量子计算何时威胁密码安全？加密与签名迁移策略全解析

量子计算机破解密码：时间线究竟如何？

关于量子计算机何时能够攻破现有密码体系的讨论，常常伴随着过度渲染的紧迫感。然而，理性的风险评估必须区分不同密码学工具面临的威胁本质，并权衡过早迁移的代价与收益。

核心差异在于：

• 加密算法需要立即部署后量子替代方案。这是因为“先窃取密文，待未来解密”的攻击模式已经存在。今天加密的敏感数据，其保密期可能长达数十年，必须防范量子计算机在未来带来的追溯性破解风险。
• 数字签名则情况不同。签名本身不包含需要保密的机密信息，因此不易受到上述“存储-解密”攻击。后量子签名方案目前存在体积增大、性能开销、方案未完全成熟等现实挑战，因此需要的是审慎规划，而非仓促替换。

混淆这两者会导致资源错配，甚至可能忽视更紧迫的传统安全漏洞。

破解密码的量子计算机离我们多远？

尽管宣传声势浩大，但在本世纪20年代出现能够实际威胁主流密码体系的量子计算机，可能性极低。

这里所说的“密码学相关量子计算机”，指的是一台具备容错纠错能力、能够运行肖尔（Shor）算法，并且规模足以在合理时间内（例如一个月内）破解椭圆曲线密码（如secp256k1）或RSA-2048的机器。

根据当前公开的技术进展评估，我们距离这一目标仍然非常遥远。主要瓶颈并非仅仅是物理量子比特的数量，更在于量子门的保真度、量子比特间的连接性，以及运行复杂算法所需的深度纠错能力。目前，没有任何量子计算平台能够稳定运行破解密码所需的数千个高保真逻辑量子比特。

公众认知常被几个宣传点所误导：

1. “量子优势”演示：这些通常是针对特定设计问题的演示，并非具有实际密码破解意义的通用计算。
2. 物理量子比特数量：某些宣传中的“数千量子比特”可能指的是量子退火机，而非能够运行肖尔算法的通用门模型量子计算机。
3. 逻辑量子比特的混淆：实用算法需要由大量物理量子比特通过纠错码构成的“逻辑量子比特”。一些宣传模糊了仅能检错与真正能纠错的逻辑量子比特之间的关键区别。
4. 受限的路线图：部分路线图宣称实现的“逻辑量子比特”仅支持可被经典计算机高效模拟的操作，不足以运行破解密码所需的全套量子门操作。

因此，认为在未来5-10年内会出现能破解现行公钥密码的量子计算机，缺乏坚实的技术依据。美国将2035年设为政府系统迁移的最后期限，更多是基于完成大规模系统工程所需的合理时间规划，而非对量子计算机问世时间的精确预测。

“先窃取，后解密”攻击：谁需要担心？

这种攻击对加密算法构成直接威胁。攻击者（尤其是国家行为体）可以现在截获并存储加密通信，等待未来量子计算机问世后进行解密。因此，对于需要长期保密的数据，升级到后量子加密刻不容缓。

然而，数字签名和零知识证明（zkSNARK）则不受此威胁。签名用于验证身份和完整性，不包含可被“解密”的秘密信息。量子计算机在未来只能伪造新签名，而无法破解过去生成的合法签名。同样，零知识证明的“零知识”属性本身是后量子安全的，证明过程不会泄露任何可用于未来解密的秘密。

这也解释了为何主流技术厂商采取了差异化策略：

• Chrome、Cloudflare等已为TLS加密部署了混合后量子方案（结合经典与后量子算法）。
• Apple的iMessage（PQ3协议）和Signal也采用了类似的混合加密。
• 而后量子数字签名在网络核心基础设施中的部署则被普遍推迟，以等待方案更成熟、性能更优。

对区块链生态的启示

大多数公开区块链（如比特币、以太坊）并不直接面临“先窃取，后解密”的攻击。它们主要使用数字签名进行交易授权，而签名数据本身是公开的。量子威胁在于未来可能伪造签名以盗取资金，而非解密历史数据。这降低了迁移的即刻紧迫性。

