a16z丨與量子計算賽跑：區塊鏈的後量子密碼學審慎過渡指南

撰文：Justin Thaler，a16z crypto 研究合作伙伴及喬治城大學計算機科學副教授 \n編譯：Yangz，Techub News\n\n \n\n有關出現密碼學相關量子計算機的時間的預測常被誇大，導致人們呼籲緊急、全面地轉向後量子密碼學。這些呼籲往往忽視了過早遷移的成本與風險，並忽略了不同密碼學原語截然不同的風險特徵：\n\n \n\n後量子加密儘管成本高昂，卻需要立即部署：「先採集後解密」（HNDL）攻擊已經展開，當前加密的敏感數據在量子計算機真正到來時（即便還需數十年）仍具價值。此外，後量子加密的性能開銷與實施風險確實存在，但對於需長期保密的數據，HNDL 攻擊使我們別無選擇。\n\n後量子簽名則面臨不同的考量。它們不易受 HNDL 攻擊影響，而其成本與風險（更大的規模、性能開銷、實施不成熟性以及潛在漏洞）要求我們審慎行事而非立即遷移。\n\n \n\n這些區別至關重要。誤解會扭曲成本效益分析，導致團隊忽視更突出的安全風險——例如系統漏洞。\n\n \n\n成功向後量子密碼學遷移的真正挑戰在於：使緊迫性與實際威脅相匹配。下面，我將澄清關於量子計算對密碼學威脅的常見誤解，涵蓋加密、簽名和零知識證明，並特別聚焦其對區塊鏈的影響。\n\n \n\n我們處於什麼階段？\n\n \n\n儘管有著很多宣傳，但在本世紀 20 年代內出現密碼學相關量子計算機（CRQC）的可能性極低。\n\n \n\n我所說的「密碼學相關量子計算機」是指一種容錯、糾錯的量子計算機，它能夠運行足夠規模的 Shor 算法，在合理時間內（例如，以最多一個月的持續計算破解 secp256k1 或 RSA-2048）攻擊橢圓曲線密碼學或 RSA。根據對公開里程碑和資源估算的任何合理解讀，我們都遠未接近實現一台密碼學相關量子計算機。有公司有時聲稱 CRQC 可能在 2030 年前或遠在 2035 年前出現，但公開已知的進展並不支持這些說法。\n\n \n\n縱觀所有當前架構，包括離子阱、超導量子比特和中性原子系統，目前沒有任何量子計算平台接近運行 Shor 算法破解 RSA-2048 或 secp256k1 所需的數十萬到數百萬物理量子比特（具體取決於錯誤率和糾錯方案）。限制因素不僅是量子比特數量，還包括門保真度、量子比特連通性以及運行深度量子算法所需的持續糾錯電路深度。 儘管一些系統已經擁有超過 1,000 個物理量子比特，但僅憑原始量子比特數量是具有誤導性的：這些系統缺乏進行密碼學相關計算所需的量子比特連通性和門保真度。最新的系統正接近量子糾錯開始發揮作用的物理錯誤率，但尚未有人展示出超過少數幾個具有持續糾錯電路深度的邏輯量子比特……更不用說實際運行 Shor 算法所需的數千個高保真、深電路、容錯的邏輯量子比特。\n\n \n\n從原理上證明量子糾錯可行，到達密碼分析所需的規模，兩者之間仍存在巨大差距。簡而言之，在量子比特數量和保真度都提高數個數量級之前，密碼學相關量子計算機仍然遙不可及。公開已知的進展並不支持以下預期：在未來 5 年內出現能破解 RSA-2048 或 secp256k1 的密碼學相關量子計算機。至於美國政府將 2035 年設定為政府系統全面向後量子（PQ）遷移的最後期限呢？我認為這是完成如此大規模轉型的合理時間線。然而，這並非預測屆時將出現一台密碼學相關量子計算機。\n\n \n\nHNDL 攻擊適用於哪些場景？\n\n \n\n「先採集後解密」（HNDL）攻擊指的是攻擊者現在存儲加密流量，待密碼學相關量子計算機出現後再進行解密。