量子電腦何時能攻破現有加密技術？a16z 研究合夥人深度剖析量子威脅的真實時間線，釐清加密與簽章面對的不同風險，並為區塊鏈產業提出七大因應建議。本文源自 Justin Thaler / a16z 的研究報告，由動區編譯潤飾而成。
（前情提要：物理專家：再給量子電腦五年就能攻破比特幣私鑰，想升級BTC須全面停機？）
（背景補充：比特幣2030前破解？Google Willow「量子回聲」掀專家論戰：多數公鑰早暴露）

本文目錄

• 時間線：距離能攻破加密技術的量子電腦還有多遠？
• 「現在竊取，未來解密」攻擊：適用於誰？不適用於誰？
• 這對區塊鏈意味著什麼？
• 比特幣的特殊難題：治理僵局與「沉睡幣」
• 後量子簽名的成本與風險
• 區塊鏈 vs. 網際網路基礎設施的獨特挑戰
• 我們該怎麼因應？七大建議

距離能夠攻破比特幣的量子電腦問世，我們究竟還有多遠？

量子電腦何時能破解現有密碼學？這個問題的時間線經常遭到過度渲染，進而引發「必須緊急且全面轉向後量子密碼學」的呼籲。

然而這些呼籲往往忽略了過早遷移所帶來的成本與風險，也未能認清不同密碼學工具所面臨的威脅本質迥異：

• 後量子加密必須立即部署，無論代價多高都得執行。因為「現在竊取、未來解密」（HNDL）的攻擊手法已然存在。今日加密的敏感資料，即便數十年後量子電腦才問世，其價值依舊非凡。後量子加密雖會造成效能折損和實施風險，但對於需要長期保密的資料而言，我們別無選擇。
• 後量子數位簽章則是另一回事。它們較不容易遭受上述「竊存解密」攻擊，而其本身的成本與風險（體積增大、效能負擔、方案尚未成熟、潛在漏洞）所要求的是審慎規劃，而非立刻行動。

區分這一點至關重要。錯誤的認知會扭曲成本效益分析，導致團隊忽略更迫切的安全風險，例如程式碼漏洞。

成功過渡到後量子密碼學的真正挑戰，在於讓行動的急迫程度與真實威脅相互匹配。下文將釐清關於量子運算威脅密碼學的常見誤解，涵蓋加密、簽章和零知識證明，並特別聚焦其對區塊鏈的意涵。

時間線：距離能攻破加密技術的量子電腦還有多遠？

儘管各種誇大的宣傳不斷，但在本世紀 20 年代出現「密碼學相關量子電腦」的可能性極低。

所謂「密碼學相關量子電腦」，指的是一台具備容錯與糾錯能力的量子電腦，它能夠執行 Shor 演算法，且規模足以在合理時間內（例如持續運算不超過一個月）攻破橢圓曲線密碼（如 secp256k1）或 RSA（如 RSA-2048）。

根據公開的技術里程碑與資源評估，我們距離這樣的電腦仍相當遙遠。儘管有公司宣稱在 2030 年甚至 2035 年前就可能實現，但目前已知的進展並不支持這些說法。

目前，無論是離子阱、超導量子位元或中性原子體系，沒有任何量子運算平台能夠接近破解 RSA-2048 或 secp256k1 所需的數十萬乃至數百萬個物理量子位元（具體數量取決於錯誤率與糾錯方案）。

瓶頸不僅在於量子位元的數量，更在於閘極保真度、量子位元之間的連接性，以及執行深度量子演算法所需的持續糾錯電路深度。當前有些系統的物理量子位元數已超過 1000，但單憑這個數字具有誤導性：它們欠缺密碼學運算所需的連接性與保真度。

近期的系統雖正逐步接近量子糾錯所需的物理錯誤率門檻，但迄今為止無人能穩定執行超過幾個邏輯量子位元，更遑論執行 Shor 演算法所需的數千個高保真、深電路、容錯的邏輯量子位元。從原理驗證到實現密碼分析所需的規模，差距依然巨大。

