量子计算和区块链：使紧迫性与实际威胁相匹配

但这些呼吁往往忽略了过早迁移的成本和风险，并忽略了不同密码学原语截然不同的风险概况：

• 后量子加密需要立即部署，尽管其成本很高：“先收集，后解密”(Harvest-now-decrypt-later, HNDL) 攻击已经在进行中，因为今天加密的敏感数据在量子计算机到来时仍然具有价值，即使那是在几十年之后。后量子加密的性能开销和实现风险是真实存在的，但 HNDL 攻击对于需要长期保密的数据别无选择。

• 后量子签名面临着不同的计算。它们不易受到 HNDL 攻击，并且成本和风险（更大的尺寸、性能开销、实现不成熟和错误）需要深思熟虑而不是立即迁移。

这些区别很重要。误解会扭曲成本效益分析，导致团队忽略更重要的安全风险——例如错误。

在成功迁移到后量子密码学时，真正的挑战在于使紧迫性与实际威胁相匹配。下面，我将阐明关于量子对密码学威胁的常见误解——涵盖加密、签名和零知识证明——特别关注它们对区块链的影响。

我们现在的时间点在哪里？

尽管有备受瞩目的说法，但在 2020 年代出现密码学上相关的量子计算机 (CRQC) 的可能性极低。

我所说的“密码学上相关的量子计算机”是指一种容错、纠错的量子计算机，它能够运行 Shor 算法，其规模足以在合理的时间范围内攻击椭圆曲线密码学或 RSA（例如，在最多一个月的持续计算时间内破解 secp256k1 或 RSA-2048）。

通过对公开的里程碑和资源估算的合理解读，我们离密码学上相关的量子计算机还差得很远。公司有时声称 CRQC 可能在 2030 年之前或远早于 2035 年，但公开已知进展不支持这些说法。

作为参考，在所有当前的架构中——捕获离子、超导量子比特和中性原子系统——没有一个量子计算平台接近运行 Shor 算法在 RSA-2048 或 secp256k1 上所需的 数十万 到数百万的物理量子比特（取决于错误率和纠错方案）。

限制因素不仅仅是量子比特数量，还有门保真度、量子比特连接性和运行深度量子算法所需的持续纠错电路深度。虽然 一些 系统 现在超过 1,000 个物理量子比特，但仅靠原始量子比特数量具有 误导性：这些系统缺乏密码学相关计算所需的量子比特连接性和门保真度。

最近的系统 接近 量子纠错 开始工作 的物理错误率，但没有人展示超过 少数 的 具有持续纠错电路深度的逻辑量子比特…… 更不用说实际运行 Shor 算法所需的数千个高保真、深度电路、容错的逻辑量子比特了。在证明量子纠错在原则上有效与实现密码分析所需的规模之间，仍然存在巨大的差距。

简而言之：在量子比特数量和保真度都提高几个数量级之前，密码学上相关的量子计算机仍然遥不可及。

然而，很容易被公司新闻稿和媒体报道所迷惑。这里一些常见的误解和困惑来源包括：

声称“量子优势”的演示，目前针对人为设计的任务。选择这些任务不是因为它们的实用性，而是因为它们可以在现有硬件上运行，同时看起来表现出巨大的量子加速——这一事实经常在 公告 中被掩盖。

声称 实现 数千个物理量子比特的公司。但这指的是量子退火器，而不是运行 Shor 算法攻击公钥密码学所需的门模型机器。

公司自由使用术语“逻辑量子比特”。物理量子比特是有噪声的。如上所述，量子算法需要 逻辑量子比特；Shor 算法需要数千个逻辑量子比特。使用量子纠错，可以用许多物理量子比特来实现一个逻辑量子比特——通常取决于错误率，需要数百到数千个。但一些公司已经将这个术语用到了超出其认知范围。例如，最近的 公告 声称使用距离为 2 的代码，每个逻辑量子比特只有两个物理量子比特，实现了 48 个逻辑量子比特。这是荒谬的：距离为 2 的代码只能检测错误，不能纠正错误。用于密码分析的真正容错逻辑量子比特每个需要数百到数千个物理量子比特，而不是两个。

