量子计算与区块链：紧迫性与实际威胁(量子算力对区块链的影响)|科技 |com |量子 |紧迫性 |相关 |纠错

量子计算与区块链：紧迫性与实际威胁(量子算力对区块链的影响) 99xcs.com

原文：https://a16zcrypto.com/posts/article/quantum-computing-misconceptions-realities-blockchains-planning-migrations/作者：Justin Thaler 是a16z的研究合伙人，也是乔治城大学计算机科学系的副教授。他的研究兴趣包括可验证计算、复杂性理论和大规模数据集算法。译者：Kurt Pan

密码学相关量子计算机的时间表经常被夸大——这导致了向后量子密码学进行紧急、全面迁移的呼声。

但这些呼声往往忽视了过早迁移的成本和风险，也忽视了不同密码学原语之间截然不同的风险特征：

后量子加密尽管存在成本问题，仍需要立即部署：先收集后解密（HNDL）攻击已经在进行中，因为今天加密的敏感数据在量子计算机到来时仍然具有价值，即使那是几十年后的事情。后量子加密的性能开销和实现风险是真实存在的，但对于需要长期保密的数据，HNDL攻击使我们别无选择。 https://www.hashicorp.com/en/blog/harvest-now-decrypt-later-why-today-s-encrypted-data-isn-t-safe-forever
后量子签名面临的是不同的考量。它们不会受到HNDL攻击的影响，而其成本和风险（更大的体积、性能开销、实现不成熟以及漏洞）要求我们进行审慎而非立即的迁移。

这些区别很重要。误解会扭曲成本效益分析，导致团队忽视更显著的安全风险——比如漏洞。

成功迁移到后量子密码学的真正挑战在于让紧迫性与实际威胁相匹配。 下面，我将澄清关于量子对密码学威胁的常见误解——涵盖加密、签名和零知识证明——特别关注其对区块链的影响。

我们在时间线上处于什么位置？

在2026年代出现密码学相关量子计算机（CRQC）的可能性极低，尽管有高调的声明另有说法。

我所说的"密码学相关量子计算机"是指一台容错的、经过纠错的量子计算机，能够在足够的规模上运行Shor算法，从而在合理的时间范围内攻击椭圆曲线密码学或RSA（例如，最多用一个月的持续计算来破解secp256k1或RSA-2048）。

从任何对公开里程碑和资源估算的合理解读来看，我们距离密码学相关量子计算机还很遥远。一些公司有时声称CRQC可能在2030年之前或远早于2035年出现，但公开可知的进展并不支持这些说法。

作为背景，在所有当前架构中——离子阱、超导量子比特和中性原子系统——今天没有任何量子计算平台能够接近在RSA-2048或secp256k1上运行Shor算法所需的数十万到数百万个物理量子比特（取决于错误率和纠错方案）。

https://arxiv.org/abs/2505.15917

限制因素不仅仅是量子比特数量，还包括门保真度、量子比特连接性，以及运行深度量子算法所需的持续纠错电路深度。虽然一些系统现在超过了1000个物理量子比特，但单纯的量子比特数量是具有误导性的：这些系统缺乏密码学相关计算所需的量子比特连接性和门保真度。

https://en.wikipedia.org/wiki/IBM_Condor
https://www.forbes.com/sites/moorinsights/2023/10/24/atom-computing-announces-record-breaking-1225-qubit-quantum-computer/
https://www.quera.com/blog-posts/mythbuster---more-qubits-always-better-performance

最近的系统接近了量子纠错开始起作用的物理错误率，但没有人展示过超过少数几个逻辑量子比特具有持续纠错电路深度……更不用说实际运行Shor算法所需的数千个高保真度、深电路、容错逻辑量子比特了。从原理上证明量子纠错可行，到达到密码分析所需的规模，这之间的差距仍然巨大。

https://arxiv.org/abs/2408.13687
https://arxiv.org/abs/1208.0928
https://arxiv.org/pdf/2408.13687
https://arxiv.org/abs/2404.02280