國家級攻擊者肯定已經在大量歸檔來自美國政府的加密通信，以便在未來許多年後，當 CRQC 真正存在時解密這些通信。這就是為什麼加密技術需要立即轉向——至少對於任何有 10-50 年以上保密需求的人來說，是這樣的。\n\n \n\n然而，數字簽名（所有區塊鏈都依賴的技術）與加密不同。如果密碼學相關量子計算機出現，從那一刻起偽造簽名確實成為可能，但過去的簽名並不像加密消息那樣「隱藏」秘密。只要你知道數字簽名是在 CRQC 出現之前生成的，它就不可能是偽造的。這使得向後量子數字簽名的過渡不如向後量子加密那樣緊迫。\n\n \n\n目前，主流平台正在相應採取行動：Chrome 和 Cloudflare 為網路傳輸層安全（TLS）加密推出了混合 X25519+ML-KEM 方案；蘋果的 iMessage 也通過其 PQ3 協議部署了這種混合後量子加密；Signal 也通過其 PQXDH 和 SPQR 協議做了同樣的事情。\n\n \n\n相比之下，向後量子數字簽名在關鍵網路基礎設施中的部署被推遲到密碼學相關量子計算機真正臨近出現時，因為目前的後量子簽名方案會帶來性能倒退（本文後面會詳細討論）。\n\n \n\nzkSNARKs（對區塊鏈的長期可擴展性和隱私性至關重要）處於與簽名類似的情況。這是因為，即使對於那些並非後量子安全的 zkSNARKs（它們使用橢圓曲線密碼學，就像當今的非後量子加密和簽名方案一樣），它們的零知識屬性也是後量子安全的。零知識屬性確保證明中不會泄露任何關於秘密見證的信息——即使對量子攻擊者也一樣——因此沒有需要「現在採集」以供未來解密的機密信息。\n\n \n\n因此，zkSNARKs不易受到 HNDL 攻擊。就像今天生成的非後量子簽名是安全的一樣，任何在密碼學相關量子計算機出現之前生成的 zkSNARK 證明都是可信的（即被證明的陳述肯定為真），即使該 zkSNARK 使用的是橢圓曲線密碼學。只有在密碼學相關量子計算機出現之後，攻擊者才能為虛假陳述找到令人信服的證明。\n\n \n\n這對區塊鏈意味著什麼？\n\n \n\n大多數區塊鏈不易受 HNDL 攻擊：大多數非隱私鏈（如當前的比特幣和以太坊）主要使用非後量子密碼學進行交易授權。也就是說，它們使用數字簽名，而非加密。重申一下，這些簽名不構成 HNDL 風險：HNDL 攻擊適用於加密數據。例如，比特幣的區塊鏈是公開的；量子威脅在於簽名偽造（推導私鑰竊取資金），而不是解密已經公開的交易數據。這消除了來自 HNDL 攻擊的緊迫密碼學壓力。\n\n \n\n不幸的是，即使是美聯儲等可信來源的分析也錯誤地聲稱比特幣易受 HNDL 攻擊，這種錯誤誇大了向後量子密碼學過渡的緊迫性。當然，緊迫性降低並不意味著比特幣可以等待：它面臨著來自協議變更所需巨大社會協調的不同時間壓力。（關於比特幣獨特挑戰的更多內容見下文。）\n\n \n\n目前的例外是隱私鏈，其中許多鏈會加密或以其他方式隱藏收款方和金額。這種保密性現在就可以被收集，一旦量子計算機能破解橢圓曲線密碼學，就可以追溯性地進行去匿名化。\n\n \n\n對此類隱私鏈，攻擊的嚴重程度因區塊鏈設計而異。例如，對於門羅幣基於曲線的環簽名和密鑰鏡像（用於防止雙花的每個輸出可鏈結性標籤），僅憑公開帳本就足以追溯性地重構支出圖。但在其他鏈中，損害則更為有限——詳見 Zcash 密碼工程師兼研究員 Sean Bowe 的討論。\n\n \n\n如果用戶認為自己的交易不被密碼學相關量子計算機暴露很重要，那麼隱私鏈應盡快可行地轉向後量子原語（或混合方案）。或者，它們應採用避免將可解密的秘密置於鏈上的架構。