更一般地说，许多量子计算路线图使用术语“逻辑量子比特”来指代仅支持 Clifford 操作 的量子比特。这些操作可以有效地 经典模拟，因此不足以运行 Shor 算法，后者需要数千个纠错的 T 门（或更一般的非 Clifford 门）。

即使其中一个路线图的目标是“到 X 年拥有数千个逻辑量子比特”，这并不意味着该公司希望在同一年 X 运行 Shor 算法来破解经典密码学。

这些做法严重扭曲了公众对我们离密码学上相关的量子计算机有多近的看法，即使在经验丰富的观察者中也是如此。

也就是说，一些专家确实对进展感到兴奋。例如，Scott Aaronson 最近 写道，鉴于“目前硬件进展的惊人速度”，

我现在认为，在下一次美国总统选举之前，我们将拥有一台运行 Shor 算法的容错量子计算机，这是一种现实的可能性。

但 Aaronson 后来 澄清 说，

他的声明并不意味着密码学上相关的量子计算机：即使 Shor 算法的完全容错运行分解了 15 = 3×5，他也会认为这应验了——这个计算你可以用纸笔更快地完成。标准仍然是 Shor 算法的小规模执行，而不是密码学上相关的执行，因为以前在量子计算机上对 15 的分解使用了简化的电路，而不是完整的容错 Shor。而且这些实验一直以 15 作为要分解的数字是有原因的：模 15 的算术在计算上很容易，而分解甚至稍微大一点的数字 比如 21 则困难得多。因此，声称分解 21 的量子实验通常依赖于额外的提示或捷径。

简而言之，在未来 5 年内拥有一台能够破解 RSA-2048 或 secp256k1 的密码学上相关的量子计算机的期望——这对于实际密码学来说才是重要的——没有得到公开已知进展的支持。

即使 10 年仍然是雄心勃勃的。鉴于我们离密码学上相关的量子计算机还有多远，对进展的兴奋与 十多年的时间表 完全相符。

那么美国政府 定位 2035 年 作为政府系统全面迁移到后量子 (PQ) 的截止日期呢？我认为这是完成如此大规模过渡的合理时间表。然而，这并不是预测届时会出现密码学上相关的量子计算机。

HNDL 攻击适用于哪些地方（以及不适用于哪些地方）？ 先收集，后解密 (HNDL) 攻击 指的是对手现在存储加密流量，然后在密码学上相关的量子计算机存在时再解密。国家级对手肯定已经在大规模地存档美国政府的加密通信，以便他们可以在 CRQC 存在后的许多年解密这些通信。

这就是为什么加密今天需要转型——至少对于那些需要 10-50 年以上保密性的人来说。

但数字签名——所有区块链都依赖于数字签名——与加密不同：没有可以追溯攻击的保密性。

换句话说，如果密码学上相关的量子计算机出现，从那时起，签名伪造确实成为可能，但过去的签名并没有像加密消息那样“隐藏”秘密。只要你知道数字签名是在 CRQC 到来之前生成的，它就不可能是伪造的。

这使得向后量子数字签名的过渡不如后量子加密过渡那么紧迫。

主要平台正在采取相应的行动：Chrome 和 Cloudflare 推出了用于 Web 传输层安全 (TLS) 加密的混合 X25519 + ML-KEM。[在本文中，为了便于阅读，我指的是加密方案，但严格来说，像 TLS 这样的安全通信协议使用密钥交换或密钥封装机制，而不是公钥加密。]

这里的“混合”是指同时使用后量子安全方案（即 ML-KEM）和现有方案 (X25519)，以获得两者的组合安全保证。这样，他们可以（希望）通过 ML-KEM 阻止 HNDL 攻击，同时在 ML-KEM 即使针对今天的计算机也被证明是不安全的情况下，通过 X25519 保持经典安全性。

