「對密碼學構成實際威脅的量子電腦」何時到來？HNDL 攻擊適用哪些場景？比特幣面臨哪些獨特挑戰？a16z 深度解析了量子威脅對區塊鏈的真實影響與應對策略。本文源自 a16z 所著文章，由吳說區塊鏈整理、編譯及撰稿。
（前情提要：深度分析：我們是否過於恐懼量子電腦帶來的加密安全威脅？ ）
（背景補充：a16z：2026 年加密領域 17 大潛力趨勢前瞻 ）

本文目錄

• 我們目前處於怎樣的時間節點？
• HNDL 攻擊適用於哪些場景（又不適用於哪些場景）？
• 這對區塊鏈意味著什麼
• 比特幣的特殊難題：治理機制 + 被遺棄的幣
• 後量子簽章的成本與風險
• 區塊鏈 vs 網路基礎設施的獨特挑戰
• 當前更嚴重的問題：實作安全
• 我們應該怎麼做？七條建議
  • 1. 立即部署混合加密
  • 2. 在能容忍大尺寸簽章的場景中立即使用雜湊簽章
  • 3. 區塊鏈不需要倉促部署後量子簽章——但應從現在開始規劃
  • 4. 對隱私鏈來說，只要效能允許，應優先推進遷移
  • 5. 近期優先關注實作安全——而不是量子威脅緩解
  • 6. 支持量子計算發展
  • 7. 對量子計算相關公告保持正確視角

關於「能夠對現有密碼體系構成實際威脅的量子電腦」何時到來，人們常常做出誇大的時間預期——從而引發了要求立即、大規模遷移至後量子密碼體系的呼聲。

但這些呼聲往往忽略了過早遷移所帶來的成本與風險，也忽略了不同密碼原語所面對的風險畫像完全不同：

後量子加密即便代價高昂，也必須立即部署：「先收集後解密」（Harvest-now-decrypt-later，HNDL）攻擊已經在發生，因為當量子電腦真正到來時，即便那是幾十年後，今天用加密方式保護的敏感資料仍然會具有價值。儘管後量子加密帶來效能開銷與實作風險，但對於需要長期保密的資料而言，HNDL 攻擊意味著別無選擇。

後量子簽章的考量則完全不同。它不受 HNDL 攻擊影響，而其成本與風險（更大的尺寸、效能開銷、實作尚不成熟以及潛在漏洞）意味著遷移應當是審慎推進，而非立刻實施。

這些區別非常重要。各種誤解會扭曲成本收益分析，使團隊反而忽視更關鍵的安全風險——例如漏洞本身。

成功邁向後量子密碼體系的真正挑戰，是讓「緊迫性」與「真實威脅」匹配。下面，我將澄清關於量子威脅及其對密碼學——包括加密、簽章與零知識證明——的常見誤解，並特別關注這些問題對區塊鏈的影響。

我們目前處於怎樣的時間節點？

在 2020 年代出現「對密碼學具有實際威脅的量子電腦（CRQC）」的可能性極低，儘管已有一些引發關注的高調宣稱。

ps：對密碼學具有實際威脅的量子電腦 / cryptographically relevant quantum computer，下文都將直接使用簡稱 CRQC。

這裡所說的「對密碼學具有實際威脅的量子電腦」，指的是一台可容錯、已糾錯的量子電腦，能夠以足夠規模運行 Shor 演算法，在合理的時間框架內攻擊橢圓曲線密碼學或 RSA（例如，在最多一個月的持續運算內攻破 secp256k1 或 RSA-2048）。

根據公開的里程碑與資源評估來看，我們距離這種量子電腦還遙遙無期。儘管一些公司宣稱 CRQC 很可能在 2030 年之前甚至 2035 年之前出現，但公開可見的進展並不支持這些說法。

從背景來看，在當前所有架構——離子阱、超導量子位元以及中性原子系統——中，沒有任何量子計算平台接近運行 Shor 演算法攻擊 RSA-2048 或 secp256k1 所需的幾十萬到數百萬個物理量子位元（具體數量取決於誤差率與糾錯方案）。

限制因素不僅僅是量子位元數量，還有閘保真度、量子位元連通性，以及執行深度量子演算法所必須的、可持續運行的糾錯電路深度。雖然一些系統現在已超過 1,000 個物理量子位元，但單看數量會產生誤導：這些系統缺乏執行密碼學相關計算所需的連通性與閘保真度。