简而言之：在量子比特数量和保真度都提高几个数量级之前，密码学相关量子计算机仍然遥不可及。

然而，企业新闻稿和媒体报道很容易让人困惑。这里有一些常见的误解和混淆来源：

声称"量子优势"的演示，目前针对的是人为设计的任务。 选择这些任务不是因为它们的实际用途，而是因为它们可以在现有硬件上运行，同时似乎展示出巨大的量子加速——这一事实在公告中经常被掩盖。

https://x.com/sundarpichai/status/1866167429367468422

公司声称已实现数千个物理量子比特。 但这指的是量子退火器，而不是运行Shor算法攻击公钥密码学所需的门模型机器。

https://www.dwavequantum.com/company/newsroom/media-coverage/techrepublic-d-wave-announces-5-000-qubit-fifth-generation-quantum-annealer/

公司随意使用"逻辑量子比特"这个术语。 物理量子比特是有噪声的。如上所述，量子算法需要逻辑量子比特；Shor算法需要数千个。使用量子纠错，可以用许多物理量子比特实现一个逻辑量子比特——根据错误率，通常需要数百到数千个。但一些公司已经将这个术语延伸到面目全非。例如，最近一份公告声称使用距离为2的编码实现了48个逻辑量子比特，每个逻辑量子比特仅用两个物理量子比特。这是荒谬的：距离为2的编码只能检测错误，不能纠正错误。真正用于密码分析的容错逻辑量子比特每个需要数百到数千个物理量子比特，而不是两个。

https://en.wikipedia.org/wiki/Physical_and_logical_qubits
https://x.com/quantinuumqc/status/1986172816241402189

更普遍地说，许多量子计算路线图使用"逻辑量子比特"这个术语来指仅支持Clifford运算的量子比特。这些运算可以被高效经典模拟，因此不足以运行Shor算法，后者需要数千个经过纠错的T门（或更广泛地说是非Clifford门）。

https://en.wikipedia.org/wiki/Clifford_gate
https://arxiv.org/pdf/quant-ph/0406196

即使其中一个路线图的目标是"到X年实现数千个逻辑量子比特"，这并不意味着该公司预计在同一年能够运行Shor算法来破解传统密码学。

这些做法严重扭曲了公众对我们距离密码学相关量子计算机有多近的认知，即使是对精明的观察者也是如此。

话虽如此，一些专家确实对进展感到兴奋。例如，Scott Aaronson最近写道，鉴于"当前惊人的硬件进展速度"，

我现在认为在下一届美国总统选举之前拥有一台运行Shor算法的容错量子计算机是一种现实可能性。 https://scottaaronson.blog/?p=9325

但Aaronson后来澄清说他的声明并不意味着一台密码学相关量子计算机：即使完全容错运行的Shor算法只是分解15 = 3×5，他也会认为这个说法得到了实现——这是一个用铅笔和纸都能更快完成的计算。标准仍然是Shor算法的微小规模执行，而不是密码学相关的执行，因为之前在量子计算机上对15的因式分解使用的是简化电路，而不是完整的容错Shor算法。这些实验始终以15为目标进行因式分解是有原因的：模15的算术在计算上是容易的，而对稍大的数字如21进行因式分解则困难得多。因此，声称分解21的量子实验通常依赖于额外的提示或捷径。

https://scottaaronson.blog/?p=9325#comment-2019191
https://scottaaronson.blog/?p=9344

简单地说，在未来5年内出现能够破解RSA-2048或secp256k1的密码学相关量子计算机的预期——这才是对实际密码学重要的——并没有得到公开可知进展的支持。

即使预测10年仍然是雄心勃勃的。鉴于我们距离密码学相关量子计算机还很遥远，对进展的兴奋与十年以上的时间线是完全兼容的。

https://a16zcrypto.com/posts/podcast/quantum-computing-what-when-where-how-fact-vs-fiction/