\n\n \n\n比特幣的特殊難題：治理與廢棄幣\n\n \n\n對於比特幣，兩種現實情況推動了其開始轉向後量子數字簽名的緊迫性。這兩者都與量子技術無關：\n\n \n\n首先是治理速度：比特幣變化緩慢。如果社群無法就適當解決方案達成一致，任何有爭議的問題都可能引發破壞性的硬分叉。\n\n其次是比特幣向後量子簽名的切換不能是被動遷移：所有者必須主動遷移他們的幣。這意味著被廢棄的、易受量子攻擊的幣無法得到保護。據一些估計，易受量子攻擊且可能被廢棄的比特幣數量達數百萬枚。\n\n \n\n然而，比特幣面臨的量子威脅不會是一場突然的、一夜之間的末日，而更會像是一個選擇性、漸進性的目標鎖定過程。量子計算機不會同時破解所有加密——Shor 算法必須一次針對一個公鑰。早期的量子攻擊將極其昂貴且緩慢。因此，一旦量子計算機能破解單個比特幣簽名密鑰，攻擊者將選擇性地掠奪高價值錢包。\n\n \n此外，避免地址復用且不使用 Taproot 地址（直接在鏈上暴露公鑰）的用戶即使沒有協議變更也基本受到保護：他們的公鑰在幣被花費之前一直隱藏在哈希函數之後。當他們最終廣播支出交易時，公鑰變得可見，此時會有一場短暫的實時競賽：一方面誠實的支出者需要讓其交易得到確認，另一方面任何配備量子設備的攻擊者都希望在真實所有者的交易最終確認前找到私鑰並花費這些幣。因此，真正易受攻擊的幣是那些公鑰已經暴露的：早期的 P2PK 輸出、復用的地址以及 Taproot 持有的幣。\n\n \n至於已被廢棄的易受攻擊幣，沒有簡單的解決方案。一些選擇包括：\n\n \n\n比特幣社群商定一個「最後期限日」，此後任何未遷移的幣將被宣布為銷毀。\n\n讓廢棄的量子易受攻擊幣任由擁有密碼學相關量子計算機的人攫取。\n\n \n\n第二種選擇會帶來嚴重的法律和安全問題。在沒有私鑰的情況下使用量子計算機取得幣的所有權，即使聲稱擁有合法所有權或出於善意，也可能在許多司法管轄區根據盜竊和計算機詐騙法律引發嚴重問題。\n\n \n此外，「廢棄」本身是基於不活動狀態的推定。但沒有人真正知道這些幣是否缺乏持有密鑰的在世所有者。證明你曾經擁有這些幣的證據可能不足以提供打破密碼學保護以重新取得它們的法律授權。這種法律模糊性增加了廢棄的易受量子攻擊幣落入願意無視法律約束的惡意行為者手中的可能性。\n\n \n最後一個比特幣特有的問題是其低交易吞吐量。即使遷移計畫最終確定，以比特幣目前的交易速率，將所有易受量子攻擊的資金遷移到後量子安全地址也需要數月時間。\n\n \n這些挑戰使得比特幣從現在開始規劃其後量子轉型至關重要——不是因為密碼學相關量子計算機可能在 2030 年前出現，而是因為遷移價值數十億美元的幣所需的治理、協調和技術後勤工作將需要數年時間來解決。\n\n \n比特幣面臨的量子威脅是真實存在的，但時間壓力來自比特幣自身的限制，而非即將出現的量子計算機。其他區塊鏈在處理量子易受攻擊資金方面也面臨各自的挑戰，但比特幣的風險尤為突出：其最早期的交易將公鑰直接置於鏈上，使得特別大比例的比特幣易受密碼學相關量子計算機攻擊。這一技術差異，加上比特幣的悠久歷史、價值集中度、低吞吐量以及治理僵化，使得問題尤其嚴重。\n\n \n請注意，我上述描述的漏洞適用於比特幣數字簽名的密碼學安全性，但不適用於比特幣區塊鏈的經濟安全性。這種經濟安全性源於工作量證明共識機制，它不易受量子計算機攻擊的原因有三：\n\n \n\nPoW 依賴於哈希運算，因此僅受 Grover 搜索算法的二次量子加速影響，而不受 Shor 算法的指數級加速影響。\n\n實施 Grover 搜索的實際開銷使得任何量子計算機都極不可能在比特幣的工作量證明機制上實現哪怕適度的現實世界加速。