被誤讀的“量子霸權” 2030 年前你都不用慌

如今，关于“密碼學相關的量子電腦（CRQC）”何時誕生，市場上的預測往往過於激進且誇大——這導致人們呼籲立即、全面地向後量子密碼學遷移。

但這些呼籲往往忽視了過早遷移的成本和風險，也忽略了不同密碼學原語之間截然不同的風險屬性：

• 後量子加密（Post-quantum encryption）確實需要立即部署，儘管成本高昂： “先截獲，後解密”（HNDL）的攻擊已經在發生。今天加密的敏感數據，即使在幾十年後量子計算機出現時，依然可能具有價值。雖然實施後量子加密會帶來性能開銷和執行風險，但面對 HNDL 攻擊，那些需要長期保密的數據別無選擇。
• 後量子簽名（Post-quantum signatures）則面臨完全不同的計算邏輯：它們並不受 HNDL 攻擊的影響。而且，後量子簽名的代價和風險（體積更大、性能更差、技術不成熟以及潛在的 Bug）決定了我們需要採取深思熟慮的、而非火急火燎的遷移策略。

厘清這些區別至關重要。誤解會扭曲成本效益分析，導致團隊忽視了眼前更致命的安全風險——比如程式碼 Bug。

在向後量子密碼學遷移的過程中，真正的挑戰在於將緊迫感與實際威脅相匹配。下文將透過涵蓋加密、簽名和零知識證明（特別是其對區塊鏈的影響），來澄清關於量子威脅的常見誤區。

我們離量子威脅有多遠？

儘管外界炒作得沸沸揚揚，但在 2020 年代出現“密碼學相關的量子計算機（CRQC）”的可能性極低。

我所說的“CRQC”，是指一台具有容錯能力、經過糾錯的量子計算機，其規模足以在合理的時間內運行 Shor 演算法來攻擊橢圓曲線密碼學或 RSA（例如，在最多一個月內破解 secp256k1 或 RSA-2048）。

通過對公共里程碑和資源估算的合理研讀，我們距離造出這樣的機器還差得很遠。雖然有些公司聲稱 CRQC 可能在 2030 年之前或 2035 年之前出現，但目前公開已知的進展並不支持這些說法。

客觀來看，縱觀當前所有的技術架構——離子阱、超導量子比特、中性原子系統——今天沒有任何一個平台能接近運行 Shor 演算法所需的數十萬到數百萬個物理量子比特（具體取決於錯誤率和糾錯方案）。

限制因素不僅僅是量子比特的數量，還包括閘保真度（Gate Fidelities）、量子比特連接性，以及運行深度量子演算法所需的持續糾錯電路深度。雖然有些系統現在的物理量子比特數超過了 1,000 個，但單純看數量是誤導性的：這些系統缺乏進行密碼學相關計算所需的連接性和保真度。

最近的系統在物理錯誤率上開始接近量子糾錯起效的閾值，但還沒有人能展示出超過幾個具有持續糾錯電路深度的邏輯量子比特……更不用說運行 Shor 演算法實際所需的數千個高保真、深電路、容錯的邏輯量子比特了。从“證明量子糾錯在原理上可行”到“達到密碼分析所需的規模”，這中間的鴻溝依然巨大。

