量子计算与区块链：根据实际威胁匹配紧迫度

摘要

本文深入分析了量子计算对区块链和密码学的真实威胁程度。作者指出，尽管媒体和企业频繁声称量子计算机即将突破，但根据公开技术进展，真正具备密码学攻击能力的量子计算机(CRQC)在2020年代极不可能出现，10年内实现仍然雄心勃勃。文章强调应区分对待后量子加密（因HNDL攻击需立即部署）和后量子签名（可审慎迁移），避免过度恐慌导致忽视更现实的安全风险。

内容框架与概述

文章开篇即表明立场：量子计算对密码学的威胁时间线被普遍高估，盲目呼吁紧急全面迁移至后量子密码学既忽视了迁移成本，也混淆了不同密码原语的风险特征。作者将后量子加密与后量子签名区分开来——前者因"先收集后解密"攻击确需立即部署，后者则可以更加从容地推进。

在技术现状分析部分，作者详细阐述了为何CRQC短期内无法实现。当前所有量子计算架构（离子阱、超导量子比特、中性原子系统）都远未达到运行Shor算法所需的数十万至数百万物理量子比特规模，而且限制因素不仅是量子比特数量，还包括门保真度、量子比特连接性和持续纠错能力。作者批评了业界的误导性宣传，包括对"量子优势"演示的夸大、混淆量子退火机与通用门模型机器、以及对"逻辑量子比特"概念的滥用。

文章随后转向HNDL攻击的适用范围，解释为何加密需要立即迁移而数字签名则不同——签名只在创建和验证时具有密码学意义，攻击者无法"收集"签名供将来伪造。对于区块链而言，关键洞见是：即使攻击者今天获取公钥，在CRQC实际出现前，用户仍有时间将资产迁移到抗量子地址。

核心概念及解读

密码学相关量子计算机(CRQC)：指能够容错、纠错并以足够规模运行Shor算法来攻击椭圆曲线密码或RSA的量子计算机。作者认为根据当前技术进展，CRQC在未来5-10年内实现的可能性极低。

先收集后解密攻击(HNDL)：对手现在收集加密通信数据，等待未来CRQC出现后解密。这种攻击模式使得长期保密需求的数据必须立即采用后量子加密，因为今天加密的敏感数据在数十年后仍有价值。

逻辑量子比特：通过量子纠错从多个物理量子比特构建的可靠计算单元。作者批评部分公司滥用该术语，指出真正用于密码分析的容错逻辑量子比特每个需要数百至数千个物理量子比特，而非某些声称的仅需两个。

后量子签名与后量子加密的区别：签名不受HNDL攻击影响，因为签名只在创建和验证时刻具有意义，无法被"收集"后伪造。因此后量子签名迁移可以更加审慎，权衡其较大体积和实现风险。

原文信息

此摘要卡片由 AI 自动生成