Apple 的 iMessage 也使用其 PQ3 协议 部署了这种混合后量子加密，Signal 也使用其 PQXDH 和 SPQR 协议部署了这种混合后量子加密。

相比之下，后量子数字签名向关键 Web 基础设施的推出 正在 延迟，直到密码学上相关的量子计算机实际迫在眉睫，因为当前的后量子签名方案会引入性能衰退（更多内容将在本文后面介绍）。

zkSNARK——零知识简洁非交互知识论证，这是区块链长期可扩展性和隐私的关键——与签名的情况类似。这是因为即使对于 zkSNARK 来说，它们不是后量子安全的（它们像今天非后量子加密和签名方案一样使用椭圆曲线密码学），它们的零知识属性是后量子安全的。

零知识属性确保关于秘密见证的任何信息都不会在证明中泄露——即使是对量子对手也是如此——因此没有可“现在收集”以供以后解密的机密信息。

因此，zkSNARK 不容易受到现在收集、以后解密的攻击。正如今天生成的非后量子签名是安全的一样，在密码学上相关的量子计算机到达之前生成的任何 zkSNARK 证明都是可信的（也就是说，被证明的陈述肯定是真实的）——即使 zkSNARK 使用椭圆曲线密码学也是如此。只有在密码学上相关的量子计算机到达之后，攻击者才能找到虚假陈述的令人信服的证明。

这对区块链意味着什么

大多数区块链不会受到 HNDL 攻击：

大多数非隐私链，如今天的比特幣和以太坊，主要使用非后量子密码学进行交易授权——也就是说，它们使用数字签名，而不是加密。

同样，这些签名不是 HNDL 风险：“先收集，后解密”攻击适用于加密数据。例如，比特币的区块链是公开的；量子威胁是签名伪造（推导私钥来窃取资金），而不是解密已经公开的交易数据。这消除了 HNDL 攻击带来的直接密码学紧急性。

不幸的是，即使是来自联邦储备银行等可信来源的分析 也错误地声称 比特币容易受到 HNDL 攻击，这种错误夸大了向后量子密码学过渡的紧迫性。

也就是说，紧迫性降低并不意味着比特币可以等待：它面临着来自更改协议所需的巨大社会协调的不同时间压力（更多关于比特币的独特挑战见下文）。

截至目前唯一的例外是隐私链，其中许多链加密或以其他方式隐藏接收者和金额。一旦量子计算机能够破解椭圆曲线密码学，这种机密性就可以被现在收集并追溯解除匿名化。

对于此类隐私链，攻击的严重程度因区块链设计而异。例如，对于 Monero 基于曲线的环签名和密钥图像（用于阻止双重支出的每个输出的可链接性标签），公共账本本身就足以追溯重建支出图。但在其他情况下，损害更为有限——有关详细信息，请参见 Zcash 密码学工程师兼研究员 Sean Bowe 的 讨论。

如果用户认为他们的交易不应被密码学上相关的量子计算机暴露，那么隐私链应尽快过渡到后量子原语（或混合原语）。或者，他们应该采用避免将可解密的秘密放在链上的架构。

比特币的特殊难题：治理 + 废弃的币

特别是对于比特币而言，有两个现实推动了开始转向后量子数字签名的紧迫性。两者都与量子技术无关。

一个担忧是治理速度：比特币变化缓慢。如果社区无法就适当的解决方案达成一致，任何有争议的问题都可能引发破坏性的硬分叉。

另一个担忧是，比特币转向后量子签名不能是被动迁移：所有者必须主动迁移他们的币。这意味着无法保护已废弃的、易受量子攻击的币。一些 估计 表明，有数百万个易受量子攻击且可能被废弃的 BTC，按当前价格计算，价值数千亿美元（截至 2025 年 12 月）。

