a16z深度研报：量子计算对区块链的威胁被夸大，但比特币需未雨绸缪

近期，量子计算对区块链安全的潜在威胁再次成为业内热议的焦点。Jefferies全球股票策略主管Wood甚至公开表示，鉴于量子计算可能危及BTC的加密算法和安全性，他已将其模型组合中10%的BTC配置移除，转而投资实物黄金和黄金矿业股。

那么，当前量子计算技术的实际发展状况如何？量子计算机是否真的会对区块链的加密算法构成实质性威胁？

为解答这些问题，我们编译了美国顶尖风险投资机构a16z发布的专题研究报告，深入剖析了量子计算与加密算法相关的议题。

a16z的这份深度研报总结出以下几个核心要点：

1）量子威胁被夸大，目前量子计算仍处于非常早期阶段

短期内能够实际破解加密算法的量子计算机（CRQC）出现的可能性极低。

许多新闻报道通过“量子优势”“逻辑量子比特”等术语混淆视听，容易让人误判技术进展。

2）加密与签名面临的风险截然不同，应对紧迫性也应有所区分

• 加密（通信保密）需要尽早进行后量子化处理：因为HNDL攻击（先存储密文，未来量子技术成熟后再解密）已成为现实中的潜在威胁。

• 签名（区块链用于授权转账）无需立即全网切换：由于签名不涉及“今天存储、未来解密”的风险，只有在量子计算机真正出现后才可能出现伪造的可能性。

3）大多数区块链不受HNDL攻击影响，但比特币需提前规划

• BTC、ETH等非隐私链主要依赖签名，因此无需因担心HNDL攻击而立即迁移。

• BTC的主要压力来自其自身：升级缓慢、迁移需用户主动配合、大量可能长期不动的老币、暴露公钥的币难以保护，因此必须提前多年规划迁移，而不是等到量子威胁临近时再行动。

4）具体行动建议

• 从事长期保密通信、密钥交换的系统应尽快采用混合后量子方案。

• 从事公链、钱包、签名体系开发的团队，无需立即切换到后量子方案，但应开始设计迁移路线、应急预案以及老地址和遗失资产的处理规则。

• 更现实的安全重点仍是 bug和技术漏洞，优先做好工程安全或许比担忧量子威胁更有意义。

以下是经过编译后的完整研报内容，供读者参考：

关于“对密码学构成实质威胁”的量子计算机的时间表，经常被夸大——这也引发了要求立即全面转向后量子密码学（post-quantum cryptography）的呼声。

然而，这些呼声往往忽视了过早迁移的成本与风险，也忽略了不同密码学原语（cryptographic primitives）之间截然不同的风险画像：

• 后量子加密尽管代价高昂，也需要尽快部署：因为“先收集、后解密”（Harvest-now-decrypt-later，HNDL）攻击已经在发生——今天被加密的敏感数据，即便量子计算机要几十年后才出现，届时仍可能有价值。后量子加密确实存在性能开销与实现风险，但对那些需要长期保密的数据来说，HNDL攻击让我们几乎没有选择。

• 后量子签名则是另一套算账方式。它不受HNDL攻击影响，而其成本与风险（体积更大、性能开销、实现尚不成熟、以及漏洞）意味着应该审慎推进，而不是立刻迁移。

• 这些区别非常关键。错误认知会扭曲成本收益分析，让团队忽视更现实、更紧迫的安全风险——比如软件缺陷（bugs）。

要成功完成向后量子密码学的迁移，真正的挑战是：让紧迫性与真实威胁相匹配。下面我会澄清关于量子威胁与密码学的一些常见误解——涵盖加密、签名与零知识证明，并特别讨论它们对区块链的影响。

量子计算的进展到哪一步了？

在2020年代出现“对密码学构成实质威胁”的量子计算机（CRQC，cryptographically relevant quantum computer）几乎不可能，尽管有些高调说法暗示相反。

这里所说的CRQC，是指一种可容错、具备纠错能力的量子计算机，能够在足够规模上运行Shor算法，从而在合理时间内攻击椭圆曲线密码或RSA（例如，在最多约一个月的持续计算内攻破secp256k1或RSA-2048）。

从公开里程碑与资源估算的任何合理解读来看，我们距离CRQC都还非常远。一些公司声称CRQC可能在2030年前或远早于2035年出现，但公开可见的进展并不支持这些说法。

