量子與區塊鏈：何時真正需要擔心？

來自量子電腦對區塊鏈的威脅常被誤解得完全不一樣。許多人認為這個安全警告只是未來的想像，或者相反，區塊鏈需要立即全面轉型。事實上，情況更為複雜且因系統所用的加密類型而異。

真實風險：Harvest Now, Decrypt Later

最危險的攻擊並非未來才會發生，而是正在進行中。攻擊者會存儲目前已加密的通訊資訊，等待新一代量子計算能力出現再解密它們(叫做 HNDL - Harvest Now, Decrypt Later)。這意味著今天被認為「安全」的國家機密或個人資料，可能在10-50年後完全曝光。

有了這個認知，必須長期保護資訊的系統應該立即部署抗量子加密技術。然而，這只適用於加密——不包括數位簽名。

簽名沒有「存儲問題」

這是許多人忽略的關鍵點：數位簽名的運作方式與加密完全不同。

當你傳送一個加密訊息時，攻擊者可以存儲該密文，日後若有足夠強大的計算能力就能解密。但簽名沒有「隱私內容」需要逆向解密。

即使未來的量子電腦能成功偽造簽名，也只會影響未來的交易和授權——過去已驗證的簽名仍然有效。沒有辦法用量子攻擊推翻過去的驗證歷史或洩露簽名中的隱藏資訊。

因此，像 ECDSA 和 EdDSA 這些在區塊鏈上常用的簽名算法，雖然未來需要升級，目前不必立即更換。

ZKP：優先級較低

零知識證明(zkSNARKs)的安全模型完全不同。雖然 zkSNARKs 目前使用橢圓曲線，但其「零知識」特性在量子電腦面前仍然安全。原因是：證明中不包含可被量子算法恢復的個人資料。因此，zkSNARKs 不存在 HNDL 風險，升級優先級甚至低於簽名。

區塊鏈的實務優先順序

• 最緊迫：長期保密通訊的加密
• 第二層：升級簽名(但不必立即)
• 第三層：升級 zkSNARKs 和零知識證明

比特幣：難以處理的例外

比特幣是唯一需要提前行動的例外，儘管量子威脅尚遠。原因不僅是純技術問題，更因為這個區塊鏈的複雜性：

第一，比特幣的協議變更極為緩慢。任何安全性變更都可能引發爭議、分裂或硬分叉。

第二，早期比特幣使用 P2PK(公開地址在鏈上)，公開金鑰已顯示。量子電腦可以利用 Shor 算法直接從公開金鑰中推算出私鑰，這比現代系統用哈希隱藏公開金鑰更危險(。

第三，比特幣的升級無法自動轉移資產，因為私鑰由用戶掌握。這意味著數百萬比特幣可能因為地址失效、遺失或閒置而永遠暴露在未來量子簽名偽造的風險中。

因此，比特幣必須制定不可逆的遷移路線圖——不是因為迫在眉睫的威脅，而是因為實施的緩慢。

警告：匆忙升級反而更危險

儘管量子威脅存在，但全面匆忙轉型帶來的風險更大：

目前的抗量子算法)ML-DSA、Falcon(，其運算成本相當高——簽名大小比現在大數十甚至數百倍。這些算法容易受到側信道攻擊、浮點數錯誤或參數錯誤的影響，導致密鑰洩露。一些抗量子算法甚至已被經典算法破解)Rainbow、SIKE(。

區塊鏈的實務策略

不要盲目轉換，區塊鏈應該：

• 混合加密：用於長期保密通訊)post-quantum + classical(
• 哈希簽名：用於少量簽名的場景)韌體、系統更新(
• 保持規劃與研究：針對公開層，與網際網路 PKI 標準同步，謹慎實施
• 抽象化帳戶或模組化設計：允許未來升級簽名而不破壞歷史身份與資產記錄

如此一來，區塊鏈能提前準備應對量子威脅，而不會立即引發安全危機。