比特幣 產品技術

量子威脅才不是比特幣末日!電腦科學家:門羅幣、Zcash 才要擔心 HDNL

Neo
分享
量子威脅才不是比特幣末日!電腦科學家:門羅幣、Zcash 才要擔心 HDNL

隨著量子運算(Quantum Computing)技術持續突破,市場與政策圈近年頻頻出現必須立刻全面轉向後量子密碼學(Post-Quantum Cryptography, PQ)的呼聲。不過,創投機構 a16z 研究合夥人、喬治城大學電腦科學副教授 Justin Thaler 指出,這類論述往往混淆不同密碼學元件的實際風險,過早遷移的成本高昂、且充滿漏洞。

量子運算專家 Scott Aaronson 近期雖表示,未來數年內執行完整 Shor 演算法在理論上是可能的,但他隨後澄清,即便只成功分解 15(3×5)這樣的玩具級案例,也算達標,距離破解實際加密系統仍極為遙遠。因此 Thaler 認為,未來 5~10 年內,量子電腦大規模破解主流公鑰密碼的可能性極低。

HNDL 攻擊指的是先搜集資料,等到量子運算成熟再解密。國家級單位肯定已經存有美國政府的加密資料,以便在量子計算機出現時解密。不過大部分公鏈如比特幣主網、以太坊,核心用途是在數位簽章 (Signature),不涉及事後解密問題。只要簽章是在量子電腦出現前生成,就不可能被事後偽造。反而是 Monero、Zcash 這種隱私鏈,更要擔心解密問題。

廣告 - 內文未完請往下捲動

可破解密碼的量子電腦短期內並不存在

Thaler 所定義的具密碼學破壞力的量子電腦(CRQC),是指能在合理時間內執行 Shor 演算法、破解 RSA-2048 或 secp256k1(比特幣、以太坊使用的橢圓曲線)的容錯量子電腦。

他直言,儘管企業與媒體宣稱「2030 年前出現 CRQC」,但從公開的技術里程碑來看,這種預期並不成立。目前不論是超導量子位、離子阱或中性原子架構,距離實際需要的數千個高品質邏輯量子位仍相差數個數量級。

(量子威脅倒數計時?Vitalik 與創投家警告:加密技術最快 2028 年被攻破)

量子運算專家 Scott Aaronson 近期雖表示,未來數年內執行完整 Shor 演算法在理論上是可能的,但他隨後澄清,即便只成功分解 15(3×5)這樣的玩具級案例,也算達標,距離破解實際加密系統仍極為遙遠。因此 Thaler 認為,未來 5~10 年內,量子電腦大規模破解主流公鑰密碼的可能性極低。

為何加密必須現在換,簽章卻不用?

加密(Encryption):現在就必須動手

原因在於「先蒐集、後解密」(Harvest-Now-Decrypt-Later, HNDL)攻擊。國家級對手已開始大量儲存今日的加密通訊,等未來量子電腦成熟後再回頭解密。因此,只要資料需要 10~50 年以上的機密性,就沒有不轉向後量子加密的選項。

這也是為何 Cloudflare、Google Chrome 已部署混合式 X25519 + ML-KEM;Apple(iMessage)與 Signal 也已上線後量子通訊協議。

筆者補充:HNDL  攻擊指的是敵對勢力現在儲存加密流量,然後在出現具備密碼學意義的量子電腦後對其進行解密。國家級敵對勢力肯定已經在大規模地存檔來自美國政府的加密通信,以便在多年後,當具備密碼學意義的量子計算機出現時,他們能夠解密這些通信。

數位簽章(Signatures):可以慢慢來

數位簽章不涉及事後解密問題。只要簽章是在量子電腦出現前生成,就不可能被事後偽造。因此,後量子簽章的遷移重點在於治理與工程成熟度,而非即時安全性。

區塊鏈其實多數不受 HNDL 攻擊影響

Thaler 指出,多數公鏈(如 Bitcoin、Ethereum)的核心用途是交易授權(簽章)而非加密,帳本本身是公開的,因此不存在「先蒐集、後解密」風險。他特別點名,有些官方報告(甚至包括美國聯準會相關分析)誤稱比特幣面臨 HNDL 攻擊,實際上是錯誤解讀。

例外:隱私鏈

隱私型區塊鏈若在鏈上使用橢圓曲線加密來隱藏金額或收款人,就可能被未來量子電腦回溯去匿名化。例如 Monero、Zcash,風險程度依設計不同而異。對這類鏈而言,後量子遷移的急迫性顯著更高。

比特幣的真正壓力:不是量子,是治理與歷史包袱

Thaler 認為,比特幣必須現在就開始規劃後量子遷移,但原因並非量子電腦即將到來,而是三個非技術因素:

  • 治理極慢:任何重大改動都需長期共識,且存在分叉風險
  • 必須主動遷移:未遷移的舊幣(尤其早期 P2PK、公鑰已曝光的地址)無法被被動保護
  • 大量疑似遺失的 BTC:可能高達數百萬顆,一旦量子可用,將成為優先攻擊目標

他警告,量子攻擊不會是一夜毀滅,而是昂貴、緩慢、選擇性地鎖定高價值錢包。更迫切的威脅其實是實作漏洞,Thaler 直言,在可預見的未來,實作漏洞、側信道攻擊、SNARK Bug 的風險,遠高於量子電腦。

後量子簽章(如格基密碼 ML-DSA、Falcon)動輒 0.6~4KB,遠高於現行 64 位元組 ECDSA,且實作極其複雜。歷史上,多個「準標準」方案(如 Rainbow、SIKE)都在量子電腦出現前就被經典攻擊擊破。

對區塊鏈而言,過早部署不成熟的後量子方案,可能導致:

  • 鎖定在次優架構
  • 因漏洞被迫二次遷移
  • 破壞交易吞吐與簽章聚合能力(如 BLS)

風險提示

加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。

Bitget 黃金外匯 TradeFi