资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
量子计算从理论走向原型,重新引发加密领域的一个难题:未来的机器是否会破解今天的区块链?
简短的回答是复杂的。保护钱包和共识的一些核心工具可能容易受到未来量子攻击的影响。而另一些——尤其是保护工作量证明和默克尔树的基于哈希的原语——则显得相对稳健。
如果你持有资产、构建钱包或运行基础设施,你无需恐慌,而是需要一个计划。时间线尚不确定,但迁移需要数年时间。那些清点其加密算法、增加算法灵活性并制定后量子路线图的团队,将能够在没有压力的情况下从容适应。
本文旨在厘清事实:量子计算威胁什么、什么可能幸存、主要网络的准备情况,以及当前降低风险的具体步骤——既不夸大,也不悲观。
区块链的量子威胁模型
量子计算机利用叠加和纠缠来加速特定计算。对于密码学而言,两种算法至关重要:
肖尔算法威胁离散对数和因数分解问题——这是ECDSA、Ed25519、Schnorr、RSA和BLS签名的基础。
格罗弗算法为暴力破解对称密钥和哈希提供了平方级的加速。这将安全性的“有效”位数减半,但在实践中通过参数调整仍被认为足够强大。
对于区块链而言,签名保护资金和共识身份。如果出现足够强大、容错的量子计算机,攻击者若能看到公钥,就可能计算出相应的私钥并伪造签名。
重要的细微差别是:困扰加密数据的“现在收集,以后解密”风险对签名而言不那么直接。攻击者无法从他们在链上看到的地址哈希中解密你的私钥。然而,他们可以今天存档暴露的公钥,并在未来量子机器出现时,如果相关资金仍未移动,则尝试密钥恢复。
专业建议:限制公钥暴露和避免地址重用是低成本措施,可以改善你应对未来签名伪造的态势。
肖尔算法与格罗弗算法下的不同影响
不同的区块链组件依赖于不同的密码原语。以下是潜在影响的高级概览。
在防御方面,几种后量子签名家族显示出前景:
基于格的后量子签名方案在性能上接近现有系统,但密钥和签名更大。基于哈希的后量子签名方案避免了数论假设,但签名更大,验证更重。基于编码和多变量的方案也存在,但由于工具和标准化进程,大多数区块链讨论集中在基于格和基于哈希的方案上。
主要网络现状:比特币、以太坊、Solana及其他
比特币的大多数输出是对公钥哈希的承诺。你的公钥只在花费时才会暴露,限制了花费前的暴露风险。然而,Taproot输出直接包含一个仅包含x坐标的公钥,如果存在能够执行量子攻击的机器,这可能对其有吸引力。目前尚不存在能够大规模执行肖尔算法的、与密码学相关的容错量子计算机,但这一设计细节对未来的规划很重要。
比特币脚本系统足够灵活,可以添加新的操作码或Tapscript路径来支持后量子签名,并支持混合条件。尽管如此,共识改变是保守且耗时的。目前还没有被广泛采纳的比特币改进提案来确立标准的后量子签名。
对于外部拥有账户,交易签名允许恢复公钥,因此任何使用过的账户实际上都暴露了其公钥。以太坊的信标链使用BLS签名进行验证者聚合,这也基于离散对数。
好消息是:以太坊的可编程性支持密码灵活性。账户抽象允许替代的验证逻辑,因此链和钱包可以采用后量子或混合签名,而无需立即进行硬分叉。在共识层替换BLS是更大的研究和工程任务。
Solana地址是Ed25519公钥,如果存在足够强大的量子对手,将直接面临风险。在Solana的高吞吐量和低延迟目标下迁移到后量子签名,引发了关于签名大小和验证成本的工程问题,但其运行时允许新的验证程序和分阶段迁移。
在Cosmos、Polkadot和其他生态系统中,大多数默认签名方案都是椭圆曲线上的Schnorr/EdDSA变体,同样面临肖尔算法的风险。具体的迁移杠杆取决于每条链的治理和升级机制。
使用友好配对曲线上zk-SNARK的Rollup继承了离散对数假设,从长远来看需要后量子替代方案。基于STARK的系统主要依赖于哈希假设,通过参数调整后处境相对更好。然而,第二层账户和桥接在边缘通常依赖于ECDSA/EdDSA,因此需要全栈规划。
迁移手册:从密码敏捷钱包到第一层升级
钱包级别的混合签名要求同时使用传统签名和后量子签名才能花费,或者根据策略允许任一路径。这可以实现逐步推出,同时保持兼容性。
对于未花费交易输出链,可以现在承诺一个后量子公钥的哈希,仅在需要时才揭示后量子验证。在基于账户的链中,可定制的验证逻辑可以在预编译或库存在后立即接受后量子签名。
引入后量子验证操作和新的地址编码。需要广泛审查,因为签名大小和验证成本会影响费用和区块限制。对于使用BLS的链,研究目标包括具有聚合功能的后量子签名或减少签名负载的替代共识设计。
许多桥接依赖于椭圆曲线上的阈值签名或多重签名。计划应评估支持后量子的法定人数方案或混合证明。
绘制钱包、托管流程、验证者工具和链下服务中使用ECDSA/EdDSA/BLS的位置。询问供应商关于实施后量子签名以及随着信任锚点过渡到后量子,固件升级将如何进行身份验证。准备在任何可信的量子威胁出现之前,将资金从暴露公钥的地址轮换或归集到后量子或混合输出中。
