量子电脑何时能攻破现有加密技术？a16z 研究合伙人深度剖析量子威胁的真实时间线，釐清加密与签章面对的不同风险，并为区块链产业提出七大应对建议。本文源自 Justin Thaler / a16z 的研究报告，由动区编译润色而成。
（前情提要：物理专家：再给量子电脑五年就能攻破比特币私钥，想升级BTC须全面停机？）
（背景补充：比特币2030前破解？Google Willow「量子回声」掀专家论战：多数公钥早暴露）

本文目录

• 时间线：距离能攻破加密技术的量子电脑还还有多远？
• 「现在窃取，未来解密」攻击：适用于谁？不适用于谁？
• 这对区块链意味着什么？
• 比特币的特殊难题：治理僵局与「沉睡币」
• 后量子签名的成本与风险
• 区块链 vs. 网络基础设施的独特挑战
• 我们该怎么因应？七大建议

距离能够攻破比特币的量子电脑问世，我们究竟还还有多远？

量子电脑何时能破解现有密码学？这个问题的时间线经常遭到过度渲染，进而引发「必须紧急且全面转向后量子密码学」的呼吁。

然而这些呼吁往往忽略了过早迁移所带来的成本与风险，也未能认清不同密码学工具所面临的威胁本质迥异：

• 后量子加密必须立即部署，无论代价多高都得执行。因为「现在窃取、未来解密」（HNDL）的攻击手法已然存在。今日加密的敏感资料，即便数十年后量子电脑才问世，其价值依旧非凡。后量子加密虽会造成效能折损和实施风险，但对于需要长期保密的资料而言，我们别无选择。
• 后量子数字签章则是另一回事。它们较不容易遭受上述「窃存解密」攻击，而其本身的成本与风险（体积增大、效能负担、方案尚未成熟、潜在漏洞）所要求的是审慎规划，而非立即行动。

区分这一点至关重要。错误的认知会扭曲成本效益分析，导致团队忽略更迫切的安全风险，例如程序漏洞。

成功过渡到后量子密码学的真正挑战，在于让行动的紧迫程度与真实威胁相互匹配。下文将釐清关于量子运算威胁密码学的常见误解，涵盖加密、签章和零知识证明，并特别聚焦其对区块链的涵义。

时间线：距离能攻破加密技术的量子电脑还还有多远？

尽管各种夸大的宣传不断，但在本世纪 20 年代出现「密码学相关量子电脑」的可能性极低。

所谓「密码学相关量子电脑」，指的是一台具备容错与纠错能力的量子电脑，它能够执行 Shor 算法，且规模足以在合理时间内（例如持续运算不超过一个月）攻破椭圆曲线密码（如 secp256k1）或 RSA（如 RSA-2048）。

根据公开的技术里程碑与资源评估，我们距离这样的电脑仍相当遥远。尽管有公司宣称在 2030 年甚至 2035 年前就可能实现，但目前已知的进展并不支持这些说法。

目前，无论是离子阱、超导量子比特或中性原子体系，没有任何量子运算平台能够接近破解 RSA-2048 或 secp256k1 所需的数十万乃至数百万个物理量子比特（具体数量取决于错误率与纠错方案）。

瓶颈不仅在于量子比特的数量，更在于闸极保真度、量子比特之间的连接性，以及执行深度量子算法所需的持续纠错电路深度。当下有些系统的物理量子比特数已超过 1000，但单凭这个数字具有误导性：它们缺乏密码学运算所需的连接性与保真度。

近期的系统虽正逐步接近量子纠错所需的物理错误率门槛，但迄今无人能稳定执行超过几个逻辑量子比特，更遑论执行 Shor 算法所需的数千个高保真、深电路、容错的逻辑量子比特。从原理验证到实现密码分析所需的规模，差距依然巨大。

简言之：在量子比特数量与保真度提升几个数量级之前，密码学相关量子电脑仍遥不可及。

然而，企业新闻稿和媒体报道常令人困惑。主要的混淆点包括：

2. 「量子优势」演示：目前演示的任务多为精心设计，并非实际有用，只因它们能在现有硬件上执行并「显得」很快。这一点在宣传中常被淡化。
3. 「数千物理量子比特」的宣传：这通常指的是量子退火机，而非攻击公钥密码所需、能执行 Shor 算法的门模型量子计算机。
4. 对「逻辑量子比特」的滥用：物理量子比特有噪声，实用算法需要由许多物理量子比特通过纠错构成的「逻辑量子比特」。执行 Shor 算法需要数千个这样的逻辑量子比特，每个通常需数百至数千个物理量子比特。但有些公司夸大其词，例如最近有宣称用「距离 -2」纠错码（仅能检错，不能纠错）以每逻辑量子比特仅 2 个物理量子比特实现了 48 个逻辑量子比特，这毫无意义。
5. 路线图的误导：许多路线图中的「逻辑量子比特」仅支持「Clifford 操作」，这些操作可被经典计算机高效模拟，不足以执行需要大量「非 Clifford 门」（如 T 门）的 Shor 算法。因此，即便某路线图宣称「在 X 年实现数千逻辑量子比特」，也不意味着该公司预计那时就能破解经典密码。