隐私区块链则是例外。门罗币等隐私链对交易金额和接收方信息进行了加密或隐藏。这些加密数据若被现在截获，未来可能被量子计算机解密，从而破坏用户隐私。因此，隐私链应优先考虑向后量子原语迁移，或采用不将可解密秘密上链的架构。

比特币的特殊挑战：治理与“沉睡币”

比特币面临的后量子迁移压力，主要来自其自身特性，而非量子计算机的迫近：

• 缓慢的治理：协议升级需要广泛的社区共识，过程缓慢且易引发分歧。
• “沉睡币”问题：大量比特币可能已被遗弃，其所有者不会主动迁移至新签名方案。据估计，这些处于暴露状态的“沉睡币”价值可能高达数千亿美元。
• 选择性攻击：即使未来出现初代密码学量子计算机，其算力也可能极其昂贵。攻击者更可能选择性攻击公钥已暴露的高价值钱包（如早期P2PK输出、地址复用和Taproot地址）。

因此，比特币社区需要现在就开始规划迁移路径，并制定关于未迁移“沉睡币”的处置政策，这本身就是一个需要数年时间协调的复杂社会工程。

为何不应仓促部署后量子签名？

当前的后量子签名方案存在显著的性能成本与安全风险：

• 体积庞大：基于哈希的签名（如NIST标准化的方案）签名大小可达7-8KB，是基于椭圆曲线签名（约64字节）的百倍以上。
• 性能开销：基于格的签名（如ML-DSA）签名大小在2.4-4.6KB，验证速度更慢。
• 实施复杂性高：例如Falcon签名涉及复杂的恒定时间浮点运算，已出现侧信道攻击案例，实现难度和审计成本陡增。
• 方案仍在演化：NIST标准化过程中的候选方案（如Rainbow、SIKE）曾先后被经典算法攻破，说明过早锁定某一方案存在风险。

对于区块链而言，还有额外挑战：

• 签名聚合需求：许多区块链依赖BLS等签名聚合技术来提升效率，而后量子环境下的高效聚合方案仍在研究中。
• 实施安全是更现实的威胁：在未来多年内，后量子密码学复杂的实现代码中的程序漏洞、侧信道攻击，其风险远高于遥不可及的量子计算机。

行动路线图：七项关键建议

1. 立即部署混合后量子加密：对于需要长期保密的数据通道（如通信、存储），应优先采用结合经典与后量子算法的混合加密方案，以防范“存储-解密”攻击并增加安全冗余。
2. 在合适场景采用基于哈希的签名：对于软件更新、固件签名等对签名大小不敏感的低频场景，可先行部署基于哈希的签名方案，作为一种保守的安全备份。
3. 区块链应开始规划，但无需仓促行动：公链社区需效仿互联网基础设施的审慎态度，给予后量子签名方案足够的成熟时间。比特币等应立刻启动迁移路径与治理政策的研究。
4. 为隐私链设定更高优先级：隐私保护区块链应尽快评估并过渡到后量子加密原语或混合方案，以保护用户隐私免受未来量子解密威胁。
5. 聚焦实施安全性：将资源优先投入到代码审计、形式化验证和防御侧信道攻击上。对于复杂密码学系统，实施漏洞是当前远比量子威胁更现实的风险。
6. 持续支持研发与人才培养：从国家战略安全角度，必须持续投资量子计算与后量子密码学的研究，确保技术储备与人才梯队。
7. 保持理性评估：以批判性思维看待量子计算进展的新闻，将其视为持续的技术报告，而非引发恐慌或仓促决策的信号。

总而言之，应对量子计算威胁需要的是基于精准风险评估的战略耐心。区分加密与签名的不同威胁模型，理解技术现实与时间线，优先解决更迫切的实施安全问题，才是构建长期密码学韧性的关键。