那么美国政府以2035年为目标作为政府系统全面后量子（PQ）迁移的截止日期呢？我认为这是完成如此大规模转型的合理时间表。然而，这并不是对届时将存在密码学相关量子计算机的预测。

https://bidenwhitehouse.archives.gov/briefing-room/statements-releases/2022/05/04/national-security-memorandum-on-promoting-united-states-leadership-in-quantum-computing-while-mitigating-risks-to-vulnerable-cryptographic-systems/
https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8547.ipd.pdf

HNDL攻击适用于哪些场景（以及哪些不适用）？

先收集后解密（HNDL）攻击指的是攻击者现在存储加密流量，然后在密码学相关量子计算机存在时解密它。国家级敌手肯定已经在大规模存档来自美国政府的加密通信，以便在多年后CRQC确实存在时解密这些通信。

https://www.nist.gov/cybersecurity/what-post-quantum-cryptography#what-is-%E2%80%9Charvest-now-decrypt-later%E2%80%9D

这就是为什么加密需要今天就开始迁移——至少对于任何有10-50年以上保密需求的人来说是如此。

但数字签名——所有区块链都依赖的——与加密不同：没有可以追溯攻击的保密性。

换句话说，如果密码学相关量子计算机到来，从那时起签名伪造确实成为可能，但过去的签名并没有像加密消息那样"隐藏"秘密。只要你知道数字签名是在CRQC到来之前生成的，它就不可能是伪造的。

这使得向后量子数字签名的过渡不如向后量子加密的过渡那么紧迫。

主要平台正在相应地采取行动：Chrome和Cloudflare为网络传输层安全（TLS）加密推出了混合X25519+ML-KEM。（在本文中，为了可读性，我指的是加密方案，尽管严格来说，像TLS这样的安全通信协议使用的是密钥交换或密钥封装机制，而不是公钥加密。）

https://blog.chromium.org/2023/08/protecting-chrome-traffic-with-hybrid.html
https://blog.cloudflare.com/post-quantum-for-all/
https://en.wikipedia.org/wiki/Curve25519
https://csrc.nist.gov/pubs/fips/203/final

这里的"混合"意味着同时使用后量子安全方案（即ML-KEM）和现有方案（X25519）叠加在一起，以获得两者的组合安全保证。这样他们可以（希望）通过ML-KEM阻止HNDL攻击，同时在ML-KEM即使对今天的计算机也不安全的情况下，通过X25519保持经典安全性。

苹果的iMessage也通过其PQ3协议部署了这种混合后量子加密，Signal也通过其PQXDH和SPQR协议这样做了。

https://security.apple.com/blog/imessage-pq3
https://signal.org/docs/specifications/pqxdh/
https://signal.org/blog/spqr/

相比之下，后量子数字签名向关键网络基础设施的推出正在被推迟，直到密码学相关量子计算机确实迫在眉睫，因为当前的后量子签名方案会带来性能下降（本文后面会详细介绍）。

https://www.chromium.org/Home/chromium-security/post-quantum-pki-design/
https://blog.cloudflare.com/another-look-at-pq-signatures/

zkSNARKs——零知识简洁非交互式知识论证，是区块链长期可扩展性和隐私的关键——与签名处于类似的境地。这是因为即使对于不是后量子安全的zkSNARKs（它们使用椭圆曲线密码学，就像今天的非后量子加密和签名方案一样），它们的零知识性质都是后量子安全的。

https://a16zcrypto.com/posts/article/17-misconceptions-about-snarks/

零知识性质确保证明中不会泄露关于秘密证据的任何信息——即使对量子敌手也是如此——因此没有可以"先收集"以便以后解密的机密信息。

因此，zkSNARKs不容易受到先收集后解密攻击的影响。就像今天生成的非后量子签名是安全的一样，任何在密码学相关量子计算机到来之前生成的zkSNARK证明都是可信的（也就是说，被证明的陈述肯定是真实的）——即使zkSNARK使用椭圆曲线密码学。只有在密码学相关量子计算机到来之后，攻击者才能找到虚假陈述的令人信服的证明。

