如今,關於「與密碼學相關的量子電腦(CRQC)」何時誕生,市場上的預測往往過於激進且誇大——這導致人們呼籲立即、全面地向後量子密碼學遷移。
但這些呼籲往往忽略了過早遷移的成本和風險,也忽略了不同密碼學原語之間截然不同的風險屬性:
- 後量子加密(Post-quantum encryption)確實需要立即部署,儘管成本高昂: 「先截獲,後解密」(HNDL)的攻擊已經在發生。今天加密的敏感數據,即使在幾十年後量子電腦出現時,仍然可能有價值。雖然實施後量子加密會帶來效能開銷和執行風險,但面對HNDL 攻擊,那些需要長期保密的資料別無選擇。
- 後量子簽章(Post-quantum signatures)則面臨完全不同的運算邏輯: 它們並不受HNDL 攻擊的影響。而且,後量子簽名的代價和風險(體積更大、性能更差、技術不成熟以及潛在的Bug)決定了我們需要採取深思熟慮的、而非火急火燎的遷移策略。
釐清這些差異至關重要。誤解會扭曲成本效益分析,導致團隊忽略了眼前更致命的安全風險—例如程式碼Bug。
在向後量子密碼學遷移的過程中,真正的挑戰在於將緊迫感與實際威脅相匹配。下文將透過涵蓋加密、簽名和零知識證明(特別是其對區塊鏈的影響),來澄清關於量子威脅的常見誤解。
我們離量子威脅有多遠?
儘管外界炒作得沸沸揚揚,但在2020 年代出現「密碼學相關的量子電腦(CRQC)」的可能性極低。
我所說的“CRQC”,是指一台具有容錯能力、經過糾錯的量子計算機,其規模足以在合理的時間內運行Shor 演算法來攻擊橢圓曲線密碼學或RSA(例如,在最多一個月內破解secp256k1 或RSA-2048)。
透過公共里程碑和資源估算的合理研讀,我們距離造出這樣的機器還差得很遠。雖然有些公司聲稱CRQC 可能在2030 年之前或2035 年之前出現,但目前公開已知的進展並不支持這些說法。
客觀來看,縱觀目前所有的技術架構——離子阱、超導量子位元、中性原子系統——今天沒有任何一個平台能接近運行Shor 演算法所需的數十萬到數百萬個實體量子位元(取決於錯誤率和糾錯方案)。
限制因素不僅是量子位元的數量,還包括閘保真度(Gate Fidelities)、量子位元連接性,以及運行深度量子演算法所需的持續糾錯電路深度。雖然有些系統現在的實體量子位元數超過了1,000 個,但單純看數量是誤導性的:但單純看數量極具欺騙性:這些系統缺乏進行密碼學相關計算所需的連接性和保真度。
最近的系統在物理錯誤率上開始接近量子糾錯起效的門檻,但還沒有人能展示出超過幾個具有持續糾錯電路深度的邏輯量子位元……更不用說運行Shor 演算法實際所需的數千個高保真、深電路、容錯的邏輯量子位元了。從“證明量子糾錯在原理上可行”到“達到密碼分析所需的規模”,這中間的鴻溝仍然巨大。
簡而言之:除非量子位元的數量和保真度都提高幾個數量級,否則CRQC 仍然遙不可及。
然而,人們很容易被企業的公關和媒體報道搞糊塗。這裡有一些常見的誤解源頭:
- 聲稱「量子優勢」的演示: 這些演示目前針對的是人為設計的任務。選擇這些任務不是因為它們實用,而是因為它們可以在現有硬體上運行,並表現出巨大的量子加速——這一點在公告中往往被掩蓋。
- 聲稱擁有數千個實體量子位元的公司: 這通常指的是量子退火機(Quantum Annealers),而不是運行Shor 演算法攻擊公鑰密碼學所需的閘門模型機器。
