亚洲AV无码黄色高清网站|欧美最黄a级三级片|91久久偷拍视频|福利在线观看视频|BBBB免费在线|免费特级黄毛片男女拍|少妇三级片淫片在线播放|自拍一区免费av自拍|欧美日韩无码青青草AV电影|黄片高清无码视屏

我們離能破解比特幣的量子計算機(jī)還有多遠(yuǎn)？

撰文：Justin Thaler (@SuccinctJT)，a16z 研究合伙人

編譯：AididiaoJP，F(xiàn)oresight News

量子計算機(jī)何時能破解密碼？這個問題的時間線常被夸大，引發(fā)了對「緊急、全面轉(zhuǎn)向后量子密碼學(xué)」的呼聲。

但這些呼聲往往忽視了過早遷移的成本與風(fēng)險，也忽略了不同密碼學(xué)工具的威脅本質(zhì)截然不同：

• 后量子加密需立即部署，代價再高也得做。因為「現(xiàn)在竊取、未來解密」的攻擊已經(jīng)存在。今天加密的敏感數(shù)據(jù)，即使幾十年后量子計算機(jī)才出現(xiàn)，依然價值巨大。后量子加密雖有效能損耗和實施風(fēng)險，但對需要長期保密的數(shù)據(jù)來說，我們別無選擇。
• 后量子數(shù)字簽名則另當(dāng)別論。它們不易受上述「竊存解密」攻擊，而其自身成本與風(fēng)險（尺寸變大、性能開銷、方案不成熟、潛在漏洞）要求的是審慎規(guī)劃，而非立即行動。

區(qū)分這點至關(guān)重要。誤解會扭曲成本效益分析，讓團(tuán)隊忽視更緊迫的安全風(fēng)險比如程序漏洞。

成功過渡到后量子密碼學(xué)的真正挑戰(zhàn)，在于讓行動的緊迫性與真實的威脅相匹配。下文將澄清關(guān)于量子計算威脅密碼學(xué)的常見誤解，涵蓋加密、簽名和零知識證明，并特別聚焦其對區(qū)塊鏈的意義。

時間線：我們離能破解加密技術(shù)的量子計算機(jī)還有多遠(yuǎn)？

盡管不乏夸張宣傳，但在本世紀(jì) 20 年代出現(xiàn)「密碼學(xué)相關(guān)量子計算機(jī)」的可能性極低。

所謂「密碼學(xué)相關(guān)量子計算機(jī)」，我指的是一臺容錯、糾錯的量子計算機(jī)，它能運行 Shor 算法，規(guī)模足以在合理時間內(nèi)（例如持續(xù)計算不超過一個月）攻破橢圓曲線密碼（如 secp256k1）或 RSA（如 RSA-2048）。

根據(jù)公開的技術(shù)里程碑和資源評估，我們離這樣的計算機(jī)還非常遙遠(yuǎn)。雖有公司聲稱在 2030 年甚至 2035 年前就可能實現(xiàn)，但已知進(jìn)展并不支持這些說法。

目前，無論是囚禁離子、超導(dǎo)量子比特還是中性原子體系，沒有任何量子計算平臺，能接近破解 RSA-2048 或 secp256k1 所需的數(shù)十萬乃至數(shù)百萬個物理量子比特（具體數(shù)量取決于錯誤率和糾錯方案）。

瓶頸不僅是量子比特數(shù)量，更在于門保真度、量子比特間的連接性，以及運行深度量子算法所需的持續(xù)糾錯電路深度。當(dāng)前有些系統(tǒng)物理量子比特數(shù)已超 1000，但僅此數(shù)字具有誤導(dǎo)性：它們?nèi)狈γ艽a學(xué)計算所需的連接性和保真度。

近期系統(tǒng)雖在接近量子糾錯所需的物理錯誤率門檻，但至今無人能穩(wěn)定運行超過幾個邏輯量子比特，更別提運行 Shor 算法所需的數(shù)千個高保真、深電路、容錯的邏輯量子比特。從原理驗證到實現(xiàn)密碼分析所需規(guī)模，差距依然巨大。

