撰文:Justin Thaler,a16z crypto 研究合作伙伴及乔治城大学计算机科学副教授 编译:Yangz,Techub News
有关出现密码学相关量子计算机的时间的预测常被夸大,导致人们呼吁紧急、全面地转向后量子密码学。这些呼吁往往忽视了过早迁移的成本与风险,并忽略了不同密码学原语截然不同的风险特征:
- 后量子加密尽管成本高昂,却需要立即部署:「先采集后解密」(HNDL)攻击已经展开,当前加密的敏感数据在量子计算机真正到来时(即便还需数十年)仍具价值。此外,后量子加密的性能开销与实施风险确实存在,但对于需长期保密的数据,HNDL 攻击使我们别无选择。
- 后量子签名则面临不同的考量。它们不易受 HNDL 攻击影响,而其成本与风险(更大的规模、性能开销、实施不成熟性以及潜在漏洞)要求我们审慎行事而非立即迁移。
这些区别至关重要。误解会扭曲成本效益分析,导致团队忽视更突出的安全风险——例如系统漏洞。
成功向后量子密码学迁移的真正挑战在于:使紧迫性与实际威胁相匹配。下面,我将澄清关于量子计算对密码学威胁的常见误解,涵盖加密、签名和零知识证明,并特别聚焦其对区块链的影响。
我们处于什么阶段?
尽管有着很多宣传,但在本世纪 20 年代内出现密码学相关量子计算机(CRQC)的可能性极低。
我所说的「密码学相关量子计算机」是指一种容错、纠错的量子计算机,它能够运行足够规模的 Shor 算法,在合理时间内(例如,以最多一个月的持续计算破解 secp256k1 或 RSA-2048)攻击椭圆曲线密码学或 RSA。根据对公开里程碑和资源估算的任何合理解读,我们都远未接近实现一台密码学相关量子计算机。有公司有时声称 CRQC 可能在 2030 年前或远在 2035 年前出现,但公开已知的进展并不支持这些说法。
纵观所有当前架构,包括离子阱、超导量子比特和中性原子系统,目前没有任何量子计算平台接近运行 Shor 算法破解 RSA-2048 或 secp256k1 所需的数十万到数百万物理量子比特(具体取决于错误率和纠错方案)。限制因素不仅是量子比特数量,还包括门保真度、量子比特连通性以及运行深度量子算法所需的持续纠错电路深度。 尽管一些系统现已拥有超 1,000 个物理量子比特,但仅凭原始量子比特数量是具有误导性的:这些系统缺乏进行密码学相关计算所需的量子比特连通性和门保真度。最新的系统正在接近量子纠错开始起作用的物理错误率,但尚未有人展示出超过少数几个具有持续纠错电路深度的逻辑量子比特……更不用说实际运行 Shor 算法所需的数千个高保真、深电路、容错的逻辑量子比特。
从原理上证明量子纠错可行,到达到密码分析所需的规模,两者之间仍存在巨大差距。简而言之,在量子比特数量和保真度都提高数个数量级之前,密码学相关量子计算机仍然遥不可及。 公开已知的进展并不支持以下预期:在未来 5 年内出现能够破解 RSA-2048 或 secp256k1 的密码学相关量子计算机。至于美国政府将 2035 年设定为政府系统全面向后量子(PQ)迁移的最后期限呢?我认为这是完成如此大规模转型的合理时间线。然而,这并非预测届时将出现一台密码学相关量子计算机。
HNDL 攻击适用于哪些场景?