- 濫用「邏輯量子位元」一詞: 而量子演算法(如Shor 演算法)需要數千個穩定的邏輯量子位元。透過量子糾錯,我們可以用許多實體量子位元來實現一個邏輯量子位元——通常需要數百到數千個。但有些公司已經把這個詞濫用到了離譜的地步。例如,最近一項公告聲稱用每個邏輯量子位元僅兩個實體量子位元就實現了48 個邏輯量子位元。這種低冗餘程式碼只能偵測錯誤,不能修正錯誤。真正的密碼分析的容錯邏輯量子比特,每一個都需要數百到數千個實體量子比特。
- 玩弄定義: 許多路線圖使用「邏輯量子位元」來指稱僅支援Clifford 操作的量子位元。這些操作可以被經典電腦高效模擬,因此根本不足以運行Shor 演算法。
即使某個路線圖的目標是“在X 年實現數千個邏輯量子位元”,這並不意味著該公司預計在那一年就能運行Shor 演算法破解經典密碼學。
這些行銷手段嚴重扭曲了大眾(甚至包括一些資深觀察家)對量子威脅迫近程度的認知。
儘管如此,一些專家確實對進展感到興奮。 Scott Aaronson 最近曾表示,鑑於硬體進展的速度,他認為「在下一屆美國總統大選前實現容錯量子電腦運行Shor 演算法是可能的」。但他也明確說明,這不等於能威脅密碼學的CRQC:即便只是在容錯體系下分解15 = 3 × 5,也算「預言成功」。這顯然與破解RSA-2048 不在同一量級。
事實上,所有「分解15」 的量子實驗都使用簡化電路,而不是完整的容錯Shor 演算法;而分解21 都需要額外提示和捷徑。
簡單來說,沒有任何公開進展能證明,我們能在未來5 年內打造一台破解RSA-2048 或secp256k1 的量子電腦。
十年之內也仍屬於非常激進的預測。
美國政府提出在2035 年前完成政府系統的後量子遷移,這是遷移計畫本身的時間表,並不是預測那時CRQC 會出現
HNDL 攻擊適用於哪一類密碼體系?
「HNDL(Harvest Now, Decrypt Later)」指攻擊者現在儲存加密通信,待未來量子電腦出現後再解密。
國家級對手很可能已經在大規模存檔美國政府的加密通信,以便未來解密。因此,加密系統需要立即遷移,尤其是保密期限在10–50 年以上的場景。
但是,所有區塊鏈所依賴的數位簽章(Digital Signatures)與加密不同:它沒有機密資訊可供追溯性攻擊。
換言之,當量子電腦出現時,確實能從那一刻開始偽造簽名,但過去的簽名不會受到影響——因為它們沒有秘密可洩露,只要能證明簽名產生於CRQC 出現之前,它就不可能被偽造。
因此,遷移到後量子簽章的緊迫性遠低於加密遷移。
主流平台也採取了對應策略:
- Chrome 與Cloudflare 已部署為TLS 混合模式的X25519+ML-KEM。
- Apple iMessage(PQ3)與Signal(PQXDH、SPQR)也部署了混合後量子加密。
但後量子簽章在關鍵Web 基礎設施上的部署則被刻意延後——只會在CRQC 真正臨近時進行,因為後量子簽章目前的效能回退仍然顯著。
zkSNARKs(一種零知識簡潔非交互知識論證技術)的情況也類似簽章。即使使用橢圓曲線(非PQ 安全),其零知識性在量子環境下仍然成立。
零知識保證證明不會洩露任何秘密見證,因此攻擊者無法「現在收集證明,未來再解密」。 因此,zkSNARKs 不易受到HNDL 攻擊。就像今天產生的簽名是安全的一樣,任何在量子電腦出現之前產生的zkSNARK 證明都是可信的——即使該zkSNARK 使用了橢圓曲線密碼學。只有在CRQC 出現之後,攻擊者才能偽造虛假陳述的證明。將不分晝夜地進行價值交換,建構出一個遠超過人類經濟規模的全新數位世界。
