第十四章：抗量子

第一节：量子计算

普通计算机使用比特（bits）来工作，比特是微小的开关，只能处于两种状态之一：0 或 1。量子计算机则使用一种被称为**量子比特（qubits）**的截然不同的东西。量子比特具有一种神奇的特性：在被观测的那一刻之前，它可以同时处于 0 和 1 的叠加状态，在某种意义上保持着一种"也许"的状态。

用普通计算机破解加密，就像在大海捞针。你必须逐一检索无数种可能性，方法地查验每一根稻草。这片大海如此浩瀚，找到那根针需要数千年，使这个任务在任何合理的时间范围内都实际上是不可能完成的。

用量子计算机破解加密，则像用磁铁来找那根针。突然间，看似不可能的事变得可行了。量子计算机能够同时探索多种可能性，加上能放大正确答案的干涉效应，就像那块磁铁直接把针吸了过来。

这正是为什么密码学家正在开发抗量子加密（quantum-resistant encryption）。把这看作把那根针换成铝制的。现在，磁铁再也无法吸引它了。这些新的加密方法被设计为，即便对量子计算机而言，也会失去其特有的优势，不得不像普通计算机一样逐一在大海中捞针。

然而，量子计算机并非对所有事情都能加速。它们只对特定类型的问题提供重大优势，例如破解特定密码和加速特定搜索操作。

什么脆弱，什么安全

今天的加密依赖于易于验证但实际上无法以逆向方式求解的数学难题。例如，将两个巨大的数字相乘很容易，但拿到乘积再推算出原来的两个数字则极为困难。这种不对称性是当今大多数互联网安全的基础，普通计算机需要数十亿年才能破解这些难题。

量子威胁并非对所有密码系统都同等致命。RSA 和 ECC 等公钥加密系统受到的威胁最大。一个名为Shor 算法的量子算法可以通过利用这些系统所依赖的数学结构来破解它们。这些数学模式具有优雅的特性，量子算法可以加以利用。

AES-256 等对称加密仅需对密钥长度进行少量调整即可保持安全。哈希函数也仍然可行，尽管使用更长的输出可以保持对量子攻击的安全性。关键的洞见在于，抗量子方法所采用的数学难题缺乏量子计算机可以利用的那种优雅结构。这些替代难题对量子计算机来说仍然困难，这也是密码学家多年来一直基于它们开发新标准的原因。

利益攸关之处

今天的数字世界以大多数人从未留意的方式运行在加密通信之上。每当有人查看银行余额、发送私人信息、在线购物或登录电子邮件时，加密都在保护这些信息。

超越个人数据，加密还保护着电网、空中交通管制系统、军事通信以及互联网的骨干基础设施本身。它使安全的投票系统成为可能，保护着记者的信源，使生活在压迫性政权下的人们能够安全通信。

浏览器中的"https"锁头、手机上的安全更新，甚至信用卡中的芯片，都依赖于这些机器理论上能够破解的加密技术。

时间线问题

最棘手的方面之一是我们不知道量子计算机何时会变得足够强大到足以破解当前的加密。2025 年 10 月，谷歌宣布了其被称为"量子回声（quantum echoes）"的算法的一个重要里程碑。该系统成功地以传统超级计算机无法实现的方式计算了分子结构，展示了专家所称的"量子优越性（quantum advantage）"。

然而，当前系统还无法威胁到加密。谷歌的突破解决了一个狭窄的科学问题，而要破解现代密码学则需要具备数十万到数百万个稳定量子比特的机器。今天的系统甚至难以在其所需的极度受控条件下维持较小数量的量子比特稳定。

时间线仍不确定。谷歌估计实际应用距今大约还有五年，而能够破解加密的量子计算机则需要更长时间。

以此为背景，一台能够破解现代加密的量子计算机需要具备特定能力。早期估计表明，大约需要 2000 万个量子比特和 8 小时来破解 RSA-2048 加密。Gidney 的最新研究将这一估计降低到不足 100 万个量子比特和不到一周的时间。这些估计假设量子计算机几乎没有错误，而今天的量子计算机离实现这一点还差得很远。

实际上，大多数专家似乎都认同最早也要到 2030 年代初。更可能的情况是在 2030 年代中期到 2040 年代之间。如果工程师遭遇意外障碍，可能会更长；如果因不可预见的 AI 进步带来更快的突破，则可能更短。

然而，并非所有人都持这种保守的观点。2025 年 11 月，以太坊创始人 Vitalik Buterin 预测，能够破解以太坊底层安全模型的量子计算机可能在 2028 年美国下一届总统选举之前出现。