然而，对比特币的量子威胁不会是突然的、一夜之间的灾难…… 而更像是选择性的、渐进式的定位过程。量子计算机不会同时破解所有加密——Shor 算法必须一次针对单个公钥。早期的量子攻击将非常昂贵和缓慢。因此，一旦量子计算机能够破解单个比特币签名密钥，攻击者将选择性地掠夺高价值钱包。

此外，避免 地址重用 并且不使用 Taproot 地址 的用户——Taproot 地址直接在链上暴露公钥——即使没有协议更改，也基本上受到保护：在他们的币被花费之前，他们的公钥仍然隐藏在哈希函数之后。当他们最终广播支出交易时，公钥变得可见，并且在诚实的支出者（需要确认他们的交易）和任何配备量子的攻击者（想要找到私钥并在真正所有者的交易完成之前花费这些币）之间存在短暂的实时竞赛。因此，真正易受攻击的币是那些公钥已经暴露的币：早期的 P2PK 输出、重用地址和 Taproot 持有。

对于已被废弃的易受攻击的币，没有简单的解决方案。一些选项包括：

• 比特币社区同意一个“标志日”，之后任何未迁移的币都被宣布为烧毁。

• 让废弃的易受量子攻击的币容易被任何拥有密码学上相关的量子计算机的人没收。

第二个选项会产生严重的法律和安全问题。使用量子计算机来获取没有私钥的币的所有权——即使声称拥有合法所有权或出于善意——可能会 引发 严重问题，在许多司法管辖区，根据盗窃和计算机欺诈法。

此外，“已废弃”本身就是基于非活动的假设。但没有人真正知道这些币是否缺少拥有访问密钥的在世所有者。证明你曾经拥有币的所有权可能无法提供足够的法律授权来破坏密码学保护以收回它们。这种法律上的歧义增加了废弃的易受量子攻击的币落入愿意忽视法律约束的恶意行为者手中的可能性。

比特币特有的最后一个问题是其低交易吞吐量。即使迁移计划最终确定，以比特币目前的交易速度，将所有易受量子攻击的资金迁移到后量子安全地址也需要 数月 的时间。

这些挑战使得比特币现在开始规划其后量子过渡至关重要——不是因为密码学上相关的量子计算机可能在 2030 年之前出现，而是因为迁移价值数十亿美元的币的治理、协调和技术后勤工作需要数年才能解决。

对比特币的量子威胁是真实的，但时间压力来自比特币自身的约束，而不是来自即将到来的量子计算机。其他区块链也面临着自身在易受量子攻击的资金方面的挑战，但比特币面临着独特的风险：其最早的交易使用了直接将公钥放在链上的 pay-to-public-key (P2PK) 输出，使得特别大一部分的 BTC 容易受到密码学上相关的量子计算机的攻击。这种技术差异——结合比特币的年龄、价值集中度、低吞吐量和治理僵化——使得这个问题特别严重。

请注意，我上面描述的漏洞适用于比特币数字签名的密码学安全性——但不适用于比特币区块链的经济安全性。这种经济安全性源于工作量证明 (PoW) 共识机制，由于三个原因，该机制不易受到量子计算机的攻击：

1. PoW 依赖于哈希，因此仅受 Grover 搜索算法 的二次量子加速的影响，而不受 Shor 算法的指数加速的影响。
2. 实施 Grover 搜索的实际开销使得任何量子计算机 极不可能 在比特币的工作量证明机制上实现哪怕是适度的真实加速。
3. 即使实现了显著的加速，这些加速也会使大型量子矿工相对于小型矿工具有优势，但不会从根本上打破比特币的经济安全模型。

后量子签名的成本和风险

要了解为什么区块链不应匆忙部署后量子签名，我们需要了解性能成本以及我们对后量子安全的仍在不断发展的信心。

大多数 后量子 密码学 都基于以下五种方法之一：

• 哈希
• 代码
• 格
• 多元二次系统 (MQ)
• 同源

为什么有五种不同的方法？任何后量子密码学原语的安全性都取决于量子计算机无法有效解决特定数学问题的假设。该问题越“结构化”，我们从中构建的密码学协议就越有效。

但这具有双重影响：额外的结构也会为攻击算法利用创造更多的表面积。这产生了一个根本的紧张关系——更强的假设能够实现更好的性能，但以潜在的安全漏洞为代价（也就是说，假设被证明是错误的概率增加）。

