撰文:Justin Thaler
编译:白话区块链
加密相关的量子计算机的时间线经常被夸大——导致要求紧急、全面过渡到后量子密码学。
但这些呼吁往往忽略了过早迁移的成本和风险,并忽略了不同加密原语之间截然不同的风险概况:
后量子加密尽管有成本,仍要求立即部署:「先获取,后解密」(Harvest-Now-Decrypt-Later, HNDL)攻击已在进行中,因为今天加密的敏感数据在量子计算机到来时仍将有价值,即使那是几十年后。后量子加密的性能开销和实现风险是真实存在的,但 HNDL 攻击使需要长期保密性的数据别无选择。
后量子签名面临不同的考量。它们不易受到 HNDL 攻击,且其成本和风险(更大的尺寸、性能开销、实现不成熟和错误)要求深思熟虑而非立即迁移。
这些区别至关重要。误解会扭曲成本效益分析,导致团队忽略更突出的安全风险——比如程序错误(bugs)。
成功过渡到后量子密码学的真正挑战在于将紧迫性与实际威胁相匹配。下面,我将阐明关于量子对密码学的威胁的常见误解——涵盖加密、签名和零知识证明——并特别关注它们对区块链的影响。
我们的时间表进展如何?
尽管有备受关注的说法,但在 2020 年代出现加密相关的量子计算机(CRQC)的可能性极低。
我所指的「加密相关的量子计算机」是指一台容错、纠错的量子计算机,能够以足够的规模运行 Shor 算法,以便在合理的时间范围内(例如,在最多一个月的持续计算内破解 {secp}256{k}1 或 {RSA-2048}攻击椭圆曲线密码学或 RSA。
根据对公开里程碑和资源估算的任何合理解读,我们离加密相关的量子计算机还差得很远。公司有时声称 CRQC 可能在 2030 年之前或远在 2035 年之前出现,但公开已知的进展并不支持这些说法。
作为背景,在所有当前架构中——囚禁离子、超导量子比特和中性原子系统——今天的量子计算平台都不接近运行 Shor 算法攻击 {RSA-2048}或 {secp}256{k}1 所需的数十万到数百万物理量子比特(取决于错误率和纠错方案)。
限制因素不只是量子比特数量,还有门保真度、量子比特连接性,以及运行深度量子算法所需的持续纠错电路深度。虽然一些系统现在超过 1,000 个物理量子比特,但原始量子比特数量本身具有误导性:这些系统缺乏加密相关计算所需的量子比特连接性和门保真度。
最近的系统接近量子错误校正开始发挥作用的物理错误率,但没有人证明过多于少数逻辑量子比特具有持续纠错电路深度……更不用说实际运行 Shor 算法所需的数千个高保真度、深电路、容错逻辑量子比特。证明量子错误校正在原理上可行与实现密码分析所需的规模之间的差距仍然巨大。
简而言之:除非量子比特数量和保真度都提高几个数量级,否则加密相关的量子计算机仍然遥不可及。
然而,企业新闻稿和媒体报道很容易让人感到困惑。这里有一些常见的误解和困惑来源,包括:
声称「量子优势」的演示,目前针对的是人为设计的任务。选择这些任务不是因为它们的实用性,而是因为它们可以在现有硬件上运行,同时似乎表现出很大的量子加速——这一事实在公告中经常被模糊。
公司声称已实现数千个物理量子比特。 但这指的是量子退火机,而不是运行 Shor 算法攻击公钥密码学所需的门模型机器。
公司自由使用术语「逻辑量子比特」。 物理量子比特是嘈杂的。正如前面提到的,量子算法需要逻辑量子比特;Shor 算法需要数千个。使用量子错误校正,可以用许多物理量子比特实现一个逻辑量子比特——通常是数百到数千个,具体取决于错误率。但一些公司已将这个术语延伸到面目全非。例如,最近的一个公告声称使用距离 2 码并仅用两个物理量子比特实现了一个逻辑量子比特。这是荒谬的:距离 2 码只能检测错误,而不能纠正错误。用于密码分析的真正容错逻辑量子比特每个需要数百到数千个物理量子比特,而不是两个。
更一般地,许多量子计算路线图使用术语「逻辑量子比特」来指代仅支持 Clifford 操作的量子比特。这些操作可以高效地进行经典模拟,因此不足以运行 Shor 算法,而 Shor 算法需要数千个纠错的 T 门(或更一般的非 Clifford 门)。