簡言之：在量子比特數(shù)量和保真度提升數(shù)個數(shù)量級之前，密碼學(xué)相關(guān)量子計算機(jī)遙不可及。

然而，企業(yè)新聞稿和媒體報道常令人困惑。主要的混淆點包括：

1. 「量子優(yōu)勢」演示：目前演示的任務(wù)多為精心設(shè)計，并非實際有用，只因它們能在現(xiàn)有硬件上運行并「顯得」很快。這一點在宣傳中常被淡化。
2. 「數(shù)千物理量子比特」的宣傳：這通常指的是量子退火機(jī)，而非攻擊公鑰密碼所需的、能運行 Shor 算法的門模型量子計算機(jī)。
3. 對「邏輯量子比特」的濫用：物理量子比特有噪聲，實用算法需要由許多物理量子比特通過糾錯構(gòu)成的「邏輯量子比特」。運行 Shor 算法需要數(shù)千個這樣的邏輯量子比特，每個通常需數(shù)百至數(shù)千個物理量子比特。但有些公司夸大其詞，例如最近有宣稱用「距離 -2」糾錯碼（僅能檢錯，不能糾錯）以每邏輯量子比特僅 2 個物理量子比特實現(xiàn)了 48 個邏輯量子比特，這毫無意義。
4. 路線圖的誤導(dǎo)：許多路線圖中的「邏輯量子比特」僅支持「Clifford 操作」，這些操作可被經(jīng)典計算機(jī)高效模擬，不足以運行需要大量「非 Clifford 門」（如 T 門）的 Shor 算法。因此，即便某路線圖宣稱「在 X 年實現(xiàn)數(shù)千邏輯量子比特」，也不意味著該公司預(yù)計那時就能破解經(jīng)典密碼。

這些做法嚴(yán)重扭曲了公眾（包括資深觀察者）對量子計算進(jìn)度的認(rèn)知。

當(dāng)然，進(jìn)展確實令人興奮。例如 Scott Aaronson 近期寫道，鑒于「硬件進(jìn)展速度快得驚人」，他認(rèn)為「在下屆美國總統(tǒng)大選前，我們擁有一臺能運行 Shor 算法的容錯量子計算機(jī)，是一個真實的可能性」。但他隨后澄清，這并非指密碼學(xué)相關(guān)的量子計算機(jī)——即使只是容錯地分解 15=3×5（這用紙筆算更快），他也算其承諾達(dá)成。這仍是小規(guī)模演示，且此類實驗總以 15 為目標(biāo)，因為模 15 運算簡單，稍大的數(shù)（如 21）就困難得多。

關(guān)鍵結(jié)論：預(yù)計在未來 5 年內(nèi)出現(xiàn)能破解 RSA-2048 或 secp256k1 的密碼學(xué)相關(guān)量子計算機(jī)——這對實際密碼學(xué)至關(guān)重要——缺乏公開進(jìn)展的支持。即便 10 年，也仍具雄心。

因此，對進(jìn)展的興奮與「仍需十幾年」的時間線判斷并不矛盾。

那么，美國政府將 2035 年定為政府系統(tǒng)全面后量子遷移的最后期限又如何？我認(rèn)為這是完成大規(guī)模轉(zhuǎn)型的合理時間規(guī)劃，但它并非預(yù)測屆時一定會出現(xiàn)密碼學(xué)相關(guān)量子計算機(jī)。

「現(xiàn)在竊取，未來解密」攻擊：適用于誰？不適用于誰？

「現(xiàn)在竊取，未來解密」攻擊指：攻擊者現(xiàn)在存儲加密流量，待未來密碼學(xué)相關(guān)量子計算機(jī)出現(xiàn)后再解密。國家級對手很可能已在大量歸檔來自美國政府的加密通信，以備未來解密。

因此，加密必須立即升級，至少對于那些需要 10-50 年以上保密期的數(shù)據(jù)。

但數(shù)字簽名（所有區(qū)塊鏈的基石）與加密不同：它沒有需要追溯攻擊的機(jī)密性。即使未來量子計算機(jī)出現(xiàn)，也只能從那時起偽造簽名，而無法「解密」過去的簽名。只要你能證明簽名是在量子計算機(jī)出現(xiàn)前生成的，它就不可偽造。

這使得向后量子數(shù)字簽名的過渡，遠(yuǎn)不如加密過渡緊迫。

主流平臺正是這樣做的：

• Chrome 和 Cloudflare 已為網(wǎng)絡(luò) TLS 加密部署了混合 X25519+ML-KEM 方案?！富旌稀挂馕吨瑫r使用后量子安全方案（ML-KEM）和現(xiàn)有方案（X25519），兼具兩者安全性，既防 HNDL 攻擊，又在后量子方案出問題時保有經(jīng)典安全。
• Apple 的 iMessage (PQ3 協(xié)議 ) 和 Signal (PQXDH 和 SPQR 協(xié)議 ) 也部署了類似的混合后量子加密。

相比之下，后量子數(shù)字簽名在關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的部署則被推遲，直到密碼學(xué)相關(guān)量子計算機(jī)真正迫近。因為當(dāng)前的后量子簽名方案會帶來性能下降（下文詳述）。