一般来说，基于哈希的方法在安全性方面是最保守的，因为我们最有信心量子计算机无法有效攻击这些协议。但它们的性能也是最差的。例如，NIST 标准化的基于哈希的签名即使在最小的参数设置下也有 7-8 KB 的大小。相比之下，今天的基于椭圆曲线的数字签名只有 64 字节。这大约是 100 倍的大小差异。

格方案是当今部署的主要重点。NIST 已经选择标准化的唯一加密方案以及三个签名算法中的两个都基于网格。一种格方案（ML-DSA，以前称为 Dilithium）产生的签名 范围从 2.4 KB（在 128 位安全级别）到 4.6 KB（在 256 位安全级别）——使其比今天的基于椭圆曲线的签名大 40-70 倍。另一种格方案 Falcon 具有 较小的签名（Falcon-512 为 666 字节，Falcon-1024 为 1.3 KB），但带有复杂的浮点运算，NIST 本身将其标记为特殊的实现挑战。Falcon 的创建者之一 Thomas Pornin 称其为“我实现过的最复杂的密码学算法”。

格基方案的实现安全性也比基于椭圆曲线的签名方案更具挑战性：ML-DSA 具有更多的 敏感中间值 和重要的 拒绝抽样逻辑，需要 侧信道 和 容错 保护。Falcon 增加 恒定时间 浮点 问题；事实上，对 Falcon 实现的几次侧信道攻击已经 恢复了密钥。

与密码学上相关的量子计算机的遥远威胁不同，这些问题带来了直接风险。

在部署性能更高的后量子密码学方法时，有充分的理由保持谨慎。从历史上看，领先的候选者，如 Rainbow（一种基于 MQ 的签名方案）和 SIKE/SIDH（一种基于同源的加密方案）被 经典地 打破了，也就是说，使用今天的计算机而不是量子计算机打破了。

这种情况发生在 NIST 标准化过程的后期。这是健康的科学在发挥作用，但它表明过早的标准化和部署会适得其反。

如前所述，互联网基础设施正在采取一种谨慎方法来签名迁移。考虑到互联网的密码学转换一旦开始实际需要花费的时间，这一点尤其值得注意。从 MD5 和 SHA-1 哈希函数（在技术上，Web 管理机构多年前已弃用）的转变花费了许多年的时间才能在整个基础设施中实际实施，并且在某些情况下仍在进行中。发生这种情况的原因是这些 方案 已经 完全 损坏，而不仅仅是可能容易受到未来技术的攻击。

区块链与互联网基础设施的独特挑战

幸运的是，由开源开发者社区积极维护的区块链（如以太坊或 Solana）可以比传统的 Web 基础设施更快地升级。另一方面，传统的 Web 基础设施受益于频繁的密钥轮换，这意味着其攻击面移动的速度比早期量子机器可能定位的速度更快——区块链没有这种奢侈，因为币及其相关的密钥可以无限期地暴露在外。

但总的来说，区块链仍然应该效仿 Web 对签名迁移的谨慎方法。对于签名来说，两种设置都不会受到 HNDL 攻击，并且过早迁移到不成熟的后量子方案的成本和风险仍然非常重要，无论密钥持续存在多长时间。

还有一些区块链特有的挑战，使得过早迁移尤其具有风险和复杂性：例如，区块链对签名方案有独特的要求，特别是快速聚合许多签名的能力。如今，BLS 签名 经常被使用，因为它们可以实现非常快速的聚合，但它们不是后量子安全的。研究人员正在 探索 基于 SNARK 的 后量子签名聚合。这项工作很有前景，但仍处于早期阶段。