「先采集后解密」(HNDL)攻击指的是攻击者现在存储加密流量,待密码学相关量子计算机出现后再进行解密。国家级攻击者肯定已经在大量归档来自美国政府的加密通信,以便在未来许多年后,当 CRQC 真正存在时解密这些通信。这就是为什么加密技术需要立即转向——至少对于任何有 10-50 年以上保密需求的人来说,是这样的。
然而,数字签名(所有区块链都依赖的技术)与加密不同。如果密码学相关量子计算机出现,从那一刻起伪造签名确实成为可能,但过去的签名并不像加密消息那样「隐藏」秘密。只要你知道数字签名是在 CRQC 出现之前生成的,它就不可能是伪造的。这使得向后量子数字签名的过渡不如向后量子加密那样紧迫。
目前,主流平台正在相应采取行动:Chrome 和 Cloudflare 为网络传输层安全(TLS)加密推出了混合 X25519+ML-KEM 方案;苹果的 iMessage 也通过其 PQ3 协议部署了这种混合后量子加密;Signal 也通过其 PQXDH 和 SPQR 协议做了同样的事情。
相比之下,向后量子数字签名在关键网络基础设施中的部署被推迟到密码学相关量子计算机真正临近出现时,因为当前的后量子签名方案会带来性能倒退(本文后面会详细讨论)。
zkSNARKs(对区块链的长期可扩展性和隐私性至关重要)处于与签名类似的情况。这是因为,即使对于那些并非后量子安全的 zkSNARKs(它们使用椭圆曲线密码学,就像当今的非后量子加密和签名方案一样),它们的零知识属性也是后量子安全的。零知识属性确保证明中不会泄露任何关于秘密见证的信息——即使对量子攻击者也一样——因此没有需要「现在采集」以供未来解密的机密信息。
因此,zkSNARKs不易受到 HNDL 攻击。就像今天生成的非后量子签名是安全的一样,任何在密码学相关量子计算机出现之前生成的 zkSNARK 证明都是可信的(即被证明的陈述肯定为真),即使该 zkSNARK 使用的是椭圆曲线密码学。只有在密码学相关量子计算机出现之后,攻击者才能为虚假陈述找到令人信服的证明。
这对区块链意味着什么?
大多数区块链不易受 HNDL 攻击:大多数非隐私链(如当前的比特币和以太坊)主要使用非后量子密码学进行交易授权。也就是说,它们使用数字签名,而非加密。重申一下,这些签名不构成 HNDL 风险:HNDL 攻击适用于加密数据。例如,比特币的区块链是公开的;量子威胁在于签名伪造(推导私钥窃取资金),而不是解密已经公开的交易数据。这消除了来自 HNDL 攻击的紧迫密码学压力。
不幸的是,即使是美联储等可信来源的分析也错误地声称比特币易受 HNDL 攻击,这种错误夸大了向后量子密码学过渡的紧迫性。当然,紧迫性降低并不意味着比特币可以等待:它面临着来自协议变更所需巨大社会协调的不同时间压力。(关于比特币独特挑战的更多内容见下文。)
目前的例外是隐私链,其中许多链会加密或以其他方式隐藏收款方和金额。这种保密性现在就可以被收集,一旦量子计算机能够破解椭圆曲线密码学,就可以追溯性地进行去匿名化。
对于此类隐私链,攻击的严重程度因区块链设计而异。例如,对于门罗币基于曲线的环签名和密钥镜像(用于防止双花的每个输出可链接性标签),仅凭公开账本就足以追溯性地重构支出图。但在其他链中,损害则更为有限——详见 Zcash 密码工程师兼研究员 Sean Bowe 的讨论。
如果用户认为自己的交易不被密码学相关量子计算机暴露很重要,那么隐私链应尽快可行地转向后量子原语(或混合方案)。或者,它们应采用避免将可解密的秘密置于链上的架构。
比特币的特殊难题:治理与废弃币
对于比特币,两种现实情况推动了其开始转向后量子数字签名的紧迫性。这两者都与量子技术无关:
- 首先是治理速度:比特币变化缓慢。如果社区无法就适当解决方案达成一致,任何有争议的问题都可能引发破坏性的硬分叉。
- 其次是比特币向后量子签名的切换不能是被动迁移:所有者必须主动迁移他们的币。这意味着被废弃的、易受量子攻击的币无法得到保护。据一些估计,易受量子攻击且可能被废弃的比特币数量达数百万枚。
然而,比特币面临的量子威胁不会是一场突然的、一夜之间的末日,而更会像是一个选择性、渐进性的目标锁定过程。量子计算机不会同时破解所有加密——Shor 算法必须一次针对一个公钥。早期的量子攻击将极其昂贵且缓慢。因此,一旦量子计算机能够破解单个比特币签名密钥,攻击者将选择性地掠夺高价值钱包。