这一切对区块链意味着什么

大多数区块链不会暴露于HNDL攻击之下：

大多数非隐私链，如今天的比特币和以太坊，主要使用非后量子密码学进行交易授权——也就是说，它们使用数字签名，而不是加密。

再次强调，这些签名没有HNDL风险："先收集后解密"攻击适用于加密数据。例如，比特币的区块链是公开的；量子威胁是签名伪造（推导私钥以窃取资金），而不是解密已经公开的交易数据。这消除了HNDL攻击带来的直接密码学紧迫性。

不幸的是，即使来自美联储等可靠来源的分析也错误地声称比特币容易受到HNDL攻击，这种错误夸大了向后量子密码学过渡的紧迫性。

https://www.federalreserve.gov/econres/feds/files/2025093pap.pdf

话虽如此，紧迫性降低并不意味着比特币可以等待：它面临着来自改变协议所需的巨大社会协调的不同时间线压力。（下面会详细介绍比特币的独特挑战。）

目前的例外是隐私链，其中许多加密或隐藏接收者和金额。这种保密性可以现在被收集，并在量子计算机能够破解椭圆曲线密码学时被追溯去匿名化。

对于这类隐私链，攻击的严重程度因区块链设计而异。例如，对于门罗币基于曲线的环签名和密钥镜像（一种用于防止双花的逐输出可链接性标签），仅公共账本就基本足以追溯重建支出图。但在其他情况下，损害更为有限——详情请参阅Zcash密码学工程师和研究员Sean Bowe的讨论。

https://seanbowe.com/blog/zcash-and-quantum-computers/

如果用户认为他们的交易不被密码学相关量子计算机暴露很重要，那么隐私链应该尽快过渡到后量子原语（或混合方案）。或者，它们应该采用避免将可解密秘密放在链上的架构。

比特币的特殊难题：治理+废弃币

特别是对于比特币，有两个现实推动了开始切换到后量子数字签名的紧迫性。两者都与量子技术无关。

一个担忧是治理速度：比特币变化缓慢。如果社区无法就适当的解决方案达成一致，任何有争议的问题都可能引发破坏性的硬分叉。

另一个担忧是比特币向后量子签名的切换不能是被动迁移：所有者必须主动迁移他们的币。这意味着被遗弃的、量子脆弱的币无法得到保护。一些估计认为量子脆弱且可能被遗弃的BTC数量达数百万枚，按当前价格（截至2025年12月）价值数千亿美元。

https://chaincode.com/bitcoin-post-quantum.pdf

然而，量子对比特币的威胁不会是突然的、一夜之间的末日……而更像是一个选择性的、渐进的定向攻击过程。量子计算机不会同时破解所有加密——Shor算法必须一次针对一个公钥。早期的量子攻击将极其昂贵和缓慢。因此，一旦量子计算机能够破解单个比特币签名密钥，攻击者将选择性地瞄准高价值钱包。

此外，避免地址重用且不使用Taproot地址——这些地址直接在链上暴露公钥——的用户即使没有协议变更也在很大程度上受到保护：他们的公钥在币被花费之前一直隐藏在哈希函数后面。当他们最终广播一笔支付交易时，公钥变得可见，然后是一场短暂的实时竞赛，在诚实的支付者需要让他们的交易得到确认和任何配备量子计算机的攻击者想要在真正所有者的交易完成之前找到私钥并花费币之间。因此，真正脆弱的币是那些公钥已经暴露的：早期的P2PK输出、重用的地址和Taproot持有。

https://en.bitcoin.it/wiki/Address_reuse
https://river.com/learn/what-is-taproot/
https://bitcoindevs.xyz/decoding/p2pk

