量子计算与区块链：将紧迫性与实际威胁相匹配

对于密码学相关的量子计算机的时间线经常被夸大——导致人们呼吁立即全面过渡到后量子密码学。

但这些呼吁往往忽略了过早迁移的成本和风险，并且忽视了不同密码学原语的非常不同的风险情况：

• 后量子加密 需要立即部署，尽管其成本高昂：先收集后解密 (HNDL) 攻击已经开始，因为今天加密的敏感数据在量子计算机到来时仍然具有价值，即使那是在几十年以后。后量子加密的性能开销和实施风险是真实存在的，但对于需要长期保密的数据，HNDL 攻击不留任何选择。
• 后量子签名 面临着不同的考量。它们_不_易受 HNDL 攻击的影响，并且其成本和风险（更大的尺寸、性能开销、实施不成熟和错误）需要深思熟虑而非立即迁移。

这些区别很重要。误解扭曲了成本效益分析，导致团队忽略了更突出的安全风险——例如错误。

在成功迁移到后量子密码学过程中，真正的挑战是将紧迫性与实际威胁相匹配。 下面，我将澄清关于量子威胁密码学的常见误解——涵盖加密、签名和零知识证明——特别关注它们对区块链的影响。

时间线如何？

尽管有备受瞩目的说法，但在 2020 年代出现密码学相关的量子计算机 (CRQC) 的可能性极低。

我所说的“密码学相关的量子计算机”是指容错、纠错的量子计算机，能够以足够的规模运行 Shor 算法，以便在合理的时间范围内攻击椭圆曲线密码学或 RSA（例如，在最多一个月的持续计算时间内破解 secp256k1 或 RSA-2048）。

根据对公开里程碑和资源估算的合理解读，我们离密码学相关的量子计算机还差得很远。一些公司有时声称 CRQC 可能在 2030 年之前或远早于 2035 年出现，但公开已知进展不支持这些说法。

作为参考，在所有当前的架构中——捕获离子、超导量子比特和中性原子系统——没有一个量子计算平台接近运行 Shor 算法于 RSA-2048 或 secp256k1 所需的 数十万 到数百万个物理量子比特（取决于错误率和纠错方案）。

限制因素不仅是量子比特的数量，还有门保真度、量子比特连接性以及运行深度量子算法所需的可持续纠错电路深度。虽然一些 系统 现在超过 1,000 个物理量子比特，但仅凭原始量子比特数量具有误导性：这些系统缺乏密码学相关计算所需的量子比特连接性和门保真度。

最近的系统接近量子纠错开始工作的物理错误率，但没有人展示超过少数 几个具有持续纠错电路深度的逻辑量子比特......更不用说实际需要运行 Shor 算法的数千个高保真、深度电路、容错逻辑量子比特。在证明量子纠错在原则上可行与实现密码分析所需的规模之间，仍然存在巨大的差距。

简而言之：在量子比特数量和保真度都提高几个数量级之前，密码学相关的量子计算机仍然遥不可及。

然而，很容易被公司的新闻稿和媒体报道所迷惑。这里一些常见的误解和困惑来源包括：

声称“量子优势”的演示，目前针对人为设计的任务。 选择这些任务不是因为它们的实际用途，而是因为它们可以在现有硬件上运行，同时似乎表现出巨大的量子加速——这一事实经常在公告中被忽视。

声称已经实现数千个物理量子比特的公司。 但这指的是量子退火器，而不是运行 Shor 算法攻击公钥密码学所需的门模型机器。

公司随意使用“逻辑量子比特”一词。 物理量子比特是有噪声的。如上所述，量子算法需要逻辑量子比特；Shor 算法需要数千个。使用量子纠错，可以用许多物理量子比特来实现一个逻辑量子比特——通常根据错误率，需要数百到数千个。但一些公司已经将这个术语延伸到无法识别的地步。例如，最近的一份公告声称使用距离为 2 的代码实现了 48 个逻辑量子比特，每个逻辑量子比特只有两个物理量子比特。这很荒谬：距离为 2 的代码只能_检测_错误，而不能纠正错误。用于密码分析的真正的容错逻辑量子比特每个需要数百到数千个物理量子比特，而不是两个。