簡言之：在量子位元數量與保真度提升數個數量級之前，密碼學相關量子電腦仍遙不可及。

然而，企業新聞稿和媒體報道常令人困惑。主要的混淆點包括：

2. 「量子優勢」演示：目前演示的任務多為精心設計，並非實際有用，只因它們能在現有硬體上執行並「顯得」很快。這一點在宣傳中常被淡化。
3. 「數千物理量子位元」的宣傳：這通常指的是量子退火機，而非攻擊公鑰密碼所需的、能執行 Shor 演算法的門模型量子計算機。
4. 對「邏輯量子位元」的濫用：物理量子位元有噪聲，實用演算法需要由許多物理量子位元透過糾錯構成的「邏輯量子位元」。執行 Shor 演算法需要數千個這樣的邏輯量子位元，每個通常需數百至數千個物理量子位元。但有些公司誇大其詞，例如最近有宣稱用「距離 -2」糾錯碼（僅能檢錯，不能糾錯）以每邏輯量子位元僅 2 個物理量子位元實現了 48 個邏輯量子位元，這毫無意義。
5. 路線圖的誤導：許多路線圖中的「邏輯量子位元」僅支援「Clifford 操作」，這些操作可被經典計算機高效模擬，不足以執行需要大量「非 Clifford 門」（如 T 門）的 Shor 演算法。因此，即便某路線圖宣稱「在 X 年實現數千邏輯量子位元」，也不意味著該公司預計那時就能破解經典密碼。

這些做法嚴重扭曲了公眾（包括資深觀察者）對量子計算進度的認知。

當然，進展確實令人興奮。例如 Scott Aaronson 近期寫道，鑑於「硬體進展速度快得驚人」，他認為「在下屆美國總統大選前，我們擁有一臺能執行 Shor 演算法的容錯量子計算機，是一個真實的可能性」。但他隨後澄清，這並非指密碼學相關的量子計算機——即使只是容錯地分解 15=3×5（這用紙筆算更快），他也算其承諾達成。這仍是小規模演示，且此類實驗總以 15 為目標，因為模 15 運算簡單，稍大的數（如 21）就困難得多。

關鍵結論：預計在未來 5 年內出現能破解 RSA-2048 或 secp256k1 的密碼學相關量子計算機——這對實際密碼學至關重要——缺乏公開進展的支援。即便 10 年，也仍具雄心。

因此，對進展的興奮與「仍需十幾年」的時間線判斷並不矛盾。

那麼，美國政府將 2035 年定為政府系統全面後量子遷移的最後期限又如何？我認為這是完成大規模轉型的合理時間規劃，但它並非預測屆時一定會出現密碼學相關量子計算機。

「現在竊取，未來解密」攻擊：適用於誰？不適用於誰？

「現在竊取，未來解密」攻擊指：攻擊者現在儲存加密流量，待未來密碼學相關量子計算機出現後再解密。國家級對手很可能已在大量歸檔來自美國政府的加密通訊，以備未來解密。

因此，加密必須立即升級，至少對於那些需要 10-50 年以上保密期的資料。

但數字簽名（所有區塊鏈的基石）與加密不同：它沒有需要追溯攻擊的機密性。即使未來量子計算機出現，也只能從那時起偽造簽名，而無法「解密」過去的簽名。只要你能證明簽名是在量子計算機出現前生成的，它就不可偽造。

這使得向後量子數字簽名的過渡，遠不如加密過渡緊迫。

主流平臺正是這樣做的：

• Chrome 和 Cloudflare 已為網路 TLS 加密部署了混合 X25519+ML-KEM 方案。「混合」意味著同時使用後量子安全方案（ML-KEM）和現有方案（X25519），兼具兩者安全性，既防 HNDL 攻擊，又在後量子方案出問題時保有經典安全。
• Apple 的 iMessage (PQ3 協議 ) 和 Signal (PQXDH 和 SPQR 協議 ) 也部署了類似的混合後量子加密。