即使其中一个路线图的目标是「在 X 年实现数千个逻辑量子比特」,这并不意味着该公司预期在同一年 X 运行 Shor 算法来破解经典密码学。
这些做法严重扭曲了公众对我们距离加密相关的量子计算机有多近的看法,即使在成熟的观察家中间也是如此。
也就是说,一些专家确实对进展感到兴奋。例如,Scott Aaronson 最近写道,鉴于「当前惊人的硬件发展速度」,
我现在认为,在下一次美国总统选举之前,我们将拥有一台运行 Shor 算法的容错量子计算机是一个现实的可能性。
但 Aaronson 后来澄清说,他的声明并不意味着加密相关的量子计算机:他认为即使一个完全容错的 Shor 算法运行分解了 15 = 3 \times 5,也算作实现——而这个计算用铅笔和纸可以更快地完成。标准仍然是小规模执行 Shor 算法,而不是加密相关的规模,因为之前在量子计算机上分解 15 的实验使用了简化的电路,而不是完整的、容错的 Shor 算法。而且这些实验始终针对 15 这个数字进行分解是有原因的:模 15 的算术计算很容易,而分解像 21 这样稍大一点的数字要困难得多。因此,声称分解 21 的量子实验通常依赖于额外的提示或捷径。
简单来说,在未来 5 年内出现一台能够破解{RSA-2048}或{secp}256{k}1 的加密相关量子计算机的期望——这对实际密码学至关重要——没有公开已知的进展支持。
即使 10 年仍然是雄心勃勃的。考虑到我们离加密相关的量子计算机有多远,对进步感到兴奋完全符合十年以上的时间线。
那么,美国政府将 2035 年定为政府系统全面后量子(PQ)迁移的最后期限又如何呢?我认为这是完成如此大规模过渡的一个合理的时间表。然而,它不是一个预测加密相关的量子计算机将在那时存在的预测。
HNDL 攻击适用于哪些情况(不适用哪些情况)?
先获取,后解密(HNDL)攻击指的是对手现在存储加密流量,然后当加密相关的量子计算机存在时再解密。民族国家级别的对手肯定已经在大规模归档来自美国政府的加密通信,以便在 CRQC 确实存在多年后解密这些通信。
这就是为什么加密需要立即过渡——至少对于任何有 10-50 年以上保密需求的人来说。
但是数字签名——所有区块链都依赖它——与加密不同:没有保密性可以追溯攻击。
换句话说,如果加密相关的量子计算机到来,签名伪造确实从那时起成为可能,但过去的签名不像加密消息那样「隐藏」秘密。只要你知道数字签名是在 CRQC 到来之前生成的,它就不可能是伪造的。
这使得过渡到后量子数字签名不如加密的后量子过渡那样紧迫。
主要平台正在相应地采取行动:Chrome 和 Cloudflare 为网络传输层安全(TLS)加密推出了混合{X}25519+{ML-KEM}。
在本篇中,为便于阅读,我使用加密方案,尽管严格来说,像 TLS 这样的安全通信协议使用的是密钥交换或密钥封装机制,而不是公钥加密。
这里的 **「混合」意味着同时使用 ** 后量子安全方案(即 ML-KEM)和现有方案 ({X}25519),以获得两者的组合安全保证。这样,它们可以(希望)通过 ML-KEM 阻止 HNDL 攻击,同时在 ML-KEM 被证明即使对今天的计算机也是不安全的情况下,通过{X}25519 保持经典安全。
苹果的 iMessage 也通过其 PQ3 协议部署了这种混合后量子加密,Signal 也通过其 PQXDH 和 SPQR 协议部署了。
相比之下,将后量子数字签名推广到关键网络基础设施正在被推迟,直到加密相关的量子计算机真正临近,因为当前的后量子签名方案会带来性能下降(稍后在本篇中会详细介绍)。
zkSNARKs——零知识简洁非交互式知识论证,这是区块链长期可扩展性和隐私的关键——与签名处于相似的境地。这是因为,即使对于非后量子安全的{zkSNARKs}(它们使用椭圆曲线密码学,就像今天的非后量子加密和签名方案一样),它们的零知识属性是后量子安全的。
零知识属性确保在证明中不会泄露关于秘密证人的任何信息——即使是对量子对手——因此没有机密信息可供「先获取」以供日后解密。