更一般地说，许多量子计算路线图使用术语“逻辑量子比特”来指代仅支持 Clifford 操作的量子比特。这些操作可以有效地进行 经典模拟，因此不足以运行 Shor 算法，该算法需要数千个经过纠错的 T 门（或更一般的非 Clifford 门）。

即使其中一个路线图的目标是在 X 年前实现“数千个逻辑量子比特”，这_并不_意味着该公司期望在同一年 X 运行 Shor 算法来破解经典密码学。

这些做法严重扭曲了公众对我们离密码学相关的量子计算机有多近的看法，即使是在复杂的观察者中也是如此。

也就是说，一些专家确实对进展感到兴奋。例如，Scott Aaronson 最近 写道，鉴于“当前硬件进展的惊人速度”，

我现在认为，在下一次美国总统选举之前，我们将拥有一台运行 Shor 算法的容错量子计算机，这是一种现实的可能性。

但 Aaronson 后来 澄清说 他的声明并不 _意味着_密码学相关的量子计算机：即使 Shor 算法的完全容错运行分解了 15 = 3×5，他也会认为这是实现了——你可以用纸笔更快地完成计算。标准仍然是 Shor 算法的小规模执行，而不是密码学相关的执行，因为之前在量子计算机上分解 15 的实验使用了简化的电路，而不是完整的容错 Shor 算法。而且这些实验始终以 15 作为分解的数字是有原因的：模 15 的算术在计算上很容易，而分解稍微大一点的数字例如 21 则要困难得多。因此，声称分解 21 的量子实验通常依赖于额外的提示或快捷方式。

简而言之，期望在未来 5 年内出现能够破解 RSA-2048 或 secp256k1 的密码学相关的量子计算机 —— 这对于_实用密码学_至关重要 —— 并没有得到公开已知进展的支持。

即使 10 年仍然雄心勃勃。鉴于我们离密码学相关的量子计算机还有多远，对进展的兴奋与 十年以上的时间表 完全兼容。

美国政府 针对 2035 作为政府系统全面后量子 (PQ) 迁移的最后期限呢？我认为这是完成如此大规模转型的一个合理的时间表。但是，这_不是_对密码学相关的量子计算机届时将存在的预测。

HNDL 攻击适用于哪里（以及不适用于哪里）？

先收集，后解密(HNDL) 攻击 指的是对手现在存储加密流量，然后在密码学相关的量子计算机存在时再解密。国家级别的对手肯定已经在大规模地存档来自美国政府的加密通信，以便他们可以在多年以后，当 CRQC 确实存在时解密这些通信。

这就是为什么 加密需要今天就开始转型 —— 至少对于任何有 10-50 年以上保密需求的人来说。

但是 数字签名 —— 所有区块链都依赖它 —— 与加密不同：没有可追溯攻击的机密性。

换句话说，如果一台密码学相关的量子计算机出现，从那一刻起，签名伪造确实成为可能，但过去的签名并没有像加密消息那样“隐藏”秘密。只要你知道数字签名是在 CRQC 到来之前生成的，它就不可能是伪造的。

这使得后量子数字签名的过渡不如加密的后量子过渡那么紧迫。

主要平台正在采取相应的行动：Chrome 和 Cloudflare 推出了用于 Web 传输层安全 (TLS) 加密的混合 X25519 + ML-KEM。[在整篇文章中，为了便于阅读，我指的是加密方案，但严格来说，像 TLS 这样的安全通信协议使用密钥交换或密钥封装机制，而不是公钥加密。]

“混合” 在这里指的是同时使用后量子安全方案（即 ML-KEM）和现有方案（X25519），以获得两者的组合安全保证。这样，他们可以（希望）通过 ML-KEM 阻止 HNDL 攻击，同时在 ML-KEM 即使是对今天的计算机也不安全的情况下，保持来自 X25519 的经典安全性。

苹果的 iMessage 也使用其 PQ3 协议 部署了这种混合后量子加密，Signal 也使用其 PQXDH 和 SPQR 协议进行了部署。

相比之下，将后量子_数字签名_推广到关键的 Web 基础设施正在 推迟，直到密码学相关的量子计算机实际上迫在眉睫，因为当前的后量子签名方案会引入性能下降（本文稍后会详细介绍）。

zkSNARKs —— 零知识简洁非交互式知识论证，这是区块链长期可扩展性和隐私性的关键 —— 类似于签名。这是因为即使对于 zkSNARKs 来说，它们不是后量子安全的（它们使用椭圆曲线密码学，就像今天的非后量子加密和签名方案一样），它们的零知识属性_是_后量子安全的。

