从理论到倒计时：Google 用零知识证明敲响区块链抗量子警钟

作者：Haotian

这几天闲来无事，粗略研究了下量子计算机对区块链生态的影响，涉及大量密码学的背景知识，不说太多细节，分享几个观点：

1）过去学界普遍认知要破解 256 位的椭圆曲线加密算法大概需要数百万个物理量子比特，逻辑量子比特 6000 个左右，但 Google 这次发表的新论文，并没有推出什么逆天的新硬件，而只是重新编译了 Shor’s algorithm（肖尔算法）在量子电路上的执行方式，就把所需的逻辑量子比特压缩到了 1200 个。

什么概念？意味着算力成本直接缩减了近 20 倍。这是本次量子威胁论被热议的根本，以前我们一直认为绝对不可能的事，到了今天，开始有了一个「倒计时」；

2）Google 给这个倒计时的时间节点是 2029 年，意味着这个时间点前包括互联网的 HTTPS、SSL 银行证书、SSH 远程登录等加密方式以及 BTC 和以太坊等公链的底层 ECDSA 签名体系都必须完成一次「抗量子」换血，否则到时候可能会存在灭顶之灾。

关于这一点，2029 年也就是 3 年的时间，我觉得过于夸张了，毕竟纯理论落地到现实可执行落地还有很大的距离，但至少说明了一点，抗量子攻击的加密算法升级时间窗口开始打开了，没有迫在眉睫，但也绝不能掉以轻心；

3）如果说到此，很多人对量子威胁还是没概念，那可以再细化说几个攻击面：

1、目前 BTC 链上大概有 25%-35% 的地址，公钥已经处于暴露状态，包括中本聪时代采用 P2PK 格式的早期地址，以及所有复用过、发生过转账的地址，这些地址都在攻击范畴内；而其他没有发生转账的地址，只要在量子计算机成熟后启动转账，其在 Mempool 处理交易的 10 分钟内，足以被量子破解抢先截胡攻击，等于整个网络都已瘫痪；

2、以太坊面临的危机更直接，ETH 的 EOA 账户在第一次发送交易时，公钥就会通过签名被暴露上链，，加上 EIP-4844 之后的数据可用性采样机制，以及本身依赖 POS 签名验证的共识网络。以太坊公链面临的都不是私钥能不能破解的问题，而是一旦签名算法得不到升级，整个网络都形同虚设了；

3、关键是，由于区块链交易历史都是可追溯且永久存储在链上，别看现在量子计算机攻击条件还不成熟，但过去和今天链上已经暴露公钥的交易，都会被记录起来，成为潜在攻击的对象，就等量子机器慢慢就位。

4）当然，既然量子攻击还存在技术突破 + 时间的窗口，同样理论上，只要在接下来的数年内完成「抗量子攻击」大换血，也可以实现一次自救。

以太坊早就在抗量子威胁上面做「工程化」优化布局了，包括推进账户抽象允许 EOA 地址在应用层面直接切换签名方案，验证者签名也在向抗量子攻击的 PQC 加密算法（Post-Quantum Cryptography，后量子密码学，专门为抵抗量子攻击设计的新一代加密标准）等都可以从底层结构上强化抗量子特性。本身以太坊最牛逼的就是「飞行状态下加油」的动态升级特性，既然方向明确了，抗量子特性也只是时间问题了。

比特币选择了引入 BIP-360，这会引入 FALCON 或 CRYSTALS-Dilithium 这类后量子签名算法，技术上并不复杂，但是难在共识确立，要知道，比特币社区曾为了一个区块大小的分叉吵了几年，指望他们在抗量子硬分叉上迅速妥协，实在难以乐观。但一旦威胁进一步有了「确定性」，这个自救式的补丁再佛系的开发社区也会硬着头皮上。

以上。

最后说一件有意思的是，Google 用零知识证明 ZK 披露了这个潜在的量子威胁，一开始就有意识的让其「软着陆」，毕竟一旦失控发生别说区块链了，互联网文明都是毁灭性的。另外 Google Quantum AI 团队里，有以太坊基金会的研究员参与，没准抗量子攻击会成为区块链接下来的一个主流叙事也未可知，毕竟天然基因就是密码学技术，这样全新的使命，很 Crypto！