谷歌量子计算对以太坊安全的影响

首先。深呼吸。目前一切还好。

（底部的底部有该摘要的摘要）

背景 (Context)

来自谷歌、伯克利、斯坦福和以太坊基金会的研究人员发表了一篇关于实质性量子算法优化及其对加密货币影响的论文。

这里一些必要的背景是，量子计算在很大程度上是炒作。它通过炒作和投机来获取关注，并因此获得持续的资金。

这并不是说这不是一个实质性的优化——它确实是——但我们在阅读有关量子密码分析的内容时应该意识到这一背景。我们有时间进行分类处理和迭代，考虑到涉及 NSA（美国国家安全局）和 NIST（美国国家标准与技术研究院）的历史，对于 NIST 推荐的晶格（Lattice）应当首先持怀疑态度。

我们在讨论什么 (What We're Talking About)

该论文针对的是比特币（推测是出于对 SECP256R1/P256 的怀疑）和许多其他链使用的 SECP256K1 (K256) 曲线。我们将在本次分析中重点关注以太坊网络，因为 Monero 使用不同的曲线，而比特币在这一特定背景下既不提供隐私也不提供可编程性。

Monero 曲线 (ed25519) 并未被明确作为目标，尽管论文提到它被攻破的难度可能并不比 K256 曲线高出一个数量级。

在量子搜索算法下，寻找哈希摘要（如 SHA256 或 KECCAK256）的原像（pre-image）确实会有微小的加速，但这种改进不是指数级的。它并不会对这些哈希算法构成合理的威胁，而且这篇论文也没有改进攻击它们的算法。

时间表 (Timelines)

NIST 通常负责处理美国政府的密码学标准和安全公告。2024 年 11 月发布的 NIST 内部报告 8547 标志着：使用 RSA 和椭圆曲线离散对数问题的密钥交换和签名协议将在 2030 年前弃用，并于 2035 年前禁止使用。这是由于 Shor 算法能够针对离散对数问题提供指数级的加速。

该论文证明了一种优化方案，可以大幅减少实际攻击 K256 所需的逻辑量子比特（logical qubits）和 Toffoli 门（这两者都是 Shor 算法的瓶颈）。它建议尽早而非推迟弃用，尽管它没有给出具体的日期。

虽然没有对 BN254 或 BLS12-381 等其他椭圆曲线进行建模，但论文提到攻击它们的难度不应显著高于 K256。这使得双线性配对（bilinear pairings）通常更容易受到攻击，并可能允许恢复多项式承诺系统（如 zk-SNARK 设置中使用的 KZG）的“有毒废料 (toxic waste)”。

以太坊面临的风险 (Risks For Ethereum)

该论文确定了以太坊的五类漏洞：

• 账户 (Account)
• 管理 (Admin)
• 代码 (Code)
• 共识 (Consensus)
• 数据可用性 (Data Availability)

账户和管理 (Account and Admin)

由于账户地址是 K256 公钥的截断哈希摘要，未发送过交易或未发布过签名（如 permit 签名）的账户不会暴露其公钥。这意味着它们目前还不受威胁。

然而，一旦账户发布了签名，公钥就可以被恢复，从而使其面临攻击。

“管理”漏洞是指应用于特权地址的账户漏洞。M-of-N 多重签名账户需要 M 个账户被攻破，但在其他方面则毫无防备。这意味着可配置的合约可以被操纵，可升级的代理智能合约可能会被替换为提取器（drainer）合约以窃取 Token。

代码 (Code)

此漏洞是指依赖于使用非抗量子密码原语的预编译合约（precompiles）的合约。目前，这些包括：

• K256 ECDSA
• P256 ECDSA
• KZG 多项式承诺证明
• BN254 点运算和双线性配对
• BLS12-381 点运算和双线性配对

P256 ECDSA 预编译合约将账户问题扩展到了使用 P256 曲线的智能账户，例如由 iOS 和 Android 安全隔离区 (secure enclave) 签名（面容 ID、指纹）身份验证的账户。

BN254 和 BLS 曲线用于隐私协议和 Layer 2 Rollups 中的 zk-SNARKs。从这些设置中恢复“有毒废料 (toxic waste)”将允许攻击者在任何依赖该承诺的系统上伪造证明。

共识 (Consensus)

以太坊在其共识算法中使用 BLS12-381 进行签名聚合。其影响因网络受损部分的比例而异：

• 攻破验证者： 可以强制进行权益罚没 (slash)。
• 攻破超过 1/3： 可以拒绝终局性 (finality)。
• 攻破超过 1/2： 可以影响分叉选择并强制进行深度重组 (reorganization)。
• 攻破超过 2/3： 灾难性的；需要进行网络外恢复。

数据可用性 (Data Availability)

以太坊的 Blob 系统使用带有 KZG 承诺证明的数据可用性采样。如果设置中的有毒废料被恢复，就可以创建伪造的数据可用性证明，从而给依赖 Blob 存储进行状态转换的 Layer 2 带来问题。

后量子问题 (The Post Quantum Problem)

直接的解决方案是迁移到基于晶格 (Lattice) 或哈希的系统。NIST 已制定了以下标准：

• (FIPS 203) 基于模块晶格的密钥封装机制
• (FIPS 204) 基于模块晶格的数字签名
• (FIPS 205) 无状态基于哈希的数字签名

然而，由于 NSA 的介入，NIST 标准在历史上一直备受质疑。历史案例包括 EFF DES 破解器、NSA 在 Dual EC DRBG 上的后门，以及 NIST 在后量子密码学中涉及 NSA 方面的透明度不足。

像 D.J. Bernstein 这样的知名专家强调了基于晶格 (Lattice) 密码学的巨大攻击面，以及这些实现在针对新攻击向量时仍在不断演变的事实。

要点 (Takeaways)

我们还有几年的时间。我们应该快速但谨慎地进行调整。理想情况下，我们应该使用模块化身份验证系统，以方便未来进行更快的迭代。

我们必须认识到密码学是瞬态的；它为数据在被解密前变得无操作价值争取了时间。我们还需要意识到像 NSA 这样的机构可能会如何尝试在后量子套件中注入后门。

下次再见 💜

• 原文链接： x.com/jtriley2p/status/2...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～