簡而言之：除非量子比特的數量和保真度都提高幾個數量級，否則 CRQC 仍然遙不可及。

然而，人們很容易被企業的公關稿和媒體報導搞糊塗。這裡有一些常見的誤解源頭：

• 聲稱“量子優勢”的演示：這些演示目前針對的是人為設計的任務。選擇這些任務不是因為它們實用，而是因為它們可以在現有硬體上運行，並展現出巨大的量子加速——這一點在公告中往往被掩蓋。
• 聲稱擁有數千個物理量子比特的公司：這通常指的是量子退火機（Quantum Annealers），而不是運行 Shor 演算法攻擊公鑰密碼學所需的門模型機器。
• 滥用“邏輯量子比特”一詞：而量子演算法（如 Shor 演算法）需要數千個穩定的邏輯量子比特。透過量子糾錯，我們可以用許多物理量子比特來實現一個邏輯量子比特——通常需要數百到數千個。但有些公司已經把這個詞濫用到了離譜的地步。例如，最近一項公告聲稱用每個邏輯量子比特僅兩個物理量子比特就實現了 48 個邏輯量子比特。這種低冗餘碼只能檢測錯誤，不能糾正錯誤。真正用於密碼分析的容錯邏輯量子比特，每一個都需要數百到數千個物理量子比特。
• 玩弄定義：許多路線圖使用“邏輯量子比特”來指代僅支持 Clifford 操作的量子比特。這些操作可以被經典計算機高效模擬，因此根本不足以運行 Shor 演算法。

即使某個路線圖的目標是“在 X 年實現數千個邏輯量子比特”，這並不意味著該公司預計在那一年就能運行 Shor 演算法破解經典密碼學。

這些行銷手段嚴重扭曲了公眾（甚至包括一些資深觀察家的）對量子威脅迫近程度的認知。

儘管如此，一些專家確實對進展感到興奮。Scott Aaronson 最近曾表示，鑑於硬體進展的速度，他認為“在下一屆美國總統大選前實現容錯量子計算機運行 Shor 演算法是可能的”。但他也明確說明，這不等同於能威脅密碼學的 CRQC：即便只是在容錯體系下分解 15 = 3 × 5，也算“預言成功”。這顯然與破解 RSA-2048 不在同一量級。

事實上，所有“分解 15” 的量子實驗都使用簡化電路，而不是完整的容錯 Shor 演算法；而分解 21 都需要額外提示和捷徑。

簡單來說，沒有任何公開進展能證明，我們能在未來 5 年內造出一台破解 RSA-2048 或 secp256k1 的量子計算機。

十年之內也仍屬於非常激進的預測。

美國政府提出要在 2035 年前完成政府系統的後量子遷移，這是遷移項目本身的時間表，而不是預測那時 CRQC 會出現

HNDL 攻擊適用於哪類密碼體系？

“HNDL（Harvest Now, Decrypt Later）”指攻擊者現在存儲加密通信，待未來量子計算機出現後再解密。

國家級對手很可能已經在大規模存檔美國政府的加密通信，以便未來解密。因此，加密體系需要立即遷移，尤其是保密期限在 10–50 年以上的場景。

但是，所有區塊鏈所依賴的數字簽名（Digital Signatures）與加密不同：它沒有機密信息可供追溯性攻擊。

換言之，當量子計算機出現時，確實能從那一刻開始偽造簽名，但過去的簽名不會受到影響——因為它們沒有秘密可洩露，只要能證明簽名產生於 CRQC 出現之前，它就不可能被偽造。

因此，遷移到後量子簽名的緊迫性遠低於加密遷移。

主流平台也採取了對應策略：

• Chrome 與 Cloudflare 已為 TLS 部署混合模式的 X25519+ML-KEM。
• Apple iMessage（PQ3）與 Signal（PQXDH、SPQR）也部署了混合後量子加密。

但後量子簽名在關鍵 Web 基礎設施上的部署則被刻意延後——只會在 CRQC 真正臨近時進行，因為後量子簽名目前的性能回退仍然顯著。

zkSNARKs（一種零知識簡潔非交互知識論證技術）的情況也類似簽名。即使使用橢圓曲線（非 PQ 安全），其零知識性在量子環境下仍然成立。

零知識保證證明不會洩露任何秘密見證，因此攻擊者無法“現在收集證明，未來再解密”。 因此，zkSNARKs 不易受到 HNDL 攻擊。就像今天生成的簽名是安全的一樣，任何在量子計算機出現之前生成的 zkSNARK 證明都是可信的——即使該 zkSNARK 使用了橢圓曲線密碼學。只有在 CRQC 出現之後，攻擊者才能偽造虛假陳述的證明。將不分晝夜地進行著價值交換，構建出一個遠超人類經濟規模的全新數字世界。