相比之下，後量子數字簽名在關鍵網路基礎設施上的部署則被推遲，直到密碼學相關量子計算機真正迫近。因為當前的後量子簽名方案會帶來效能下降（下文詳述）。

零知識證明（zkSNARKs） 的處境與簽名類似。即使那些非後量子安全的 zkSNARK（它們使用橢圓曲線密碼），其「零知識」屬性本身是後量子安全的。該屬性確保證明不洩露任何關於秘密的資訊（量子計算機也無可奈何），因此沒有可「現在竊取」的機密供未來解密。所以，zkSNARKs 也不易受 HNDL 攻擊。在量子計算機出現前生成的任何 zkSNARK 證明都是可信的（即便它使用橢圓曲線密碼），量子計算機出現後，攻擊者才能偽造假證明。

這對區塊鏈意味著什麼？

大多數區塊鏈並不容易受到 HNDL 攻擊。

如同現今的比特幣和以太坊這類非隱私鏈，其非後量子密碼學主要用於交易授權（即數位簽章），而非加密。這些簽章並不構成 HNDL 風險。以比特幣區塊鏈為例，它是公開的，量子威脅在於簽章偽造（竊取資金），而非解密已公開的交易資料。這消除了來自 HNDL 的即刻密碼學急迫性。

遺憾的是，即便如聯準會等權威機構的分析，也曾錯誤地宣稱比特幣容易受到 HNDL 攻擊，這誇大了過渡的急迫性。

當然，緊迫性降低不意味著比特幣可以高枕無憂。它面臨著來自協議變更所需巨大社會協調工作的不同時間壓力（下文詳述）。

目前的例外是隱私鏈。許多隱私鏈對收款方和金額進行加密或隱藏。這些機密資訊可以被現在竊取，並在未來量子計算機破解橢圓曲線密碼後被追溯去匿名化。攻擊嚴重性因設計而異（例如門羅幣的環簽名與金鑰映象可能使交易圖被完整重建）。因此如果使用者在意其交易不被未來量子計算機暴露，隱私鏈應儘快過渡到後量子原語（或混合方案），或採用不將可解密秘密上鍊的架構。

比特幣的特殊難題：治理僵局與「沉睡幣」

對於比特幣而言，有兩個現實因素驅動著開始規劃後量子簽章的急迫性，而這兩者都與量子技術本身無關：

• 治理速度緩慢：比特幣的變革進程遲緩，任何爭議都可能引發具破壞性的硬分叉。
• 無法被動遷移：幣的持有者必須主動遷移其資產。這意味著被遺棄的、對量子攻擊脆弱的幣將無法獲得保護。據估計，這類「沉睡」且對量子脆弱的 BTC 可能多達數百萬枚，以當前價值計算達數千億美元。

然而，量子威脅對比特幣並非「一夕之間」的末日，更像是一個選擇性、漸進式的目標鎖定過程。早期的量子攻擊將極為昂貴且緩慢，攻擊者會選擇性地瞄準高價值錢包。

此外，避免地址重複使用且不使用 Taproot 地址（後者會直接在鏈上暴露公鑰）的使用者，即便沒有協議升級，也基本上是安全的——他們的公鑰在花費之前一直隱藏在雜湊值之後。唯有當花費交易被廣播時，公鑰才會暴露，屆時將展開一場短暫的即時競賽：誠實使用者要盡快確認交易，而量子攻擊者則試圖在此之前算出私鑰並盜取資金。