零知识属性确保有关秘密证人的任何信息都不会在证明中泄露 —— 即使是对量子对手也是如此 —— 因此没有需要“现在收集”以供以后解密的机密信息。

因此，zkSNARKs 不容易受到先收集后解密攻击的影响。正如今天生成的非后量子签名是安全的一样，在密码学相关的量子计算机到来之前生成的任何 zkSNARK 证明都是值得信赖的（也就是说，所证明的陈述绝对是真的）—— 即使 zkSNARK 使用椭圆曲线密码学。只有在密码学相关的量子计算机到来之后，攻击者才能找到虚假陈述的令人信服的证明。

这对区块链意味着什么

大多数区块链_没有_暴露于 HNDL 攻击：

今天，大多数非隐私链， 比如比特币和以太坊，主要使用非后量子密码学来进行交易授权 —— 也就是说，它们使用数字签名，而不是加密。

同样，这些签名不是 HNDL 风险：“现在收集，以后解密”攻击适用于_加密_数据。例如，比特币的区块链是公开的；量子威胁是签名伪造（推导私钥来窃取资金），而不是解密已经公开的交易数据。这消除了 HNDL 攻击带来的直接密码学紧迫性。

不幸的是，即使是联邦储备委员会等可信来源的分析也 错误地声称 Bitcoin 容易受到 HNDL 攻击，这个错误夸大了过渡到后量子密码学的紧迫性。

也就是说，紧迫性降低并不意味着 Bitcoin 可以等待：它面临的另一个时间压力是改变协议所需的巨大社会协调。（关于 Bitcoin 独特挑战的更多信息见下文。）

截至今天，隐私链是一个例外， 它们的许多隐私链对接收者和金额进行加密或以其他方式隐藏。这种机密性可以现在收集，一旦量子计算机可以破解椭圆曲线密码学，就可以对这些数据进行追溯性的匿名化。

对于此类隐私链，攻击的严重程度因区块链设计而异。例如，对于 Monero 基于曲线的环签名和密钥图像（用于阻止双重支出的每个输出的可链接性标签），仅公共账本就足以追溯性地重建支出图。但在其他情况下，损害更为有限 —— 请参阅 Zcash 密码工程师和研究员 Sean Bowe 的 讨论 了解详细信息。

如果用户认为他们的交易不被密码学相关的量子计算机暴露很重要，那么隐私链应尽快过渡到后量子原语（或混合原语）。或者，他们应该采用避免将可解密秘密放在链上的架构。

Bitcoin 的特殊难题：治理 + 废弃的币

特别是对于 Bitcoin 来说，两个现实推动了开始转向后量子数字签名的紧迫性。这两者都与量子技术无关。

一个问题是 治理速度：Bitcoin 变化缓慢。如果社区无法就适当的解决方案达成一致，任何有争议的问题都可能引发有害的硬分叉。

另一个问题是，Bitcoin 转向后量子签名不可能是 被动迁移：所有者必须主动迁移他们的币。这意味着无法保护被废弃的、容易受到量子攻击的币。一些 估计 表明，容易受到量子攻击且可能被废弃的 BTC 数量达到数百万枚，按当前价格计算价值数千亿美元（截至 2025 年 12 月）。

然而，量子计算机对 Bitcoin 的威胁不会是突然的、一夜之间的世界末日......而更像是选择性的、渐进式的目标定位过程。量子计算机不会同时破解所有加密 —— Shor 算法必须一次针对一个公钥。早期的量子攻击将非常昂贵和缓慢。因此，一旦量子计算机能够破解单个 Bitcoin 签名密钥，攻击者将有选择地猎取高价值钱包。