因此,{zkSNARKs}不容易受到先获取,后解密攻击。就像今天生成的非后量子签名是安全的一样,在加密相关的量子计算机到来之前生成的任何{zkSNARK}证明都是值得信赖的(即所证明的陈述绝对是真实的)——即使{zkSNARK}使用椭圆曲线密码学。只有在加密相关的量子计算机到来之后,攻击者才能找到令人信服的虚假陈述的证明。
这对区块链意味着什么
大多数区块链不会暴露于 HNDL 攻击:
大多数非隐私链,如今天的比特币和以太坊,主要将非后量子密码学用于交易授权——即它们使用数字签名,而不是加密。
同样,这些签名不是 HNDL 风险:「先获取,后解密」攻击适用于加密数据。例如,比特币的区块链是公开的;量子威胁是签名伪造(推导出私钥以窃取资金),而不是解密已经公开的交易数据。这消除了 HNDL 攻击带来的即时加密紧迫性。
不幸的是,即使是像美联储这样可信来源的分析也错误地声称比特币容易受到 HNDL 攻击,这个错误夸大了过渡到后量子密码学的紧迫性。
话虽如此,紧迫性降低并不意味着比特币可以等待:它面临来自更改协议所需的巨大社会协调的不同时间线压力。
截至今天的例外是隐私链,其中许多加密或以其他方式隐藏了接收者和金额。一旦量子计算机能够破解椭圆曲线密码学,这种机密性现在就可以被获取,并被追溯性地去匿名化。
对于此类隐私链,攻击的严重性因区块链设计而异。例如,对于 Monero 基于曲线的环签名和密钥图像(用于阻止双重花费的每个输出的可链接性标签),公共账本本身就足以追溯性地重建花费图。但在其他链中,损害更有限——详情请参阅 Zcash 加密工程师和研究员 Sean Bowe 的讨论。
如果用户的交易不被加密相关的量子计算机暴露很重要,那么隐私链应该在可行的情况下尽快过渡到后量子原语(或混合方案)。或者,它们应该采用避免将可解密秘密放在链上的架构。
比特币的特殊难题:治理 + 废弃币
特别是对于比特币,有两个现实推动了开始转向后量子数字签名的紧迫性。两者都与量子技术无关。
一个担忧是治理速度: 比特币变化缓慢。如果社区无法就适当的解决方案达成一致,任何有争议的问题都可能引发破坏性的硬分叉。
另一个担忧是比特币转向后量子签名不能是 被动迁移:所有者必须主动迁移他们的币。这意味着废弃的、量子易受攻击的币无法受到保护。一些估计将量子易受攻击且可能废弃的 BTC 数量定为数百万个币,按当前价格计算(截至 2025 年 12 月)价值数百亿美元。
然而,对比特币的量子威胁不会是突然的、一夜之间的灾难……而更像是有选择的、渐进式的目标定位过程。量子计算机不会同时破解所有加密——Shor 算法必须一次针对一个公钥。早期的量子攻击将极其昂贵和缓慢。因此,一旦量子计算机能够破解单个比特币签名密钥,攻击者将有选择地捕食高价值钱包。
此外,避免地址重用且不使用 Taproot 地址——这些地址直接在链上暴露公钥——的用户即使没有协议更改,也在很大程度上受到保护:他们的公钥在他们的币被花费之前隐藏在哈希函数后面。当他们最终广播一笔花费交易时,公钥变得可见,并且在需要让交易得到确认的诚实花费者和想要在真正所有者的交易最终确定之前找到私钥并花费这些币的量子装备攻击者之间会有一场短暂的实时竞赛。因此,真正易受攻击的币是公钥已暴露的币:早期的 点对点 K 输出、重用地址和 Taproot 持有。
对于已被废弃的易受攻击的币,没有简单的解决方案。一些选择包括:
比特币社区同意一个「标志日」,在此之后,任何未迁移的币被宣布销毁。
将废弃的量子易受攻击的币容易被任何拥有加密相关量子计算机的人夺取。
第二个选项会造成严重的法律和安全问题。使用量子计算机在没有私钥的情况下占有币——即使声称拥有合法所有权或有良好意图——可能在许多司法管辖区根据盗窃和计算机欺诈法引发严重问题。
此外,「废弃」本身是基于不活动的推定。但没有人真正知道这些币是否缺乏拥有密钥的活着的拥有者。您曾经拥有这些币的证据可能不足以提供破解加密保护以收回它们的法律授权。这种法律上的模糊性增加了废弃的量子易受攻击的币落入愿意忽略法律限制的恶意行为者手中的可能性。
