A16z 研究人员解释为什么比特币和以太坊面临的量子风险与你所知不同

量子恐慌与加密现实：A16z研究合伙人发表看法

来自Justin Thaler（A16z的研究合伙人及乔治城大学的副教授）的新研究文章探讨了加密领域最被误解的焦虑之一：量子计算对区块链的威胁。

Thaler的核心论点很直接：量子计算机对现代加密技术的潜在威胁时间表被极大地高估了，导致了急于进行大规模后量子迁移的呼声，这可能带来更多风险而不是保护。他根据公开已知的里程碑，认为一个能够破坏现实世界加密的量子系统即使在未来十年内仍然难以实现。

他划清了加密和数字签名之间的明确界限——两者常在网络讨论中被混为一谈。加密易受所谓“现在收集，后期解密”攻击的影响，即今天截获的加密数据在未来量子计算完善后才可能被破解。因此，Thaler表示，在长期保密性非常重要的地方，后量子加密应已逐步推广。

然而，数字签名的时间表截然不同。区块链依赖签名来授权交易，而不是隐藏数据。因此没有什么可以被追溯性解密，意味着签名只有在加密相关的量子计算机真正存在后才会变得脆弱。Thaler指出，这一细微差别大大降低了立即迁移的紧迫性。

这点对于像比特币和以太坊这样的公共区块链至关重要，这些区块链在设计上很大程度上暴露交易数据。与一些官方分析相反，Thaler强调这些网络根本不容易受“现在收集，后期解密”攻击。真正的量子风险是未来的签名伪造，而不是解密过去的交易。

隐私聚焦型的链则是另一回事。加密交易细节的网络如果量子计算机最终战胜椭圆曲线加密，可能会让历史活动被追溯性地暴露。对于这些系统来说，如果性能成本可以接受的话，较早的过渡或混合方法可能是合理的。

同时，比特币面临的独特困扰与量子时间表无关，而是与治理有关，Thaler说。任何向后量子签名的转换都需要用户主动参与，否则可能让数以百万计的被遗弃的币暴露。弄清如何处理这些资金可能需要数年的社会协调，无论何时量子机器到来。

Thaler还警告说，后量子加密并非“免费的午餐”。许多候选方案涉及签名大小大幅增加、性能变慢以及实现复杂度大大提高。历史上有很多警示案例，其中“量子安全”算法未被量子计算机而是普通计算机攻破。

另请阅读：Coinbase组建量子顾问委员会以应对后量子风险威胁区块链安全

实际上，Thaler认为错误、侧信道攻击和实现缺陷比量子计算机对区块链构成的即时威胁更大。他建议，匆忙将不成熟的加密技术投入生产，可能导致网络锁定于易碎系统中，可能需要全盘替换。

当A16z公开分享这一研究贴时，用户纷纷回应，并且都在支持他们所谓的“抗量子”币种——却往往未意识到Thaler概述的技术权衡或长时间线。该回应指向了他的更广泛观点：关于量子风险的讨论比科学本身发展得更快。

这篇文章推出之际，比特币开发者正在研究量子抗性策略，而以太坊基金会则通过成立专门工作组来应对这一同样的问题。

常见问题 ❓

• 什么是加密相关的量子计算机？
  一种能在大规模上破坏现代公钥加密的容错量子系统。
• 比特币是否容易受到“现在收集，后期解密”的攻击？
  不，因为比特币使用签名进行授权而非加密。
• 为什么加密比签名面临更紧迫的量子风险？
  加密数据可以现在存储以后解密，而签名不能被追溯性伪造。
• 区块链现在应该迁移到后量子加密吗？
  计划应从现在开始，但仓促部署带来严重的技术风险。