\n\n即使實現了顯著的加速，這些加速也只會讓大型量子礦工相對於小型礦工獲得優勢，而不會從根本上破壞比特幣的經濟安全模型。\n\n \n後量子簽名的成本與風險\n\n \n\n要理解為何區塊鏈不應急於部署後量子簽名，我們需要了解性能成本以及我們對後量子安全性仍在演變中的信心。\n\n \n\n大多數後量子密碼學基於以下五種方法之一：哈希、編碼、格（Lattice）、多元二次方程組（MQ）、同源。任何後量子密碼原語的安全性都基於一個假設：量子計算機無法高效解決特定的數學問題。該問題「結構化」程度越高，我們能構建的密碼協議效率就越高。但這有利有弊：額外的結構也為攻擊算法提供了更多可利用的表面。這造成了一種根本性的張力——更強的假設能帶來更好的性能，但代價是潛在的安全漏洞（即假設被證伪的可能性增加）。\n\n \n\n一般來說，基於哈希的方法在安全性上最為保守，因為我們最有信心量子計算機無法有效攻擊這些協議。但它們的性能也最差。例如，NIST 標準化的基於哈希的簽名，即使在其最小參數設置下，大小也有 7-8 千字節。相比之下，當今基於橢圓曲線的數字簽名僅為 64 字節。這大約是 100 倍的規模差異。\n\n \n\n格方案是當今部署的主要焦點。NIST 已選定標準化的唯一加密方案和三個簽名算法中的兩個都基於格。一種格方案（ML-DSA，前身為 Dilithium）產生的簽名範圍從 2.4 KB（128 位安全級別）到 4.6 KB（256 位安全級別），使其比當今基於橢圓曲線的簽名大約 40-70 倍。另一種格方案 Falcon 的簽名稍小（Falcon-512 為 666 字節，Falcon-1024 為 1.3 KB），但涉及複雜的浮點運算，NIST 將其標記為特殊的實作挑戰。Falcon 的創建者之一 Thomas Pornin 稱其為「迄今為止我實現過的最複雜的密碼算法」。\n\n \n\n與基於橢圓曲線的簽名方案相比，基於格的方案在實施安全性上也更具挑戰性：ML-DSA 有更多敏感的中間值和非平凡的拒絕採樣邏輯，需要側信道和故障保護。Falcon 還增加了恆定時間浮點運算的擔憂；事實上，對 Falcon 實施的幾次側信道攻擊已成功恢復出密鑰。\n\n \n\n這些問題構成了直接風險，與遙遠得多的密碼學相關量子計算機威脅不同。\n\n \n\n在部署性能更高的後量子密碼方法時保持謹慎是有充分理由的。歷史上，領先的候選方案如 Rainbow（基於 MQ 的簽名方案）和 SIKE/SIDH（基於同源的加密方案）都已被經典破解，即被當今計算機而非量子計算機破解。 這些破解發生在 NIST 標準化進程的深入階段。這是科學健康運作的表現，但也說明過早標準化和部署可能適得其反。\n\n \n如前所述，互聯網基礎設施正採取審慎的方法進行簽名遷移。考慮到互聯網密碼學轉型一旦開始實際需要多長時間，這一點尤其值得注意。從 MD5 和 SHA-1 哈希函數的遷移，在技術上多年前已被網路管理機構棄用，在實際基礎設施中實施卻花費了更多年，在某些環境中仍在進行。儘管這些方案已被完全破解，而不僅僅是可能對未來技術脆弱，但情況依然如此。\n\n \n區塊鏈相對於互聯網基礎設施的獨特挑戰\n\n \n幸運的是，由開源開發者社群積極維護的區塊鏈——如以太坊或 Solana——可以比傳統網路基礎設施更快地升級。另一方面，傳統網路基礎設施受益於頻繁的密鑰輪換，這意味著其攻擊面的移動速度快於早期量子機器可能鎖定的速度。這是區塊鏈所沒有的優勢，因為幣及其關聯密鑰可能無限期地暴露。\n\n \n但總體而言，區塊鏈仍應遵循網路在簽名遷移上的審慎做法。