量子風險對區塊鏈和密碼安全的威脅：從5年、10年到當前防禦路徑

研究員จาก a16z 指出在數位安全清洗中的一些有趣事實：量子威脅是真實存在的，但人們所擔心的時間點可能被提前十年甚至二十年。這是你需要了解的，以避免混淆並合理行動。

量子時間表：真正剩下多少時間？

媒體報導常讓人產生「倒數」的錯覺，認為能破解 RSA-2048 或 secp256k1 的量子電腦會在2030年出現，但事實細節藏在其中。

具有破解能力的量子電腦必須達到嚴格標準：必須能糾正錯誤、真正運行 Shor 演算法，並擁有數千個「邏輯量子比特」（logical qubits），而非僅是物理比特。

目前最先進的系統仍處於「概念驗證」階段，等同於「我們已經設置好，但還沒真正掌握」。主要問題包括：

• 比特之間缺乏充分連結
• 閘門（gate）的保真度（fidelity）尚未達到安全標準
• 尚未有人能運行超過幾個邏輯量子比特，距離所需的數千還很遠

比特幣和以太坊仍有時間，經過審核的研究文件並不支持五年內的攻擊，但支持長期的技術警覺。

「即時竊取，事後解密」（HNDL）攻擊：誰真正面臨風險？

這是混淆轉變為真正威脅的關鍵點。

對於已加密資料： HNDL 威脅是真實的。如果你的資料今天用 RSA 或橢圓曲線加密，惡意者可能會存起來，等到量子電腦出現再解密。因此，長期秘密（10-50年）應立即轉用後量子（Post-Quantum）加密。Apple iMessage 和 Signal 已經採用混合方案（hybrid approach），結合傳統與後量子技術。

對於數位簽章： 情況完全不同。

數位簽章（digital signatures）沒有「秘密」需要保護，只要能證明簽章是在量子電腦出現前產生的，這些簽章仍然安全。因為在那個時間點沒有量子電腦，惡意者無法事後偽造。

因此，Google Chrome 和 Cloudflare 已經立即轉用後量子 TLS 簽章，但整個網路基礎設施仍較慢，尚未全面轉換簽章為後量子。

區塊鏈會受到何種影響？

大多數區塊鏈不太可能受到 HNDL 的威脅，因為：

• 比特幣和以太坊的交易資料已公開，主要風險在於簽章被偽造（竊取幣），而非解密。因此，HNDL 不是推動緊急變革的原因。

這種混淆也曾出現在聯邦儲備局的報告中，錯誤聲稱比特幣面臨 HNDL 風險，扭曲了優先順序。

私密性區塊鏈（如 Monero）： 與此不同，因為其重要資料（收款人、金額）已加密。若量子電腦出現，這些資料可能被揭露，導致交易關聯性暴露。私密性鏈應盡快轉用後量子原語（primitives）。

比特幣的特殊挑戰：不只是技術問題

比特幣面臨的問題與一般科學不同：

1. 變革緩慢： 協議變更可能引發硬分叉，破壞社群，管理流程繁瑣且困難。
2. 沉睡幣： 有數百萬比特幣被遺棄，但仍存有「量子防護」的價值。量子電腦出現後，擁有此類機器者可能竊取這些幣。
3. 交易速度： 比特幣交易處理較慢，即使未來轉用後量子簽章，遷移所有受影響幣也需數月。

因此，比特幣必須現在開始規劃——不是因為量子威脅會在2030年到來，而是因為管理流程和社群協調需要時間。

後量子簽章的成本與風險

在推動系統轉換前，須理解新方案的限制。

NIST 標準的後量子演算法（如 ML-DSA 和 Falcon）有重要限制：

• 簽章尺寸變大： ML-DSA 簽章約2.4-4.6 KB，遠大於目前的 64 字節 ECDSA，約是40-70倍。
• Falcon 實用性問題： 雖然簽章較小（0.7-1.3 KB），但加密過程複雜，且存在側信道攻擊漏洞。其開發者稱其為「我用過最複雜的加密演算法」。
• 實務風險： 基於格的簽章（lattice-based）較易受到物理側信道攻擊，需在實作層面加強保護。

歷史教訓： NIST 早期標準如 Rainbow 和 SIKE，已被傳統電腦破解，提醒我們過早制定標準可能危險。

區塊鏈不必急於更換簽章，但須提前規劃

重點在於：

• 加密（Encryption）： 今日已可用混合方案（如 X25519 + ML-KEM），Google/Cloudflare 已採用，性能可接受。
• 簽章（Signatures）： 情況不同。實作風險（如側信道）較量子威脅更迫切。等待並謹慎規劃才是明智之舉。

九點建議：如何做好準備

01. 立即採用後量子混合加密

針對長期秘密資料，使用混合方案（如 X25519 + ML-KEM），同時確保前向保密（forward secrecy）。

02. 適用哈希簽章（hash-based signatures）

用於不頻繁簽署（如韌體更新），哈希簽章是最安全選擇，但簽章較大。

03. 區塊鏈不要急著換簽章，要提前規劃

制定明確路線圖，逐步轉向後量子簽章，但不要急於實作。

04. 強化實作安全

進行正式驗證（formal verification）、模糊測試（fuzz testing）、嚴格審計，降低側信道等實作風險。這些風險目前比量子攻擊更嚴重。

05. 比特幣須設定「遷移截止日期」

對於受影響的幣，須決定何時轉換（如銷毀或封存）。

06. 等待格基 SNARKs 發展

期待能整合簽章（如聚合簽章），以適用於區塊鏈，這可能需數年。

07. 由經驗豐富的 PKI 團隊引導

借鏡 TLS/X.509 架構的經驗，學習他們的失誤（如從 MD5/SHA-1 轉換耗時）。

08. 相關私密性結構須提前轉用後量子

若資料已加密，立即轉用後量子混合方案，避免 HNDL。

09. 風險評估重點

短期：軟體漏洞和側信道攻擊比量子威脅更嚴重。 中期：比特幣遷移管理與社群協調是主要挑戰。 長期：多層防禦（defense-in-depth）策略。

總結：數位安全清洗意味著什麼？

「清洗」量子風險並非急迫反應新聞，而是要：

1. 理解差異： HNDL 針對加密、簽章和零知識證明的威脅不同。
2. 重視時間： 針對加密的量子電腦還有10年以上，勿被新聞誤導。
3. 合理管理風險： 今日用混合方案，謹慎規劃簽章轉換，選擇適當時機。
4. 實作風險優先： 未來三到五年，軟體漏洞和側信道比量子更嚴重，需強化驗證與審計。
5. 區塊鏈管理： 管理流程與社群協調是瓶頸，不是科學能力。

數位安全的「清洗」不是一場突如其來的恐慌，而是理性、持續的工作，旨在在不陷入陷阱的前提下，達成安全的長遠目標。