此外，避免 地址重用 且不使用 Taproot 地址 的用户 —— 它们直接在链上暴露公钥 —— 即使没有协议更改，也在很大程度上受到保护：在他们的币被使用之前，他们的公钥仍然隐藏在哈希函数之后。当他们最终广播支出交易时，公钥变得可见，并且在需要确认其交易的诚实支出者，和任何想要在真实所有者的交易最终确定之前找到私钥并支出这些币的配备量子计算机的攻击者之间，存在着短暂的实时竞争。因此，真正容易受到攻击的币是那些公钥已经暴露的币：早期的 P2PK 输出、重用的地址和 Taproot 持有。

对于已被废弃的易有漏洞的币，没有简单的解决方案。一些选项包括：

• Bitcoin 社区同意一个“标志日”，在此之后，任何未迁移的币都将被宣布为已销毁。
• 将废弃的易有漏洞的币留给任何拥有密码学相关量子计算机的人，让他们可以随意处置。

第二个选项会产生严重的法律和安全问题。使用量子计算机获取没有私钥的币的所有权 —— 即使声称是合法的，合理的所有权，或善意 —— 可能会 引起 在许多司法管辖区中，严重的关于盗窃和计算机欺诈法的 问题。

此外，“废弃”本身就是基于不活跃的假设。但实际上没有人知道这些币是否缺乏可以访问密钥的活的所有者。你曾经拥有币的证据可能不足以让你有足够的法律授权来破坏密码学保护以回收它们。这种法律上的不明确性增加了废弃的易有漏洞的币落入愿意忽视法律约束的恶意行为者手中的可能性。

Bitcoin 特有的最后一个问题是其低交易吞吐量。即使迁移计划最终确定，以 Bitcoin 当前的交易速度，将所有易有量产漏洞的资金迁移到后量子安全地址也需要 数月时间。

这些挑战使得 Bitcoin 现在开始规划其后量子过渡至关重要 —— 不是因为密码学相关的量子计算机可能在 2030 年之前出现，而是因为迁移价值数十亿美元的币的治理、协调和技术后勤工作需要数年时间才能解决。

量子计算机对比特币的威胁是真实存在的，但时间压力来自于 Bitcoin 自身的约束，而不是来自于即将到来的量子计算机。其他区块链也面临着量子漏洞资金带来的挑战，但是 Bitcoin 独树一帜：它最早的交易使用了直接将公钥放在链上的 pay-to-public-key (P2PK) 输出，使得特别大一部分 BTC 容易受到密码学相关量子计算机的攻击。这种技术差异 —— 加上 Bitcoin 的年龄、价值集中度、低吞吐量和治理刚性 —— 使这个问题变得尤其严重。

请注意，我上面描述的漏洞适用于 Bitcoin 数字签名的密码学安全性 —— 但不适用于 Bitcoin 区块链的经济安全性。这种经济安全性来自工作量证明 (PoW) 共识机制，由于以下三个原因，它不易受到量子计算机的攻击：

1. PoW 依赖于哈希，因此只受到 Grover 的搜索算法 的二次量子加速的影响，而不受到 Shor 算法的指数加速的影响。
2. 实现 Grover 搜索的实际开销使得任何量子计算机都 极不可能 在 Bitcoin 的工作量证明机制上实现即使是适度的现实加速。
3. 即使实现了显著的加速，这些加速也会使大型量子矿工相对于小型矿工具有优势，但不会作为 Bitcoin 经济安全模型的基本突破。

后量子签名的成本和风险

为了了解为什么区块链不应仓促部署后量子签名，我们需要了解性能成本以及我们对后量子安全性的不断发展的信心。

大多数后量子 密码学基于以下五种方法之一：

• 哈希
• 码
• 格
• 多元二次系统 (MQ)
• 同源

为什么有五种不同的方法？任何后量子密码学原语的安全性都取决于量子计算机无法有效解决特定数学问题的假设。该问题越“结构化”，我们可以从中构建的密码学协议就越有效。

但这具有双重影响：附加结构也会为攻击算法利用创造更多表面积。这造成了一种根本性的紧张关系——更强的假设能够提高性能，但以潜在的安全漏洞为代价（也就是说，假设证明是错误的的可能性增加）。

一般来说，基于哈希的方法在安全性方面是最保守的，因为我们最有信心量子计算机无法有效攻击这些协议。但它们的性能也是最差的。例如，NIST 标准化的基于哈希的签名，即使在其最小的参数设置下，大小也为 7-8 KB。相比之下，今天的基于椭圆曲线的数字签名只有 64 字节。这大约是 100 倍的大小差异。