比特币特有的最后一个问题是其低交易吞吐量。即使迁移计划最终确定,将所有量子易受攻击的资金迁移到后量子安全地址,以比特币当前的交易速率也需要数月。
这些挑战使得比特币现在就开始规划其后量子过渡变得至关重要——不是因为加密相关的量子计算机可能在 2030 年之前到来,而是因为迁移价值数十亿美元的币所需的治理、协调和技术物流将需要数年才能解决。
对比特币的量子威胁是真实的,但时间线压力来自于比特币自身的限制,而不是迫在眉睫的量子计算机。其他区块链面临着各自的量子易受攻击资金挑战,但比特币面临独特的暴露:其最早的交易使用了付费到公钥(点对点 K)输出,将公钥直接放在链上,使得相当大一部分 BTC 特别容易受到加密相关量子计算机的攻击。这种技术差异——加上比特币的年代久远、价值集中、低吞吐量和治理僵化——使问题尤为严重。
请注意,我上面描述的漏洞适用于比特币数字签名的加密安全——但不适用于比特币区块链的经济安全。这种经济安全源于工作量证明(PoW)共识机制,它不容易受到量子计算机的攻击,原因有三:
PoW 依赖于哈希,因此只受 Grover 搜索算法的二次量子加速影响,而不受 Shor 算法的指数加速影响。
实施 Grover 搜索的实际开销使得任何量子计算机极不可能在比特币的工作量证明机制上实现哪怕是适度的实际加速。
即使实现了显著的加速,这些加速也会赋予大型量子矿工相对于小型矿工的优势,但不会从根本上破坏比特币的经济安全模型。
后量子签名的成本与风险
要了解为什么区块链不应该急于部署后量子签名,我们需要了解性能成本以及我们对后量子安全仍在演变中的信心。
大多数后量子密码学基于以下五种方法之一:
哈希 (hashing)
编码 (codes)
格 (lattices)
多元二次系统 (multivariate quadratic systems, MQ)
同源 (isogenies)。
为什么有五种不同的方法?任何后量子加密原语的安全性都基于量子计算机无法有效解决特定数学问题的假设。该问题越「结构化」,我们可以从中构建的加密协议就越高效。
但这有利有弊:额外的结构也为攻击算法创造了更多的利用空间。这造成了一种根本性的矛盾——更强的假设能够实现更好的性能,但代价是潜在的安全漏洞(即假设被证明是错误的可能性增加)。
一般来说,基于哈希的方法在安全性方面最为保守,因为我们最有信心量子计算机无法有效地攻击这些协议。但它们也是性能最差的。例如,NIST 标准化的基于哈希的签名方案,即使在其最小参数设置下,大小也为 7-8 KB。相比之下,今天的基于椭圆曲线的数字签名只有 64 字节。这大约是 100 倍的大小差异。
格方案是当今部署的主要焦点。NIST 已经选择用于标准化的唯一加密方案和三个签名算法中的两个都基于格。一种格方案(ML-DSA,以前称为 Dilithium)产生的签名大小从 2.4 KB(在 128 位安全级别)到 4.6 KB(在 256 位安全级别)不等——使其比今天的基于椭圆曲线的签名大约大 40-70 倍。另一种格方案 Falcon 具有稍小的签名(Falcon-512 为 666 字节,Falcon-1024 为 1.3 KB),但带有复杂的浮点运算,NIST 本身将其标记为特殊的实现挑战。Falcon 的一位创建者 Thomas Pornin 称其为「我实现过的最复杂的加密算法」。
格基数字签名的实现安全性也比椭圆曲线基签名方案更具挑战性:ML-DSA 具有更多的敏感中间值和非平凡的拒绝采样逻辑,需要侧信道和故障保护。Falcon 增加了常数时间浮点问题;事实上,对 Falcon 实现的几次侧信道攻击已经恢复了秘密密钥。
这些问题构成了即时风险,不像加密相关的量子计算机的遥远威胁。
在部署性能更高的后量子密码学方法时,有充分的理由保持谨慎。历史上,像 Rainbow(一种基于 MQ 的签名方案)和 SIKE/SIDH(一种基于同源的加密方案)这样的领先候选方案在经典上就被破解了,也就是说,使用今天的计算机,而不是量子计算机,就被破解了。