零知識證明（zkSNARKs） 的處境與簽名類似。即使那些非后量子安全的 zkSNARK（它們使用橢圓曲線密碼），其「零知識」屬性本身是后量子安全的。該屬性確保證明不泄露任何關(guān)于秘密的信息（量子計算機(jī)也無可奈何），因此沒有可「現(xiàn)在竊取」的機(jī)密供未來解密。所以，zkSNARKs 也不易受 HNDL 攻擊。在量子計算機(jī)出現(xiàn)前生成的任何 zkSNARK 證明都是可信的（即便它使用橢圓曲線密碼），量子計算機(jī)出現(xiàn)后，攻擊者才能偽造假證明。

這對區(qū)塊鏈意味著什么？

大多數(shù)區(qū)塊鏈不易受 HNDL 攻擊。

像現(xiàn)在的比特幣和以太坊這類非隱私鏈，其非后量子密碼學(xué)主要用于交易授權(quán)（即數(shù)字簽名），而非加密。這些簽名不構(gòu)成 HNDL 風(fēng)險。例如比特幣區(qū)塊鏈?zhǔn)枪_的，量子威脅在于簽名偽造（盜取資金），而非解密已公開的交易數(shù)據(jù)。這消除了來自 HNDL 的即刻密碼學(xué)緊迫性。

遺憾的是，即使如美聯(lián)儲等權(quán)威機(jī)構(gòu)的分析，也曾錯誤地聲稱比特幣易受 HNDL 攻擊，這夸大了過渡的緊迫性。

當(dāng)然，緊迫性降低不意味著比特幣可以高枕無憂。它面臨著來自協(xié)議變更所需巨大社會協(xié)調(diào)工作的不同時間壓力（下文詳述）。

目前的例外是隱私鏈。許多隱私鏈對收款方和金額進(jìn)行加密或隱藏。這些機(jī)密信息可以被現(xiàn)在竊取，并在未來量子計算機(jī)破解橢圓曲線密碼后被追溯去匿名化。攻擊嚴(yán)重性因設(shè)計而異（例如門羅幣的環(huán)簽名與密鑰鏡像可能使交易圖被完整重建）。因此如果用戶在意其交易不被未來量子計算機(jī)暴露，隱私鏈應(yīng)盡快過渡到后量子原語（或混合方案），或采用不將可解密秘密上鏈的架構(gòu)。

比特幣的特殊難題：治理僵局與「沉睡幣」

對于比特幣，有兩個現(xiàn)實因素驅(qū)動著開始規(guī)劃后量子簽名的緊迫性，且都與量子技術(shù)本身無關(guān)：

• 治理速度慢：比特幣變革緩慢，任何爭議都可能引發(fā)破壞性硬分叉。
• 無法被動遷移：幣主必須主動遷移其幣。這意味著被遺棄的、量子脆弱的幣無法受到保護(hù)。據(jù)估計，這類「沉睡」且量子脆弱的 BTC 可能達(dá)數(shù)百萬枚，現(xiàn)值數(shù)千億美元。

然而，量子威脅對比特幣并非「一夜之間」的末日，更像一個選擇性、漸進(jìn)式的目標(biāo)鎖定過程。早期量子攻擊將極其昂貴緩慢，攻擊者會選擇性瞄準(zhǔn)高價值錢包。

此外，避免地址復(fù)用且不使用 Taproot 地址（后者直接在鏈上暴露公鑰）的用戶，即使沒有協(xié)議升級，也基本安全——他們的公鑰在花費前一直隱藏在哈希值后。只有當(dāng)花費交易廣播時，公鑰才暴露，此時會有一場短暫的實時競賽：誠實用戶要盡快確認(rèn)交易，而量子攻擊者則試圖在此之前算出私鑰并盜幣。

因此，真正脆弱的幣是那些公鑰已暴露的：早期 P2PK 輸出、復(fù)用地址和 Taproot 持有資產(chǎn)。

對于已被遺棄的脆弱幣，解決方案棘手：要么社區(qū)約定一個「截止日」，之后未遷移幣視為銷毀；要么任由其被未來擁有量子計算機(jī)的人奪取。后者會帶來嚴(yán)重的法律與安全問題。

比特幣特有的最后一個難題是低交易吞吐量。即使遷移計劃敲定，以當(dāng)前速率遷移所有脆弱資金也需要數(shù)月之久。

這些挑戰(zhàn)使得比特幣必須現(xiàn)在就開始規(guī)劃后量子過渡——并非因為量子計算機(jī)可能在 2030 年前出現(xiàn)，而是因為遷移價值數(shù)千億美元資產(chǎn)所需的治理、協(xié)調(diào)和技術(shù)后勤工作，本身就需要數(shù)年時間。