近期的系統雖已接近量子糾錯開始可行的物理誤差水準，但尚無人展示超過少數幾個具備可持續糾錯電路深度的邏輯量子位元——更不用說運行 Shor 演算法實際所需的上千個高保真、深電路、容錯的邏輯量子位元了。理論上證明量子糾錯可行與真正達到能夠進行密碼破解所需的規模之間，仍存在巨大鴻溝。

簡而言之：除非量子位元數量與保真度同時提升幾個數量級，否則「對密碼學具有實際威脅的量子電腦」依然遙不可及。

然而，企業新聞稿與媒體報導極易導致誤解。常見的誤區包括：

聲稱實現「量子優勢」的演示，但這些演示目前針對的往往是人為構造的問題。這些問題並非因為實用而被選擇，而是因為它們可以在現有硬體上運行，同時看似呈現出顯著的量子加速——這一點常常在宣傳中被刻意弱化。

公司宣稱已實現數千個物理量子位元。但這通常指的是量子退火機，而非運行 Shor 演算法攻擊公鑰密碼所需的閘模型量子電腦。

公司對「邏輯量子位元」概念的隨意使用。物理量子位元本身非常嘈雜，量子演算法需要邏輯量子位元；如前所述，Shor 演算法需要數千個邏輯位元。使用量子糾錯，一個邏輯位元通常需要由數百到數千個物理位元構成（取決於誤差率）。然而一些公司已將該術語濫用到荒謬的地步。例如，某公司近期聲稱通過一個距離為 2 的編碼，用每個邏輯位元僅兩個物理位元就實現了 48 個邏輯量子位元。這顯然不合理：距離為 2 的編碼只能檢測錯誤，不能糾錯。而真正用於密碼破解的容錯邏輯量子位元每個需要數百到數千個物理量子位元，而不是兩個。

更普遍地，許多量子計算路線圖中將「邏輯量子位元」用於指代僅支援 Clifford 操作的量子位元。這些操作可以被經典演算法高效模擬，因此不足以運行 Shor 演算法，而後者需要數千個糾錯後的 T 閘（或更一般的非 Clifford 閘）。

因此，即便某條路線圖宣稱「在某一年 X 達到上千個邏輯量子位元」，也並不代表該公司預計在同一年 X 就能運行 Shor 演算法以攻破經典密碼體系。

這些做法嚴重扭曲了公眾（甚至包括業內專業人士）對「我們距離真正意義上的 CRQC 有多近」的認知。

儘管如此，確實也有一些專家對進展感到振奮。例如 Scott Aaronson 最近寫道，鑑於「當前硬體發展之快速令人震驚」，我現在認為，在下屆美國總統大選之前，我們擁有一台運行 Shor 演算法的容錯量子電腦是種真實可能。

但 Aaronson 隨後澄清，他的說法並不意味著一台具備密碼學相關能力的量子電腦：即便一台完全容錯的 Shor 演算法運行只成功分解 15 = 3×5——一個你用紙筆都能更快算出的數——他也會認為其觀點被滿足。這裡的標準仍然只是微型規模的 Shor 演算法執行，而非具有密碼學意義的規模；此前對 15 的量子分解使用的還是簡化電路，而非完整的容錯 Shor。此外，量子試驗持續選擇分解 15 不是偶然：因為模 15 的算術計算極其簡單，而分解稍大一些的數（如 21）就困難得多。因此，一些聲稱分解 21 的量子實驗往往依賴提示或捷徑。

簡而言之，預期未來 5 年內出現一台能夠攻破 RSA-2048 或 secp256k1 的量子電腦（這才是密碼學實際關心的）並沒有任何公開進展作為支撐。

即便 10 年也仍屬激進預測。考慮到我們與真正密碼學相關的量子電腦之間仍相距甚遠，即便對進展保持興奮，也完全可以與十年以上的時間表並存。

那麼，美國政府將 2035 年作為政府系統整體遷移至後量子密碼體系的目標年份又意味著什麼？我認為，這對於完成如此大規模遷移來說是合理的時間表。然而，這並不是對「屆時將出現 CRQC」的預期預測。