还存在一种"先盗取，后解密"的风险，不良行为者可能正在当今收集加密数据，计划一旦强大的量子计算机出现便将其破解。这使得保护长期机密变得尤为重要。

这就像知道一场大风暴即将来临，但不确定是下周还是下个十年。明智的做法是现在就开始准备，而不是坐等观望。

密码学解决方案

密码学家为这场"量子过渡"已准备了十余年。2024 年，美国政府批准了第一套专为抵抗量子计算机设计的新加密标准。把这想象成在整个城市中将机械锁升级为智能锁。这是一个大项目，但经过适当规划是可行的。

这项工作是由美国国家标准与技术研究院（NIST）等机构领导的全球协调性回应的一部分。NIST 已开展近 10 年的公开竞争，以审查和选定一套抗量子密码算法组合。第一批标准于 2024 年最终确定，为行业过渡提供了可信赖的基础。

这些新标准包含来自不同数学家族的算法。2024 年 8 月，NIST 基于两种不同方法最终确定了三项初始标准：**基于格的密码学（lattice-based cryptography）**注重效率，**基于哈希的签名（hash-based signatures）**则通过更简单的数学假设来优先保证高度安全置信度。NIST 也在继续评估其他方法。每种方法都在签名大小、速度和安全假设之间提供不同的权衡。这种多样性提供了保险：如果某种数学方法被证明存在漏洞，生态系统可以转向替代方案。

实施时间线

主要科技公司、政府和安全机构已经在测试和实施这些抗量子系统。我们面对的不是灾难性的一夜之间的骤变，而是未来几十年内一次渐进的、有序的过渡。

银行基础设施、政府通信和电网等关键系统将率先升级，随后是消费者应用程序。许多组织现在正在其系统中内置灵活性：快速更换加密方法的能力，就像更换设备电池一样。目标是大多数安全升级可以通过常规软件更新来完成，尽管有些升级也需要硬件变更。

然而，区块链在实施方面面临着中心化系统所没有的独特挑战。传统组织可以通过内部 IT 部门强制推送更新，在其基础设施中强制执行升级。与此相反，区块链网络必须在数千名独立的节点运营者、钱包提供商和用户之间协调变更，而这一切都没有中央权威来强制合规。当考虑到休眠钱包、可能丢失的私钥，以及网络应强制升级还是冒险让脆弱资产暴露在外的哲学紧张关系时，这种协调挑战变得更加复杂。

虽然量子计算机对当前加密构成真实的未来威胁，但网络安全社区正在积极准备解决方案。对于传统系统，这场过渡将是渐进且有序的，而不是突然的危机，尽管区块链网络在跨去中心化系统实施这些新标准方面面临独特的协调挑战。

第二节：区块链漏洞评估

上述协调挑战因区块链独有的一个特性而更加复杂：永久性的公共记录。每一个曾经在链上发布过的签名，在量子计算机成熟后都成为潜在的攻击面。传统金融系统可以在幕后轮换其加密密钥，但公钥已暴露的区块链地址将永远处于脆弱状态，除非协议层面的变更介入。本节将探讨哪些区块链资产面临最大的量子风险、为什么某些地址比其他地址更脆弱，以及在开发者致力于全网解决方案期间，用户可以采取哪些措施来保护自己。

技术基础

大多数区块链网络使用数字签名（比特币的密码学基础已在第一章解释，托管实践已在第五章介绍）来保护交易，这些签名依赖于传统计算机无法高效解决的数学难题。量子对这些系统的威胁有两种形式，通过类比来理解最为直观。

Shor 算法就像一位能从锁的正面（公钥）逆向工程出其任何锁蓝图，并直接配出匹配钥匙的万能锁匠。这对比特币、以太坊和 Solana 今天使用的签名方案是灾难性的。一旦量子计算机足够强大，能够大规模运行 Shor 算法，它们就能从公钥推导出私钥，从而打破区块链钱包的根本安全假设。

Grover 算法则像一位超人图书管理员，仍然必须在图书馆的书架间搜索，但效率高出许多，实际上将哈希函数的安全强度减半。这危害较小，因为防御措施很直接：使用更长的哈希值。一种算法完全打破了数学结构；另一种则只是加速了暴力搜索。

公钥暴露模型

可以这样理解：比特币地址就像一个保险箱，其密码组合（公钥）在有人打开时才会被揭示。一旦保险箱被打开，任何在场的人都可以记录下这个组合。今天的窃听者无法用这个组合来撬开保险箱，但当量子"万能钥匙"出现时，他们可以重放那些记录在案的组合，盗走里面剩余的一切。