此外,避免地址复用且不使用 Taproot 地址(直接在链上暴露公钥)的用户即使没有协议变更也基本受到保护:他们的公钥在币被花费之前一直隐藏在哈希函数之后。当他们最终广播支出交易时,公钥变得可见,此时会有一场短暂的实时竞赛:一方面诚实的支出者需要让其交易得到确认,另一方面任何配备量子设备的攻击者都希望在真实所有者的交易最终确认前找到私钥并花费这些币。因此,真正易受攻击的币是那些公钥已经暴露的:早期的 P2PK 输出、复用的地址以及 Taproot 持有的币。
至于已被废弃的易受攻击币,没有简单的解决方案。一些选择包括:
- 比特币社区商定一个「最后期限日」,此后任何未迁移的币将被宣布为销毁。
- 让废弃的量子易受攻击币任由拥有密码学相关量子计算机的人攫取。
第二种选择会带来严重的法律和安全问题。在没有私钥的情况下使用量子计算机获取币的所有权,即使声称拥有合法所有权或出于善意,也可能在许多司法管辖区根据盗窃和计算机欺诈法律引发严重问题。
此外,「废弃」本身是基于不活动状态的推定。但没有人真正知道这些币是否缺乏持有密钥的在世所有者。证明你曾经拥有这些币的证据可能不足以提供打破密码学保护以重新获取它们的法律授权。这种法律模糊性增加了废弃的易受量子攻击币落入愿意无视法律约束的恶意行为者手中的可能性。
最后一个比特币特有的问题是其低交易吞吐量。即使迁移计划最终确定,以比特币当前的交易速率,将所有易受量子攻击的资金迁移到后量子安全地址也需要数月时间。
这些挑战使得比特币从现在开始规划其后量子转型至关重要——不是因为密码学相关量子计算机可能在 2030 年前出现,而是因为迁移价值数十亿美元的币所需的治理、协调和技术后勤工作将需要数年时间来解决。
比特币面临的量子威胁是真实存在的,但时间压力来自比特币自身的限制,而非即将出现的量子计算机。其他区块链在处理量子易受攻击资金方面也面临各自的挑战,但比特币的风险尤为突出:其最早期的交易将公钥直接置于链上,使得特别大比例的比特币易受密码学相关量子计算机攻击。这一技术差异,加上比特币的悠久历史、价值集中度、低吞吐量以及治理僵化,使得问题尤其严重。
请注意,我上述描述的漏洞适用于比特币数字签名的密码学安全性,但不适用于比特币区块链的经济安全性。这种经济安全性源于工作量证明共识机制,它不易受量子计算机攻击的原因有三:
- PoW 依赖于哈希运算,因此仅受 Grover 搜索算法的二次量子加速影响,而不受 Shor 算法的指数级加速影响。
- 实施 Grover 搜索的实际开销使得任何量子计算机都极不可能在比特币的工作量证明机制上实现哪怕适度的现实世界加速。
- 即使实现了显著的加速,这些加速也只会让大型量子矿工相对于小型矿工获得优势,而不会从根本上破坏比特币的经济安全模型。
后量子签名的成本与风险
要理解为何区块链不应急于部署后量子签名,我们需要了解性能成本以及我们对后量子安全性仍在演变中的信心。
大多数后量子密码学基于以下五种方法之一:哈希、编码、格(Lattice)、多元二次方程组(MQ)、同源。任何后量子密码原语的安全性都基于一个假设:量子计算机无法高效解决特定的数学问题。该问题「结构化」程度越高,我们能构建的密码协议效率就越高。但这有利有弊:额外的结构也为攻击算法提供了更多可利用的表面。这造成了一种根本性的张力——更强的假设能带来更好的性能,但代价是潜在的安全漏洞(即假设被证伪的可能性增加)。
一般来说,基于哈希的方法在安全性上最为保守,因为我们最有信心量子计算机无法有效攻击这些协议。但它们的性能也最差。例如,NIST 标准化的基于哈希的签名,即使在其最小参数设置下,大小也有 7-8 千字节。相比之下,当今基于椭圆曲线的数字签名仅为 64 字节。这大约是 100 倍的规模差异。
格方案是当今部署的主要焦点。NIST 已选定标准化的唯一加密方案和三个签名算法中的两个都基于格。一种格方案(ML-DSA,前身为 Dilithium)产生的签名范围从 2.4 KB(128 位安全级别)到 4.6 KB(256 位安全级别),使其比当今基于椭圆曲线的签名大约 40-70 倍。另一种格方案 Falcon 的签名稍小(Falcon-512 为 666 字节,Falcon-1024 为 1.3 KB),但涉及复杂的浮点运算,NIST 将其标记为特殊的实施挑战。Falcon 的创建者之一 Thomas Pornin 称其为「迄今为止我实现过的最复杂的密码算法」。