这些做法严重扭曲了公众（包括资深观察者）对量子计算进度的认知。

当然，进展确实令人兴奋。例如 Scott Aaronson 近期写道，鉴于「硬件进展速度快得惊人」，他认为「在下届美国总统大选前，我们拥有一台能执行 Shor 算法的容错量子计算机，是一个真实的可能性」。但他随后澄清，这并非指密码学相关的量子计算机——即使只是容错地分解 15=3×5（这用纸笔算更快），他也算其承诺达成。这仍是小规模演示，且此类实验总以 15 为目标，因为模 15 运算简单，稍大的数（如 21）就困难得多。

关键结论：预计在未来 5 年内出现能破解 RSA-2048 或 secp256k1 的密码学相关量子计算机——这对实际密码学至关重要——缺乏公开进展的支持。即便 10 年，也仍具雄心。

因此，对进展的兴奋与「仍需十几年」的时间线判断并不矛盾。

那么，美国政府将 2035 年定为政府系统全面后量子迁移的最后期限又如何？我认为这是完成大规模转型的合理时间规划，但它并非预测届时一定会出现密码学相关量子计算机。

「现在窃取，未来解密」攻击：适用于谁？不适用于谁？

「现在窃取，未来解密」攻击指：攻击者现在储存加密流量，待未来密码学相关量子计算机出现后再解密。国家级对手很可能已在大量归档来自美国政府的加密通讯，以备未来解密。

因此，加密必须立即升级，至少对于那些需要 10-50 年以上保密期的资料。

但数字签名（所有区块链的基石）与加密不同：它没有需要追溯攻击的机密性。即使未来量子计算机出现，也只能从那时起伪造签名，而无法「解密」过去的签名。只要你能证明签名是在量子计算机出现前生成的，它就不可伪造。

这使得向后量子数字签名的过渡，远不如加密过渡紧迫。

主流平台正是这样做的：

• Chrome 和 Cloudflare 已为网络 TLS 加密部署了混合 X25519+ML-KEM 方案。「混合」意味着同时使用后量子安全方案（ML-KEM）和现有方案（X25519），兼具两者安全性，既防 HNDL 攻击，又在后量子方案出问题时保有经典安全。
• Apple 的 iMessage (PQ3 协议) 和 Signal (PQXDH 和 SPQR 协议) 也部署了类似的混合后量子加密。

相比之下，后量子数字签名在关键网络基础设施上的部署则被推迟，直到密码学相关量子计算机真正迫近。因为当前的后量子签名方案会带来效能下降（下文详述）。

零知识证明（zkSNARKs）的处境与签名类似。即使那些非后量子安全的 zkSNARK（它们使用椭圆曲线密码），其「零知识」属性本身是后量子安全的。该属性确保证明不泄露任何关于秘密的信息（量子计算机也无可奈何），因此没有可「现在窃取」的机密供未来解密。所以，zkSNARKs 也不易受 HNDL 攻击。在量子计算机出现前生成的任何 zkSNARK 证明都是可信的（即便它使用椭圆曲线密码），量子计算机出现后，攻击者才能伪造假证明。

这对区块链意味着什么？

大多数区块链并不容易受到 HNDL 攻击。

如同现今的比特币和以太坊这类非隐私链，其非后量子密码学主要用于交易授权（即数字签章），而非加密。这些签章并不构成 HNDL 风险。以比特币区块链为例，它是公开的，量子威胁在于签章伪造（窃取资金），而非解密已公开的交易资料。这消除了来自 HNDL 的即刻密码学紧迫性。

遗憾的是，即便如联准会等权威机构的分析，也曾错误地宣称比特币容易受到 HNDL 攻击，这夸大了过渡的紧迫性。

当然，紧迫性降低不意味着比特币可以高枕无忧。它面临着来自协议变更所需巨大社会协调工作的不同时间压力（下文详述）。

目前的例外是隐私链。许多隐私链对收款方和金额进行加密或隐藏。这些机密信息可以被现在窃取，并在未来量子计算机破解椭圆曲线密码后被追溯去匿名化。攻击严重性因设计而异（例如门罗币的环签名与密钥映像可能使交易图被完整重建）。因此如果用户在意其交易不被未来量子计算机暴露，隐私链应尽快过渡到后量子原语（或混合方案），或采用不将可解密秘密上链的架构。