因此，真正脆弱的幣是那些公鑰已經暴露的：早期 P2PK 輸出、重複使用的地址，以及以 Taproot 方式持有的資產。

對於已被遺棄的脆弱幣，解決方案頗為棘手：要嘛社群約定一個「截止日期」，之後未遷移的幣視為銷毀；要嘛任由其被未來擁有量子電腦的人奪取。後者將帶來嚴重的法律與安全問題。

比特幣特有的最後一個難題是低交易吞吐量。即便遷移計畫已經敲定，以當前的速率遷移所有脆弱資金也需耗費數月之久。

這些挑戰使得比特幣必須從現在就開始規劃後量子過渡——並非因為量子電腦可能在 2030 年前問世，而是因為遷移價值數千億美元資產所需的治理、協調和技術後勤工作，本身就需要數年時間。

比特幣面臨的量子威脅是真實存在的，但時間壓力主要源於其自身的限制，而非迫在眉睫的量子電腦。

注：以上關於簽名的漏洞，不影響比特幣的經濟安全性（即工作量證明共識）。PoW 依賴雜湊運算，僅受 Grover 搜尋演算法的二次加速影響，且實際開銷巨大，不太可能實現顯著加速。即便有，也只是讓大礦工更有優勢，而非顛覆其經濟安全模型。

後量子簽名的成本與風險

為什麼區塊鏈不應倉促部署後量子簽名？我們需要理解其效能成本及我們對這些新方案仍在演化的信心。

後量子密碼學主要基於五類數學難題：雜湊、編碼、格、多元二次方程組、橢圓曲線同源。之所以多樣，是因為方案效率與所依賴問題的「結構性」有關：結構越多，效率通常越高，但給攻擊演算法留下的突破口也可能越多，這是一種根本的權衡。

• 雜湊方案最保守（安全性信心最足），但效能最差。例如 NIST 標準化的雜湊簽名最小也有 7-8KB，而當前橢圓曲線簽名僅 64 位元組，相差約百倍。
• 格方案是當前部署焦點。NIST 選定的唯一後量子加密方案（ML-KEM）及三種簽名中的兩種（ML-DSA，Falcon）均基於格。
• ML-DSA 簽名大小約 2.4-4.6KB，是當前簽名的 40-70 倍。
• Falcon 簽名較小（0.7-1.3KB），但實現極其複雜，涉及恆定時間浮點運算，已有側通道攻擊成功案例。其創始人之一稱這是「我實現過的最複雜的密碼演算法」。
• 實施安全挑戰更大：格基簽名比橢圓曲線簽名有更多敏感中間值和複雜的拒絕取樣邏輯，需要更強的側通道和故障注入防護。

這些問題帶來的直接風險，遠比遙遠的量子計算機現實得多。

歷史教訓也讓我們需保持謹慎：NIST 標準化過程中的領先候選方案，如 Rainbow（基於 MQ 的簽名）和 SIKE/SIDH（基於同源的加密），都曾被經典計算機攻破。這說明了過早標準化和部署的風險。

網際網路基礎設施對簽名遷移採取了審慎態度，這尤其值得注意，因為密碼學過渡本身就耗時漫長（例如從 MD5/SHA-1 的遷移持續了多年且仍未徹底完成）。

區塊鏈 vs. 網際網路基礎設施的獨特挑戰

有利的是，由開源社群維護的區塊鏈（如以太坊、Solana）可以比傳統網路基礎設施更快升級。不利的是，傳統網路可透過頻繁金鑰輪換來縮小攻擊面，而區塊鏈的幣和關聯金鑰可能長期暴露。

但總體上，區塊鏈仍應效仿網路的審慎簽名遷移策略。兩者在簽名上都不受 HNDL 攻擊，過早遷移的成本和風險都很大。

區塊鏈還有一些特有的複雜性使其過早遷移尤其危險：

• 簽名聚合需求：區塊鏈常需快速聚合大量簽名（如 BLS 簽名）。BLS 雖快，但非後量子安全。基於 SNARK 的後量子簽名聚合研究有前景，但仍處早期。
• SNARKs 的未來：社群目前主要看好基於雜湊的後量子 SNARK，但我相信未來數月到數年，基於格的 SNARK 替代方案將會出現，它們將在多方面（如證明長度）表現更優。