与基于椭圆曲线的签名方案相比,基于格的方案在实施安全性上也更具挑战性:ML-DSA 有更多敏感的中间值和非平凡的拒绝采样逻辑,需要侧信道和故障保护。Falcon 还增加了恒定时间浮点运算的担忧;事实上,对 Falcon 实施的几次侧信道攻击已成功恢复出密钥。
这些问题构成了直接风险,与遥远得多的密码学相关量子计算机威胁不同。
在部署性能更高的后量子密码方法时保持谨慎是有充分理由的。历史上,领先的候选方案如 Rainbow(基于 MQ 的签名方案)和 SIKE/SIDH(基于同源的加密方案)都已被经典破解,即被当今计算机而非量子计算机破解。 这些破解发生在 NIST 标准化进程的深入阶段。这是科学健康运作的表现,但也说明过早标准化和部署可能适得其反。
如前所述,互联网基础设施正采取审慎的方法进行签名迁移。考虑到互联网密码学转型一旦开始实际需要多长时间,这一点尤其值得注意。从 MD5 和 SHA-1 哈希函数的迁移,在技术上多年前已被网络管理机构弃用,在实际基础设施中实施却花费了更多年,在某些环境中仍在进行。尽管这些方案已被完全破解,而不仅仅是可能对未来技术脆弱,但情况依然如此。
区块链相对于互联网基础设施的独特挑战
幸运的是,由开源开发者社区积极维护的区块链——如以太坊或 Solana——可以比传统网络基础设施更快地升级。另一方面,传统网络基础设施受益于频繁的密钥轮换,这意味着其攻击面的移动速度快于早期量子机器可能锁定的速度。这是区块链所没有的优势,因为币及其关联密钥可能无限期地暴露。
但总体而言,区块链仍应遵循网络在签名迁移上的审慎做法。两者在签名方面都不易受 HNDL 攻击,而且无论密钥持续多久,过早迁移到不成熟后量子方案的成本和风险仍然很大。
区块链特有的挑战也使过早迁移特别危险和复杂:例如,区块链对签名方案有独特要求,尤其是快速聚合多个签名的能力。当今普遍使用 BLS 签名是因为它们能实现极快的聚合,但它们并非后量子安全的。研究人员正在探索基于 SNARK 的后量子签名聚合。这项工作前景广阔,但仍处于早期阶段。
具体到 SNARKs,社区目前将基于哈希的结构作为主要的后量子选择。但一场重大转变即将到来:我相信在未来数月和数年内,基于格的方案将成为有吸引力的替代选择。这些替代方案在各方面都将比基于哈希的 SNARKs 性能更好,例如证明长度显著缩短——类似于基于格的签名比基于哈希的签名更短。
当前更大的问题:实施安全性
在未来数年里,实施漏洞将是远比密码学相关量子计算机大得多的安全风险。对于 SNARKs,主要担忧是漏洞。
漏洞已是数字签名和加密方案的挑战,而 SNARKs 则复杂得多。实际上,数字签名方案可以看作一种非常简单的 zkSNARK,用于声明「我知道与我的公钥对应的私钥,并且我授权了此消息」。
对于后量子签名,直接风险还包括实施攻击,如侧信道攻击和故障注入攻击。这类攻击有详细记录,并能从已部署系统中提取密钥。它们构成的威胁远比遥远的量子计算机紧迫。
社区将花费数年时间来识别和修复 SNARKs 中的漏洞,并加固后量子签名实施以抵御侧信道和故障注入攻击。由于后量子 SNARKs 和签名聚合方案尚未尘埃落定,过早转型的区块链可能将自己锁定在次优方案中。当更好的选择出现或实施漏洞被发现时,它们可能需要再次迁移。
我们该怎么做?七点建议
鉴于上面概述的现实情况,我将为各利益相关方总结一些建议。总的原则是:认真对待量子威胁,但不要基于密码学相关量子计算机将在 2030 年前出现的假设而行动。当前进展并不能支持这一假设,但我们现在仍有一些可以且应该做的事情:
- 我们应该立即部署混合加密,或者至少在长期保密性重要且成本可接受的地方部署。许多浏览器、CDN 和消息应用(如 iMessage 和 Signal)已经部署了混合方法。混合方法(后量子+经典)既能防御 HNDL 攻击,又能对冲后量子方案中的潜在弱点。
- 在可接受其大规模的情况下,立即使用基于哈希的签名。软件/固件更新,以及其他此类低频、对规模不敏感的场景,现在就应该采用混合的基于哈希的签名。(采用混合是为了对冲新方案中的实施漏洞,并非因为对基于哈希的安全性假设存疑。)这种做法是保守的,并为社会提供了一个明确的「救生艇」,以防密码学相关量子计算机出乎意料地很快出现这种不太可能发生的情况。如果没有已经就位的后量子签名软件更新,在 CRQC 出现后我们将面临一个自举问题:我们将无法安全分发所需的、用以抵御它的后量子密码学修复程序。