兩者在簽名方面都不易受 HNDL 攻擊，而且無論密鑰持續多久，過早遷移到不成熟後量子方案的成本和風險仍然很大。\n\n \n區塊鏈特有的挑戰也使過早遷移特別危險和複雜：例如，區塊鏈對簽名方案有獨特要求，尤其是快速聚合多個簽名的能力。當今普遍使用 BLS 簽名是因為它們能實現極快的聚合，但它們並非後量子安全的。研究人員正在探索基於 SNARK 的後量子簽名聚合。這項工作前景廣闊，但仍處於早期階段。\n\n \n具體到 SNARKs，社群目前將基於哈希的結構作為主要的後量子選擇。但一場重大轉變即將到來：我相信在未來數月和數年內，基於格的方案將成為有吸引力的替代選擇。這些替代方案在各方面都將比基於哈希的 SNARKs 性能更好，例如證明長度顯著縮短——類似於基於格的簽名比基於哈希的簽名更短。\n\n \n當前更大的問題：實施安全性\n\n \n在未來數年裡，實施漏洞將是遠比密碼學相關量子計算機大得多的安全風險。對於 SNARKs，主要擔憂是漏洞。\n\n \n漏洞已是數字簽名和加密方案的挑戰，而 SNARKs 則複雜得多。實際上，數字簽名方案可以看作一種非常簡單的 zkSNARK，用於聲明「我知道與我的公鑰對應的私鑰，並且我授權了此消息」。\n\n \n對於後量子簽名，直接風險還包括實施攻擊，如側信道攻擊和故障注入攻擊。這類攻擊有詳細記錄，並能從已部署系統中提取密鑰。它們構成的威脅遠比遙遠的量子計算機緊迫。\n\n \n社群將花費數年時間來識別和修復 SNARKs 中的漏洞，並加固後量子簽名實施以抵禦側信道和故障注入攻擊。由於後量子 SNARKs 和簽名聚合方案尚未塵埃落定，過早轉型的區塊鏈可能將自己鎖定在次優方案中。當更好的選擇出現或實施漏洞被發現時，它們可能需要再次遷移。\n\n \n我們該怎麼做？七點建議\n\n \n鑑於上面概述的現實情況，我將為各利益相關方總結一些建議。總的原則是：認真對待量子威脅，但不要基於密碼學相關量子計算機將在 2030 年前出現的假設而行動。當前進展並不能支持這一假設，但我們現在仍有一些可以且應該做的事情：\n\n \n我們應該立即部署混合加密，或者至少在長期保密性重要且成本可接受的地方部署。許多瀏覽器、CDN 和訊息應用（如 iMessage 和 Signal）已經部署了混合方法。混合方法（後量子+經典）既能防禦 HNDL 攻擊，又能對沖後量子方案中的潛在弱點。\n\n \n在可接受其大規模的情況下，立即使用基於哈希的簽名。軟體/韌體更新，以及其他此類低頻、對規模不敏感的場景，現在就應該採用混合的基於哈希的簽名。（採用混合是為了對沖新方案中的實作漏洞，並非因為對基於哈希的安全性假設存疑。）這種做法是保守的，並為社會提供了一個明確的「救生艇」，以防密碼學相關量子計算機出乎意料地很快出現這種不太可能發生的情況。如果沒有已經就位的後量子簽名軟體更新，在 CRQC 出現後我們將面臨一個自舉問題：我們將無法安全分發所需的、用以抵禦它的後量子密碼學修復方案。\n\n \n區塊鏈無需急於部署後量子簽名，但應現在就開始規劃。區塊鏈開發者應遵循網路 PKI 社群的做法，採取審慎的態度來部署後量子簽名。這使得後量子簽名方案在性能和我們對安全性的理解兩方面都能持續成熟。這種方法也讓開發者有時間重構系統以處理更大的簽名，並開發更好的聚合技術。\n\n \n對於比特幣和其他 L1：社群需要為廢棄的量子易受攻擊資金定義遷移路徑和政策。被動遷移是不可能的，因此規劃至關重要。而且由於比特幣面臨的主要是非技術性的特殊挑戰，包括緩慢的治理，以及大量高價值、可能被廢棄的量子易受攻擊地址，比特幣社群現在就開始這一規劃尤為重要。