HNDL 攻擊適用於哪些場景（又不適用於哪些場景）？

「先收集、後解密」（Harvest now, decrypt later，HNDL）攻擊是指攻擊者現在儲存所有加密通訊資料，等待未來某一天當「對密碼學具有實際威脅的量子電腦」出現時，再將其解密。可以肯定的是，國家級攻擊者已經在規模性歸檔美國政府的加密通訊，以便在未來量子電腦真正出現時將其解密。這就是為什麼加密體系必須從今天開始遷移——至少對於那些需要保持 10–50 年以上機密性的主體而言。

但數位簽章——所有區塊鏈都依賴的技術——與加密不同：它不存在可被事後攻擊的「機密性」。

換句話說，當量子電腦真正到來時，確實會從那一刻起使偽造數位簽章成為可能，但過去的簽章並不像加密訊息那樣「隱藏」某種秘密。只要能夠確認某個數位簽章是在 CRQC 出現之前生成的，那麼它就不可能是偽造的。

因此，與加密體系相比，向後量子數位簽章的遷移沒有那麼緊迫。

主要平台的行動也反映了這一點：Chrome 和 Cloudflare 已在 Web 傳輸層安全（TLS）加密中部署了混合式 X25519+ML-KEM。[在本文中，我為了易讀性將這些稱為「加密方案」，雖然嚴格意義上，TLS 等安全通訊協定使用的是金鑰交換或金鑰封裝機制，而不是公鑰加密。]

這裡的「混合式」意味著同時疊加使用一種後量子安全方案（ML-KEM）與一種現有方案（X25519），從而同時獲得兩者的安全性。這種方式希望通過 ML-KEM 阻止 HNDL 攻擊，同時在 ML-KEM 被證明對當下電腦都不安全的情況下，由 X25519 提供傳統安全保證。

Apple 的 iMessage 也在其 PQ3 協定中部署了類似的混合式後量子加密，Signal 也在其 PQXDH 與 SPQR 協定中實現了這種機制。

相比之下，關鍵 Web 基礎設施向後量子數位簽章的遷移會推遲到「真正逼近 CRQC 出現時」再開始，因為當前的後量子簽章方案帶來了明顯的效能退化（本文稍後會討論）。

zkSNARKs——即零知識、簡潔、非互動式知識論證，它們是區塊鏈未來可擴充性與隱私性的核心——在量子威脅方面與數位簽章類似。原因在於，即使一些 zkSNARK 本身不具備後量子安全性（因為它們使用與當前加密與簽章相同的橢圓曲線密碼學），其「零知識」性質依然是後量子安全的。

零知識性質保證證明不會洩露任何關於秘密 witness 的資訊——即便面對量子攻擊者——因此不存在可被提前「收集」、未來再解密的機密資料。

因此，zkSNARKs 不受 HNDL 攻擊影響。正如今天生成的非後量子數位簽章是安全的，只要 zkSNARK 證明是在 CRQC 出現之前產生的，它就是可信的（即證明的陳述一定為真）——哪怕 zkSNARK 使用了橢圓曲線密碼學。只有在 CRQC 出現之後，攻擊者才可能構造出「看似有效但實際上錯誤」的證明。

這對區塊鏈意味著什麼

大多數區塊鏈並不會暴露在 HNDL 攻擊之下：大多數非隱私型鏈——例如今日的比特幣與以太坊——主要在交易授權中使用非後量子密碼學，也就是說，它們使用的是數位簽章而非加密。

再次強調，數位簽章不會受到 HNDL 攻擊：「先收集、後解密」攻擊只適用於加密資料。例如，比特幣區塊鏈是公開的；量子威脅在於偽造簽章（推導私鑰以盜取資金），而不是解密已經公開的交易資料。這意味著 HNDL 攻擊並不會給當前的區塊鏈帶來立即的密碼學緊迫性。

