量子計算威脅時間線評估

原文作者：Justin Thaler（@SuccinctJT），a16z 研究合夥人

原文編譯：AididiaoJP，Foresight News

量子電腦何時能破解密碼？這個時間表常被誇大，引發「立即全面轉向後量子密碼學」的呼籲。

但這些呼籲往往忽略兩大關鍵現實：一是過早遷移所帶來的高昂成本與實作風險；二是不同密碼學工具面臨的威脅本質截然不同——加密與簽章，不可一概而論。

• 後量子加密（PQ Encryption）須立即部署：因「現在竊取、未來解密」（Harvest Now, Decrypt Later, HNDL）攻擊已真實存在。今日加密的敏感資料（如國防通信、醫療紀錄、金融交易），即使數十年後才出現量子電腦，仍具極高價值。儘管後量子加密會造成效能損耗與實作複雜度上升，但對需長期保密的資料而言，這是唯一選擇。
• 後量子數位簽章（PQ Signatures）則無需緊急行動：簽章不涉及機密性，不存在可被「回溯解密」的內容。量子電腦僅能在其問世後偽造新簽章，無法篡改或否認過去已產生的有效簽章。因此，遷移應以審慎規劃為主，而非倉促上線——尤其考量當前方案普遍面臨簽章體積龐大、運算開銷高、標準尚未完全成熟、潛在漏洞未明等風險。

混淆這項根本區別，將嚴重扭曲成本效益分析，導致團隊忽視更迫在眉睫的安全威脅（例如程式漏洞、側信道攻擊），甚至浪費資源於錯誤優先級。

成功邁向後量子密碼學的真正挑戰，在於讓行動的緊迫性與真實威脅精準匹配。下文將釐清關於量子計算威脅的常見誤解，涵蓋加密、簽章與零知識證明（zkSNARKs），並特別聚焦其對區塊鏈生態的實際影響。

時間表真相：破解RSA-2048或secp256k1的量子電腦還有多遠？

儘管媒體與企業新聞稿頻繁渲染，但在2020年代出現「密碼學相關量子電腦」（Cryptographically Relevant Quantum Computer, CRQC）的可能性極低。

所謂CRQC，是指一台具備容錯能力、可穩定執行Shor演算法，且規模足以在合理時間內（例如一個月內）破解RSA-2048或比特幣/以太坊所用secp256k1橢圓曲線密碼的量子電腦。

根據公開技術里程碑與硬體資源評估，我們距離此目標仍極為遙遠。即便有公司宣稱2030或2035年前達成，現有進展亦無法支撐此類預期。

目前所有主流平台——包括囚禁離子、超導量子位元與中性原子系統——皆未接近破解RSA-2048或secp256k1所需的「數十萬至百萬級物理量子位元」門檻（具體數量取決於錯誤率與糾錯架構）。

瓶頸不僅在數量，更在品質：門保真度（Gate Fidelity）、量子位元間連接性（Connectivity），以及支撐深度量子電路所需的持續糾錯能力。部分系統雖已突破1000物理量子位元，但缺乏密碼分析所需的連接性與保真度，單純數字毫無意義。

近期雖有系統逼近量子糾錯所需的物理錯誤率閾值，但至今尚無團隊能穩定運行超過數個邏輯量子位元；而Shor演算法所需的是數千個高保真、深電路、容錯的邏輯量子位元。從原理驗證到實用規模，鴻溝依然巨大。

簡言之：在量子位元數量與保真度提升數個數量級之前，CRQC仍屬遙不可及。

然而，公眾認知常受以下四類混淆誤導：

1. 「量子優勢」演示被濫用：當前多數「量子優勢」任務均為高度特製，無實際應用價值，僅因可在現有硬體執行而「看似快速」。此限制常遭宣傳淡化。
2. 混淆「退火機」與「閘模型」：宣稱「數千物理量子位元」者，多指D-Wave等量子退火機，而非能執行Shor演算法的通用閘模型量子電腦。
3. 濫用「邏輯量子位元」概念：物理量子位元具高噪聲，實用演算法必須透過糾錯碼由數百至數千物理位元構成單一邏輯位元。近期有團隊以僅能「偵錯」（Distance-2 code）的非糾錯方案，宣稱實現48個邏輯位元（每邏輯位元僅用2物理位元），此舉毫無實質意義。
4. 路線圖中的「邏輯位元」未必支援Shor：許多路線圖標榜的邏輯位元僅支援Clifford運算（可被經典電腦高效模擬），卻無法執行Shor演算法必需的大量非Clifford門（如T門）。因此，「X年實現千個邏輯位元」不等同「X年即可破解RSA」。

