a16z 長文：量子計算給加密貨幣帶來了哪些風險？

「對密碼學構成實際威脅的量子電腦」何時到來？HNDL 攻擊適用哪些場景？比特幣面臨哪些獨特挑戰？a16z 深度解析了量子威脅對區塊鏈的真實影響與應對策略。本文源自 a16z 所著文章，由吳說區塊鏈整理、編譯及撰稿。 （前情提要：深度分析：我們是否過於恐懼量子電腦帶來的加密安全威脅？ ） （背景補充：a16z：2026 年加密領域 17 大潛力趨勢前瞻 ）   關於「能夠對現有密碼體系構成實際威脅的量子電腦」何時到來，人們常常做出誇大的時間預期——從而引發了要求立即、大規模遷移至後量子密碼體系的呼聲。 但這些呼聲往往忽略了過早遷移所帶來的成本與風險，也忽略了不同密碼原語所面對的風險畫像完全不同： 後量子加密即便代價高昂，也必須立即部署：「先收集後解密」（Harvest-now-decrypt-later，HNDL）攻擊已經在發生，因為當量子電腦真正到來時，即便那是幾十年後，今天用加密方式保護的敏感資料仍然會具有價值。儘管後量子加密帶來效能開銷與實作風險，但對於需要長期保密的資料而言，HNDL 攻擊意味著別無選擇。 後量子簽章的考量則完全不同。它不受 HNDL 攻擊影響，而其成本與風險（更大的尺寸、效能開銷、實作尚不成熟以及潛在漏洞）意味著遷移應當是審慎推進，而非立刻實施。 這些區別非常重要。各種誤解會扭曲成本收益分析，使團隊反而忽視更關鍵的安全風險——例如漏洞本身。 成功邁向後量子密碼體系的真正挑戰，是讓「緊迫性」與「真實威脅」匹配。下面，我將澄清關於量子威脅及其對密碼學——包括加密、簽章與零知識證明——的常見誤解，並特別關注這些問題對區塊鏈的影響。 我們目前處於怎樣的時間節點？ 在 2020 年代出現「對密碼學具有實際威脅的量子電腦（CRQC）」的可能性極低，儘管已有一些引發關注的高調宣稱。 ps：對密碼學具有實際威脅的量子電腦 / cryptographically relevant quantum computer，下文都將直接使用簡稱 CRQC。 這裡所說的「對密碼學具有實際威脅的量子電腦」，指的是一台可容錯、已糾錯的量子電腦，能夠以足夠規模運行 Shor 演算法，在合理的時間框架內攻擊橢圓曲線密碼學或 RSA（例如，在最多一個月的持續運算內攻破 secp256k1 或 RSA-2048）。 根據公開的里程碑與資源評估來看，我們距離這種量子電腦還遙遙無期。儘管一些公司宣稱 CRQC 很可能在 2030 年之前甚至 2035 年之前出現，但公開可見的進展並不支持這些說法。 從背景來看，在當前所有架構——離子阱、超導量子位元以及中性原子系統——中，沒有任何量子計算平台接近運行 Shor 演算法攻擊 RSA-2048 或 secp256k1 所需的幾十萬到數百萬個物理量子位元（具體數量取決於誤差率與糾錯方案）。 限制因素不僅僅是量子位元數量，還有閘保真度、量子位元連通性，以及執行深度量子演算法所必須的、可持續運行的糾錯電路深度。雖然一些系統現在已超過 1,000 個物理量子位元，但單看數量會產生誤導：這些系統缺乏執行密碼學相關計算所需的連通性與閘保真度。 近期的系統雖已接近量子糾錯開始可行的物理誤差水準，但尚無人展示超過少數幾個具備可持續糾錯電路深度的邏輯量子位元——更不用說運行 Shor 演算法實際所需的上千個高保真、深電路、容錯的邏輯量子位元了。理論上證明量子糾錯可行與真正達到能夠進行密碼破解所需的規模之間，仍存在巨大鴻溝。 簡而言之：除非量子位元數量與保真度同時提升幾個數量級，否則「對密碼學具有實際威脅的量子電腦」依然遙不可及。 然而，企業新聞稿與媒體報導極易導致誤解。常見的誤區包括： 聲稱實現「量子優勢」的演示，但這些演示目前針對的往往是人為構造的問題。這些問題並非因為實用而被選擇，而是因為它們可以在現有硬體上運行，同時看似呈現出顯著的量子加速——這一點常常在宣傳中被刻意弱化。 公司宣稱已實現數千個物理量子位元。但這通常指的是量子退火機，而非運行 Shor 演算法攻擊公鑰密碼所需的閘模型量子電腦。 公司對「邏輯量子位元」概念的隨意使用。物理量子位元本身非常嘈雜，量子演算法需要邏輯量子位元；如前所述，Shor 演算法需要數千個邏輯位元。使用量子糾錯，一個邏輯位元通常需要由數百到數千個物理位元構成（取決於誤差率）。然而一些公司已將該術語濫用到荒謬的地步。例如，某公司近期聲稱通過一個距離為 2 的編碼，用每個邏輯位元僅兩個物理位元就實現了 48 個邏輯量子位元。這顯然不合理：距離為 2 的編碼只能檢測錯誤，不能糾錯。而真正用於密碼破解的容錯邏輯量子位元每個需要數百到數千個物理量子位元，而不是兩個。 更普遍地，許多量子計算路線圖中將「邏輯量子位元」用於指代僅支援 Clifford 操作的量子位元。這些操作可以被經典演算法高效模擬，因此不足以運行 Shor 演算法，而後者需要數千個糾錯後的 T 閘（或更一般的非 Clifford 閘）。 因此，即便某條路線圖宣稱「在某一年 X 達到上千個邏輯量子位元」，也並不代表該公司預計在同一年 X 就能運行 Shor 演算法以攻破經典密碼體系。 這些做法嚴重扭曲了公眾（甚至包括業內專業人士）對「我們距離真正意義上的 CRQC 有多近」的認知。 儘管如此，確實也有一些專家對進展感到振奮。例如 Scott Aaronson 最近寫道，鑑於「當前硬體發展之快速令人震驚」，我現在認為，在下屆美國總統大選之前，我們擁有一台運行 Shor 演算法的容錯量子電腦是種真實可能。 但 Aaronson 隨後澄清，他的說法並不意味著一台具備密碼學相關能力的量子電腦：即便一台完全容錯的 Shor 演算法運行只成功分解 15 = 3×5——一個你用紙筆都能更快算出的數——他也會認為其觀點被滿足。這裡的標準仍然只是微型規模的 Shor 演算法執行，而非具有密碼學意義的規模；此前對 15 的量子分解使用的還是簡化電路，而非完整的容錯 Shor。此外，量子試驗持續選擇分解 15 不是偶然：因...