遺憾的是，一些可信機構（包括美國聯邦儲備）在分析中仍然錯誤聲稱比特幣易受 HNDL 攻擊，這種錯誤會誇大向後量子密碼遷移的緊迫程度。

不過，「緊迫性降低」並不代表比特幣可以無限期等待：由於協定升級所需的巨大社會協調，比特幣面臨著不同的時間壓力。（下面會更詳細討論比特幣的獨特挑戰。）

當前的一個例外是隱私鏈，其中許多通過加密或其他方式隱藏收款人和金額。這類機密性資訊可以被提前「收集」，一旦量子電腦能夠攻破橢圓曲線密碼學，就可能被事後去匿名化。

對於此類隱私鏈，攻擊的嚴重程度因鏈的設計不同而異。例如，就 Monero 的基於橢圓曲線的環簽章與 key image（用於阻止雙花的一種每個輸出唯一的可連結標籤）而言，僅憑公共帳本即足以在未來重建整個交易流圖。但在其他隱私鏈中，破壞程度會更有限——詳見 Zcash 密碼工程師兼研究員 Sean Bowe 的相關討論。

如果使用者認為「交易在未來不會因量子電腦出現而暴露」非常重要，那麼隱私鏈應儘快遷移至後量子密碼原語（或混合方案）。或者，它們應採用完全不在鏈上放置可被解密秘密的架構。

比特幣的特殊難題：治理機制 + 被遺棄的幣

對比特幣而言，有兩項現實因素使得開始向後量子數位簽章遷移變得緊迫，而這兩項因素與量子技術本身毫無關係。第一項擔憂是治理速度：比特幣的演進極其緩慢。任何存在爭議的問題，只要社群無法就適當的解決方案達成一致，都可能觸發一次具有破壞性的硬分叉。

第二項擔憂是，比特幣切換至後量子簽章無法通過被動遷移完成：幣的持有者必須主動遷移資金。這意味著那些已被遺棄、但仍暴露於量子威脅的幣無法受到保護。一些估計認為，量子脆弱且可能已被遺棄的 BTC 數量高達數百萬枚，以當前價格（截至 2025 年 12 月）計算價值數千億美元。

不過，量子威脅並不會讓比特幣出現某種突如其來的「災難性一夜崩塌」……更可能呈現為一種選擇性、逐步展開的攻擊過程。量子電腦不會一次性攻破所有加密方案——Shor 演算法必須逐個目標地破解公鑰。早期量子攻擊的成本將極其高昂且緩慢。因此，一旦量子電腦能夠攻破單個比特幣簽章金鑰，攻擊者將優先選擇價值最高的錢包下手。

此外,只要使用者避免地址複用，且不使用 Taproot 地址（後者會直接在鏈上暴露公鑰），即便協定本身尚未升級，他們也基本受到保護：其公鑰在花費之前仍隱藏在雜湊函數之後。當他們最終廣播一筆花費交易時，公鑰才變為公開，此時會存在一個短暫的「即時競賽視窗」：誠實使用者需要讓自己的交易儘快確認，而量子攻擊者則試圖在交易確認前找出私鑰並搶先花費這筆幣。因此，真正脆弱的幣，是那些公鑰已暴露多年的：早期 P2PK 輸出、被重複使用的地址、以及 Taproot 持倉。

對於那些已經被遺棄的脆弱幣，目前沒有容易的解決方案。可選方案包括：

比特幣社群達成共識，設定一個「旗幟日」（flag day），在該日之後所有未遷移的幣視為已銷毀。

放任所有已被遺棄且暴露於量子風險的幣任由任何擁有 CRQC 的人奪取。

第二種方案會帶來嚴重的法律與安全問題。使用量子電腦在沒有私鑰的情況下占有資金——即便聲稱是出於合法所有權或善意——在許多司法轄區都會觸及盜竊與電腦詐欺法律。

此外，「被遺棄」本身是一種基於不活躍性的假設，但沒有人能確切知道這些幣是否真的失去了擁有金鑰的活躍持有者。即便某人能證明自己曾經持有這些幣，也未必擁有合法權力去破壞密碼保護以「重新取回」它們。這種法律上的模糊性，使得這些被遺棄、且暴露於量子風險的幣極有可能落入無視法律約束的惡意攻擊者之手。

比特幣的另一個特殊問題是其極低的交易吞吐量。即使遷移方案最終敲定，要將所有暴露於量子威脅的資金遷移至後量子安全地址，按比特幣當前的交易速率仍需要數月時間。

這些挑戰使得比特幣必須從現在開始規劃後量子遷移——不是因為 2030 年之前很可能出現 CRQC，而是因為協調治理、達成共識、以及實際遷移價值數千億美元資金的技術物流，將需要多年才能完成。