特别是对于 SNARK 来说，社区目前主要关注基于哈希的构造，将其作为主要的后量子选项。但是一个重大的转变即将到来：我相信在未来几个月和几年里，基于格的选项将成为有吸引力的替代方案。这些替代方案将在各个方面比基于哈希的 SNARK 具有更好的性能，例如显着更短的证明——类似于基于格的签名比基于哈希的签名短的方式。

现在更大的问题：实现安全性

在未来的几年里，实现漏洞将比密码学上相关的量子计算机带来更大的安全风险。对于 SNARK，主要问题是 错误。

对于数字签名和加密方案来说，错误已经是一个 挑战，而 SNARK 要复杂得多。事实上，数字签名方案可以被视为一种非常简单的 zkSNARK，用于陈述“我知道与我的公钥对应的私钥，并且我授权了此消息。”

对于后量子签名，直接风险还包括实现攻击，例如侧信道和故障注入攻击。这些类型的攻击有据可查，可以从已部署的系统中提取密钥。与遥远的量子计算机可能造成的威胁相比，它们构成了更为紧迫的威胁。

社区将努力多年来识别和修复 SNARK 中的错误，并加强后量子签名实现在侧信道和故障注入攻击方面的防御能力。由于围绕后量子 SNARK 和可聚合签名方案的争论尚未解决，过早过渡的区块链可能会将自己锁定在次优方案中。当更好的选项出现或发现实现漏洞时，它们可能需要再次迁移。

我们应该怎么做？7 个建议

鉴于我在上面概述的现实，我将以对各种利益相关者的建议作为总结——从构建者到政策制定者。总的原则：认真对待量子威胁，但不要假定密码学上相关的量子计算机会在 2030 年之前出现。当前的进展不支持这种假设。尽管如此，我们现在仍然可以而且应该做一些事情：

#1 我们应该立即部署混合加密。

或者至少在长期保密性很重要且成本可以接受的地方。

许多浏览器、CDN 和消息应用程序（如 iMessage 和 Signal）已经部署了混合方法。混合方法 - 后量子 + 经典 - 可防止 HNDL 攻击，同时对后量子方案中的潜在弱点进行对冲。

#2 当基于哈希的签名尺寸可以接受时，立即使用它们。

软件/固件更新 - 以及其他此类低频率、对尺寸不敏感的环境 - 现在应该采用混合的基于哈希的签名。（混合是为了防止新方案中的实现错误，而不是因为对基于哈希的安全假设存在疑问。）

这是保守的，并且在不太可能发生密码学上相关的量子计算机意外出现的情况下，它为社会提供了一个明确的“救生艇”。如果没有已到位的经过后量子签名的软件更新，我们在 CRQC 出现后将面临一个引导问题：我们将无法安全地分发我们需要抵御它的后量子密码学修复程序。

#3 区块链无需匆忙部署后量子签名 - 但应立即开始规划。

区块链开发者应效仿 Web PKI 社区，对后量子签名部署采取谨慎态度。这可以使后量子签名方案在性能和我们对其安全性的理解方面继续成熟。这种方法还使开发人员有时间重新构建系统以处理更大的签名并开发更好的聚合技术。

对于比特币和其他 L1：社区需要定义关于废弃的易受量子攻击资金的迁移路径和政策。被动迁移是不可能的，因此规划至关重要。而且由于比特币面临着主要是非技术性的特殊挑战 - 缓慢的治理，以及大量高价值的潜在废弃易受量子攻击的地址 - 特别重要的是比特币社区现在开始规划。