格方案是当今部署的主要重点。NIST 已经选择用于标准化的唯一加密方案，以及三种签名算法中的两种都基于格。一种格方案（ML-DSA，以前称为 Dilithium）生成的签名 大小从 2.4 KB（在 128 位安全级别）到 4.6 KB（在 256 位安全级别）不等 —— 使它们的大小大约是今天的椭圆曲线签名的 40-70 倍。另一种格方案 Falcon 具有稍微 更小的签名（Falcon-512 为 666 字节，Falcon-1024 为 1.3 KB），但带有 NIST 本身标记为特殊实施挑战的复杂浮点运算。Falcon 的创建者之一 Thomas Pornin 称其为“我实施过的最复杂的密码学算法”。

与基于椭圆曲线的签名方案相比，基于格的签名方案的实施安全性也更具挑战性：ML-DSA 具有更多的 敏感中间值 和需要 侧通道 的非普通 拒绝抽样逻辑 和 故障 保护。Falcon 添加了 恒定时间 浮点 问题；实际上，对 Falcon 实施的几次侧通道攻击已经 恢复了密钥。

与遥远的密码学相关的量子计算机带来的威胁不同，这些问题带来了直接的风险。

在部署性能更高的后量子密码学方法时，有充分的理由保持谨慎。从历史上看，领先的候选方案，如 Rainbow（一种基于 MQ 的签名方案）和 SIKE/SIDH（一种基于同源的加密方案）被经典地 破解，也就是说，使用今天的计算机而不是量子计算机破解。

这种情况发生在 NIST 标准化过程中。这是健康的科学在履行其职责，但它说明了过早的标准化和部署可能会适得其反。

如前所述，互联网基础设施正在采取一种慎重的方式来迁移签名。考虑到一旦开始，互联网密码学转换实际上需要很长时间，这一点尤其值得注意。从 MD5 和 SHA-1 哈希函数过渡 —— 从技术上讲，这些函数在多年前已被 Web 管理机构弃用 —— 在整个基础设施中实际实施还需要更多年时间，并且在某些情况下仍在进行中。这种情况的发生，尽管这些 方案 已经 完全 被破解，而不仅仅是可能容易受到未来技术的影响。

区块链与互联网基础设施的独特挑战

幸运的是，由开源开发人员社区积极维护的区块链（如以太坊或 Solana）可以比传统的 Web 基础设施更快地升级。另一方面，传统的 Web 基础设施受益于频繁的密钥轮换，这意味着其攻击面比早期的量子机器可以定位的速度更快 —— 这是区块链不具备的优势，因为币及其相关的密钥可以无限期地暴露在外。

但总的来说，区块链仍然应该遵循 Web 慎重的方式来迁移签名。这两种设置都不会因签名而暴露于 HNDL 攻击，并且无论密钥持续多长时间，过早迁移到不成熟的后量子方案的成本和风险仍然很大。

区块链还存在一些独特的挑战，这使得过早的迁移尤其具有风险和复杂性：例如，区块链对签名方案有独特的要求，特别是快速聚合许多签名的能力。今天，BLS 签名 经常被使用，因为它们可以实现非常快的聚合，但它们不是后量子安全的。研究人员正在 探索 基于 SNARK 的 后量子签名的集合。这项工作很有希望，但仍处于早期阶段。

对于 SNARK 来说，社区目前专注于基于哈希的结构，将其作为领先的后量子选择。但一个重大的转变即将到来：我确信在未来的几个月和几年里，基于格的选择将成为有吸引力的替代方案。与基于哈希的 SNARK 相比，这些替代方案在各个方面都将具有更好的性能，例如显著缩短证明 —— 类似于基于格的签名比基于哈希的签名更短。

目前更大的问题：实施安全性

在未来几年，实施漏洞 将比密码学相关的量子计算机构成更大的安全风险。对于 SNARK 来说，主要关注的是 bug。

对于数字签名和加密方案来说，Bug 已经是一种 挑战，而 SNARK 要复杂得多。实际上，数字签名方案可以被视为一种非常简单的 zkSNARK，用于陈述“我知道与我的公钥相对应的私钥，并且我授权了此消息”。