这个类比揭示了一条基本原则：量子计算机可以破解公钥，但无法轻易破解那些公钥的密码学哈希。这种区别决定了哪些资金处于风险之中。

为什么旧版比特币地址更脆弱

旧版比特币地址因两个具体原因而面临更高的量子风险。第一是通过 P2PK 输出直接暴露公钥。早期比特币（2009-2012 年）频繁使用 P2PK（Pay-to-Public-Key）输出，它将公钥直接发布在区块链上，没有任何密码学保护。

这笔交易的字面意思是"这是公钥，任何能证明控制它的人都可以花费这笔钱"。超过 150 万枚 BTC（约占比特币总供应量的 8.7%，但仅占 UTXO 数量的 0.025%）仍然锁定在这些完全暴露的 P2PK 输出中，包括中本聪早期的挖矿奖励。这就像一个保险箱，密码组合就写在外面。量子计算机无需破解任何锁，只需读取密码就能长驱直入。

第二个漏洞来自地址重用模式。早期的比特币用户通常将同一地址用于多笔交易，这种做法后来受到了抵制。每次有人从某个地址花费时，他们都会在区块链上暴露其公钥。随着地址重用，第一次花费揭示了公钥，与该密钥绑定的任何剩余余额都成为未来量子攻击者的靶标。许多旧版用户在一个地址上积累了大量余额，然后只花费了一部分，留下了大量"找零"输出停靠在已暴露的公钥之后。在公钥暴露模型中，这些找零输出实际上已被预先锁定为量子收割的目标。

当前标准

较新的比特币地址使用 P2PKH（Pay-to-Public-Key-Hash）和原生 SegWit（均已在第一章介绍）等格式，仅将公钥的哈希存储在区块链上。实际的公钥隐藏不露，直到你花费比特币时才被揭示。结合每个地址只使用一次的现代做法，这提供了更强的抗量子保护。

这些现代地址格式中未花费的资金具有更强的抗量子性，因为公钥仍然处于隐藏状态。量子攻击者首先需要破解哈希层本身，这比直接攻击暴露的公钥困难得多。

每个地址只使用一次也降低了长期风险。公钥只在你花费资金时才被揭示。只要交易在攻击者能够推导出你的私钥之前得到确认（即便有量子计算机，这也需要时间），你在实践中就是安全的。而且一旦你花完那笔资金，那个现在已暴露密钥上就不再有任何余额留给未来的攻击者了。

然而，Taproot 地址（第一章引入）呈现出不同的暴露模式。使用默认的密钥路径花费时，Taproot 将公钥直接嵌入输出，使其与脆弱的旧版格式类似，都属于暴露公钥的范畴。虽然 Taproot 目前持有比特币总供应量中相对较小的份额，但用户应意识到这些地址所提供的抗量子保护不如基于哈希的替代方案。

以太坊的账户模型（第二章）产生了不同的暴露模式。来自外部账户（EOA）的每笔交易都会暴露可恢复的公钥，但从未发送过交易的账户仍受到保护。然而，一旦以太坊地址发出第一笔交易，公钥就会被永久暴露，对该地址的任何未来存款都会受到影响。

虽然管理单個地址有明显挑战，但智能合约钱包主要提供的是架构上的灵活性，而非对量子威胁的即时解决方案。这些钱包中的身份验证逻辑存在于可升级的代码中，而不是永久绑定到单个签名密钥上，因此理论上可以切换到抗量子签名方案，而无需更改钱包地址。然而，这只有在以太坊增加对验证这些新签名类型的高效内置支持之后才能实用。今天，在以太坊虚拟机（EVM）上直接验证后量子签名在技术上是可行的，但燃气费用过于高昂，因此这条升级路径目前仍主要是理论上的，而非用户可以大规模部署的方案。在实践中，任何特定的智能合约钱包能否从这种灵活性中受益，完全取决于其具体实现和可用的升级机制。

多签钱包（第五章介绍）面临复杂的迁移挑战，通常需要所有签名者协调同时升级到后量子方案。社交恢复机制可能提供替代的迁移路径，但这需要精心设计以保持安全假设不变。

休眠和可能丢失的钱包

公钥已暴露的休眠地址对更广泛的生态系统构成了重大系统性风险。这些地址包括：早期采用者的地址，这些所有者可能已经丢失了私钥，但通过过去的花费活动已经暴露了公钥；以及比特币早期的废弃挖矿地址，特别是那些曾用于早期区块奖励、后来被花费过从而将公钥暴露给未来量子收割的地址。