這些操作嚴重扭曲公眾（含資深觀察者）對量子計算進程的判斷。

當然，進展確實令人振奮。Scott Aaronson近期指出，鑑於「硬體進展速度驚人」，他認為「在下屆美國總統大選前擁有可運行Shor演算法的容錯量子電腦」是真實可能性。但他隨即澄清：此處「容錯」僅指能分解15=3×5這類微小案例（紙筆更快），屬於原理驗證層級；而15之所以常被選為目標，正因其模運算極簡，稍大數字（如21）即難以處理。

關鍵結論：缺乏公開進展支持「未來5年內出現CRQC」的預測；即使延長至10年，仍屬高度樂觀。興奮於進展，與認知「仍需十餘年」，二者並不矛盾。

美國政府設定2035年為聯邦系統全面完成後量子遷移的最終期限，此為合理的大規模轉型規劃時程，並非對CRQC出現時間的預測。

HNDL攻擊適用範圍：加密 vs. 簽章 vs. 零知識證明

「現在竊取、未來解密」（HNDL）攻擊，指敵手當下攔截並儲存加密流量，待CRQC問世後批量解密。國家級行為者極可能已大規模歸檔美國政府通訊，以備日後利用。

因此，後量子加密必須立即升級——至少針對需維持10–50年以上機密性的資料。

但數位簽章（所有區塊鏈的基石）本質不同：它不保護機密性，只驗證來源與完整性。即使CRQC出現，也僅能從該時刻起偽造新簽章，無法「解密」或篡改過去已生成的有效簽章。只要能證明簽章產出時間早於CRQC問世，其有效性即不可動搖。

這使得後量子簽章的遷移，遠不如加密遷移緊迫。

主流平台正採取差異化策略：

• Chrome與Cloudflare已在TLS加密中部署混合方案（X25519 + ML-KEM）。「混合」意指同時使用經典與後量子方案，兼具雙重安全性：既抵禦HNDL攻擊，又在後量子方案出問題時保留經典安全底線。
• Apple iMessage（PQ3協定）與Signal（PQXDH／SPQR協定）亦採用類似混合後量子加密。

相較之下，後量子數位簽章在關鍵網路基礎設施上的部署已被明確推遲，直至CRQC真正迫近——因當前方案普遍帶來顯著性能衰退（詳見後文）。

零知識證明（zkSNARKs）的處境與簽章類似。即使非後量子安全的zkSNARK（如基於橢圓曲線者），其「零知識」屬性本身具後量子安全性：證明過程不洩漏任何秘密資訊，量子電腦亦無從破解。因此，zkSNARKs不受HNDL攻擊。於CRQC問世前生成的任何證明皆可信；CRQC問世後，攻擊者方能偽造新證明。

對區塊鏈的實際影響：大多數鏈不面臨HNDL緊迫性

絕大多數區塊鏈（如比特幣、以太坊）不易受HNDL攻擊。

這些非隱私鏈的非後量子密碼學，主要用於交易授權（即數位簽章），而非資料加密。簽章本身不承載機密資訊，故無「可被竊取並未來解密」之物。例如比特幣區塊鏈全然公開，量子威脅僅在於簽章被偽造（盜取資金），而非解密已上鏈的交易資料——這徹底消除了HNDL帶來的密碼學緊迫性。

遺憾的是，連美聯儲等權威機構也曾錯誤聲稱比特幣易受HNDL攻擊，此類說法誇大了遷移的緊急性。

緊迫性降低，不等於零風險。比特幣面臨的是另一種時間壓力：協議變更所需的巨大社會協調成本（詳見下文）。

例外在於隱私區塊鏈。許多隱私鏈對收款方身份與交易金額進行加密或隱藏。這些機密資訊可被當下竊取，並於未來CRQC破解橢圓曲線後被追溯去匿名化。威脅程度依設計而異（例如門羅幣的環簽章與密鑰鏡像，可能導致完整交易圖重建）。若用戶在意交易不被未來量子電腦暴露，隱私鏈應盡快遷移至後量子原語（或混合方案），或採用「不將可解密秘密上鏈」的架構。

