系统展示出具有超过几个逻辑量子比特的纠错电路——远远达不到所需的数千个。

公开宣布常常歪曲事实。关于“量子优势”的说法通常涉及人为选择的基准，这些基准专门在现有硬件上运行，同时看似展现出令人印象深刻的加速。术语“逻辑量子比特”已被夸张到无法识别的程度：一些公司声称只用两个物理量子比特就实现了逻辑量子比特，使用的是距离为2的纠错码。这在科学上是站不住脚的——距离为2的码只能检测错误，不能纠正错误。Shor算法每个逻辑量子比特需要数百到数千个物理量子比特。

即使是该领域的乐观派也承认差距。量子计算先驱Scott Aaronson曾建议，下一次美国总统大选前可能出现一个容错的Shor算法量子计算机，他明确指出这不会构成密码学相关的突破——甚至对15的因式分解也只是一个值得注意的成就，远比破解实际密码要简单得多。

除非量子系统在量子比特数量和保真度方面取得数个数量级的提升，否则与加密相关的量子计算仍是数十年的远景。美国政府设定的2035年后迁移到后量子密码的截止日期，反映的是一个合理的时间表，用于大规模迁移，而非预测量子威胁会在那之前到来。

理解差异化威胁：HNDL攻击与签名伪造

量子威胁的格局在加密函数涉及加密还是数字签名时差异巨大——这一点在大众话语中常被混淆。

“先收集、后解密（HNDL）”攻击是对加密数据的合法担忧。拥有国家级资源的对手已在存档加密通信，期待量子计算机成熟后能解密。这一威胁支持立即部署后量子加密方案：今天加密的敏感数据，可能在未来几十年仍然具有价值。许多主要技术平台已意识到这一点，Chrome、Cloudflare、苹果的iMessage和Signal等都在采用结合后量子算法（如ML-KEM）与传统密码学（如X25519）的混合加密方案。

然而，数字签名则呈现出根本不同的风险特征。区块链依赖签名来授权交易，而非隐藏持续的秘密。即使在公共区块链上暴露，今天生成的签名一旦量子计算机出现，就无法追溯性伪造——签名已被网络验证。不同于可能被解密多年的加密消息，签名并不隐藏未来可能通过计算提取的秘密。

这也解释了为什么美联储声称比特币面临HNDL漏洞的说法是错误的。比特币的区块链是公开的，量子威胁在于签名伪造，允许攻击者推导出私钥并盗取资金。这是一个根本不同的风险，要求采取根本不同的应对措施。

以隐私为重点的区块链则是个例外。比如Monero，会对交易细节进行加密或隐藏收款人信息。一旦量子计算机破解了椭圆曲线密码学，这些历史隐私就会消失。具体到Monero，攻击者甚至可以从公开账本中追溯重建整个支出图。这些链应优先考虑提前迁移到后量子密码，或重新设计架构，避免在链上存放可被解密的秘密。

比特币与真正的紧迫性：治理，而非量子时间线

比特币的量子脆弱性源于技术遗留问题，而非迫在眉睫的量子威胁。早期比特币交易使用pay-to-public-key（P2PK）输出，直接在链上暴露了公钥。结合地址重用和Taproot地址（也会暴露公钥），相当一部分比特币流通量成为量子攻击目标——一些分析师估计价值数千万美元的数百万币。

然而，这种脆弱性是逐步展开的，而非灾难性爆发。Shor算法不能同时破解所有签名；攻击者必须逐个目标公钥。早期的量子攻击成本极高，只会针对高价值钱包。避免地址重用、在使用Taproot时不暴露公钥（在花费前将公钥隐藏在哈希后）可以大大降低风险，即使没有协议升级。

比特币真正的量子挑战在于治理和协调。不同于由活跃开发团队快速升级的平台，比特币变更缓慢且争议不断。更关键的是，后量子签名迁移不能被动进行：所有者必须主动将资产迁移到新的量子安全地址。这造成了“启动难题”——相同的网络吞吐限制，使得迁移数十亿易受攻击的资金极为耗时。

即使社区明天达成迁移方案，按照当前的交易容量，迁移所有暴露资金也需要数月的持续处理。Layer-2方案和其他创新或许能改善这一点，但这个挑战凸显了比特币的量子紧迫性源于治理和架构，而非量子技术的快速发展。

后量子签名的性能与安全成本

当前的后量子签名方案带来了严重的权衡，令人谨慎部署。五大主要方案——哈希基、格子基、多变量二次型、等变基和码基方案——都反映了安全假设与实际性能之间的根本折衷。

哈希基签名代表最保守的安全策略。研究人员对其不能被量子计算机高效攻破的信心最高。然而，标准化的哈希基方案体积巨大：即使参数最小，也达7-8千字节。相比之下，当前的椭圆曲线签名只有64字节——差距约为100倍。

格子基方案在当前部署讨论中占据主导地位，因为NIST已将其列为标准化候选。ML-DSA（前身为Dilithium）产生的签名在128位安全级别下约为2.4 KB，在256位安全级别下约为4.6 KB——大约是当前椭圆曲线签名的40到70倍。Falcon签名稍小（666字节到1.3 KB），但涉及复杂的浮点运算，NIST也指出其实现难度。Falcon的开发者曾称其为“我实现过的最复杂的密码算法”。

实现风险进一步放大了性能折衷。ML-DSA需要复杂的旁信道和故障注入保护，因为其中间值敏感且存在拒绝逻辑。Falcon的恒时浮点要求也极具挑战：多次旁信道攻击已成功从部署系统中提取出密钥。这些立即的漏洞比遥远的量子计算带来的威胁更为严重。

历史经验提供了警示。Rainbow和SIKE/SIDH等著名的后量子候选方案，都是用经典计算机破解的——而非量子计算机——在NIST标准化的后期阶段。过早的标准化和部署被证明是适得其反的。以互联网基础设施为例，迁移出MD5和SHA-1等已知漏洞算法花费了多年时间，尽管它们已被证明易被现有计算机破解。仓促部署后量子签名方案可能导致类似的失败。

为什么比特币挖矿抗拒量子加速：Grover限制

一个关键误解是，将比特币的量子威胁（对其密码学安全的威胁）与其经济安全（通过工作量证明PoW实现）混为一谈。这两者代表完全不同的攻击路径，且可行性差异巨大。

比特币的PoW共识机制依赖哈希函数，而非易受Shor算法影响的密码学原语。量子计算机通过Grover搜索算法提供加速，但仅为平方级加速，而非指数级。虽然Grover理论上可以将暴力破解的成本翻倍，但实现Grover搜索的额外开销极大，使得任何量子计算机在比特币的PoW系统上实现适度加速都极不可能。

即使量子矿工实现了显著的Grover加速，也只是相较于较小的经典矿工获得优势，而不会从根本上破坏比特币的经济安全模型。共识机制仍由分布式计算难度支撑，无论算力来源如何。量子攻击者只会成为矿池中的一员，虽然更高效，但无法单方面控制网络，除非掌握大部分算力。

这一区别极为重要。比特币的签名漏洞理论上可能允许有选择性地盗取特定高价值地址的资金，但比特币的挖矿安全性根本无法被量子计算机以任何有意义的方式攻破。