根本的挑战在于如何区分真正丢失的资金和休眠但可恢复的钱包。量子攻击者可能会恢复被认为已永久丢失的地址中的资金——想象一下，如果数百万枚"丢失"的比特币突然变得可恢复，会引发怎样的市场混乱，产生意外的供应冲击和复杂的所有权争议，可能动摇整个生态系统。

这创造了一种通常被描述为"量子抢夺（quantum rush）"的高风险场景。如果一台强大的量子计算机突然出现，将触发一场疯狂的竞赛。恶意行为者会争相破解容易受攻击的地址并盗走暴露的资金，而网络开发者和社区则会竞相部署紧急分叉来冻结或迁移这些资产。这场博弈的结果在很大程度上取决于谁先行动，将一种惊心动魄的博弈论动态引入了安全模型。

以当前估值计算，这些处于风险中的 BTC 代表着超过 1000 亿美元的暴露价值，实际上为任何率先实现量子优越性的人创造了一笔巨额赏金。这将量子计算的发展从纯粹的科学追求转变为战略竞争。国家行为体和资金雄厚的私营机构现在有了一个具体的经济动机（超越军事或情报应用）来加速其量子计划：第一个突破门槛的人将获得在网络协调防御性分叉之前夺取数十亿美元废弃或丢失比特币的能力。这场竞赛已超越了谁能造出那台计算机，延伸到了谁能在窗口关闭之前提取最大价值。

最佳实践

为了抵御未来的量子计算威胁，用户应采取审慎的密钥管理实践。对于以太坊，避免在地址发出第一笔交易后在其中保留大量资金，因为任何链上签名都会向潜在的量子攻击者暴露公钥。应迁移到一个全新的、未使用过的地址，或最好是一个可以升级到后量子密码方案的智能合约钱包。

比特币用户同样应通过将整个 UTXO 花费到全新地址来避免地址重用，确保没有价值继续与已暴露的公钥绑定。虽然多签和多方计算解决方案今天提供了增强的安全性，但如果底层签名方案依然存在漏洞，它们并不能消除量子风险。它们的主要价值在于提供了一条通向后量子算法的升级路径（一旦这些算法可用）。

协议层面的挑战

虽然个人用户可以采取保护性措施，但上述暴露模式揭示了一个根本性的局限：个人的密钥管理无法保护整个生态系统。停放在暴露的旧版输出中的大量比特币、比特币早期大量被重用的地址，以及以太坊账户模型的暴露模式，都需要协调一致的协议层面响应。

无论个人多么警惕，都无法保护那些公钥已经在链上永久可见的资金，也无法阻止潜在量子抢夺带来的系统性混乱。这一现实已促使区块链开发者超越用户教育，转向具体的全网抗量子技术提案。问题不再是区块链是否需要协议变更，而是如何在不破坏现有功能或造成难以接受的经济动荡的情况下实施这些变更。

第三节：抗量子过渡

在确立了威胁格局和漏洞模式之后，我们现在转向各大区块链网络如何应对。每个网络都面临独特的架构限制和治理挑战，这些因素决定了它们的迁移策略。比特币必须在不变性与安全升级之间寻求平衡，而以太坊则凭借其更灵活的升级文化加以应对。技术解决方案已经存在，但实施它们需要应对复杂的社会协调问题，这考验着去中心化治理的极限。

比特币的方案

比特币开发者社区正在积极研究保护网络免受未来量子威胁的具体计划，目前已有几项严肃的提案在审议中。第二节中讨论的脆弱旧版输出，包括来自比特币最早期的代币，在少量暴露的交易中集中了不成比例的大量价值。

正在考虑中的技术解决方案颇为复杂，建立在比特币现有的升级机制之上。一项著名的提案 BIP-360 将引入一种专门针对抗量子设计的新地址类型。该方法建立在 Taproot 的架构之上，但禁用了那些暴露公钥的功能，并以量子安全的替代方案代替。这代表了一种渐进的方法，可以在不破坏现有功能的情况下被采用。

然而，核心挑战不在于技术，而在于社会和经济层面：比特币应该强制用户迁移，还是将其设置为可选项？提议的解决方案跨越了广泛的选项。Jameson Lopp 的 QBIP 提案概述了一个多年弃用计划，其中包括在激活约五年后的一个广为宣传的"截止日（flag day）"，用于使脆弱的花费变为无效。Agustín Cruz 更激进的"QRAMP"协议提出了升级的硬性截止期，尽管这面临着关于可能使休眠资金无法花费的反对。其他提案则探索了承诺方案（允许当前持有者证明所有权并安全转移资产）或带有宽限期的基于截止日期的系统。