比特幣的獨特挑戰：治理僵局與「沉睡幣」危機

對比特幣而言，驅動後量子簽章規劃緊迫性的兩大因素，與量子技術本身無關：

• 治理極度緩慢：任何變更皆需廣泛共識，爭議常引發破壞性硬分叉。
• 無法被動遷移：代幣持有者必須主動將資金轉入新地址。被遺棄的、仍使用脆弱簽章的代幣（如早期P2PK、重複使用的地址、Taproot地址），將永遠暴露於風險中。據估計，此類「沉睡」且量子脆弱的BTC可能達數百萬枚，市值數千億美元。

然而，量子威脅對比特幣並非「一夜末日」，而是選擇性、漸進式的目標鎖定。初期量子攻擊極其昂貴且緩慢，攻擊者必將優先瞄準高價值錢包。

此外，避免地址重複使用、且未啟用Taproot（因Taproot直接在鏈上揭露公鑰）的用戶，即使無協議升級亦基本安全——其公鑰在首次花費前始終隱藏於哈希值之後。僅當花費交易廣播時，公鑰才暴露，此時將觸發一場短暫的「賽跑」：誠實用戶須盡快確認交易，而量子攻擊者則試圖搶在確認前逆向推導私鑰並盜取資金。

因此，真正脆弱的代幣，僅限於公鑰已上鏈者：早期P2PK輸出、重複使用地址、及持有資產的Taproot地址。

對於已被遺棄的脆弱代幣，解決方案極其棘手：其一為社群約定「截止日」，逾期未遷移者視為自動失效；其二則是放任其被未來擁有CRQC者奪取——後者將引發嚴峻法律與安全爭議。

比特幣特有的最後一項難題是低交易吞吐量。即使遷移計畫敲定，以當前速率完成所有脆弱資金的轉移，亦需數月之久。

這些挑戰表明：比特幣必須「現在」就開始規劃後量子過渡——並非因為CRQC可能於2030年前出現，而是因遷移數千億美元資產所需的治理、協調與技術後勤工作，本身就需耗費數年時間。

比特幣的量子威脅真實存在，但真正的時間壓力，源自其自身治理與技術架構限制，而非迫在眉睫的量子電腦。

註：上述簽章漏洞，不影響比特幣的經濟安全性（即工作量證明共識）。PoW依賴雜湊運算，僅受Grover搜尋演算法的二次加速影響；而其實際開銷極大，幾乎不可能實現顯著加速。即便可行，也僅使大型礦工略占優勢，不會顛覆整體經濟安全模型。

後量子簽章的真實成本與風險

為何區塊鏈不應倉促部署後量子簽章？關鍵在於理解其性能代價，以及我們對這些新方案仍處演化階段的信心落差。

後量子密碼學主要基於五大數學難題：雜湊、編碼、格（Lattice）、多元二次方程組（MQ）、橢圓曲線同源（Isogeny）。方案多樣性源於效率與結構性的根本權衡：結構越強，效率通常越高，但也可能為攻擊者提供更多突破口。

• 雜湊方案最保守（安全性信心最高），但效能最差：NIST標準化的雜湊簽章最小達7–8KB，相較當前ECDSA簽章僅64位元組，相差逾百倍。
• 格方案為當前部署焦點：NIST選定的唯一後量子加密標準ML-KEM，以及三種簽章標準中的兩種（ML-DSA、Falcon），皆基於格理論。
• ML-DSA簽章大小約2.4–4.6KB，為當前簽章的40–70倍。
• Falcon簽章較小（0.7–1.3KB），但實作極其複雜，需恆定時間浮點運算，已有側信道攻擊成功案例。其創始人之一直言：「這是我實作過最複雜的密碼演算法。」
• 實作安全挑戰更大：格基簽章比橢圓曲線簽章具更多敏感中間值與複雜拒絕採樣邏輯，需更嚴苛的側信道與故障注入防護。

這些問題所帶來的直接風險，遠比遙遠的CRQC更現實、更迫切。

歷史教訓亦警示謹慎：NIST標準化過程中領先的候選方案，如基於MQ的Rainbow簽章、與基於同源的SIKE/SIDH加密，皆曾遭經典電腦攻破。這凸顯過早標準化與部署的高風險。

互聯網基礎設施對簽章遷移採取審慎態度，尤具參考價值——因密碼學過渡本就耗時漫長（例如MD5／SHA-1遷移歷經多年仍未徹底完成）。

區塊鏈 vs. 互聯網基礎設施：獨特挑戰解析

有利面向：由開源社群維護的區塊鏈（如以太坊、Solana）可比傳統網路基礎設施更快升級。不利面向：傳統網路可透過頻繁密鑰輪替縮小攻擊面，而區塊鏈上的代幣與關聯密鑰可能長期暴露於鏈上。