对于已被遗弃的脆弱币，没有简单的解决方案。一些选择包括：

比特币社区同意一个"旗帜日"，在此之后任何未迁移的币都被宣布销毁。
让被遗弃的量子脆弱币容易被任何拥有密码学相关量子计算机的人夺取。

第二个选择会造成严重的法律和安全问题。使用量子计算机在没有私钥的情况下占有币——即使声称拥有合法所有权或善意——在许多司法管辖区可能会根据盗窃和计算机欺诈法引发严重问题。

https://frameworks.securityalliance.org/safe-harbor/overview
https://www.vice.com/en/article/meet-the-vigilantes-who-hack-millions-in-crypto-to-save-it-from-thieves/

此外，"遗弃"本身是基于不活跃的推定。但没有人真正知道这些币是否缺乏一个活着的、有权访问密钥的所有者。你曾经拥有币的证据可能不足以提供足够的法律授权来破解密码保护以重新获得它们。这种法律模糊性增加了被遗弃的量子脆弱币落入愿意无视法律约束的恶意行为者手中的可能性。

比特币特有的最后一个问题是其低交易吞吐量。即使迁移计划最终确定，以比特币当前的交易速率将所有量子脆弱资金迁移到后量子安全地址也需要数月时间。

https://arxiv.org/abs/2410.16965

这些挑战使得比特币现在就开始规划其后量子过渡变得至关重要——不是因为密码学相关量子计算机可能在2030年之前出现，而是因为迁移价值数十亿美元币的治理、协调和技术后勤工作需要数年时间才能解决。

量子对比特币的威胁是真实的，但时间压力来自比特币自身的约束，而不是迫在眉睫的量子计算机。其他区块链也面临着量子脆弱资金的挑战，但比特币受到的影响独特：其最早的交易使用了将公钥直接放在链上的付款到公钥（P2PK）输出，使得特别大比例的BTC容易受到密码学相关量子计算机的攻击。这种技术差异——加上比特币的年龄、价值集中度、低吞吐量和治理僵化——使问题尤为严重。

请注意，我上面描述的漏洞适用于比特币数字签名的密码学安全性——但不适用于比特币区块链的经济安全性。这种经济安全性来自工作量证明（PoW）共识机制，由于三个原因，它没有那么容易受到量子计算机的攻击：

PoW依赖哈希，因此只受到来自Grover搜索算法的二次量子加速的影响，而不受Shor算法指数加速的影响。
实现Grover搜索的实际开销使得任何量子计算机极不可能在比特币的工作量证明机制上实现哪怕是适度的实际加速。 https://youtu.be/eB4po9Br1YY?t=1627
即使实现了显著的加速，这些加速也只会给大型量子矿工带来相对于小型矿工的优势，但不会从根本上破坏比特币的经济安全模型。

后量子签名的成本和风险

要理解为什么区块链不应该匆忙部署后量子签名，我们需要了解性能成本和我们对后量子安全性仍在演变的信心。

大多数后量子密码学基于以下五种方法之一：

哈希
编码
格
多变量二次系统（MQ）
同源
https://a16zcrypto.com/posts/videos/post-quantum-blockchains/

为什么有五种不同的方法？任何后量子密码学原语的安全性都建立在量子计算机无法高效解决特定数学问题的假设之上。这个问题越"有结构"，我们能从中构建的密码协议就越高效。

但这是把双刃剑：额外的结构也为攻击算法创造了更多的攻击面。这造成了一个根本性的张力——更强的假设能够实现更好的性能，但代价是潜在的安全漏洞（也就是说，假设被证明是错误的可能性增加）。

一般来说，基于哈希的方法在安全性方面最为保守，因为我们最有信心量子计算机无法高效攻击这些协议。但它们也是性能最差的。例如，NIST标准化的基于哈希的签名即使在最小参数设置下也有7-8千字节的大小。相比之下，今天基于椭圆曲线的数字签名只有64字节。这是大约100倍的大小差异。