比特幣的量子威脅是真實的，但時間壓力主要源于其自身約束，而非迫在眉睫的量子計算機(jī)。

注：以上關(guān)于簽名的漏洞，不影響比特幣的經(jīng)濟(jì)安全性（即工作量證明共識）。PoW 依賴哈希運算，僅受 Grover 搜索算法的二次加速影響，且實際開銷巨大，不太可能實現(xiàn)顯著加速。即便有，也只是讓大礦工更有優(yōu)勢，而非顛覆其經(jīng)濟(jì)安全模型。

后量子簽名的成本與風(fēng)險

為什么區(qū)塊鏈不應(yīng)倉促部署后量子簽名？我們需要理解其性能成本及我們對這些新方案仍在演化的信心。

后量子密碼學(xué)主要基于五類數(shù)學(xué)難題：哈希、編碼、格、多元二次方程組、橢圓曲線同源。之所以多樣，是因為方案效率與所依賴問題的「結(jié)構(gòu)性」有關(guān)：結(jié)構(gòu)越多，效率通常越高，但給攻擊算法留下的突破口也可能越多，這是一種根本的權(quán)衡。

• 哈希方案最保守（安全性信心最足），但性能最差。例如 NIST 標(biāo)準(zhǔn)化的哈希簽名最小也有 7-8KB，而當(dāng)前橢圓曲線簽名僅 64 字節(jié)，相差約百倍。
• 格方案是當(dāng)前部署焦點。NIST 選定的唯一后量子加密方案（ML-KEM）及三種簽名中的兩種（ML-DSA，F(xiàn)alcon）均基于格。
• ML-DSA 簽名大小約 2.4-4.6KB，是當(dāng)前簽名的 40-70 倍。
• Falcon 簽名較小（0.7-1.3KB），但實現(xiàn)極其復(fù)雜，涉及恒定時間浮點運算，已有側(cè)信道攻擊成功案例。其創(chuàng)始人之一稱這是「我實現(xiàn)過的最復(fù)雜的密碼算法」。
• 實施安全挑戰(zhàn)更大：格基簽名比橢圓曲線簽名有更多敏感中間值和復(fù)雜的拒絕采樣邏輯，需要更強(qiáng)的側(cè)信道和故障注入防護(hù)。

這些問題帶來的直接風(fēng)險，遠(yuǎn)比遙遠(yuǎn)的量子計算機(jī)現(xiàn)實得多。

歷史教訓(xùn)也讓我們需保持謹(jǐn)慎：NIST 標(biāo)準(zhǔn)化過程中的領(lǐng)先候選方案，如 Rainbow（基于 MQ 的簽名）和 SIKE/SIDH（基于同源的加密），都曾被經(jīng)典計算機(jī)攻破。這說明了過早標(biāo)準(zhǔn)化和部署的風(fēng)險。

互聯(lián)網(wǎng)基礎(chǔ)設(shè)施對簽名遷移采取了審慎態(tài)度，這尤其值得注意，因為密碼學(xué)過渡本身就耗時漫長（例如從 MD5/SHA-1 的遷移持續(xù)了多年且仍未徹底完成）。

區(qū)塊鏈 vs. 互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的獨特挑戰(zhàn)

有利的是，由開源社區(qū)維護(hù)的區(qū)塊鏈（如以太坊、Solana）可以比傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)設(shè)施更快升級。不利的是，傳統(tǒng)網(wǎng)絡(luò)可通過頻繁密鑰輪換來縮小攻擊面，而區(qū)塊鏈的幣和關(guān)聯(lián)密鑰可能長期暴露。

但總體上，區(qū)塊鏈仍應(yīng)效仿網(wǎng)絡(luò)的審慎簽名遷移策略。兩者在簽名上都不受 HNDL 攻擊，過早遷移的成本和風(fēng)險都很大。

區(qū)塊鏈還有一些特有的復(fù)雜性使其過早遷移尤其危險：

• 簽名聚合需求：區(qū)塊鏈常需快速聚合大量簽名（如 BLS 簽名）。BLS 雖快，但非后量子安全。基于 SNARK 的后量子簽名聚合研究有前景，但仍處早期。
• SNARKs 的未來：社區(qū)目前主要看好基于哈希的后量子 SNARK，但我相信未來數(shù)月到數(shù)年，基于格的 SNARK 替代方案將會出現(xiàn)，它們將在多方面（如證明長度）表現(xiàn)更優(yōu)。