但總體而言，區塊鏈仍應效法網路基礎設施的審慎簽章遷移策略。兩者在簽章層面均不受HNDL攻擊，過早遷移的成本與風險同樣巨大。

區塊鏈另有特有複雜性，使其過早遷移風險更高：

• 簽章聚合需求：區塊鏈常需快速聚合大量簽章（如BLS）。BLS雖高效，但非後量子安全。基於SNARK的後量子簽章聚合研究雖有前景，但仍在早期階段。
• SNARKs的未來發展：社群目前偏好基於雜湊的後量子SNARK，但我預期未來數月到數年內，基於格的SNARK替代方案將陸續出現，其在證明長度等關鍵指標上將更具優勢。

當前更嚴峻的問題是：實作安全性。

未來多年，實作漏洞將比量子計算機構成更大的安全威脅。對SNARKs而言，主要威脅是程式漏洞；而數位簽章與加密已具挑戰性，SNARKs則複雜得多——事實上，數位簽章可視為一種極簡的zkSNARK。

對後量子簽章，側信道與故障注入等實作攻擊，更是更緊迫的威脅。社群需要數年時間來加固這些實作。

因此，在標準與實作尚未塵埃落定前過早過渡，可能將自己鎖定於次優方案，或被迫進行二次遷移以修補漏洞。

七項務實建議：如何正確應對量子威脅

基於以上分析，我向各利益相關方（建設者、協議團隊、政策制定者）提出以下七項具體建議。核心原則是：嚴肅看待量子威脅，但勿預設2030年前將出現CRQC（現有進展不支持此假設）；同時，有些事，我們現在就該做。

1. 立即部署混合加密：至少於需長期保密且成本可接受之場景（如政府通信、醫療資料、金融核心系統）。瀏覽器、CDN與通訊應用（iMessage、Signal）已率先實踐。混合方案（後量子＋經典）可同時防禦HNDL攻擊，並對沖後量子方案潛在缺陷。
2. 於尺寸容忍度高的場景，立即採用基於雜湊的簽章：例如軟體／韌體更新等低頻、對體積不敏感之用途，可即刻導入混合雜湊簽章（混合目的為對沖新方案實作漏洞）。此舉提供一道保守的「救生艇」，以防CRQC意外提前問世。
3. 區塊鏈無需倉促上線後量子簽章，但應立刻啟動規劃：開發者應效法網路PKI社群的審慎態度，靜待方案更趨成熟。
4. 比特幣等公鏈須明確定義遷移路徑與「沉睡資金」政策：比特幣尤其需即刻規劃，因其最大挑戰不在技術，而在治理緩慢與高價值沉睡地址眾多。
5. 為後量子SNARKs與可聚合簽章研究留出成熟時間（可能需數年）：避免過早鎖定次優方案，犧牲長期彈性與效能。
6. 關於以太坊帳戶：智能合約錢包（可升級）或提供較順暢遷移路徑，但差異有限。比帳戶類型更重要的是，社群持續推進後量子原語研究與應急計畫。更廣泛的設計啟示：解耦帳戶身分與特定簽章方案（如帳戶抽象），將大幅提升靈活性——不僅利於後量子遷移，亦支援贊助交易、社交恢復等進階功能。
7. 隱私鏈應優先遷移（若效能可接受）：其使用者機密性正暴露於HNDL攻擊之下。可考慮混合方案，或重新設計架構以避免可解密秘密上鏈。
8. 短期內，優先保障實作安全性，而非過度聚焦量子威脅：對SNARKs與後量子簽章等複雜密碼學，漏洞與實作攻擊在未來多年仍是比量子電腦更大的風險。應立即投入審計、模糊測試、形式化驗證與縱深防禦，切勿讓「量子焦慮」掩蓋更迫切的漏洞威脅。
9. 持續資助量子計算研發：從國家安全角度，必須長期投入資金與人才培育。若主要對手率先掌握CRQC能力，將構成嚴重戰略威脅。
10. 理性解讀量子計算新聞：未來將有更多里程碑。但每一個里程碑，恰恰證明我們距離目標仍有一段距離。應將新聞稿視為需批判性評估的進展報告，而非倉促行動的號角。

當然，技術突破可能加速，瓶頸也可能延長預期。我並非斷言五年內「絕無可能」，僅指出其機率極低。遵循上述建議，方能幫助我們避開更直接、更可能的風險：實作漏洞、倉促部署，以及密碼學過渡中屢見不鮮的失誤。