量子威脅時間表：如何真正為後量子加密做準備

何時量子電腦能破解我們的數據？這個問題已經爭論多年，但許多末日預測往往缺乏明確的技術基礎。事實需要更為細緻的理解：威脅確實存在，但其時間範圍與嚴重性取決於我們討論的加密類型。a16z的研究者從實際技術現實出發，而非市場承諾，來探討這個議題。

實際時間表：我們離量子破解還有多遠？

首先要理解的是：聲稱「到2030年量子電腦能破解密碼」的說法，並未建立在實際技術進展的基礎上。研究人員指出，企業宣稱的進展與實驗室的實際情況之間存在根本差異。

要破解現代加密（如RSA-2048或secp256k1），量子電腦需要具備錯誤更正能力、足夠的邏輯量子比特數量，以及足夠的閘操作準確率。目前，這些都尚未實現。擁有1000個物理量子比特的系統在理論上令人印象深刻，但若缺乏必要的準確率與連接，仍然只是理論上的構想。

主要的誤解來源包括：

「量子優越性」不等於實用性。 當公司宣稱達到「量子優越性」時，通常展示的是專門設計的問題，在其設備上比經典電腦更快解決，但這些問題並無實際應用價值。

數千個量子比特遠未足夠。 多數關於「數千量子比特」的說法，實際上是指量子退火（如D-Wave），而非用於攻擊密碼的門模型量子電腦。

邏輯比特與物理比特的差異巨大。 聲稱「48個邏輯比特」只用兩個物理比特來實現，這在缺乏充分錯誤更正的情況下是不可信的。

圖示圖表常常具有誤導性。 許多預測顯示到某年會有數千邏輯比特，但這些比特只能進行Clifford操作，這類操作可以被經典電腦模擬。Shor算法所需的非Clifford操作（T閘）在這些系統中尚未實現。

結論很簡單：目前沒有公開的證據支持在未來5年內出現能破解RSA-2048的量子電腦。甚至10年也是一個雄心勃勃的估計。但這並不代表我們可以掉以輕心，尤其是對某些長期保密的資料。

「偷走現在，解密未來」：誰真正面臨威脅？

這是理解為何後量子加密（post-quantum cryptography）需要立即行動，而後量子簽名（post-quantum signatures）則不那麼緊迫的關鍵。

對於加密： 攻擊者可以今天攔截並存儲加密資料，待量子電腦出現後再解密。這意味著那些需要長期保密（超過10-50年）的資料，現在就應該採用後量子保護措施。國家機構甚至已經在收集美國的通信資料，以備未來解密。因此，混合傳統與後量子方案的加密方案（如Chrome與Cloudflare合作、Signal、Apple iMessage）已經在實施。

對於數位簽名： 情況則截然不同。如果簽名是在量子電腦出現之前產生的，則無法被追溯性篡改。量子電腦只能在其出現之後，開始偽造新簽名。這表示後量子簽名的緊迫性低於後量子加密。

對於零知證（zkSNARK）： 它們本身不易受到「偷走-解密」的攻擊，因為其零知屬性保證不會洩露任何秘密資訊，即使是量子電腦也一樣。因此，今天的zkSNARK在未來仍然是安全的，無論其使用的是椭圆曲線密碼還是其他方案。

後量子簽名：為何不必過於匆忙

這裡涉及實務層面的轉型策略。後量子簽名方案存在顯著的折衷：

大小與效能： 哈希簽名（最保守的安全方案）約7-8KB，是當前椭圆曲線簽名（64字節）的100倍。ML-DSA約2.4-4.6KB，Falcon（較緊湊）約0.7-1.3KB，但實現較為複雜。

實作難度： Falcon涉及浮點運算，已被成功攻破側信道攻擊。其開發者甚至稱其為「我實現過的最複雜的密碼算法」。

成熟度不足： Rainbow、SIKE/SIDH等候選方案已被傳統電腦攻破，顯示其標準化與部署的風險。

因此，網路基礎設施已經在做出調整：可以隨時轉向後量子簽名，沒有硬性截止日期。謹慎行事是合理的，因為早期採用不成熟方案可能付出高昂代價。區塊鏈也應該採取類似策略。

區塊鏈面臨的量子威脅

公開鏈（比特幣、以太坊）： 主要不受「偷走-解密」攻擊影響，因為它們用的簽名不是後量子安全的，但用於驗證身份的簽名並非用來加密資料。對比特幣來說，威脅在於偽造簽名與盜取資產，而非解密已公開的交易資料。甚至美聯儲也曾誤稱比特幣對量子攻擊極為脆弱，實則不然。

但比特幣面臨特殊挑戰：協議變更緩慢，數百萬「沉睡」地址暴露著已用過的公鑰，價值數十億美元。即使2035年前沒有量子電腦，轉型的時間也可能長達數年。這促使比特幣必須提前規劃轉型策略。

私有鏈： 更為脆弱。如果交易資料（收款人、金額）被加密或隱藏（如Monero），這些敏感資訊可能被攔截並在量子攻擊下被解密，導致身份曝光。對此，已經需要採用後量子加密或設計不在鏈上存放敏感秘密的架構。

走向後量子安全的七個步驟

根據上述分析，提出以下實務建議：

1. 立即實施混合加密方案，在需要長期保密的場景中。混合方案結合後量子與傳統方案，能防止「偷走-解密」攻擊，並降低純後量子方案的風險。

2. 在低風險場景（如韌體更新）中使用哈希簽名，以確保安全性與實現簡便。

3. 區塊鏈不要急於更換簽名方案，但應開始規劃。 開發者需謹慎，像PKI社群一樣。

4. 比特幣需制定專屬的轉型計畫，包括「沉睡」資產的管理策略。其挑戰主要在於管理與協調，而非技術。

5. 投資於後量子SNARK與混合簽名的研究，這可能需要數年時間，但能避免早期採用不成熟方案的風險。

6. 在智能合約錢包中引入抽象地址，以便未來更換後量子原語。

7. 私有鏈應盡快遷移，尤其在安全性與效率允許的情況下，以應對HNDL等實際威脅。

最大的風險在於實現，而非量子電腦

最重要的結論常被忽視：未來數年，實現漏洞、側信道攻擊與錯誤引入的攻擊，將比量子電腦更具威脅。對於複雜系統如SNARK與後量子簽名，實作中的錯誤可能造成災難性後果。

因此，應投資於審計、模糊測試、形式驗證與多層安全措施。不要讓對量子威脅的恐慌掩蓋了更迫切的實際威脅。

保持批判性地關注量子突破的新聞。每一次重大宣告，實際上都證明距離真正的量子攻擊還有很長的路。新聞稿多是成就報告，應理性分析，而非恐慌與匆忙行動的信號。