当考虑到那些在量子计算机出现之前不能或不愿迁移的休眠持仓时，辩论变得更加激烈。一些人提议永久销毁处于风险中的资产以防止量子掠夺。另一些人则建议什么都不做，允许拥有量子设备的行为者认领废弃的代币，将其视为一种数字打捞权。第三种方法允许声索脆弱代币，但对每次提取施加交易限制，减缓流失过程，在潜在声索人之间制造竞争，并将价值导向矿工而不是让价值轻易被提取走。

每种选择在比特币社区内都面临重大的哲学抵制。这个圈子的精神强烈反对销毁合法拥有的持仓，即使所有者被推定已经去世或缺席。不可篡改的财产权原则在比特币文化中根深蒂固；许多人认为中本聪时代的持仓合法地属于其原始所有者，任何使其无法花费的协议变更——无论是通过销毁还是再分配——都违反了"你的密钥，你的代币"意味着永久所有权这一根本承诺。这造成了一种痛苦的张力：保护网络免受量子攻击，可能需要违反使比特币具有价值的财产权本身。

最终，对于那些私钥已真正消失的丢失或废弃资产，开发者面临这一艰难选择：这些资金要么将被率先掌握量子计算能力的人窃取，要么将通过保护性共识变更变得无法花费。虽然中本聪本人在 2010 年就曾讨论过，需要采用一种新的密码学上合理的系统来应对密码学突破，但这种解决方案只对那些仍然控制着私钥的人有效。目前尚未就时间线或执行方式达成共识，但 Bitcoin Optech 持续追踪这些辩论，记录它们从早期概念走向潜在共识规则的演变过程。

以太坊的方案

与比特币在财产权和代币销毁方面的哲学紧张关系不同，以太坊主要面临的是纯粹的技术工程权衡。社区更灵活的升级文化允许迭代式解决方案，尽管实际障碍仍然相当可观。用户账户和验证者目前使用的签名方案都容易受到前文讨论的攻击。

升级策略围绕着多路径、分阶段的方法展开，而不是单一的全议题切换。对于用户交易，EIP-7932 提议支持多种签名算法，以在保持对现有账户向后兼容的同时启用后量子方案。账户抽象（Account Abstraction）正作为一个关键的入口通道，允许智能钱包在不需要立即更改协议的情况下实施这些量子安全签名。以太坊基金会正在积极资助后量子多签方案的研究，以应对量子抗性算法附带的较大签名尺寸带来的问题。

然而，这些新算法伴随着显著的实际权衡。最直接的挑战是数据量的急剧增加。目前以太坊的一个签名仅有 65 字节。量子抗性替代方案的大小从大约 2400 字节到超过 29000 字节不等，具体取决于所选的算法和安全级别。这代表着 37 倍到 450 倍的签名大小增加。

这些尺寸的增加直接以多种方式影响区块链运营。交易变得更大，导致存储需求增加和区块链膨胀。交易费用自然随着需要处理和存储的数据增加而升高。较慢的验证时间也会影响区块处理和网络吞吐量，为协议开发者带来了在安全性和可用性之间寻求平衡的重大工程挑战。

除了用户账户之外，研究人员还在探索以太坊更广泛架构基础的替代方案。用于数据可用性的密码学技术，如第二章中讨论的 KZG 承诺方案，也需要抗量子的替代方案。基于哈希和基于 STARK 风格的构造是有前途的候选方案，因为它们只面临 Grover 算法更易管理的加速，而不是 Shor 算法破坏性的优势。以太坊基金会正在资助这一研究，并有提案提出了一种应急恢复分叉，可以在量子突破突然发生时快速冻结暴露的账户。

Solana 的方案

Solana 面临更为直接的暴露隐患：与比特币或以太坊（公钥在发出交易之前可以保持隐藏）不同，大多数 Solana 账户地址从创建之时起就直接揭示了公钥。这意味着每一个 Solana 地址已经对潜在的未来量子攻击者可见。2025 年 12 月，Solana 基金会联合 Project Eleven 开展了一项威胁评估，并在测试网上对后量子数字签名进行了原型测试，将其视为一种前瞻性的迁移演练，而非紧急响应。

原型工作的重点是压力测试：如果量子抗性签名被广泛采用，将如何影响吞吐量、计算成本和交易费用。与此同时，Solana 生态系统已尝试为希望立即获得额外安全性的用户提供基于哈希的一次性签名的可选钱包级保护。这种方法作为权宜之计是有用的，但并不构成一个完整的全网迁移计划。