量子計算對加密貨幣的威脅被高估
風險投資公司 a16z 的加密貨幣研究合夥人、喬治城大學電腦科學系副教授賈斯汀·泰勒(Justin Thaler)指出,量子計算對現有密碼體系的威脅被嚴重兩極化,過於樂觀與過分擔憂都不可取。
量子計算威脅的實際時間表
目前距離出現足以威脅現有密碼體系的量子計算機(Cryptographically Relevant Quantum Computer, CRQC)仍非常遙遠。根據公開技術進展,要攻破如 RSA-2048 或 secp256k1 的密碼,需要數十萬至數百萬個物理比特,且需具備高門保真度與長期容錯能力。現有系統雖已突破 1000 個物理比特,但缺乏足夠的連接性與門保真度,無法支持 Shor 算法運行。
過早遷移的風險
市場對量子威脅的敘事常被過度提前,導致呼籲立即全面遷移至後量子密碼(PQC)。然而,過早遷移會帶來成本與新風險,且不同密碼學原語的受攻擊方式與風險暴露程度差異巨大。
加密與簽名的風險差異
後量子加密(Post-quantum encryption)的威脅更為緊迫,因為存在「先收集、後解密」(HNDL)攻擊——敵手可將今日加密的敏感資料存檔,待未來量子計算機出現時再解密。對需長期保密的資料而言,此風險真實存在。
後量子簽名(Post-quantum signatures)則不受 HNDL 攻擊影響,其成本與風險(如體積膨脹、性能退化、實現不成熟、漏洞風險)較高,因此遷移應更謹慎,而非立即全面上馬。
對區塊鏈的影響
大多數區塊鏈(如比特幣、以太坊)主要使用數位簽名而非加密,因此不暴露於 HNDL 攻擊。簽名本身不承載機密內容,歷史簽名即使在未來被破解,也無法被「解密」,因此可信度不變。
隱私鏈則較為特殊,其機密性可能被「現在收集」並在未來解密,因此需更早遷移或調整架構以避免風險。
後量子簽名的實作風險
多數後量子簽名方案(如格密碼)體積大、性能差,且實作複雜,易受側信道與故障注入攻擊。例如,Falcon 簽名雖體積較小,但實現難度高,已有針對其實作的側信道攻擊可恢復私鑰。
建議與行動
- 立即部署混合加密方案:在需要長期保密的場景中,採用「後量子 + 現有」混合方案,以同時獲得兩種安全保證。
- 在體積可接受時,採用哈希簽名:適用於低頻、對體積不敏感的場景,作為備用方案以對抗實現漏洞。
- 區塊鏈不必立即上後量子簽名:應採取穩健節奏,讓方案持續成熟,並為系統重構留出時間。
- 隱私鏈應優先遷移:若性能可承受,應儘早遷移以降低風險。
- 優先處理實現安全:bugs、側信道與故障注入等實現風險,遠比遠期量子威脅更迫切,應立即投入審計與驗證。
- 持續資助量子計算發展:確保國家安全與技術領先。
- 保持批判性視角:對量子計算公告應理性評估,避免被標題黨或過度興奮所影響。
總結而言,a16z 強調應將「緊迫性」與「實際威脅」相匹配,避免因恐慌式遷移導致資源浪費與安全成本上升。