- 区块链无需急于部署后量子签名,但应现在就开始规划。区块链开发者应遵循网络 PKI 社区的做法,采取审慎的态度来部署后量子签名。这使得后量子签名方案在性能和我们对安全性的理解两方面都能持续成熟。这种方法也让开发者有时间重构系统以处理更大的签名,并开发更好的聚合技术。
对于比特币和其他 L1:社区需要为废弃的量子易受攻击资金定义迁移路径和政策。被动迁移是不可能的,因此规划至关重要。而且由于比特币面临的主要是非技术性的特殊挑战,包括缓慢的治理,以及大量高价值、可能被废弃的量子易受攻击地址,比特币社区现在就开始这一规划尤为重要。
与此同时,我们需要让后量子 SNARKs 和可聚合签名的研究继续成熟(可能还需要几年时间)。重申一下,过早迁移可能锁定次优方案,或需要第二次迁移来解决实施漏洞。
关于以太坊账户模型的说明:以太坊支持两种账户类型(外部拥有账户 EOA,即由 secp256k1 私钥控制的传统账户类型;以及具有可编程授权逻辑的智能合约钱包),这对后量子迁移有不同的影响。在非紧急情况下,如果以太坊增加了后量子签名支持,可升级的智能合约钱包可以通过合约升级切换到后量子验证,而 EOA 可能需要将其资金转移到新的后量子安全地址(尽管以太坊也可能为 EOA 提供专门的迁移机制)。在量子紧急情况下,以太坊研究人员提出了一个硬分叉计划,冻结易受攻击的账户,并让用户通过使用后量子安全的 SNARKs 证明其知晓助记词来恢复资金。这种恢复机制将适用于 EOA 和任何尚未升级的智能合约钱包。
对用户的实际影响:经过良好审计、可升级的智能合约钱包可能提供稍显平滑的迁移路径,但差异不大,并且需要在信任钱包提供商和升级治理方面进行权衡。比账户类型更重要的是,以太坊社区要继续开展后量子原语和应急计划的工作。
对建设者更广泛的设计启示:当今许多区块链将账户身份与特定的密码原语紧密耦合——比特币和以太坊耦合于 secp256k1 上的 ECDSA 签名,其他链则耦合于 EdDSA。后量子迁移的挑战凸显了将账户身份与任何特定签名方案解耦的价值。以太坊向智能账户的发展以及其他链上类似的账户抽象努力反映了这一趋势:让账户能够升级其认证逻辑,而无需放弃其链上历史记录和状态。这种解耦不会使后量子迁移变得轻而易举,但确实比将账户硬编码到单一签名方案提供了更大的灵活性。(这也实现了不相关的功能,如赞助交易、社交恢复和多签)。
- 对于加密或隐藏交易细节的隐私链,若性能可接受,应优先考虑尽早过渡。这些链上的用户隐私目前面临 HNDL 攻击的威胁,尽管不同设计的严重程度各异。仅凭公开账本即可实现完全追溯去匿名化的链面临最紧迫的风险。应考虑采用混合(后量子+经典)方案,以防范表面上的后量子方案甚至在经典计算下也不安全的情况;或实施架构变更,避免将可解的秘密置于链上。
- 短期内优先保障实施安全,而非缓解量子威胁。特别是对于 SNARKs 和后量子签名等复杂的密码学原语,在未来的许多年里,漏洞和实施攻击(侧信道攻击、故障注入)将构成远比密码学相关量子计算机更大的安全风险。现在就应投入于审计、模糊测试、形式化验证以及纵深防御/分层安全方法,切勿让对量子的担忧掩盖了漏洞这一紧迫得多的威胁!
- 资助量子计算发展。以上所有论述的一个重大国家安全启示是,我们需要持续资助量子计算并培养相关人才。若任何一个国家获得密码学相关的量子计算能力,将对世界其他地区构成国家安全风险。
- 对量子计算公告保持清醒认识。随着量子硬件逐步成熟,未来几年将出现许多里程碑。矛盾的是,这些公告的频率本身就证明了我们距离密码学相关量子计算机还有多远:每个里程碑都代表了在抵达目标前必须跨越的众多桥梁之一,每一个都将引发一波头条新闻和兴奋情绪。应将新闻稿视为需审慎评估的进展报告,而非采取仓促行动的提示。
当然,可能出现加速预期时间线的意外进展或创新,正如也可能存在严重延长时间的扩展瓶颈。我不会断言五年内出现密码学相关量子计算机完全不可能,只是概率极低。上述建议能有效应对这种不确定性,遵循这些建议可以规避更直接、更可能发生的风险:实施漏洞、仓促部署以及密码学过渡中常见的失误。
(注:考虑到篇幅及密码学专业知识的复杂性,本文翻译内容有所删减)
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