这发生在 NIST 标准化过程的很晚阶段。这是健康的科学在发挥作用,但这说明过早的标准化和部署可能会适得其反。
正如前面提到的,互联网基础设施正在对签名迁移采取深思熟虑的方法。考虑到互联网的加密过渡一旦开始需要多长时间,这一点尤其值得注意。从 MD5 和 SHA-1 哈希函数的转变——几年前已被网络管理机构在技术上弃用——花了许多年才在基础设施中实际实施,并且在某些情况下仍在进行中。发生这种情况的原因是这些方案是完全被破解的,而不仅仅是潜在地容易受到未来技术的影响。
区块链与互联网基础设施的独特挑战
幸运的是,像以太坊或 Solana 这样由开源开发者社区积极维护的区块链,可以比传统网络基础设施更快地升级。另一方面,传统网络基础设施受益于频繁的密钥轮换,这意味着其攻击面移动得比早期量子机器可以针对的速度更快——这是区块链没有的奢侈,因为币及其相关密钥可以无限期地暴露。
但总的来说,区块链仍应遵循网络的深思熟虑的签名迁移方法。两种设置的签名都不暴露于 HNDL 攻击,而且无论密钥持续多久,过早迁移到不成熟的后量子方案的成本和风险仍然很大。
还有特定于区块链的挑战,使得过早迁移特别冒险和复杂:例如,区块链对签名方案有独特的要求,特别是快速聚合许多签名的能力。今天,BLS 签名因其能够实现非常快速的聚合而常被使用,但它们不是后量子安全的。研究人员正在探索基于 SNARK 的后量子签名聚合。这项工作很有前景,但仍处于早期阶段。
对于 SNARKs 来说,社区目前专注于基于哈希的结构作为领先的后量子选项。但一个重大转变即将到来:我相信在接下来的几个月和几年里,基于格的选项将成为有吸引力的替代方案。这些替代方案将在各个方面具有比基于哈希的 {SNARKs}更好的性能,例如更短的证明——类似于基于格的签名比基于哈希的签名更短。
当前更大的问题:实现安全性
在未来几年,实现漏洞将是比加密相关的量子计算机更大的安全风险。对于{SNARKs}来说,主要关注点是程序错误(bugs)。
程序错误已经是数字签名和加密方案的一个挑战,而{SNARKs}要复杂得多。确实,一个数字签名方案可以被视为一种非常简单的{zkSNARK},用于陈述「我知道对应于我的公钥的私钥,并且我授权了此消息。」
对于后量子签名,即时风险还包括实现攻击,例如侧信道和故障注入攻击。这些类型的攻击有据可查,可以从已部署的系统中提取秘密密钥。它们比遥远的量子计算机构成了更紧迫的威胁。
社区将工作多年来识别和修复{SNARKs}中的程序错误,并强化后量子签名实现以抵抗侧信道和故障注入攻击。由于关于后量子 {SNARKs}和签名聚合方案的尘埃尚未落定,过早过渡的区块链面临锁定在次优方案中的风险。当更好的选项出现时,或者当实现漏洞被发现时,他们可能需要再次迁移。
我们应该怎么做?7 条建议
鉴于我上面概述的现实情况,我将以对各种利益相关者——从构建者到政策制定者——的建议作为总结。首要原则:认真对待量子威胁,但不要以加密相关的量子计算机将在 2030 年之前到来的假设行事。 这种假设没有被当前的进展所证实。尽管如此,我们现在仍然可以而且应该做一些事情:
我们应该立即部署混合加密。
或者至少在长期保密性很重要且成本可承受的情况下。
许多浏览器、CDN 和消息应用(如 iMessage 和 Signal)已经部署了混合方法。混合方法——后量子 + 经典——可以防御 HNDL 攻击,同时对后量子方案中潜在的弱点进行对冲。
在尺寸可承受时立即使用基于哈希的签名。
软件 / 固件更新——以及其他此类低频率、对尺寸不敏感的场景——应该立即采用混合基于哈希的签名。(混合是为了对冲新方案中的实现错误,而不是因为基于哈希的安全假设存在疑问。)
这很保守,并且在加密相关的量子计算机意外早日出现的不太可能的情况下,为社会提供了明确的「救生艇」。如果事先没有部署后量子签名的软件更新,在 CRQC 出现后,我们将面临引导问题:我们将无法安全地分发我们需要抵御它的后量子密码学修复。
区块链无需急于部署后量子签名——但应立即开始规划。