比特幣面臨的量子威脅是真實的，但時間壓力來自比特幣自身的結構約束，而不是量子電腦的迫近。其他區塊鏈也面臨量子脆弱資金的問題，但比特幣尤其獨特：最早的交易使用 pay-to-public-key (P2PK) 輸出，直接將公鑰暴露在鏈上，使相當大比例的 BTC 暴露於量子威脅之下。其技術歷史，加上鏈齡久遠、價值集中度高、吞吐量低、治理僵化，使得問題格外嚴重。

需要注意的是，上述脆弱性只適用於比特幣數位簽章的密碼安全性——並不涉及比特幣區塊鏈的經濟安全性。比特幣的經濟安全來自其工作量證明（PoW）共識機制，而這並不像簽章方案那樣易受量子攻擊，原因有三：

PoW 依賴雜湊函數，因此最多只會受到 Grover 搜尋演算法帶來的二次方量級加速，而不會受到 Shor 演算法帶來的指數級加速。

實施 Grover 搜尋的實際開銷極大，使得任何量子電腦在比特幣 PoW 上獲得哪怕有限的實際加速，都極其不可能。

即便量子電腦真能實現顯著加速，其效果只會讓擁有量子算力的大型礦工相對更具優勢，而不會從根本上破壞比特幣經濟安全模型。

後量子簽章的成本與風險

要理解為什麼區塊鏈不應該倉促部署後量子簽章，我們需要同時考慮效能成本與我們對於後量子安全性仍在演變中的信心。

大多數後量子密碼學基於以下五類方法之一：雜湊（hashing）、碼（糾錯碼）、格（lattices）、多變量二次方程組（MQ）、同源（isogenies）。

為什麼會有五種不同的方法？原因是，任何後量子密碼原語的安全性都依賴一個假設：量子電腦無法高效求解某個特定數學問題。問題的結構越「強」，我們就能構建出效率越高的密碼協定。

但這是一把雙刃劍：更多結構也意味著更大的攻擊面，演算法更容易被突破。這造成了根本性的張力——更強的假設帶來更好的效能，但代價是潛在的安全漏洞（即假設被證明錯誤的可能性更高）。

總體而言，從安全性角度看，基於雜湊的方法最為保守穩健，因為我們最有信心量子電腦無法高效攻擊它們。但它們的效能也是最差的。例如，NIST 標準化的雜湊簽章方案，即使在最小參數設定下，其簽章大小也有 7–8 KB。作為對比，如今基於橢圓曲線的數位簽章只有 64 位元組，約小 100 倍。

格方案是當前部署的重點方向。NIST 已經選定的唯一加密方案、以及三種簽章演算法中的兩種，都基於格。其中一種格簽章（ML-DSA，原名 Dilithium）在 128-bit 安全級別下的簽章大小為 2.4 KB，在 256-bit 安全級別下為 4.6 KB——約為當前橢圓曲線簽章的 40–70 倍。另一種格方案 Falcon 的簽章更小（Falcon-512 為 666 位元組，Falcon-1024 為 1.3 KB），但依賴複雜的浮點運算，NIST 自己也將其標記為實作時的重大挑戰。Falcon 設計者之一 Thomas Pornin 稱其為「迄今為止我實作過的最複雜的密碼演算法」。

在實作安全性方面，格簽章比橢圓曲線方案困難得多：ML-DSA 包含更多敏感的中間值與複雜的拒絕採樣邏輯，這些都需要側通道和故障攻擊防護。Falcon 更是增加了恆定時間浮點運算的複雜性；已有多個針對 Falcon 實作的側通道攻擊成功恢復私鑰。

這些問題帶來的風險是立即存在的，完全不同於「對密碼學具有實際威脅的量子電腦」這種遙遠威脅。

對更高效能的後量子密碼方案保持謹慎是有充分理由的。歷史上曾領先的方案，如 Rainbow（基於 MQ 的簽章）與 SIKE/SIDH（基於同源的加密），都被「經典地」攻破了——也就是說，它們被當今的電腦擊破，而非量子電腦。

這發生在 NIST 標準化流程已經推進很深的階段。這當然反映了健康的科學過程，但也說明過早標準化與部署可能帶來反效果。

如前所述，網路基礎設施正在採取慎重方式推進簽章遷移。這一點值得注意，因為網路的密碼過渡一旦啟動往往需要多年才能完成。即便 MD5 與 SHA-1 等雜湊函數被網路標準機構正式廢棄多年，它們的實際遷移仍持續多年，至今在部分場景仍未完全淘汰。這些演算法是被完全破解的，而非僅僅「可能在未來某天會被破解」。