对于后量子签名，直接风险还包括实施攻击，例如侧通道和故障注入攻击。这些类型的攻击有充分的记录，可以从已部署的系统中提取密钥。它们比遥远的量子计算机构成了更紧迫的威胁。

社区将努力多年以识别和修复 SNARK 中的漏洞，并加强后量子签名实施以防止侧通道和故障注入攻击。由于围绕后量子 SNARK 和可聚合签名方案的争论尚未平息，因此过早过渡的区块链可能会将自己锁定在次优方案中。当出现更好的选择或发现实施漏洞时，他们可能需要再次迁移。

我们应该怎么做？7 条建议

鉴于我上面概述的情况，我将以对各种利益相关者（从构建者到政策制定者）的建议作为结尾。总体原则是：认真对待量子威胁，但不要假设密码学相关的量子计算机会在 2030 年之前出现。目前的进展表明这种假设是不合理的。尽管如此，我们现在仍然可以而且应该做一些事情：

#1 我们应该立即部署混合加密。

或者至少在长期保密性很重要且成本可以接受的地方。

许多浏览器、CDN 和消息应用程序（如 iMessage 和 Signal）已经部署了混合方法。混合方法（后量子 + 经典）可以在防范 HNDL 攻击的同时，防范后量子方案中的潜在弱点。

#2 当基于哈希的签名的大小可以接受时，立即使用它们。

软件/固件更新 —— 以及其他此类低频率、对大小不敏感的情况 —— 应_立即_采用混合的基于哈希的签名。（混合是为了防止新方案中的实施错误，而不是因为基于哈希的安全假设受到质疑。）

这是保守的做法，并且在不太可能发生的情况下，为社会提供了一个明确的“救生艇”，即密码学相关的量子计算机出乎意料地很快出现。如果未预先安装经过后量子签名的软件更新，我们将在 CRQC 出现后面临一个引导问题：我们将无法安全地分发我们需要抵抗它的后量子密码学修复。

#3 区块链不需要急于部署后量子签名 —— 但现在应该开始规划。

区块链开发人员应遵循 Web PKI 社区的领导，采取一种慎重的方式来部署后量子签名。这使得后量子签名方案可以在性能以及我们的理解其安全性方面继续成熟。这种方法还允许开发人员有时间重新架构系统以处理更大的签名并开发更好的聚合技术。

对于 Bitcoin 和其他 L1 来说： 社区需要就废弃的易受量子攻击资金的迁移路径和策略进行定义。被动迁移是不可能的，因此规划至关重要。并且由于 Bitcoin 面临着主要是非技术性的特殊挑战 —— 缓慢的治理，以及大量可能被废弃的高价值易受量子攻击的地址 —— 因此 Bitcoin 社区现在开始该规划尤其重要。

与此同时，我们需要让对后量子 SNARK 和可聚合签名的研究成熟（可能还需要几年时间）。同样，过早的迁移可能会锁定次优方案，或者需要第二次迁移来解决实施错误。 关于以太坊账户模型的说明： 以太坊支持两种账户类型，它们对后量子迁移有不同的影响 —— 外部拥有账户 (EOA)，这是一种由 secp256k1 私钥控制的传统账户类型；以及具有可编程授权逻辑的智能合约钱包。

在以太坊添加后量子签名支持的非紧急情况下，可升级的智能合约钱包可以通过合约升级切换到后量子验证 —— 而 EOA 可能需要将其资金转移到新的后量子安全地址（尽管以太坊很可能也会为 EOA 提供专门的迁移机制）。在量子紧急情况下，以太坊研究人员提出了一个硬分叉计划，以冻结易受攻击的账户，并让用户通过使用后量子安全 SNARK 证明他们知道助记词来恢复资金。这种恢复机制将适用于 EOA 和任何尚未升级的智能合约钱包。

对用户的实际影响：经过良好审计、可升级的智能合约钱包可能提供稍微更顺畅的迁移路径 —— 但差异不大，并且伴随着对钱包提供商和升级治理的信任方面的权衡。比账户类型更重要的是，以太坊社区继续其关于后量子原语和紧急响应计划的工作。