区块链开发者应该遵循网络 PKI 社区的领导,对后量子签名部署采取深思熟虑的方法。这允许后量子签名方案在性能和我们对其安全性的理解方面继续成熟。这种方法也让开发者有时间重新架构系统以处理更大的签名,并开发更好的聚合技术。
对于比特币和其他 L1: 社区需要定义迁移路径和关于废弃的量子易受攻击资金的政策。被动迁移是不可能的,因此规划至关重要。而且由于比特币面临特殊的非技术性挑战——缓慢的治理和大量高价值潜在废弃的量子易受攻击地址——比特币社区现在开始规划尤为重要。
同时,我们需要允许关于后量子{SNARKs}和可聚合签名的研究成熟(可能还需要几年时间)。再次强调,过早迁移有锁定在次优方案中或需要第二次迁移来解决实现错误的风险。
关于以太坊的账户模型的一点说明: 以太坊支持两种账户类型,对后量子迁移有不同的影响——外部拥有账户 (EOAs),由{secp}256{k}1 私钥控制的传统账户类型;以及具有可编程授权逻辑的智能合约钱包。
在非紧急情况下,如果以太坊增加了后量子签名支持,可升级的智能合约钱包可以通过合约升级切换到后量子验证——而 EOAs 可能需要将其资金转移到新的后量子安全地址(尽管以太坊很可能也会为 EOAs 提供专门的迁移机制)。
在量子紧急情况下,以太坊研究人员提出了一个硬分叉计划,以冻结易受攻击的账户,并让用户通过使用后量子安全 {SNARKs}证明其助记词的知识来恢复资金。这种恢复机制将适用于 EOA 和任何尚未升级的智能合约钱包。
对用户的实际影响: 经过良好审计、可升级的智能合约钱包可能提供略微平滑的迁移路径——但差异不大,并且伴随着对钱包提供商和升级治理的信任方面的权衡。更重要的是以太坊社区继续其关于后量子原语和应急响应计划的工作。
对构建者的更广泛设计教训: 今天许多区块链将账户身份与特定的加密原语紧密耦合——比特币和以太坊与{secp}256{k}1 上的 ECDSA 签名,其他链与 EdDSA。后量子迁移的挑战突显了将账户身份与任何特定的签名方案解耦的价值。以太坊向智能账户的迈进以及其他链上的类似账户抽象工作反映了这一趋势:允许账户升级其认证逻辑,而无需放弃其链上历史和状态。这种解耦不会使后量子迁移变得微不足道,但它确实提供了比将账户硬编码到单个签名方案中更多的灵活性。(这也支持了诸如赞助交易、社交恢复和多重签名等不相关的功能)。
对于隐私链,它们加密或隐藏交易细节,如果性能可承受,应优先考虑更早的过渡。
这些链上的用户机密性目前暴露于 HNDL 攻击,尽管严重程度因设计而异。仅凭公共账本就能实现完全追溯去匿名化的链面临最紧迫的风险。
考虑混合方案(后量子 + 经典)以防止表面上的后量子方案被证明甚至在经典上也是不安全的,或实施避免将可解密秘密放在链上的架构更改。
在近期,优先考虑实现安全性——而不是量子威胁缓解。
特别是对于像 {SNARKs}和后量子签名这样复杂的加密原语,程序错误和实现攻击(侧信道攻击、故障注入)在未来几年将是比加密相关的量子计算机大得多的安全风险。
立即投资于审计、模糊测试、形式验证,以及深度防御 / 分层安全方法——不要让量子担忧掩盖更紧迫的程序错误威胁!
资助量子计算发展。
上述所有内容的一个重要国家安全影响是,我们需要持续资助和人才培养量子计算。
一个主要对手在美国之前实现加密相关的量子计算能力,将对我们和世界其他国家构成严峻的国家安全风险。
对量子计算公告保持透视。
随着量子硬件的成熟,未来几年将会有许多里程碑。矛盾的是,这些公告的频率本身就证明了我们离加密相关的量子计算机还有多远:每个里程碑代表着我们在到达该点之前必须跨越的众多桥梁之一,每个里程碑都将产生自己的头条新闻和兴奋浪潮。
将新闻稿视为需要批判性评估的进展报告,而不是采取突然行动的提示。
当然,可能会有令人惊讶的进展或创新加速预期的时间线,就像可能会有严重的扩展瓶颈延长它们一样。
我不会争辩说在五年内出现加密相关的量子计算机是绝对不可能的,只是极不可能。上述建议对这种不确定性是稳健的,并且遵循它们可以避免更即时、更可能的风险:实现错误、仓促部署以及加密过渡出错的普通方式。
相关文章
