量子計算機與加密：評估真實威脅與小數循環時間表

在2026年3月的迷因中，當有關量子電腦進展的消息傳來時，通常會立即呼籲立即轉向後量子加密。然而，這種擔憂往往缺乏平衡的分析，並未區分不同性質的威脅。事實上，量子對資料加密的風險確實是緊迫的問題，但像比特幣的數位簽名和零知識證明的特性，在時間限制方面具有類似的重複性——問題會循環重演，但它們的緊迫性卻與媒體所傳達的截然不同。

本文旨在澄清有關HNDL（“即刻竊取，日後解密”）威脅的常見誤解，並指出其在區塊鏈系統中的實際影響，並為系統管理者提供平衡的建議。

實時時間線：從技術到應用的奇異距離

第一個問題是：量子電腦多久能摧毀現有的通用加密系統？

儘管一些公司聲稱在2030年甚至2035年達成，但實際情況要複雜得多。目前所謂的“與加密相關的量子電腦”指的是能有效偏離錯誤、能運行Shor’s算法、且規模足夠破壞RSA-2048或secp256k1的系統（例如在一個月內完成的系統）。

根據目前公開的技術，我們距離這一目標仍有很長的距離。現有的離子阱、超導量子比特或原子中子系統都缺乏關鍵要素：

• 量子比特數量：雖然某些系統的物理比特超過1000，但這是誤導性數字，尚無任何系統具有足夠的連接性和精確度來進行實用的加密破解計算。
• 錯誤校正：運行Shor’s算法需要數千個邏輯比特，這些邏輯比特由數十萬到百萬個物理比特經錯誤校正而來。至今尚未有人能可靠運行超過幾個邏輯比特。
• 電路深度：Shor’s算法需要深層電路，且需容錯，且包含非Clifford門，這在實務上存在巨大鴻溝。

知名計算機科學家Scott Aaronson指出，硬體的進展速度令人驚訝，他相信在下一次美國總統選舉前，可能會出現容錯的量子電腦，但他澄清，這並非指能攻破實際加密的機器，而僅是示範性的小型實驗，例如分解15=3×5。

HNDL攻擊：誰真正面臨風險？

“即刻竊取，日後解密”（HNDL）攻擊是指攻擊者捕獲當前的加密通信資料，並等待量子電腦能破壞加密後再解密。政治和情報機構可能會存大量被加密的通信，尤其是需要保密10-50年以上的資料。對於這些，延遲加密（delayed encryption）應立即升級，不論成本。

然而，加密（encryption）與數位簽名（digital signatures）不同。簽名沒有秘密需要保護，攻擊者可以在量子電腦出現後模仿簽名，只要能證明該簽名是在之前產生的，這些簽名仍然有效。這意味著，轉向後量子簽名並非像升級加密那樣緊迫。

許多大型平台已開始採用混合加密（hybrid encryption），結合X25519+ML-KEM，Chrome和Cloudflare已在TLS中實施，Apple的PQ3和Signal也採用類似方案。但後量子簽名的推廣仍被推遲，主要因為性能成本和實施風險較高。

零知識證明（zkSNARKs）與簽名類似，雖然用橢圓曲線的zkSNARKs在量子下不安全，但其“零知識”屬性本身是安全的，沒有秘密能被竊取或在未來解碼，因此zkSNARKs不受HNDL攻擊影響。

澄清誤解：不同威脅對加密與簽名的影響

主要的四個誤解推動了不必要的恐慌：

1. “量子優勢”是虛構的：目前的演示多是為了符合現有硬體，並非真正的實用威脅。媒體常常淡化這點。
2. “百比特量子”誤解：多數宣傳指的是量子退火機，不是能運行Shor’s算法的門模型量子電腦。
3. “邏輯比特”誤解：一些公司聲稱擁有大量邏輯比特，但只用錯誤檢測碼（如距離-2）來“擴展”，這毫無意義。
4. 假冒的路徑圖：許多方案只支持Clifford操作，能用經典模擬，不能用來破解RSA等。

區塊鏈與比特幣：實際風險與技術限制

大多數區塊鏈（如比特幣、以太坊）依賴數位簽名而非加密本身，因此不會受到HNDL的直接威脅。比特幣的風險在於簽名被偽造（盜取資產），而非資料解密，因為資料是公開的。

但若比特幣的簽名方案或相關技術難以升級，則存在技術障礙：

• 升級緩慢：比特幣變更困難，任何分歧都可能導致硬分叉，社群分裂。
• 用戶需主動遷移：用戶必須積極轉移資產，否則“沉睡”的比特幣在量子威脅下仍可能被攻破。估計有數十億美元的比特幣面臨此風險。

真正的量子攻擊不會突然發生，而是逐步選擇高價值目標，逐步行動。特別是，像Monero這類注重隱私的區塊鏈，若不迅速改進，現有的加密資料在量子電腦出現後都可能被破解。

成本與風險：為何逐步推行更為重要

後量子簽名方案的性能成本很高，這也是為何基礎設施（如網頁和區塊鏈）不宜急於採用：

• 大小問題：ML-DSA簽名約2.4-4.6KB，較橢圓簽名大40-70倍。Falcon簽名較小（0.7-1.3KB），但實作複雜。
• 安全性問題：基於格的簽名（lattice-based）較易受到側信道攻擊，且需要強化錯誤插入和側信道防護。
• 歷史教訓：曾經的領先算法（Rainbow、SIKE/SIDH）都被自然計算攻破，顯示過早標準化的風險。

7點行動建議

根據上述分析，建議如下：

1. 立即採用混合加密：針對長期保密需求，已在Chrome、Cloudflare、iMessage、Signal等實施。
2. 在允許的範圍內使用哈希簽名：如軟體更新，採用哈希混合簽名，提供“緩衝”。
3. 區塊鏈不必急於升級，但須規劃：應基於研究和測試逐步推行，而非盲目跟進時間表。
4. 借鑑PKI社群的謹慎態度：學習傳統網路如何管理過渡。
5. 比特幣應立即規劃：不是因為量子電腦即將來臨，而是因為管理遲緩、協調困難和成本高昂。
6. 推動Post-Quantum SNARKs的研究：對於SNARK的擔憂同樣適用於簽名方案。
7. 區塊鏈隱私方案需調整：設計新協議以避免HNDL攻擊。
8. 設計具有彈性的架構：將簽名方式與流程分離，便於未來轉換，並支持如Sponsored Transactions、Social Recovery等功能。
9. 重視實務安全：未來數年，側信道、故障注入等攻擊風險將超越量子威脅，應投入測試和形式驗證。
10. 持續支持量子計算研究：從國家安全角度，持續投資人才和技術。
11. 理性看待量子新聞：量子進展令人振奮，但每個目標都顯示我們距離實用還有距離，媒體應將其視為進展報告，而非催促行動的信號。

總結：在謹慎與理性之間取得平衡

事實上，量子對加密的威脅確實存在，但預計在10-20年後才會成為現實。加密升級是必要的，但簽名和架構的變革應等待研究成熟、實用性提升後再行推動。

通過理解不同威脅對加密、簽名和zkSNARKs的影響，我們能更有效率地配置資源，避免因過度恐慌而造成的資源浪費。