區塊鏈 vs 網路基礎設施的獨特挑戰

幸運的是，由開源社群維護的區塊鏈（如以太坊、Solana）比傳統網路基礎設施更容易快速升級。另一方面，網路基礎設施受益於頻繁的金鑰輪換，這意味著攻擊面變化比早期量子電腦能追上的速度更快——而區塊鏈不具備這一點，因為幣及其金鑰可能無限期暴露。但總體而言，區塊鏈仍應借鑑網路的謹慎方法推進簽章遷移。兩者都不受簽章類 HNDL 攻擊影響，而過早遷移至尚未成熟的後量子方案的成本與風險，依然顯著，不隨金鑰生命週期長短而改變。

此外，區塊鏈還有一些讓過早遷移尤其危險且複雜的挑戰：例如，區塊鏈對簽章方案有獨特需求，特別是對「快速聚合大量簽章」的需求。如今常用的 BLS 簽章因其高效聚合能力而流行，但它們並不具備後量子安全性。研究者正在探索基於 SNARK 的後量子簽章聚合方案。儘管進展可期，但仍處於早期階段。

針對 SNARK 本身，當前社群主要關注基於雜湊的後量子結構。但一個重大轉變即將到來：我有信心在未來數月與數年中，格方案將成為極具吸引力的替代路線。它們將在多個維度上提供更優效能，例如更短的證明長度——類似格簽章比雜湊簽章更短。

當前更嚴重的問題：實作安全

在未來多年內，實作漏洞將遠比「真正威脅密碼學的量子電腦」更現實、更嚴重。對於 SNARK，首要擔憂是漏洞（bugs）。

漏洞已經在數位簽章與加密演算法中是主要挑戰，而 SNARK 的複雜度要高得多。實際上，一個數位簽章方案可以被視為一種極其簡化的 zkSNARK，用於證明「我知道與公鑰對應的私鑰，並且我授權了這條訊息。」

對於後量子簽章，當前真正緊迫的風險還包括實作攻擊，例如側通道攻擊與故障注入攻擊。這些攻擊類型已有大量實證，並能從現實系統中提取私鑰。它們帶來的威脅遠比「遙遠未來的量子攻擊」迫切得多。

社群將在未來多年持續識別並修復 SNARK 的漏洞，並加固後量子簽章的實作以抵禦側通道與故障攻擊。在後量子 SNARK 與簽章聚合方案尚未穩定成型的階段過早遷移，區塊鏈將面臨將自己鎖定在次優方案中的風險——一旦更好的方案出現或當前方案暴露重大實作漏洞，就可能不得不再次遷移。

我們應該怎麼做？七條建議

基於前文討論的現實情況，我將以下建議提供給不同的參與者——從開發者到政策制定者。總體原則是：認真對待量子威脅，但不要在「2030 年前必然出現對密碼學構成實際威脅的量子電腦」這一前提下採取行動。目前的技術進展並不支持這一前提。然而，我們現在仍然有許多可以、也應該著手進行的準備工作：

1. 立即部署混合加密

至少在長期機密性重要且效能成本可接受的場景中。許多瀏覽器、CDN、以及訊息應用（如 iMessage 和 Signal）已經部署了混合方案。混合方案——後量子 + 經典密碼——既能抵禦 HNDL 攻擊，又能防範後量子方案本身潛在的弱點。

2. 在能容忍大尺寸簽章的場景中立即使用雜湊簽章

軟體／韌體更新等低頻率、對大小不敏感的場景應當立即採用混合式雜湊簽章。（混合是為了防範新方案中的實作漏洞，而不是因為雜湊安全性假設存在疑問。）這是保守且穩妥的做法，可以為社會提供一個明確的「救生艇」，以防量子電腦突然提前到來。如果沒有已經部署的後量子簽章的軟體更新機制，那麼在 CRQC 出現後我們將面臨引導問題：無法安全地分發抵禦量子威脅所需的密碼更新。

3. 區塊鏈不需要倉促部署後量子簽章——但應從現在開始規劃

區