被误读的“量子霸权”，2030年前你都不需要慌

现在，关于“密码学有关的量子计算机（CRQC）”何时诞生，市场上的预测总是过于激进且夸大——这致使大家呼吁立即、全方位地向后量子密码学迁移。

但这类呼吁总是忽略了过早迁移的本钱和风险，也忽视了不同密码学原语之间完全不同的风险属性：

后量子加密（Post|quantum encryption）确实需要立即部署，尽管本钱高昂： “先截获，后解密”（HNDL）的攻击已经在发生。今天加密的敏锐数据，即便在几十年后量子计算机出现时，依旧可能具备价值。虽然推行后量子加密会带来性能开销和实行风险，但面对 HNDL 攻击，那些需要长期保密的数据别无选择。后量子签名（Post|quantum signatures）则面临完全不一样的计算逻辑： 它们并不受 HNDL 攻击的影响。而且，后量子签名的代价和风险（体积更大、性能更差、技术不成熟与潜在的 Bug）决定了大家需要采取再三考虑的、而非火急火燎的迁移方案。

厘清这类不同至关要紧。误解会扭曲本钱效益剖析，致使团队忽略了眼前更致命的安全风险——譬如代码 Bug。

在向后量子密码学迁移的过程中，真正的挑战在于将紧迫感与实质威胁相匹配。下文将通过涵盖加密、签名和零常识证明（尤其是其对区块链的影响），来澄清关于量子威胁的容易见到误区。

大家离量子威胁有多远？

尽管外面炒作得沸沸扬扬，但在 2020 年代出现“密码学有关的量子计算机（CRQC）”的可能性极低。

我所说的“CRQC”，是指一台具备容错能力、经过纠错的量子计算机，其规模足以在适当的时间内运行 Shor 算法来攻击椭圆曲线密码学或 RSA（比如，在最多一个月内破解 secp256k1 或 RSA|2048）。

通过对公共里程碑和资源估算的合理研读，大家距离造出如此的机器还差得非常远。虽然有的公司声称 CRQC 可能在 2030 年之前或 2035 年之前出现，但现在公开已知的进展并不支持这类说法。

客观来看，纵览目前所有些技术构造——离子阱、超导量子比特、中性原子系统——今天没任何一个平台能接近运行 Shor 算法所需的数十万到数百万个物理量子比特（具体取决于错误率和纠错策略）。

限制原因不止是量子比特的数目，还包含门保真度（Gate Fidelities）、量子比特连接性，与运行深度量子算法所需的持续纠错电路深度。虽然有的系统目前的物理量子比特数超越了 1,000 个，但单纯看数目是误导性的：但单纯看数目极具欺骗性：这类系统缺少进行密码学有关计算所需的连接性和保真度。

近期的系统在物理错误率上开始接近量子纠错起效的门槛，但还没人能展示出超越几个具备持续纠错电路深度的逻辑量子比特……更不需要说运行 Shor 算法实质所需的数千个高保真、深电路、容错的逻辑量子比特了。从“证明量子纠错在原理上可行”到“达到密码剖析所需的规模”，这中间的鸿沟依旧巨大。

简而言之：除非量子比特的数目和保真度都提升几个数目级，不然 CRQC 仍然遥不可及。

然而，大家比较容易被企业的公关稿和媒体报道搞糊涂。这里有一些容易见到的误解源头：

声称“量子优势”的演示： 这类演示现在针对的是人为设计的任务。选择这类任务不是由于它们实用，而是由于它们可以在现有硬件上运行，并表现出巨大的量子加速——这一点在公告中总是被掩盖。声称拥有数千个物理量子比特的公司： 这一般指的是量子退火机（Quantum Annealers），而不是运行 Shor 算法攻击公钥密码学所需的门模型机器。滥用“逻辑量子比特”一词： 而量子算法（如 Shor 算法）需要数千个稳定的逻辑量子比特。通过量子纠错，大家可以用很多物理量子比特来达成一个逻辑量子比特——一般需要数百到数千个。但有的公司已经把这个词滥用到了不靠谱的地步。比如，近期一项公告声称用每一个逻辑量子比特仅两个物理量子比特就达成了 48 个逻辑量子比特。这种低冗余代码只能测试错误，不可以纠正错误。真正的用于密码剖析的容错逻辑量子比特，每个都需要数百到数千个物理量子比特。玩弄概念： 很多路线图用“逻辑量子比特”来指代仅支持 Clifford 操作的量子比特。这类操作可以被经典计算机高效模拟，因此根本不足以运行 Shor 算法。

即便某个路线图的目的是“在 X 年达成数千个逻辑量子比特”，这并不意味着该公司预计在那一年就能运行 Shor 算法破解经典密码学。

这类营销推广手法紧急扭曲了公众（甚至包含一些资深察看家）对量子威胁迫近程度的认知。

尽管这样，一些专家确实对进展感到开心。Scott Aaronson 近期曾表示，鉴于硬件进展的速度，他觉得“在下一届美国总统大选前达成容错量子计算机运行 Shor 算法是可能的”。但他也明确说明，这不等同于能威胁密码学的 CRQC：即使只不过在容错体系下分解 15 = 3 × 5，也算“预言成功”。这显然与破解 RSA|2048 不在同一量级。

事实上，所有“分解 15” 的量子实验都用简化电路，而不是完整的容错 Shor 算法；而分解 21 都需要额外提示和捷径。

简单来讲，没任何公开进展能证明，大家能在将来 5 年内造出一台破解 RSA|2048 或 secp256k1 的量子计算机。

十年之内也仍是很激进的预测。

美国政府提出要在 2035 年前完成政府系统的后量子迁移，这是迁移项目本身的时间表，并非预测那时 CRQC 会出现

HNDL 攻击适用于哪类密码体系？

“HNDL（Harvest Now, Decrypt Later）”指攻击者目前存储加密通信，待将来量子计算机出现后再解密。

国家级对手非常可能已经在大规模存档美国政府的加密通信，以便将来解密。因此，加密体系需要立即迁移，特别是保密期限在 10–50 年以上的场景。

但，所有区块链所依靠的数字签名（Digital Signatures）与加密不同：它没机密信息可供追溯性攻击。

换言之，当量子计算机出现时，确实能从那一刻开始伪造签名，但过去的签名不会遭到影响——由于它们没秘密可泄露，只须能证明签名产生于 CRQC 出现之前，它就不可能被伪造。

因此，迁移到后量子签名的紧迫性远低于加密迁移。

主流平台也采取了对应方案：

Chrome 与 Cloudflare 已为 TLS 部署混合模式的 X25519+ML|KEM。Apple iMessage（PQ3）与 Signal（PQXDH、SPQR）也部署了混合后量子加密。

但后量子签名在重点 Web 基础设施上的部署则被刻意延后——只能在 CRQC 真正临近时进行，由于后量子签名现在的性能回退仍然显著。

zkSNARKs（一种零常识简洁非交互常识论证技术）的状况也类似签名。即便用椭圆曲线（非 PQ 安全），其零常识性在量子环境下仍然成立。

零常识保证证明不会泄露任何秘密见证，因此攻击者没办法“目前采集证明，将来再解密”。 因此，zkSNARKs 不容易遭到 HNDL 攻击。就像今天生成的签名是安全的一样，任何在量子计算机出现之前生成的 zkSNARK 证明都是可信的——即便该 zkSNARK 用了椭圆曲线密码学。只有在 CRQC 出现之后，攻击者才能伪造不真实陈述的证明。将不分昼夜地进行着价值交换，构建出一个远超人类经济规模的全新数字世界。