量子威胁时间表：如何真正为后量子加密做准备

何时量子计算机能够破解我们的数据？这个问题多年来一直在争论，但许多末日预言缺乏明确的技术基础。事实需要更为细致的理解：威胁确实存在，但其时间表和严重程度取决于我们讨论的加密类型。a16z的研究者从实际技术现实出发，而非市场承诺，探讨了这个话题。

真实时间：量子破解加密的可能性有多大？

首先要明白：关于量子计算机将在2030年前破解密码的说法，并没有基于行业的实际进展。研究人员指出，企业宣称的内容与实验室中实际发生的事情之间存在根本差异。

要破解现代加密（如RSA-2048或secp256k1），量子计算机需要具备纠错能力、足够数量的逻辑量子比特以及足够的门操作精度。目前还未接近实现。拥有1000个物理量子比特的系统在纸面上看似令人印象深刻，但没有必要的门操作精度和连接性，它们仍主要是“空中楼阁”。

主要的误解来源：

“量子优势”不等于实用性。 当公司宣布“量子优势”时，通常展示的是专门设计的问题，在其设备上比经典计算机更快解决，但这些问题没有实际应用价值。

数千个量子比特远远不够。 大多数关于“数千量子比特”的声明实际上指的是“量子退火”，而非攻击密码所需的“门模型”量子计算机。

逻辑量子比特与物理量子比特的区别巨大。 声称“48个逻辑量子比特”只用两个物理量子比特实现，听起来不可信，因为缺乏足够的纠错能力。

地图（图表）常常具有误导性。 许多预测显示到某一年会有数千个逻辑量子比特，但这些比特只能执行“Clifford操作”，而经典计算机可以高效模拟。实现Shor算法（破解RSA的关键算法）需要“非-Clifford操作”（T门），而这些操作在这些系统中不存在。

总结：目前没有公开的证据支持在未来五年内出现能破解RSA-2048的量子计算机。十年这个时间框架也属于雄心估计。但这并不意味着我们可以放松警惕，尤其是对于某些类型的数据。

“现在偷窃，之后解密”的攻击：谁真正面临威胁？

这是理解为什么后量子加密需要立即行动，而后量子签名则不那么紧迫的关键。

对于加密： 恶意方可以今天拦截并存储加密数据，等到量子计算机出现后再解密。这意味着那些需要长时间保持机密的（超过10-50年）数据，今天就需要采用后量子保护。国家机构甚至可能在现在就收集大量的美国通信数据，等待未来解密。因此，混合传统和后量子方案的加密方案（如Chrome与Cloudflare合作、Signal和Apple iMessage）已在逐步部署。

对于数字签名： 情况根本不同。如果你能证明签名是在量子计算机出现之前生成的，它就不能被追溯伪造。量子计算机只能伪造“新”签名，从其出现之时起。这意味着后量子签名不像后量子加密那样紧迫。

对于零知识证明（zkSNARK）： 它们也不受“偷窃-解密”攻击的影响，因为其零知识性质保证没有任何关于秘密的信息被泄露——即使面对量子计算机。因此，今天的zkSNARK即使使用椭圆曲线密码，也能在未来保持安全。

后量子签名：为何不应仓促行动

这里涉及实际迁移的考虑。后量子签名方案存在明显的折中：

大小和性能： 哈希签名（安全性最为保守）大小约7-8千字节，比现代椭圆曲线签名（64字节）大100倍。ML-DSA约2.4-4.6千字节（40-70倍大）。即使是Falcon（0.7-1.3千字节，更紧凑的方案）也存在实现难题。

实现复杂性： Falcon涉及浮点运算，已被成功攻击过侧信道。其开发者称其为“我实现过的最复杂的密码算法”。

成熟度不足： Rainbow、SIKE/SIDH等候选方案在经典计算机上已被破解，显示出其标准化和部署的风险。

互联网基础设施已在做出调整：迁移到后量子签名可以随时进行，没有硬性截止日期。谨慎是合理的，因为早期采用不佳的方案可能带来风险。区块链也应采取类似策略。

区块链面临的压力：谁易受量子攻击

公共区块链（比特币、以太坊）： 主要不易受到“偷窃-解密”攻击，因为它们用的不是后量子签名进行授权，而是传统签名。对比特币的威胁主要是伪造签名和盗取资金，而非解密已公开的交易数据。甚至美联储也曾误判比特币对量子攻击的脆弱性，认为存在严重风险。

但比特币面临特殊挑战：协议管理缓慢，数百万“沉睡”地址已知其公钥，价值数十亿美元。即使到2035年之前没有量子计算机出现，迁移的时间也可能长达数年。这促使比特币必须提前规划——不是因为威胁已在这里，而是因为协调迁移的复杂性。

私有链： 受到真正威胁。如果交易者信息（收款人、金额）被加密或隐藏（如Monero），这些敏感数据可能被拦截并在未来通过量子攻击被识别。它们需要立即采用后量子加密或混合方案，或重新设计架构，避免在链上存储明文敏感信息。

实现优先：迈向后量子安全的七个步骤

基于上述分析，提出以下实际建议：

1. 立即采用混合加密方案，特别是在需要长期保密的场景中。后量子方案与传统方案结合，既能防止“偷窃-解密”攻击，也能弥补纯后量子方案的不足。

2. 在低风险场景中使用哈希签名（如固件更新、配置文件），以确保安全性和兼容性。

3. 区块链不应仓促切换签名方案，但应开始规划。开发者应谨慎行事，类似传统PKI社区。

4. 比特币应制定具体迁移计划，包括“沉睡”资金的管理策略。其挑战主要在管理和协调，而非技术。

5. 投入时间研究后量子SNARK和混合签名方案，这可能需要数年时间，但避免早期采用次优方案的风险值得。

6. 在智能合约钱包中考虑抽象地址，以便未来更灵活地迁移到后量子原语。

7. 私有链应尽快迁移，如果技术上可行，以应对HNDL等实际威胁。

最大的风险在于实现，而非量子计算机

最重要的结论常被忽视：未来几年，系统实现中的漏洞、侧信道和错误引入的攻击，将比量子计算机带来的威胁更为严重。对于复杂系统如SNARK和后量子签名，实施中的错误可能导致灾难性后果。

应投资于审计、模糊测试、形式验证和多层安全措施。不要让对量子威胁的担忧掩盖了更紧迫的现实威胁。

要保持批判性地关注量子突破的新闻。每一次重大宣布实际上都表明距离目标还很远。新闻稿是成就的报告，需要批判性分析，而非恐慌和仓促行动的信号。