交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
量子计算威胁的时间线常被夸大
密码学相关量子计算机的出现时间常被过度渲染,这导致业界呼吁立即全面转向后量子密码学。但这些呼吁往往忽视了过早迁移的成本与风险,也忽略了不同密码学原语截然不同的风险特征:后量子加密虽成本高昂却需立即部署——"先收集后解密"攻击已经展开,因为当前加密的敏感数据在量子计算机问世后仍具价值,即便那可能是数十年后。后量子加密的性能开销与实施风险确实存在,但对于需要长期保密的数据,HNDL攻击令我们别无选择。
后量子签名则面临不同的考量。它们不受HNDL攻击影响,其成本与风险(更大的数据量、性能开销、不成熟的应用及潜在漏洞)要求我们审慎规划而非仓促迁移。
这些差异至关重要。错误认知会扭曲成本效益分析,导致团队忽视更突出的安全风险——例如程序漏洞。成功迁移至后量子密码学的真正挑战在于使行动紧迫性与实际威胁相匹配。
时间线究竟如何?
尽管存在引人注目的相反主张,但2020年代出现密码学相关量子计算机的可能性极低。所谓"密码学相关量子计算机",指的是能够运行肖尔算法、在合理时间内(例如持续计算最多一个月)攻破椭圆曲线密码或RSA的容错纠错量子计算机。根据公开里程碑和资源评估的合理解读,我们距离这一目标仍十分遥远。
目前所有架构——囚禁离子、超导量子比特、中性原子系统——中,尚无平台能提供运行肖尔算法所需的数十万至数百万物理量子比特。限制因素不仅在于量子比特数量,更涉及门保真度、量子比特连通性以及运行深度量子算法所需的持续纠错电路深度。
近期系统虽已接近量子纠错启动所需的物理错误率,但迄今无人能实现超过个位数的逻辑量子比特并维持纠错电路深度,更不用说运行肖尔算法实际需要的数千个高保真深度电路容错逻辑量子比特。从原理验证到实现密码分析所需规模,其间仍存在巨大鸿沟。
容易混淆的概念
企业新闻稿与媒体报道常引发误解:宣称实现"量子优势"的演示目前仅针对特定任务,这些任务并非因其实际效用而被选择,而是因为它们能在现有硬件上运行且看似展现巨大量子加速;某些公司声称实现数千物理量子比特,但这指的是量子退火机而非攻击公钥密码所需的门模型机器;对"逻辑量子比特"概念的滥用——真正的密码分析容错逻辑量子比特每个需要数百至数千个物理量子比特,而非两个。
更普遍的是,许多量子计算路线图用"逻辑量子比特"指代仅支持克利福德操作的量子比特,这些操作可被经典计算机高效模拟,因此不足以运行需要数千个纠错T门的肖尔算法。
HNDL攻击的适用范围
"先收集后解密"攻击指对手现在存储加密流量,待密码学相关量子计算机出现后再解密。国家层面的对手肯定已在大量存档美国政府的加密通信,以便在多年后CRQC问世时进行解密。因此,加密必须立即转型——至少对需要10-50年以上保密期限的数据而言。
但数字签名(所有区块链的依赖)与加密不同:不存在可追溯攻击的保密性。只要确认数字签名生成于CRQC出现之前,它就不可能是伪造品。这使得向后量子数字签名的转型不如加密转型紧迫。
主要平台已采取相应行动:Chrome和Cloudflare为网络传输层安全加密推出了混合X25519+ML-KEM方案。苹果iMessage通过PQ3协议、Signal通过PQXDH和SPQR协议也部署了此类混合后量子加密。
相比之下,后量子数字签名在关键网络基础设施的部署正被推迟,直到密码学相关量子计算机真正临近,因为当前后量子签名方案会导致性能下降。
零知识证明的特殊性
zkSNARKs(零知识简洁非交互式知识论证)与签名处境相似。因为即使对于非后量子安全的zkSNARKs,其零知识特性本身具有后量子安全性。零知识特性确保证明中不会泄露任何关于秘密见证的信息——即使对量子对手也是如此,因此不存在可"先收集"后解密的机密信息。
对区块链的启示
大多数区块链不面临HNDL攻击风险:比特币和以太坊等非隐私链主要将非后量子密码学用于交易授权(即使用数字签名而非加密)。这些签名不构成HNDL风险,因为"先收集后解密"攻击仅适用于加密数据。
当前例外是隐私链,其中许多会加密或隐藏接收方与金额。这类保密信息可能被现在收集,并在量子计算机能破解椭圆曲线密码时被追溯去匿名化。
比特币的特殊难题:治理与废弃代币
对比特币而言,两个现实驱动着向