后量子签名的成本、性能和用户体验权衡
后量子签名比当前的ECDSA/Ed25519或BLS更大,验证通常也更重。这影响了链上限、费用和用户体验。
典型的后量子签名大小范围从几百字节到几十千字节,具体取决于方案和安全级别。公钥也可能更大。更大的负载增加了带宽和存储需求。
基于格的验证通常很快,但每个签名的成本仍高于Ed25519。基于哈希的签名可能更慢、更大,以性能换取保守的假设。
BLS的紧凑聚合是当前共识设计的一大优势。后量子聚合是一个活跃的研究领域;目前的后量子方案尚不能匹配BLS的紧凑性和速度结合。
一些基于哈希的选项需要谨慎的状态处理或产生大签名。它们可能适合小众用途,而非高吞吐量的钱包。
鉴于这些权衡,许多团队追求混合策略:在成本可接受的地方添加后量子验证,同时为大众零售用途保留传统路径,直到更好的后量子工具成熟。
团队与资金库的实用清单
列出使用签名的每个地方——钱包、共识、桥接、管理密钥、持续集成/持续交付签名、二进制更新。尽可能避免地址重用;优先选择在花费前不暴露公钥的地址类型。
设计接口,使得签名算法可以在不重写应用的情况下进行更换。考虑在脚本或智能合约中使用混合验证。在测试网上试验后量子签名方案。测量大小、验证成本和用户体验影响。
及早关注标准:追踪相关的标准制定进展,并使编码和参数选择与新兴规范保持一致,以避免后期昂贵的重写。制定在短时间内将资金从暴露的公钥移动到后量子或混合输出的操作手册。测试费用、批处理和操作吞吐量。
询问硬件安全模块、硬件钱包和托管提供商关于后量子时间线、固件认证计划和迁移工具的信息。
评估当前密钥暴露情况:识别那些暴露公钥的地址上持有的资产,并优先安排轮换顺序。要求合同包含后量子路线图和为迁移做好准备的服务水平目标。
倾向于使用可以添加后量子路径、速率限制和时间锁的多重签名或智能合约钱包,以减缓潜在的密钥伪造攻击。模拟量子风险估计突然发生阶跃变化的情景。你是否能在几天内轮换数千个密钥?由谁批准?沟通计划是什么?
相关指导文件不会规定区块链的时间表,但它们为关键系统提供了可信的迁移节奏参考。风险提示:当前的主要威胁仍然是经典威胁。为量子计算做准备不应分散对基本操作安全的注意力。
常见误解与开放性问题
“量子计算将一夜之间摧毁比特币。”这不太可能。即使出现可信的量子威胁,网络也可以通过软分叉引入后量子选项,并协调将资金归集到更安全的输出中。更困难的挑战是大规模的物流,而非缺乏密码学候选方案。
“工作量证明在量子计算下崩溃。”格罗弗算法仅为哈希提供平方级加速。能够挑战全球哈希率的实用量子硬件似乎还很遥远,参数调整有助于维持安全边际。
“地址哈希使我永远安全。”地址哈希有助于保护安全,直到你花费并揭示签名或公钥。如果资金存放在公钥之后,在后肖尔时代,暴露是立即的。
“我们可以在一周内切换到后量子。”真正的迁移涉及钱包、节点、费用市场、硬件和用户教育。预计需要多年、分阶段的推出——因此现在构建密码灵活性很有价值。
基于椭圆曲线构建的零知识简洁非交互式知识论证面临与签名相同的肖尔算法风险,而零知识可扩展透明知识论证依赖于哈希假设,看起来更稳健。无论如何,账户密钥和桥接在升级前可能仍依赖于传统签名。
聚合差距。当今的后量子签名无法复制BLS优雅的聚合特性。对后量子友好聚合或替代共识记账的研究仍在进行中。
常见问题
量子计算机何时可能威胁区块链签名?无人能给出确切日期。公开评估表明,与密码学相关的容错机器并非迫在眉睫,但标准机构鼓励早期迁移规划,因为更换基础密码学需要数年时间。应将其视为一个长尾、高影响的风险:现在规划,分阶段执行。
如果我从未重复使用地址,我的比特币持有是否安全?使用在花费前隐藏公钥的地址类型可以减少暴露风险。然而,对于直接暴露公钥的输出,在后肖尔时代将面临风险。无论如何,在任何可信的量子威胁出现前,制定计划将资金归集到后量子或混合输出中是审慎的。
以太坊会暴露我的公钥吗?对于外部拥有账户,交易签名允许恢复公钥,因此任何使用过的账户实际上都暴露了它。账户抽象和智能合约钱包可以通过支持替代或混合验证路径来提供帮助。
格罗弗算法会破解SHA-256挖矿吗?不会。格罗弗算法提供平方级加速,而非指数级破解。虽然它缩小了安全边际,但参数调整以及构建此类硬件的巨大实际挑战,使得短期内对工作量证明造成破坏的可能性不大。
哪些后量子签名对区块链来说最实用?基于格的方案由于性能优势而处于领先地位,基于哈希的方案因其保守假设而受到重视。具体选择取决于链上限、所需签名大小、验证成本以及是否需要聚合。
团队首先应该做什么来准备?清点签名使用位置,尽量减少公钥暴露,在钱包和合约中构建密码灵活性,并在测试网上测试后量子方案。与托管和硬件提供商协调其迁移路线图。
这是财务建议吗?不是。本文仅供教育目的。加密资产具有波动性,并涉及安全、技术和监管风险。请始终进行独立研究,并为资金决策考虑专业指导。