比特币的特殊难题：治理僵局与「沉睡币」

对于比特币而言，有两个现实因素驱动着开始规划后量子签章的紧迫性，而这两者都与量子技术本身无关：

• 治理速度缓慢：比特币的变革进程迟缓，任何争议都可能引发具破坏性的硬分叉。
• 无法被动迁移：币的持有者必须主动迁移其资产。这意味着被遗弃的、对量子攻击脆弱的币将无法获得保护。据估计，这类「沉睡」且对量子脆弱的 BTC 可能多达数百万枚，以当前价值计算达数千亿美元。

然而，量子威胁对比特币并非「一瞬之间」的末日，更像是一个选择性、渐进式的目标锁定过程。早期的量子攻击将极为昂贵且缓慢，攻击者会选择性地瞄准高价值钱包。

此外，避免地址重复使用且不使用 Taproot 地址（后者会直接在链上暴露公钥）的用户，即便没有协议升级，也基本上是安全的——他们的公钥在花费之前一直隐藏在哈希值之后。唯有当花费交易被广播时，公钥才会暴露，届时将展开一场短暂的即时竞赛：诚实用户要尽快确认交易，而量子攻击者则试图在此之前算出私钥并盗取资金。

因此，真正脆弱的币是那些公钥已经暴露的：早期 P2PK 输出、重复使用的地址，以及以 Taproot 方式持有的资产。

对于已被遗弃的脆弱币，解决方案颇为棘手：要么社区约定一个「截止日期」，之后未迁移的币视为销毁；要么任由其被未来拥有量子电脑的人夺取。后者将带来严重的法律与安全问题。

比特币特有的最后一个难题是低交易吞吐量。即便迁移计划已经敲定，以当前的速度迁移所有脆弱资金也需耗费数月之久。

这些挑战使得比特币必须从现在就开始规划后量子过渡——并非因为量子电脑可能在 2030 年前问世，而是因为迁移价值数千亿美元资产所需的治理、协调和技术后勤工作，本身就需要数年时间。

比特币面临的量子威胁是真实存在的，但时间压力主要源于其自身的限制，而非迫在眉睫的量子电脑。

注：以上关于签名的漏洞，不影响比特币的经济安全性（即工作量证明共识）。PoW 依赖哈希运算，仅受 Grover 搜索算法的二次加速影响，且实际开销巨大，不太可能实现显著加速。即便有，也只是让大矿工更有优势，而非颠覆其经济安全模型。

后量子签名的成本与风险

为什么区块链不应仓促部署后量子签名？我们需要理解其效能成本及我们对这些新方案仍在演化的信心。

后量子密码学主要基于五类数学难题：哈希、编码、格、多元二次方程组、椭圆曲线同源。之所以多样，是因为方案效率与所依赖问题的「结构性」有关：结构越多，效率通常越高，但给攻击算法留下的突破口也可能越多，这是一种根本的权衡。

• 哈希方案最保守（安全性信心最足），但效能最差。例如 NIST 标准化的哈希签名最小也有 7-8KB，而当前椭圆曲线签名仅 64 字节，相差约百倍。
• 格方案是当前部署焦点。NIST 选定的唯一后量子加密方案（ML-KEM）及三种签名中的两种（ML-DSA，Falcon）均基于格。
• ML-DSA 签名大小约 2.4-4.6KB，是当前签名的 40-70 倍。
• Falcon 签名较小（0.7-1.3KB），但实现极其复杂，涉及恒定时间浮点运算，已有侧信道攻击成功案例。其创始人之一称这是「我实现过的最复杂的密码算法」。
• 实施安全挑战更大：格基签名比椭圆曲线签名有更多敏感中间值和复杂的拒绝采样逻辑，需要更强的侧信道和故障注入防护。

这些问题带来的直接风险，远比遥远的量子计算机构成更大的安全隐患。

历史教训也让我们需保持谨慎：NIST 标准化过程中的领先候选方案，如 Rainbow（基于 MQ 的签名）和 SIKE/SIDH（基于同源的加密），都曾被经典计算机攻破。这说明了过早标准化和部署的风险。