作为参照：在现有所有主流路线——离子阱、超导量子比特、中性原子系统——今天没有任何平台接近运行Shor算法所需的几十万到上百万个物理量子比特（具体数量取决于误差率与纠错方案），更不用说对RSA-2048或secp256k1做实用级别的攻击。

瓶颈不仅是量子比特数量，还包括操作保真度、量子比特连接性，以及运行深层量子算法所需要的、可持续的纠错电路深度。尽管一些系统的物理量子比特已超过1000个，但仅看数量会误导：这些系统缺乏进行“对密码学有意义的计算”所必需的连接性与门保真度。

近期系统的物理误差率接近“量子纠错开始有效工作”的区间，但至今也没人展示过超过少量逻辑量子比特，并具备可持续的纠错电路深度……更不用说真正运行Shor算法所需要的、数千个高保真、深电路、可容错的逻辑量子比特。从“证明量子纠错原理可行”到“达到可用于密码分析的规模”，中间仍有巨大的鸿沟。

简言之：在量子比特数量与保真度都提升几个数量级之前，CRQC仍然遥不可及。

不过，企业新闻稿与媒体报道很容易让人混淆。常见误解包括：

• 声称实现了“量子优势”的演示，往往针对人为设计的任务。这些任务不是因为有实际用途，而是因为它们能在现有硬件上运行，同时看起来展示了巨大的量子加速——而这一点常常在发布中被刻意淡化。

• 有公司宣称拥有数千个物理量子比特，但这通常指的是量子退火机，而非运行Shor算法、攻击公钥密码所需的门模型量子计算机。

• 有公司大量使用“逻辑量子比特”一词。物理量子比特有噪声，量子算法需要逻辑量子比特；而Shor算法需要数千个逻辑量子比特。通过量子纠错，可以用许多物理量子比特来构造一个逻辑量子比特——通常每个逻辑比特要用几百到几千个物理比特，取决于误差率。但有些公司把这个词用到面目全非：例如某次公告声称用一种距离为2的编码、每个逻辑比特只需两个物理比特，就实现了48个逻辑比特。这很荒谬：距离为2的编码只能检测错误，不能纠正错误。用于密码分析的真正可容错逻辑量子比特，每个都需要几百到几千个物理量子比特，而不是两个。

• 更普遍地说，许多路线图把只能支持Clifford操作的量子比特也称作“逻辑量子比特”。但Clifford操作可被经典计算机高效模拟，不足以运行Shor算法；Shor需要大量纠错后的T门（或更一般的非Clifford门）。

• 即便路线图写着“到某年实现数千逻辑量子比特”，也不等于同一年就能运行Shor算法去破解传统密码学。

这些做法严重扭曲了公众（甚至不少专业观察者）对我们距离CRQC有多近的判断。

当然，也确实有专家对进展感到兴奋。比如Scott Aaronson近期写道，考虑到“当前惊人的硬件进步速度”，

他认为在下一次美国总统大选之前，我们“有可能”看到一台可容错的量子计算机运行Shor算法。

但Aaronson随后澄清，他所说并不意味着CRQC：哪怕完整可容错地运行Shor算法只分解出15=3×5（用纸笔都更快），他也算达成。门槛仍是极小规模的Shor执行，而不是具备密码学相关性的那种；此前在量子计算机上“分解15”的实验，多使用的是简化电路而非完整可容错的Shor。并且这些实验总爱选15也有原因：模15的算术很容易，而哪怕稍大一点的21都难得多。因此，声称分解21的量子实验往往依赖额外提示或捷径。

归根结底：认为未来5年内会出现能在实践上攻破RSA-2048或secp256k1的CRQC（这才是现实密码学真正关心的）——这一预期缺乏公开进展的支撑。

即使给到10年也仍然是激进的时间表。考虑到我们距离CRQC仍很远，对进展感到兴奋，与“十年以上的时间线”完全可以同时成立。

那么，美国政府为何把2035作为政府系统全面完成后量子迁移的目标节点？我认为这对如此大规模的迁移来说是合理的完成时间表。但这并不是在预测届时一定会出现CRQC。

HNDL攻击适用在哪里（以及不适用在哪里）？

“先收集、后解密”（HNDL）指的是：攻击者现在就大规模存储加密通信，等未来出现CRQC后再解密。国家级对手很可能已经在对美国政府等目标的加密通信做规模化归档，以便在多年后CRQC出现时进行解密。