格方案是当今部署的主要焦点。NIST已经选择用于标准化的唯一加密方案和三种签名算法中的两种都基于格。一种格方案（ML-DSA，前身为Dilithium）产生的签名范围从2.4 KB（在128位安全级别）到4.6 KB（在256位安全级别）——使其比今天基于椭圆曲线的签名大约40-70倍。另一种格方案Falcon有稍小的签名（Falcon-512为666字节，Falcon-1024为1.3 KB），但带有复杂的浮点算术，NIST本身将其标记为特殊的实现挑战。Falcon的创建者之一Thomas Pornin称其为"到目前为止我实现过的最复杂的密码学算法"。

https://openquantumsafe.org/liboqs/algorithms/sig/ml-dsa.html
https://openquantumsafe.org/liboqs/algorithms/sig/falcon.html
https://www.fox-it.com/be/nist-selects-post-quantum-algorithms-for-standardization/

与基于椭圆曲线的签名方案相比，基于格的签名方案的实现安全性也更具挑战性：ML-DSA有更多敏感的中间值和需要侧信道和故障保护的非平凡拒绝采样逻辑。Falcon增加了常数时间浮点问题；对Falcon实现的几次侧信道攻击实际上已经恢复了秘密密钥。

https://eprint.iacr.org/2019/394
https://eprint.iacr.org/2025/214
https://eprint.iacr.org/2023/1931
https://eprint.iacr.org/2025/195
https://eprint.iacr.org/2018/355.pdf
https://eprint.iacr.org/2025/2159
https://eprint.iacr.org/2021/772
https://csrc.nist.gov/csrc/media/Presentations/2022/falcon-down/images-media/session2-aysu-falcon-down-pqc2022.pdf

与密码学相关量子计算机这一更遥远的威胁不同，这些问题构成了即时风险。

在部署更高性能的后量子密码学方法时有充分的理由保持谨慎。从历史上看，Rainbow（一种基于MQ的签名方案）和SIKE/SIDH（一种基于同源的加密方案）等领先候选者在被经典地破解了，也就是说，是使用今天的计算机破解的，而不是量子计算机。

https://eprint.iacr.org/2022/214.pdf
https://eprint.iacr.org/2022/975.pdf

这发生在NIST标准化过程的深入阶段。这是健康的科学在发挥作用，但它说明过早的标准化和部署可能会适得其反。

如前所述，互联网基础设施正在对签名迁移采取审慎的方法。鉴于互联网密码学转换一旦开始实际需要多长时间，这一点尤其值得注意。从MD5和SHA-1哈希函数的迁移——技术上几年前就被网络管理机构弃用了——又花了很多年才在基础设施中实际实施，在某些情况下仍在进行中。这发生在那些方案被完全破解的情况下，而不仅仅是可能容易受到未来技术的攻击。

http://www.phreedom.org/research/rogue-ca/
https://x.com/angealbertini/status/1075417521799528448
https://iacr.org/archive/eurocrypt2005/34940019/34940019.pdf
https://shattered.io/

区块链与互联网基础设施独有的挑战

幸运的是，由开源开发者社区积极维护的区块链——如以太坊或Solana——可以比传统网络基础设施更快地升级。另一方面，传统网络基础设施受益于频繁的密钥轮换，这意味着其攻击面移动得比早期量子机器能够瞄准的更快——区块链没有这种奢侈，因为币及其相关密钥可以无限期地暴露。

但总的来说，区块链仍应遵循网络对签名迁移的审慎方法。这两种环境都不会受到签名的HNDL攻击的影响，无论密钥持续多长时间，过早迁移到不成熟的后量子方案的成本和风险仍然很大。