\n\n \n同時，我們需要讓後量子 zkSNARKs 和可聚合簽名的研究繼續成熟（可能還需要幾年時間）。重申一下，過早遷移可能鎖定次優方案，或需要第二次遷移來解決實作漏洞。\n\n \n關於以太坊帳戶模型的說明：以太坊支持兩種帳戶類型（外部擁有帳戶 EOA，即由 secp256k1 私鑰控制的傳統帳戶類型；以及具有可編程授權邏輯的智能合約錢包），這對後量子遷移有不同的影響。在非緊急情況下，如果以太坊增加了後量子簽名支持，可升級的智能合約錢包可以通過合約升級切換到後量子驗證，而 EOA 可能需要將其資金轉移到新的後量子安全地址（儘管以太坊也可能為 EOA 提供專門的遷移機制）。在量子緊急情況下，以太坊研究人員提出了一個硬分叉計畫，凍結易受攻擊的帳戶，並讓用戶通過使用後量子安全的 zkSNARKs 證明其知曉助記詞來恢復資金。這種恢復機制將適用於 EOA 和任何尚未升級的智能合約錢包。\n\n \n對用戶的實際影響：經過良好審計、可升級的智能合約錢包可能提供稍顯平滑的遷移路徑，但差異不大，並且需要在信任錢包提供商和升級治理方面進行權衡。比帳戶類型更重要的是，以太坊社群要繼續開展後量子原語和應急計畫的工作。\n\n \n對建設者更廣泛的設計啟示：當今許多區塊鏈將帳戶身份與特定的密碼原語緊密耦合——比特幣和以太坊耦合於 secp256k1 上的 ECDSA 簽名，其他鏈則耦合於 EdDSA。後量子遷移的挑戰凸顯了將帳戶身份與任何特定簽名方案解耦的價值。以太坊向智能帳戶的發展以及其他鏈上類似的帳戶抽象努力反映了這一趨勢：讓帳戶能夠升級其認證邏輯，而無需放棄其鏈上歷史記錄和狀態。這種解耦不會使後量子遷移變得輕而易舉，但確實比將帳戶硬編碼到單一簽名方案提供了更大的彈性。（這也實現了不相關的功能，如贊助交易、社交恢復和多簽）。\n\n \n對於加密或隱藏交易細節的隱私鏈，若性能可接受，應優先考慮盡早過渡。這些鏈上的用戶隱私目前面臨 HNDL 攻擊的威脅，儘管不同設計的嚴重程度各異。僅憑公開帳本即可實現完全追溯去匿名化的鏈面臨最緊迫的風險。應考慮採用混合（後量子+經典）方案，以防範表面上的後量子方案甚至在經典計算下也不安全的情況；或實施架構變更，避免將可解密的秘密置於鏈上。\n\n \n短期內優先保障實施安全，而非緩解量子威脅。特別是對於 SNARKs 和後量子簽名等複雜的密碼學原語，在未來的許多年裡，漏洞和實作攻擊（側信道攻擊、故障注入）將構成遠比密碼學相關量子計算機更大的安全風險。現在就應投入於審計、模糊測試、形式化驗證以及縱深防禦/分層安全方法，切勿讓對量子的擔憂掩蓋了漏洞這一緊迫得多的威脅！\n\n \n資助量子計算發展。以上所有論述的一個重大國家安全啟示是，我們需要持續資助量子計算並培養相關人才。若任何一個國家獲得密碼學相關的量子計算能力，將對世界其他地區構成國家安全風險。\n\n \n對量子計算公告保持清醒認識。隨著量子硬體逐步成熟，未來幾年將出現許多里程碑。矛盾的是，這些公告的頻率本身就證明了我們距離密碼學相關量子計算機還有多遠：每個里程碑都代表了在抵達目標前必須跨越的眾多橋梁之一，每一個都將引發一波頭條新聞和興奮情緒。應將新聞稿視為需審慎評估的進展報告，而非採取倉促行動的提示。\n\n \n當然，可能出現加速預期時間線的意外進展或創新，正如也可能存在嚴重延長時間的擴展瓶頸。我不會斷言五年內出現密碼學相關量子計算機完全不可能，只是概率極低。上述建議能有效應對這種不確定性，遵循這些建議可以規避更直接、更可能發生的風險：實施漏洞、倉促部署以及密碼學過渡中常見的失誤。\n\n \n（註：考慮到篇幅及密碼學專業知識的複雜性，本文翻譯內容有所刪減）