这就是为什么加密需要尽早转向——至少对那些有10–50年以上保密需求的人而言。

但数字签名（几乎所有区块链都依赖它）与加密不同：签名不涉及“保密性”，不存在可被“事后解密”的秘密。

换句话说，若CRQC到来，从那一刻起确实可能伪造签名；但过去的签名并不像加密消息那样“藏着秘密”。只要你知道某个签名是在CRQC出现之前生成的，它就不可能是伪造的。

因此，迁移到后量子数字签名的紧迫性，低于加密的后量子迁移。

大型平台也在按这个逻辑行动：Chrome和Cloudflare已在TLS中部署了X25519+ML-KEM的混合方案用于传输层加密（为便于表述我用“加密方案”，严格说TLS采用的是密钥交换或密钥封装机制，而非公钥加密本身）。

这里的“混合”是指把一个后量子安全方案（ML-KEM）与现有方案（X25519）叠加，获得两者合并后的安全保证：既希望用ML-KEM抵御HNDL攻击，同时也保留X25519的经典安全性，以防ML-KEM事实证明即使对今天的计算机也不安全。

苹果iMessage也用PQ3协议部署了类似的混合后量子加密，Signal则在PQXDH与SPQR协议中做了相同方向的部署。

相较之下，关键Web基础设施上的后量子数字签名推广被刻意延后，直到CRQC真正临近才会加速，因为现有后量子签名方案会带来明显的性能回退（后文会展开）。

zkSNARK（零知识简洁非交互知识证明）——对区块链的长期扩容与隐私至关重要——在风险形态上与签名类似。原因是：即便某些zkSNARK不是后量子安全的（它们使用椭圆曲线密码学，就像今天的非后量子加密与签名一样），它们的零知识性质仍然是后量子安全的。

零知识性质保证证明不会泄露关于秘密见证（witness）的任何信息——即使面对量子对手也不会——因此不存在可以“现在收集、以后解密”的机密信息。

因此，zkSNARK不受HNDL攻击影响。就像今天生成的非后量子签名仍然安全一样，只要zkSNARK证明是在CRQC到来之前生成的，它就可信（即被证明的陈述必然为真）——哪怕该zkSNARK依赖椭圆曲线密码学。只有在CRQC到来之后，攻击者才可能为“假陈述”伪造看似可信的证明。

这对区块链意味着什么？

大多数区块链并不暴露在HNDL攻击下：

• 多数非隐私链（如今天的Bitcoin与Ethereum）使用非后量子密码学，主要是为了交易授权——也就是使用数字签名，而不是加密。

• 再强调一次：签名不存在HNDL风险；HNDL针对的是加密数据。例如比特币链上数据是公开的，量子威胁是伪造签名（推导私钥盗币），而不是“解密已公开的交易数据”。因此，HNDL不会带来“立刻必须迁移”的密码学紧迫性。

遗憾的是，甚至一些可信来源（如美联储）的分析也曾错误声称比特币易受HNDL攻击，这会夸大向后量子密码迁移的紧迫性。

当然，紧迫性降低不等于比特币可以拖延：它面临的是另一类时间压力——改变协议所需的巨大社会协调成本（下文会更详细讨论比特币的独特挑战）。

截至目前的例外是隐私链：其中许多链会加密或隐藏收款方与金额。这类保密性可以被现在就“收集”，并在未来量子计算机能攻破椭圆曲线密码后被追溯性去匿名化。

对隐私链而言，攻击严重程度取决于链的设计。例如Monero的基于曲线的环签名与key image（每个输出的可链接标签，用于防止双花）使得仅凭公开账本就可能在事后重建大量支出关系图。而在其他设计中，损害更有限——可参考Zcash密码工程师与研究员Sean Bowe的讨论。

如果用户确实重视“即使未来出现CRQC也不应暴露其交易”，那么隐私链应在可行且性能可接受时尽快迁移到后量子原语（或混合方案），或采用避免把可解密秘密放上链的架构。