同时，我们需要让对后量子 SNARK 和可聚合签名的研究成熟（可能还需要几年时间）。同样，过早迁移可能会锁定到次优方案或需要再次迁移以解决实现错误。

关于以太坊账户模型的说明：以太坊支持两种账户类型，它们对后量子迁移具有不同的影响 - 外部拥有账户 (EOA)，由 secp256k1 私钥控制的传统账户类型；以及具有可编程授权逻辑的智能合约钱包。 在以太坊添加后量子签名支持的非紧急情况下，可升级的智能合约钱包可以通过合约升级切换到后量子验证——而EOA可能需要将其资金转移到新的后量子安全地址（尽管以太坊很可能也会为EOA提供专门的迁移机制）。在量子紧急情况下，以太坊研究人员提出了一个硬分叉计划，以冻结易受攻击的账户，并允许用户通过使用后量子安全SNARK证明其助记词知识来恢复资金。这种恢复机制将适用于EOA和任何尚未升级的智能合约钱包。

对用户的实际意义：经过良好审计、可升级的智能合约钱包可能提供稍微更顺畅的迁移路径——但差异很小，并且伴随着对钱包提供商和升级治理的信任方面的权衡。比账户类型更重要的是，以太坊社区继续其在后量子原语和紧急响应计划方面的工作。

对构建者的更广泛的设计经验：如今，许多区块链将账户身份与特定的密码学原语紧密结合——比特币和以太坊使用secp256k1上的ECDSA签名，其他区块链使用EdDSA。后量子迁移的挑战凸显了将账户身份与任何特定签名方案解耦的价值。以太坊转向智能账户和 类似 账户抽象 工作 在其他链上反映了这一趋势：允许账户升级其身份验证逻辑，而无需放弃其链上历史和状态。这种解耦不会使后量子迁移变得微不足道，但它确实比将账户硬连接到单个签名方案提供更大的灵活性。（这也支持了不相关的功能，如赞助交易、社交恢复和多重签名）。

4 对于加密或隐藏交易细节的隐私链，如果性能可以容忍，请优先考虑尽早过渡。

这些链上的用户机密性目前暴露于HNDL攻击，尽管不同设计的严重程度各不相同。仅公共账本就能实现完全回溯去匿名化的链面临最紧迫的风险。

考虑混合（后量子+经典）方案，以防止表面上是后量子的方案最终在经典上也不安全，或者实施避免将可解密秘密放在链上的架构变更。

5 在短期内优先考虑实现安全性——而不是量子威胁缓解。

特别是对于像SNARK和后量子签名这样复杂的密码学原语，在未来几年内，漏洞和实现攻击（侧信道攻击、故障注入）将比密码学相关的量子计算机带来更大的安全风险。

现在就投资于审计、模糊测试、形式验证和深度防御/分层安全方法——不要让对量子的担忧掩盖了漏洞这个更为紧迫的威胁！

6 资助量子计算发展。

上述所有内容的一个重要的国家安全含义是，我们需要维持对量子计算的资金和人才发展。

一个主要对手在美国之前获得密码学相关的量子计算能力将对我们和世界其他国家构成严重的国家安全风险。

7 对量子计算公告保持客观。

随着量子硬件的成熟，未来几年将会有许多里程碑。矛盾的是，这些公告的频繁出现本身就证明了我们离密码学相关的量子计算机还有多远：每个里程碑都代表了我们在到达该点之前必须跨越的许多桥梁之一，并且每个里程碑都会产生自己的头条新闻和兴奋浪潮。

将新闻稿视为需要批判性评估的进度报告，而不是采取突发行动的提示。

当然，可能会有令人惊讶的发展或创新加速预计的时间表，就像可能存在严重的扩展瓶颈会延长它们一样。

我不会争辩说五年内出现密码学相关的量子计算机是完全不可能的，只是极不可能。上述建议对这种不确定性具有鲁棒性，并且遵循这些建议可以避免更直接、更可能的风险：实现错误、仓促部署以及密码学转换出错的普通方式。Justin Thaler ( @SuccinctJT ) 是a16z的研究合伙人，也是乔治城大学计算机科学系的副教授。他的研究兴趣包括可验证计算、复杂性理论和海量数据集算法。

• 原文链接： x.com/a16zcrypto/status/...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～