网络基础设施对签名迁移采取了审慎态度，这尤其值得注意，因为密码学过渡本身就耗时漫长（例如从 MD5/SHA-1 的迁移持续了多年且仍未彻底完成）。

区块链 vs. 网络基础设施的独特挑战

有利的是，由开源社区维护的区块链（如以太坊、Solana）可以比传统网络基础设施更快升级。不利的是，传统网络可通过频繁密钥轮换来缩小攻击面，而区块链的币和关联密钥可能长期暴露。

但总体上，区块链仍应效仿网络的审慎签名迁移策略。两者在签名上都不受 HNDL 攻击，过早迁移的成本和风险都很大。

区块链还有一些特有的复杂性使其过早迁移尤其危险：

• 签名聚合需求：区块链常需快速聚合大量签名（如 BLS 签名）。BLS 虽快，但非后量子安全。基于 SNARK 的后量子签名聚合研究有前景，但仍处早期。
• SNARKs 的未来：社区目前主要看好基于哈希的后量子 SNARK，但我相信未来数月到数年，基于格的 SNARK 替代方案将会出现，它们将在多方面（如证明长度）表现更优。

当前更严重的问题是：实施安全性。

未来多年，实施漏洞将比量子计算机构成更大的安全风险。对于 SNARKs，主要威胁是程序漏洞。数字签名和加密已有挑战，而 SNARKs 复杂得多。实际上，数字签名可视为一种极简的 zkSNARK。

对于后量子签名，侧信道和故障注入等实施攻击是更紧迫的威胁。社区需要数年时间来加固这些实现。

因此，在尘埃落定之前过早过渡，可能将自己锁定在次优方案中，或被迫二次迁移以修复漏洞。

我们该怎么因应？七大建议

基于以上现实，我向各方（从建设者到决策者）提出以下建议。总体原则是：认真看待量子威胁，但不要预设 2030 年前就会出现密码学相关量子电脑（目前的进展不支持此预设）。同时，有些事情我们现在就可以而且应该着手进行：

2. 立即部署混合加密：至少在需要长期保密且成本可接受的地方。许多浏览器、CDN 和通讯应用（如 iMessage、Signal）已开始部署。混合方案（后量子 + 经典）可防 HNDL 攻击，并规避后量子方案潜在弱点。
3. 在能容忍大尺寸的场景，立即使用基于哈希的签名：例如软件 / 韧体更新等低频、对大小不敏感的场景，现在就可采用混合哈希签名（混合是为对冲新方案的实施漏洞）。这提供了一个保守的「救生艇」，以防量子计算机意外提前出现。
4. 区块链无需仓促上马后量子签名，但应立即开始规划：
5. 开发者应效仿网络 PKI 社群的审慎态度，让方案更成熟。
6. 比特币等公链需定义迁移路径和对「沉睡」脆弱资金的政策。比特币尤其需要现在就开始规划，因为其挑战主要是非技术性的（治理慢、高价值「沉睡」地址多）。
7. 给后量子 SNARKs 和可聚合签名的研究留出成熟时间（可能还需数年），避免过早锁定次优方案。
8. 关于以太坊账户：智能合约钱包（可升级）可能提供更顺滑的迁移路径，但差别有限。比账户类型更重要的是，社区继续推进后量子原语研究和应急计划。更广泛的设计启示：解耦账户身份与特定签名方案（如账户抽象）能提供更大灵活性，不仅利于后量子迁移，也支持赞助交易、社交恢复等功能。
9. 隐私链应优先过渡（若性能可接受）：其用户机密性正暴露于 HNDL 攻击之下。可考虑混合方案或架构调整，避免可解密秘密上链。
10. 短期内，优先保障实施安全性，而非过度关注量子威胁：对于 SNARKs 和后量子签名等复杂密码学，漏洞和实施攻击在未来多年都是比量子计算机更大的风险。现在就在审计、模糊测试、形式化验证和纵深防御上投入，别让量子焦虑掩盖了更紧迫的漏洞威胁。
11. 持续资助量子计算研发：从国家安全形势，必须持续投入资金和培养人才。主要对手若率先获得密码学相关量子计算能力，将构成严重风险。
12. 理性看待量子计算新闻：未来会有更多里程碑。但每一个里程碑恰恰证明了我们离目标尚有距离。应将新闻稿视为需要批判性评估的进展报告，而非仓促行动的信号。

当然，技术突破可能加速，瓶颈也可能延长预估。我并非断言五年内绝无可能，只是认为可能性很低。遵循上述建议，能帮助我们规避更直接、更可能的风险：实施漏洞、仓促部署以及密码学过渡中常见的失误。