为构建者提供的更广泛的设计经验： 如今，许多区块链将账户身份与特定的密码学原语紧密结合 —— 比特币和以太坊使用 secp256k1 上的 ECDSA 签名，其他区块链使用 EdDSA。后量子迁移的挑战凸显了将账户身份与任何特定签名方案解耦的价值。以太坊转向智能账户和类似账户抽象的努力反映了这一趋势：允许账户升级其身份验证逻辑，而无需放弃其链上历史和状态。这种解耦不会使后量子迁移变得微不足道，但它确实提供了比将账户硬连接到单个签名方案更大的灵活性。（这也启用了不相关的功能，如赞助交易、社交恢复和多重签名）。

#4 对于加密或隐藏交易细节的隐私链，如果性能可以容忍，请优先考虑尽早过渡。

这些链上的用户机密性目前暴露于 HNDL 攻击，尽管设计之间的严重程度各不相同。仅公共账本就能实现完全追溯去匿名化的链面临着最紧迫的风险。

考虑混合（后量子 + 经典）方案，以防止表面上是后量子的方案最终在经典上也是不安全的，或者实施架构更改，以避免将可解密的秘密放在链上。

#5 在近期，优先考虑实现安全性——而不是量子威胁缓解。

特别是对于像 SNARK 和后量子签名这样的复杂密码学原语，漏洞和实现攻击（侧信道攻击、故障注入）在未来几年内将比密码学相关的量子计算机构成更大的安全风险。

现在就要投资于审计、模糊测试、形式验证和深度防御/分层安全方法 —— 不要让对量子的担忧掩盖了更紧迫的漏洞威胁！

#6 资助量子计算开发。

上述所有内容的一个重要的国家安全影响是，我们需要维持对量子计算的资金和人才发展。

一个主要的对手在美国之前获得密码学相关的量子计算能力，将对我们和世界各地的其他人构成严重的国家安全风险。

#7 保持对量子计算公告的看法。

在未来的岁月中，随着量子硬件的成熟，将会出现许多里程碑。矛盾的是，这些公告的频繁出现本身就证明了我们离密码学相关的量子计算机还有多远：每个里程碑代表了我们在到达该点之前必须跨越的众多桥梁之一，并且每个里程碑都将产生自己的头条新闻和兴奋浪潮。

将新闻稿视为需要批判性评估的进度报告，而不是采取突然行动的提示。 当然，可能会有令人惊讶的进展或创新加速预计的时间表，就像可能会有严重的扩展瓶颈延长它们一样。 我不会争辩说五年内出现一台密码学相关的量子计算机是绝对不可能的，只是极不可能。上述建议对于这种不确定性是稳健的，并且遵循这些建议可以避免更直接、更可能的风险：实现漏洞、仓促部署以及密码学转换出错的常见方式。 Justin Thaler 是 a16z 的研究合伙人，也是乔治城大学计算机科学系的副教授。他的研究兴趣包括可验证计算、复杂性理论和海量数据集算法。 你应该就这些事项咨询你自己的顾问。对任何证券或数字资产的引用仅用于说明目的，并不构成投资建议或提供投资咨询服务的要约。此外，本内容并非针对或旨在供任何投资者或潜在投资者使用，并且在任何情况下都不得在决定投资 a16z 管理的任何基金时依赖。 （投资 a16z 基金的要约将仅通过私募备忘录、认购协议以及任何此类基金的其他相关文件进行，并且应完整阅读。）提及、引用或描述的任何投资或投资组合公司均不能代表 a16z 管理的工具中的所有投资，并且不能保证这些投资将是有利可图的或未来进行的其他投资将具有相似的特征或结果。 Andreessen Horowitz 管理的基金进行的投资清单（不包括发行人未允许 a16z 公开披露的投资以及未公开宣布的公开交易数字资产投资）可在 https://a16z.com/investment-list/ 获得。 内容仅在其所示日期有效。这些材料中表达的任何预测、估计、预测、目标、前景和/或观点如有更改，恕不另行通知，并且可能与其他人的观点不同或相反。请访问 https://a16z.com/disclosures/ 获取更多重要信息。

• 原文链接： a16zcrypto.com/posts/art...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～