比特币的特殊麻烦

对比特币而言，推动开始向后量子签名切换的紧迫性主要来自两点现实，而且这两点都与量子技术本身无关。

第一是治理速度：比特币升级极慢。一旦出现争议，社区可能无法就合适方案达成一致，从而触发破坏性的硬分叉。

第二是：比特币迁移到后量子签名无法被动完成，持币者必须主动迁移。也就是说，那些被遗弃、但暴露在量子风险下的币无法被保护。有些估计认为，这类“量子脆弱且可能被遗弃”的BTC数量达到数百万枚，按2025年12月的价格计价值可能高达数千亿美元。

不过，量子对比特币的威胁不会是一夜之间的末日，而更像是“选择性、渐进式”的打击过程。量子计算机不会同时破解所有密钥——Shor算法必须逐个公钥去攻击。早期量子攻击会极其昂贵且缓慢，因此一旦量子计算能破解单个比特币签名密钥，攻击者会优先盯上高价值钱包。

此外，只要用户避免地址复用，并且不使用会在链上直接暴露公钥的Taproot地址，即便不改协议也在很大程度上是安全的：他们的公钥在花费前都隐藏在哈希函数之后。等他们广播花费交易时，公钥才会显现，此时会出现一场短暂的“实时竞赛”：诚实花费者希望交易尽快确认，而拥有量子能力的攻击者试图在交易最终确认前推导私钥并抢先花费。因此，真正脆弱的是那些公钥已经暴露在链上的币：早期的P2PK输出、复用地址，以及Taproot持仓。

对于已被遗弃的脆弱币，没有简单解法。可能的选择包括：

• 社区设定一个“旗日”（flag day），此后所有未迁移的币被视为销毁；

• 继续让这些被遗弃且量子脆弱的币保持可被任何拥有CRQC的人夺取。

第二种选择会引发严重的法律与安全问题：即便声称拥有合法所有权或出于善意，使用量子计算机在没有私钥的情况下“夺取”币，在许多司法辖区都可能触及盗窃与计算机欺诈相关法律。

更进一步，“被遗弃”本身只是基于长期不动用的推断，没人能确定这些币是否仍有在世且持有密钥的主人。你能证明自己曾拥有这些币，也未必构成足够的法律授权，让你去“破解加密保护”把它们找回。这种法律不确定性反而会提高风险：最终更可能是无视法律约束的恶意行为者拿走这些币。

比特币还有一个现实限制：吞吐量低。即便迁移方案确定，把所有量子脆弱资金迁移到后量子安全地址，在比特币当前的交易速率下也需要数月。

这些挑战意味着：比特币必须从现在开始规划后量子迁移——并不是因为2030年前出现CRQC的概率高，而是因为治理、协调与迁移数十亿乃至数千亿美元资金的技术与运营安排，本身就需要很多年。

量子对比特币的威胁是真实的，但时间压力主要来自比特币自身的约束，而非“量子计算机即将到来”。其他区块链也会面临量子脆弱资金的迁移难题，但比特币尤其暴露：其最早期交易使用了把公钥直接放上链的P2PK输出，使得相当一部分BTC更易被CRQC攻击。这个技术差异叠加比特币的历史长、价值集中、吞吐量低与治理僵硬，使问题更为严重。

需要注意：上述脆弱性针对的是比特币数字签名的密码学安全性，但并不直接等同于比特币区块链的经济安全性。后者来自工作量证明（PoW）共识机制，它对量子计算的脆弱性相对小，原因有三：

• PoW依赖哈希，因此只会受到Grover搜索算法带来的二次方级加速，而不会受到Shor算法的指数级加速。

• Grover搜索在现实实现中有很高的工程开销，因此量子计算机在比特币PoW上取得哪怕小幅真实加速的概率也不大。

• 即便实现了显著加速，也更可能让大型量子矿工相对小矿工更有优势，而不会从根本上击穿比特币的经济安全模型。

后量子签名的成本与风险

要理解为什么区块链不应急于部署后量子签名，需要同时理解性能成本，以及我们对后量子安全性的信心仍在演进。

大多数后量子密码学大致基于五类方法：

• 哈希

• 纠错码

• 格

• 多变量二次方程系统（MQ）

• 同源（isogeny）

为什么会有这么多路线？因为任何后量子密码原语的安全性都基于一个假设：量子计算机无法高效求解某个特定数学问题。这个问题结构越强，我们越能构造更高效的协议。

但这也是双刃剑：结构越多，攻击算法可利用的“攻击面”也越大。于是形成一个根本张力：更强的假设可能带来更好的性能，但同时也增加假设出错、从而出现安全漏洞的可能性。

总体而言，基于哈希的方案在安全假设上最保守，因为我们更有把握量子计算机无法高效攻击这类协议；但它们的性能最差。例如NIST标准化的哈希签名即便在最小参数下也有7–8KB的大小。相比之下，今天基于椭圆曲线的数字签名只有64字节，体积差异约100倍。

