量子与区块链：何时真正需要担心？

来自量子计算机对区块链的威胁常被完全误解。许多人认为这一安全警告只是未来的想象，或者相反，区块链需要立即进行全面转型。实际上，情况比这复杂得多，并且因所使用的加密系统类型而异。

真实风险：Harvest Now, Decrypt Later

最危险的攻击不是发生在未来，而是正在发生。攻击者会存储当前已加密的通信信息，等待未来量子计算能力足够强大时解密它们(，这被称为HNDL——Harvest Now, Decrypt Later)。这意味着今天“安全”的国家机密或个人信息，可能在10-50年后被完全泄露。

有了这个认知，必须保护长期信息的系统应立即部署抗量子加密技术。然而，这只适用于加密——不包括数字签名。

数字签名没有“存储问题”

这是许多人忽视的关键点：数字签名的工作方式与加密完全不同。

当你发送一条被加密的消息时，攻击者可以存储该密文，日后只要计算能力足够强大，就能解密。但签名没有“隐藏内容”需要逆向解密。

即使未来的量子计算机能成功伪造签名，也只会影响未来的交易和授权——过去已验证的签名仍然有效。没有办法用量子攻击推翻历史验证或泄露旧签名中的隐藏信息。

因此，像ECDSA和EdDSA这样的区块链常用签名算法，虽然未来需要升级，但无需立即更换。

zkSNARKs：优先级较低

零知识证明(zkSNARKs)的安全模型完全不同。虽然目前zkSNARKs使用椭圆曲线，但其“零知识”特性在面对量子计算时仍然安全。原因是：证明中不包含可被量子算法恢复的个人数据。因此，zkSNARKs不存在HNDL风险，升级优先级甚至低于签名。

区块链的实际优先级排序

• 最紧迫：长期通信信息的加密
• 第二级：升级签名(但不必立即)
• 第三级：升级zkSNARKs和零知识证明

比特币：难以应对的例外

比特币是唯一必须提前行动的例外，尽管量子威胁还很遥远。原因不仅仅是技术原因，而是该区块链的复杂性：

第一，比特币的协议变更极其缓慢。任何安全升级都可能引发争议、分裂或硬分叉。

第二，早期比特币使用P2PK(地址（直接在链上公开公钥)），公钥已被公开。量子计算机可以利用Shor算法直接从已公布的公钥中提取私钥。这比现代系统中通过哈希隐藏公钥更危险(。

第三，比特币的升级不能自动转移资产，因为私钥由用户持有。这意味着数百万比特币可能因地址失效、遗失或废弃而永远暴露在未来量子签名伪造的风险之下。

因此，比特币需要制定不可逆的迁移路线，从今天开始——这不是因为威胁迫在眉睫，而是因为执行过程缓慢。

警告：仓促升级反而更危险

尽管量子威胁存在，但仓促全面转型的风险更大：

当前抗量子算法)ML-DSA、Falcon(的性能成本显著——签名尺寸比现有方案大数十甚至数百倍。它们容易受到侧信道攻击、实数错误或参数错误的影响，导致密钥泄露。一些抗量子算法甚至已被经典算法攻破)Rainbow、SIKE(。

区块链的实际策略

不要盲目转型，区块链应：

• 混合加密：用于长期保密通信)后量子 + 经典(
• 哈希签名：用于少量签名场景)如固件、系统更新(
• 保持规划与研究：针对公开层，结合互联网PKI标准，谨慎实施
• 设计抽象账户或模块化：允许未来升级签名算法，而不破坏链上的身份和资产历史

通过这种方式，区块链可以为量子时代做好准备，而无需在今天就引发安全危机。