1/ 近期對量子計算的預測從「公鑰加密在兩年內將被破解」到「還需要一個世紀」不等。這兩者都是錯誤的。 我最新的文章解釋了實際上公開已知的進展支持什麼——以及區塊鏈應該如何應對。 以下是主題串 🧵

在2020年代，具有加密相關性的量子電腦（CRQC）極不可能出現。即使是2030年代中期也算是雄心勃勃。雖然已經存在擁有1000個以上量子位的系統，但原始量子位數量具有誤導性：我們需要數千個經過錯誤更正的邏輯量子位和巨大的T閘預算——這遠超過今天的水平。

3/ 一個主要的混淆來源：一些公司稱量子位為「錯誤更正邏輯量子位」，但它們不支持非克里福德操作，或者在某些極端情況下甚至無法更正錯誤。這使得即使是成熟的觀察者也對我們距離量子容錯計算的實現有了嚴重的誤解。

4/ 討論量子威脅時的一個常見錯誤：將所有加密原語視為相同。加密、簽名和 SNARKs 面臨非常不同的風險輪廓。

5/ 最明顯的短期風險是 Harvest-Now-Decrypt-Later (HNDL)：對手現在記錄加密流量，以便在存在 CRQC 時進行解密。

6/ 這就是為什麼後量子 (PQ) 加密必須立即推出，儘管有成本/風險。Chrome+Cloudflare 部署了混合 (PQ+傳統) 的 TLS 計劃；iMessage 和 Signal 用於消息傳遞。HNDL 對於需要長期保密的數據沒有選擇，即使量子計算還需要幾十年。

7/ 簽名是不同的：對於「收穫」沒有保密性。在 CRQC 存在之前創建的簽名無法被追溯偽造。不同的風險 ⇒ 不同的緊迫性。

8/ 當前的區塊鏈使用簽名進行授權，而非加密。沒有 HNDL 的接觸，我們可以有意識地進行 PQ 簽名的遷移。

9/ 今天的 PQ 簽名還有很多不足之處：ML-DSA 約 2.4–4.6 KB，Falcon 約 666 B–1.3 KB（但實現起來有點棘手），SPHINCS+ 約 7–8 KB+。作為比較，ECDSA 只有約 64 字節。更大/更慢/更複雜 ⇒ 更高的錯誤風險。

10/ 請謹慎：Rainbow（基於MQ的）和SIKE/SIDH（基於同態）的加密在NIST的過程中被經典破解。過早部署可能會適得其反。

11/ 網路公鑰基礎設施（PKI）正因為這些原因而追求先加密、後簽名的策略。區塊鏈應該效仿。

12/ zkSNARKs？好消息：即使是非PQ的SNARKs也具有後量子零知識。即使對量子對手，見證的任何信息也不會被揭示。後CRQC變得脆弱的是健全性（偽造新的錯誤證明），而不是過去證明的保密性或健全性。

13/ 一個關鍵點：在未來幾年，漏洞和實施攻擊（側信道、故障注入）將比 CRQC 更大風險。這適用於 SNARK、簽名聚合方案，甚至簽名本身。投資於審計、模糊測試和形式化方法。

14/ Bitcoin 的特殊挑戰：緩慢的治理、無法被動遷移，以及在高價值量子脆弱地址上存在的非微不足道的被遺棄供應。

15/ 沒有簡單的解決方案。Bitcoin 必須認真對待這個威脅——不是因為 CRQC 會在 2030 年之前來臨，而是因為解決這些主要非技術性問題需要多年的協調。

16/ 要做的事情： ✅ 現在部署混合 PQ 加密 ✅ 在大小可接受的情況下，現在使用混合基於哈希的簽名（固件/軟件更新） ✅ 對於區塊鏈：不要急於使用 PQ 簽名——但要規劃遷移路徑

17/ 需要加密交易細節的隱私鏈應優先考慮 PQ 加密（或避免鏈上可解密秘密的設計），以降低 HNDL 風險。以簽名為中心的鏈可以隨著聚合技術和實施的成熟逐步引入 PQ 簽名。

18/ 保持視角：矛盾的是，頻繁的量子里程碑公告 ≠ 接近 CRQC。它們突顯了還有多少橋樑需要跨越。

19/ 結論：將緊迫性與實際威脅相匹配。加密：緊急（HNDL）。簽名：深思熟慮。SNARKs：ZK 屬性保持安全；在 CRQC 後健全性脆弱。最重要的是，漏洞仍然是近期更大的風險。