格方案是当下部署的重点。NIST已选定用于标准化的唯一加密方案，以及三种签名算法中的两种，都基于格。其中一个格签名方案ML-DSA（原Dilithium） 的签名大小大约在2.4KB（128位安全级）到4.6KB（256位安全级）之间，约为当前椭圆曲线签名的40–70倍。另一个格方案Falcon的签名更小（Falcon-512为666字节，Falcon-1024为1.3KB），但它涉及复杂的浮点运算，NIST自己也把这点标记为特殊的实现挑战。Falcon的作者之一Thomas Pornin甚至称其为“我实现过的最复杂的密码算法”。

在实现安全方面，格签名也比椭圆曲线签名难得多：ML-DSA拥有更多敏感中间值以及非平凡的拒绝采样逻辑，需要额外防护侧信道与故障攻击；Falcon还叠加了常数时间浮点实现的难题。实际上，针对Falcon实现的若干侧信道攻击已经能恢复私钥。

这些问题带来的是当下的现实风险，而不是遥远的CRQC风险。

谨慎部署更高性能的后量子方案是有充分理由的：历史上，一些领先候选（例如基于MQ的签名方案Rainbow，以及基于同源的加密方案SIKE/SIDH）最终都被经典计算机攻破——也就是说，是被今天的计算机攻破的，不是被量子计算机。

而且这些破解发生在NIST标准化流程推进到很后期时。这说明科学过程在发挥作用，但也提醒我们：过早标准化与部署可能适得其反。

正因如此，互联网基础设施在签名迁移上采取了更审慎的策略。这点尤其值得注意，因为互联网的密码迁移一旦启动，往往需要非常长的时间。比如从MD5与SHA-1的迁移——这些哈希函数早已在技术上被相关机构宣布弃用——真正落地到基础设施层面仍花了多年，在一些场景里甚至至今未完全完成。更何况这些算法不是“未来可能不安全”，而是已经被彻底攻破。

区块链相比互联网基础设施的独特挑战

好的一面是，像以太坊或Solana这类由开源社区持续维护的区块链，升级速度可能快于传统互联网基础设施。另一方面，传统互联网基础设施受益于频繁的密钥轮换，使其攻击面移动得比早期量子机器逐个攻击密钥更快——而区块链没有这份“奢侈”：币与其对应密钥可能长期暴露不变。

但总体而言，区块链仍应遵循互联网在签名迁移上的“审慎推进”策略：两者在签名层面都不面临HNDL攻击，而过早迁移到不成熟后量子方案的成本与风险依然很大，不会因为密钥持久性而消失。

另外，区块链还有一些特定需求会让过早迁移更复杂、更危险：例如区块链常需要快速聚合大量签名。今天广泛使用BLS签名，正是因为它支持非常高效的聚合，但它并不具备后量子安全性。研究者正在探索用SNARK来聚合后量子签名，这方向很有前景，但仍处在早期。

就SNARK而言，社区目前把基于哈希的构造视为后量子的主流选项。但我确信未来几个月到几年会出现格基选项，成为有吸引力的替代：它们在多方面性能更好，比如证明长度显著更短——类似于格签名相对哈希签名更短的那种优势。

当下更大的问题：实现安全

在未来很多年里，实现层漏洞会比CRQC带来更大的安全风险。对SNARK来说，首要问题就是bug。

数字签名与加密方案本来就容易出实现漏洞，而SNARK复杂得多。事实上，数字签名可以被视为一种非常简单的zkSNARK：证明“我知道与该公钥对应的私钥，并且我授权了这条消息”。

对后量子签名来说，眼下的风险还包括侧信道与故障注入等实现攻击。这类攻击早已被充分研究，并且确实能从已部署系统中提取私钥；它们远比遥远的量子计算机更迫近。

社区需要多年时间来发现与修复SNARK的漏洞，并把后量子签名实现加固到能抵御侧信道与故障注入攻击。由于后量子SNARK与可聚合签名方案的路线仍未稳定，区块链若过早迁移，可能会把自己