如今,关于“密码学相关的量子计算机(CRQC)”何时诞生,市场上的预测往往过于激进且夸大——这导致人们呼吁立即、全面地向后量子密码学迁移。
但这些呼吁往往忽视了过早迁移的成本和风险,也忽略了不同密码学原语之间截然不同的风险属性:
后量子加密(Post-quantum encryption)确实需要立即部署,尽管成本高昂: “先截获,后解密”(HNDL)的攻击已经在发生。今天加密的敏感数据,即使在几十年后量子计算机出现时,依然可能具有价值。虽然实施后量子加密会带来性能开销和执行风险,但面对 HNDL 攻击,那些需要长期保密的数据别无选择。
后量子签名(Post-quantum signatures)则面临完全不同的计算逻辑: 它们并不受 HNDL 攻击的影响。而且,后量子签名的代价和风险(体积更大、性能更差、技术不成熟以及潜在的 Bug)决定了我们需要采取深思熟虑的、而非火急火燎的迁移策略。
厘清这些区别至关重要。误解会扭曲成本效益分析,导致团队忽视了眼前更致命的安全风险——比如代码 Bug。
在向后量子密码学迁移的过程中,真正的挑战在于将紧迫感与实际威胁相匹配。下文将通过涵盖加密、签名和零知识证明(特别是其对区块链的影响),来澄清关于量子威胁的常见误区。
我们离量子威胁有多远?
尽管外界炒作得沸沸扬扬,但在 2020 年代出现“密码学相关的量子计算机(CRQC)”的可能性极低。
我所说的“CRQC”,是指一台具有容错能力、经过纠错的量子计算机,其规模足以在合理的时间内运行 Shor 算法来攻击椭圆曲线密码学或 RSA(例如,在最多一个月内破解 secp256k1 或 RSA-2048)。
通过对公共里程碑和资源估算的合理研读,我们距离造出这样的机器还差得很远。虽然有些公司声称 CRQC 可能在 2030 年之前或 2035 年之前出现,但目前公开已知的进展并不支持这些说法。
客观来看,纵观当前所有的技术架构——离子阱、超导量子比特、中性原子系统——今天没有任何一个平台能接近运行 Shor 算法所需的数十万到数百万个物理量子比特(具体取决于错误率和纠错方案)。
限制因素不仅仅是量子比特的数量,还包括门保真度(Gate Fidelities)、量子比特连接性,以及运行深度量子算法所需的持续纠错电路深度。虽然有些系统现在的物理量子比特数超过了 1,000 个,但单纯看数量是误导性的:但单纯看数量极具欺骗性:这些系统缺乏进行密码学相关计算所需的连接性和保真度。
最近的系统在物理错误率上开始接近量子纠错起效的门槛,但还没有人能展示出超过几个具有持续纠错电路深度的逻辑量子比特……更不用说运行 Shor 算法实际所需的数千个高保真、深电路、容错的逻辑量子比特了。从“证明量子纠错在原理上可行”到“达到密码分析所需的规模”,这中间的鸿沟依然巨大。
简而言之:除非量子比特的数量和保真度都提高几个数量级,否则 CRQC 仍然遥不可及。
然而,人们很容易被企业的公关稿和媒体报道搞糊涂。这里有一些常见的误解源头:
声称“量子优势”的演示: 这些演示目前针对的是人为设计的任务。选择这些任务不是因为它们实用,而是因为它们可以在现有硬件上运行,并表现出巨大的量子加速——这一点在公告中往往被掩盖。
声称拥有数千个物理量子比特的公司: 这通常指的是量子退火机(Quantum Annealers),而不是运行 Shor 算法攻击公钥密码学所需的门模型机器。
滥用“逻辑量子比特”一词: 而量子算法(如 Shor 算法)需要数千个稳定的逻辑量子比特。通过量子纠错,我们可以用许多物理量子比特来实现一个逻辑量子比特——通常需要数百到数千个。但有些公司已经把这个词滥用到了离谱的地步。例如,最近一项公告声称用每个逻辑量子比特仅两个物理量子比特就实现了 48 个逻辑量子比特。这种低冗余代码只能检测错误,不能纠正错误。真正的用于密码分析的容错逻辑量子比特,每一个都需要数百到数千个物理量子比特。
玩弄定义: 许多路线图使用“逻辑量子比特”来指代仅支持 Clifford 操作的量子比特。这些操作可以被经典计算机高效模拟,因此根本不足以运行 Shor 算法。
即使某个路线图的目标是“在 X 年实现数千个逻辑量子比特”,这并不意味着该公司预计在那一年就能运行 Shor 算法破解经典密码学。
这些营销手段严重扭曲了公众(甚至包括一些资深观察家)对量子威胁迫近程度的认知。
尽管如此,一些专家确实对进展感到兴奋。Scott Aaronson 最近曾表示,鉴于硬件进展的速度,他认为“在下一届美国总统大选前实现容错量子计算机运行 Shor 算法是可能的”。但他也明确说明,这不等同于能威胁密码学的 CRQC:即便只是在容错体系下分解 15 = 3 × 5,也算“预言成功”。这显然与破解 RSA-2048 不在同一量级。
事实上,所有“分解 15” 的量子实验都使用简化电路,而不是完整的容错 Shor 算法;而分解 21 都需要额外提示和捷径。
简单来说,没有任何公开进展能证明,我们能在未来 5 年内造出一台破解 RSA-2048 或 secp256k1 的量子计算机。
十年之内也仍属于非常激进的预测。
美国政府提出要在 2035 年前完成政府系统的后量子迁移,这是迁移项目本身的时间表,并不是预测那时 CRQC 会出现
HNDL 攻击适用于哪类密码体系?
“HNDL(Harvest Now, Decrypt Later)”指攻击者现在存储加密通信,待未来量子计算机出现后再解密。
国家级对手很可能已经在大规模存档美国政府的加密通信,以便未来解密。因此,加密体系需要立即迁移,尤其是保密期限在 10–50 年以上的场景。
但是,所有区块链所依赖的数字签名(Digital Signatures)与加密不同:它没有机密信息可供追溯性攻击。
换言之,当量子计算机出现时,确实能从那一刻开始伪造签名,但过去的签名不会受到影响——因为它们没有秘密可泄露,只要能证明签名产生于 CRQC 出现之前,它就不可能被伪造。
因此,迁移到后量子签名的紧迫性远低于加密迁移。
主流平台也采取了对应策略:
Chrome 与 Cloudflare 已为 TLS 部署混合模式的 X25519+ML-KEM。
Apple iMessage(PQ3)与 Signal(PQXDH、SPQR)也部署了混合后量子加密。
但后量子签名在关键 Web 基础设施上的部署则被刻意延后——只会在 CRQC 真正临近时进行,因为后量子签名目前的性能回退仍然显著。
zkSNARKs(一种零知识简洁非交互知识论证技术)的情况也类似签名。即使使用椭圆曲线(非 PQ 安全),其零知识性在量子环境下仍然成立。
零知识保证证明不会泄露任何秘密见证,因此攻击者无法“现在收集证明,未来再解密”。 因此,zkSNARKs 不易受到 HNDL 攻击。就像今天生成的签名是安全的一样,任何在量子计算机出现之前生成的 zkSNARK 证明都是可信的——即使该 zkSNARK 使用了椭圆曲线密码学。只有在 CRQC 出现之后,攻击者才能伪造虚假陈述的证明。将不分昼夜地进行着价值交换,构建出一个远超人类经济规模的全新数字世界。