當前更嚴重的問題是：實施安全性。

未來多年，實施漏洞將比量子計算機構成更大的安全風險。對於 SNARKs，主要威脅是程式漏洞。數字簽名和加密已有挑戰，而 SNARKs 複雜得多。實際上，數字簽名可視為一種極簡的 zkSNARK。

對於後量子簽名，側通道和故障注入等實施攻擊是更緊迫的威脅。社群需要數年時間來加固這些實現。

因此，在塵埃落定之前過早過渡，可能將自己鎖定在次優方案中，或被迫二次遷移以修復漏洞。

我們該怎麼因應？七大建議

基於以上現實，我向各方（從建設者到決策者）提出以下建議。總體原則是：認真看待量子威脅，但不要預設 2030 年前就會出現密碼學相關量子電腦（目前的進展不支持此預設）。同時，有些事情我們現在就可以而且應該著手進行：

2. 立即部署混合加密：至少在需要長期保密且成本可接受的地方。許多瀏覽器、CDN 和通訊應用（如 iMessage、Signal）已開始部署。混合方案（後量子 + 經典）可防 HNDL 攻擊，並規避後量子方案潛在弱點。
3. 在能容忍大尺寸的場景，立即使用基於雜湊的簽名：例如軟體 / 韌體更新等低頻、對大小不敏感的場景，現在就可採用混合雜湊簽名（混合是為對沖新方案的實施漏洞）。這提供了一個保守的「救生艇」，以防量子計算機意外提前出現。
4. 區塊鏈無需倉促上馬後量子簽名，但應立刻開始規劃：
5. 開發者應效仿網路 PKI 社群的審慎態度，讓方案更成熟。
6. 比特幣等公鏈需定義遷移路徑和對「沉睡」脆弱資金的政策。比特幣尤其需要現在就開始規劃，因其挑戰主要是非技術性的（治理慢、高價值「沉睡」地址多）。
7. 給後量子 SNARKs 和可聚合簽名的研究留出成熟時間（可能還需幾年），避免過早鎖定次優方案。
8. 關於以太坊賬戶：智慧合約錢包（可升級）可能提供更順滑的遷移路徑，但差別有限。比賬戶型別更重要的是，社群繼續推進後量子原語研究和應急計劃。更廣泛的設計啟示：解耦賬戶身份與特定簽名方案（如賬戶抽象）能提供更大靈活性，不僅利於後量子遷移，也支援贊助交易、社交恢復等功能。
9. 隱私鏈應優先過渡（若效能可接受）：其使用者機密性正暴露於 HNDL 攻擊之下。可考慮混合方案或架構調整，避免可解密秘密上鍊。
10. 短期內，優先保障實施安全性，而非過度關注量子威脅：對於 SNARKs 和後量子簽名等複雜密碼學，漏洞和實施攻擊在未來多年都是比量子計算機更大的風險。現在就在審計、模糊測試、形式化驗證和縱深防禦上投入，別讓量子焦慮掩蓋了更緊迫的漏洞威脅。
11. 持續資助量子計算研發：從國家安全形度，必須持續投入資金和培養人才。主要對手若率先獲得密碼學相關量子計算能力，將構成嚴重風險。
12. 理性看待量子計算新聞：未來會有更多里程碑。但每一個里程碑恰恰證明了我們離目標尚有距離。應將新聞稿視為需要批判性評估的進展報告，而非倉促行動的訊號。

當然，技術突破可能加速，瓶頸也可能延長預測。我並非斷言五年內絕無可能，只是認為可能性很低。遵循上述建議，能幫助我們規避更直接、更可能的風險：實施漏洞、倉促部署以及密碼學過渡中常見的失誤。