还有一些区块链特有的挑战使得过早迁移特别具有风险和复杂性：例如，区块链对签名方案有独特的要求，特别是快速聚合多个签名的能力。今天，BLS签名被广泛使用，因为它们能够实现非常快速的聚合，但它们不是后量子安全的。研究人员正在探索基于SNARK的后量子签名聚合。这项工作很有前景，但仍处于早期阶段。

https://en.wikipedia.org/wiki/BLS_digital_signature
https://blog.ethereum.org/2025/07/31/lean-ethereum
https://eprint.iacr.org/2025/055.pdf

特别是对于SNARKs，社区目前关注基于哈希的构造作为领先的后量子选择。但一个重大转变即将到来：我有信心在未来几个月和几年内，基于格的选择将作为有吸引力的替代方案出现。这些替代方案在各方面将比基于哈希的SNARKs有更好的性能，例如证明大小要短得多——类似于基于格的签名比基于哈希的签名更短。

目前更大的问题：实现安全性

在未来几年，实现漏洞将是比密码学相关量子计算机大得多的安全风险。对于SNARKs，主要关注的是 bugs。

https://a16zcrypto.com/posts/article/getting-bugs-out-of-snarks/

Bugs 对于数字签名和加密方案来说已经是一个挑战，而SNARKs要复杂得多。事实上，数字签名方案可以被视为一种非常简单的zkSNARK，用于"我知道与我的公钥对应的私钥，并且我授权了这条消息"这一陈述。

https://eprint.iacr.org/2024/1122

对于后量子签名，即时风险还包括侧信道和故障注入攻击等实现攻击。这些攻击有据可查，可以从已部署的系统中提取秘密密钥。它们构成的威胁比遥远的量子计算机紧迫得多。

社区将在未来几年努力识别和修复SNARKs中的漏洞，并加固后量子签名实现以抵御侧信道和故障注入攻击。由于围绕后量子SNARKs和签名聚合方案的尘埃尚未落定，过早过渡的区块链可能会将自己锁定在次优方案中。当更好的选择出现时，或者当发现实现漏洞时，它们可能需要再次迁移。

我们应该做什么？7条建议

鉴于我上面概述的现实，我将以对各利益相关者——从构建者到政策制定者——的建议作为结尾。总体原则：认真对待量子威胁，但不要在密码学相关量子计算机将在2030年之前到来的假设下行动。这种假设没有得到当前进展的支持。尽管如此，我们现在仍然可以并且应该做一些事情：

#1 我们应该立即部署混合加密。

或者至少，在长期保密性重要且成本可承受的地方这样做。

许多浏览器、CDN和消息应用程序（如iMessage和Signal）已经部署了混合方法。混合方法——后量子+经典——在防范HNDL攻击的同时，对后量子方案的潜在弱点进行对冲。

#2 在大尺寸可容忍时立即使用基于哈希的签名。

软件/固件更新——以及其他此类低频率、对大小不敏感的场景——应该现在就采用混合基于哈希的签名。（混合是为了对冲新方案中的实现漏洞，而不是因为基于哈希的安全假设存在疑问。）

这是保守的做法，为社会提供了一个明确的"救生艇"，以防密码学相关量子计算机出乎意料地很快出现。如果没有已经部署的后量子签名软件更新，我们将在CRQC出现后面临启动问题：我们将无法安全地分发我们需要的后量子密码学修复来抵御它。

#3 区块链不需要匆忙部署后量子签名——但现在应该开始规划。

区块链开发者应该遵循网络PKI社区的做法，对后量子签名部署采取审慎的方法。这允许后量子签名方案在性能和我们对其安全性的理解方面继续成熟。这种方法还允许开发者有时间重新架构系统以处理更大的签名并开发更好的聚合技术。

对于比特币和其他L1： 社区需要定义迁移路径和关于废弃量子脆弱资金的政策。被动迁移是不可能的，因此规划至关重要。由于比特币面临的特殊挑战大多是非技术性的——缓慢的治理，以及大量高价值的可能被废弃的量子脆弱地址——比特币社区现在就开始规划尤为重要。