當(dāng)前更嚴(yán)重的問題是：實施安全性。

未來多年，實施漏洞將比量子計算機(jī)構(gòu)成更大的安全風(fēng)險。對于 SNARKs，主要威脅是程序漏洞。數(shù)字簽名和加密已有挑戰(zhàn)，而 SNARKs 復(fù)雜得多。實際上，數(shù)字簽名可視為一種極簡的 zkSNARK。

對于后量子簽名，側(cè)信道和故障注入等實施攻擊是更緊迫的威脅。社區(qū)需要數(shù)年時間來加固這些實現(xiàn)。

因此，在塵埃落定之前過早過渡，可能將自己鎖定在次優(yōu)方案中，或被迫二次遷移以修復(fù)漏洞。

我們應(yīng)該怎么做？七條建議

基于以上現(xiàn)實，我對各方（從建設(shè)者到?jīng)Q策者）提出以下建議。總原則是：嚴(yán)肅對待量子威脅，但不要預(yù)設(shè) 2030 年前就會出現(xiàn)密碼學(xué)相關(guān)量子計算機(jī)（現(xiàn)有進(jìn)展不支持此預(yù)設(shè)）。同時，有些事我們現(xiàn)在就可以且應(yīng)該做：

1. 立即部署混合加密：至少在需要長期保密且成本可接受的地方。許多瀏覽器、CDN 和通訊應(yīng)用（如 iMessage、Signal）已開始部署?；旌戏桨福ê罅孔?+ 經(jīng)典）可防 HNDL 攻擊，并規(guī)避后量子方案潛在弱點。
2. 在能容忍大尺寸的場景，立即使用基于哈希的簽名：例如軟件 / 固件更新等低頻、對大小不敏感的場景，現(xiàn)在就可采用混合哈希簽名（混合是為對沖新方案的實施漏洞）。這提供了一個保守的「救生艇」，以防量子計算機(jī)意外提前出現(xiàn)。
3. 區(qū)塊鏈無需倉促上馬后量子簽名，但應(yīng)立刻開始規(guī)劃：
4. 開發(fā)者應(yīng)效仿網(wǎng)絡(luò) PKI 社區(qū)的審慎態(tài)度，讓方案更成熟。
5. 比特幣等公鏈需定義遷移路徑和對「沉睡」脆弱資金的政策。比特幣尤其需要現(xiàn)在就開始規(guī)劃，因其挑戰(zhàn)主要是非技術(shù)性的（治理慢、高價值「沉睡」地址多）。
6. 給后量子 SNARKs 和可聚合簽名的研究留出成熟時間（可能還需幾年），避免過早鎖定次優(yōu)方案。
7. 關(guān)于以太坊賬戶：智能合約錢包（可升級）可能提供更順滑的遷移路徑，但差別有限。比賬戶類型更重要的是，社區(qū)繼續(xù)推進(jìn)后量子原語研究和應(yīng)急計劃。更廣泛的設(shè)計啟示：解耦賬戶身份與特定簽名方案（如賬戶抽象）能提供更大靈活性，不僅利于后量子遷移，也支持贊助交易、社交恢復(fù)等功能。
8. 隱私鏈應(yīng)優(yōu)先過渡（若性能可接受）：其用戶機(jī)密性正暴露于 HNDL 攻擊之下?？煽紤]混合方案或架構(gòu)調(diào)整，避免可解密秘密上鏈。
9. 短期內(nèi)，優(yōu)先保障實施安全性，而非過度關(guān)注量子威脅：對于 SNARKs 和后量子簽名等復(fù)雜密碼學(xué)，漏洞和實施攻擊在未來多年都是比量子計算機(jī)更大的風(fēng)險?，F(xiàn)在就在審計、模糊測試、形式化驗證和縱深防御上投入，別讓量子焦慮掩蓋了更緊迫的漏洞威脅。
10. 持續(xù)資助量子計算研發(fā)：從國家安全角度，必須持續(xù)投入資金和培養(yǎng)人才。主要對手若率先獲得密碼學(xué)相關(guān)量子計算能力，將構(gòu)成嚴(yán)重風(fēng)險。
11. 理性看待量子計算新聞：未來會有更多里程碑。但每一個里程碑恰恰證明了我們離目標(biāo)尚有距離。應(yīng)將新聞稿視為需要批判性評估的進(jìn)展報告，而非倉促行動的信號。

當(dāng)然，技術(shù)突破可能加速，瓶頸也可能延長預(yù)測。我并非斷言五年內(nèi)絕無可能，只是認(rèn)為可能性很低。遵循上述建議，能幫助我們規(guī)避更直接、更可能的風(fēng)險：實施漏洞、倉促部署以及密碼學(xué)過渡中常見的失誤。