1/ 最近关于量子计算的预测从“公钥密码学将在2年内被破解”到“还需要一个世纪”不等。这两者都是错误的。 我最新的帖子解释了公开已知的进展实际上支持什么——以及区块链应该如何应对。 下面是线程 🧵

在2020年代，具有密码学相关性的量子计算机（CRQC）极不可能出现。即使是2030年代中期也是雄心勃勃的。虽然存在1000个以上量子比特的系统，但原始量子比特数量具有误导性：我们需要数千个经过错误校正的逻辑量子比特和巨大的T门预算——远远超出今天的水平。

3/ 一个主要的混淆来源：一些公司称量子比特为“错误校正逻辑量子比特”，但它们并不支持非Clifford操作，或者在一些极端的情况下甚至无法纠正错误。这严重误导了即使是复杂的观察者，让他们对我们距离CRQC的进展感到困惑。

4/ 讨论量子威胁时一个常见的错误：将所有加密原语视为相同。加密、签名和SNARKs面临着非常不同的风险特征。

5/ 最近的最明显风险是 Harvest-Now-Decrypt-Later (HNDL)：对手现在记录加密流量，以便在存在 CRQC 时进行解密。

6/ 这就是为什么后量子（PQ）加密必须立即推出，尽管存在成本/风险。Chrome+Cloudflare 部署了混合（PQ+经典）方案用于 TLS；iMessage 和 Signal 用于消息传递。HNDL 对于需要长期保密的数据没有选择，即使量子计算还要几十年才会出现。

7/ 签名是不同的：没有对“收割”的保密性。在 CRQC 存在之前创建的签名无法被追溯伪造。不同的风险 ⇒ 不同的紧迫性。

8/ 目前的区块链使用签名进行授权，而不是加密。在没有 HNDL 曝露的情况下，我们可以有意识地进行 PQ 签名迁移。

9/ 今天的 PQ 签名还有很大的改进空间：ML-DSA 约 2.4–4.6 KB，Falcon 约 666 B–1.3 KB（但实现起来比较棘手），SPHINCS+ 约 7–8 KB+。作为对比，ECDSA 仅约 64 字节。更大/更慢/更复杂 ⇒ 更高的错误风险。

10/ 应谨慎行事：Rainbow（基于MQ的）和SIKE/SIDH（基于同态）的算法在NIST的过程中被经典破解。过早部署可能会适得其反。

11/ 网络公钥基础设施正在追求先加密、后签名，正是出于这些原因。区块链也应该效仿。

12/ zkSNARKs？好消息：即使是非后量子（non-PQ）SNARKs也具有后量子零知识。即使对量子对手，见证的任何信息也不会被揭示。后CRQC变得脆弱的是健全性（伪造新的错误证明），而不是过去证明的机密性或健全性。

13/ 一个关键点：在未来的几年里，漏洞和实施攻击（侧信道、故障注入）将比 CRQC 更大风险。这适用于 SNARK、签名聚合方案，甚至签名本身。投资于审计、模糊测试和形式化方法。

14/ Bitcoin面临的特殊挑战：缓慢的治理、没有被动迁移，以及在高价值量子脆弱地址上存在的非微不足道的被遗弃供应。

15/ 没有简单的解决方案。Bitcoin 必须认真对待这一威胁——不是因为 CRQC 会在 2030 年之前到来，而是因为解决这些主要非技术性问题需要多年的协调。

16/ 应该做的事情： ✅ 立即部署混合 PQ 加密 ✅ 在大小可接受的情况下，立即使用混合基于哈希的签名（固件/软件更新） ✅ 对于区块链：不要急于使用 PQ 签名——但要规划迁移路径

17/ 需要加密交易细节的隐私链应优先考虑 PQ 加密（或避免链上可解密秘密的设计），以降低 HNDL 风险。以签名为中心的链可以在聚合技术和实现成熟时逐步引入 PQ 签名。

18/ 保持视角：矛盾的是，频繁的量子里程碑公告 ≠ 接近 CRQC。它们突显了还有多少桥需要跨越。

19/ 结论：将紧迫性与实际威胁相匹配。加密：紧急（HNDL）。签名：谨慎。SNARKs：ZK 属性保持安全；在 CRQC 后的健全性脆弱。最重要的是，漏洞仍然是更大的短期风险。