与此同时，我们需要让后量子SNARKs和可聚合签名的研究成熟（可能还需要几年）。再次强调，过早迁移可能会锁定在次优方案中，或者需要第二次迁移来解决实现漏洞。

关于以太坊账户模型的说明： 以太坊支持两种具有不同后量子迁移影响的账户类型——外部拥有账户（EOAs），由secp256k1私钥控制的传统账户类型；以及具有可编程授权逻辑的智能合约钱包。

在以太坊添加后量子签名支持的非紧急情况下，可升级的智能合约钱包可以通过合约升级切换到后量子验证——而EOAs可能需要将其资金转移到新的后量子安全地址（尽管以太坊很可能也会为EOAs提供专门的迁移机制）。在量子紧急情况下，以太坊研究人员提出了一个硬分叉计划来冻结脆弱账户，让用户通过使用后量子安全的SNARKs证明他们知道助记词来恢复资金。这种恢复机制适用于EOAs和任何尚未升级的智能合约钱包。

https://ethresear.ch/t/how-to-hard-fork-to-save-most-users-funds-in-a-quantum-emergency/18901

对用户的实际影响：经过良好审计的、可升级的智能合约钱包可能提供略微更顺畅的迁移路径——但差异不大，而且在对钱包提供商的信任和升级治理方面存在权衡。比账户类型更重要的是以太坊社区继续其在后量子原语和紧急响应计划方面的工作。

对构建者更广泛的设计教训： 今天许多区块链将账户身份与特定的密码学原语紧密耦合——比特币和以太坊与secp256k1上的ECDSA签名，其他链与EdDSA。后量子迁移的挑战凸显了将账户身份与任何特定签名方案解耦的价值。以太坊向智能账户的转变以及其他链上类似的账户抽象努力反映了这一趋势：让账户升级其认证逻辑而不放弃其链上历史和状态。这种解耦不会使后量子迁移变得微不足道，但它确实提供了比将账户硬连线到单一签名方案更大的灵活性。（这也支持赞助交易、社交恢复和多签等不相关的功能）。

https://blog.sui.io/account-abstraction-explained/
https://medium.com/aptoslabs/introducing-account-abstraction-on-aptos-a0257c3a60f2
https://www.near.org/blog/unlocking-web3-usability-with-account-aggregation

#4 对于加密或隐藏交易细节的隐私链，如果性能可容忍，应优先更早过渡。

这些链上的用户保密性目前暴露于HNDL攻击，尽管严重程度因设计而异。仅公共账本就能实现完全追溯去匿名化的链面临最紧迫的风险。

考虑混合（后量子+经典）方案，以防范表面上后量子的方案甚至在经典上也不安全的情况，或实施避免将可解密秘密放在链上的架构变更。

#5 在近期优先考虑实现安全性——而不是缓解量子威胁。

特别是对于像SNARKs和后量子签名这样复杂的密码学原语，漏洞和实现攻击（侧信道攻击、故障注入）在未来几年将是比密码学相关量子计算机大得多的安全风险。

现在就投资于审计、模糊测试、形式化验证和纵深防御/分层安全方法——不要让量子担忧掩盖了漏洞这一更紧迫的威胁！

#6 资助量子计算发展。

上述所有内容的一个重大国家安全影响是，我们需要为量子计算持续提供资金和人才培养。

一个主要敌手在美国之前实现密码学相关量子计算能力将对我们和世界各地其他人构成严重的国家安全风险。

#7 对量子计算公告保持正确的看法。

在未来几年，随着量子硬件的成熟，将有许多里程碑。矛盾的是，这些公告的频繁性本身就是我们距离密码学相关量子计算机还有多远的证据：每个里程碑代表我们在到达那个点之前必须跨越的众多桥梁之一，每个都会产生自己的头条新闻和兴奋浪潮。

将新闻稿视为需要批判性评估的进展报告，而不是采取突然行动的提示。