加密產業的反應是:Google 在 2024 年 12 月揭露它的 Willow 量子晶片時,量子運算的威脅仍然很遙遠。
比特幣用於挖礦的 SHA-256 以及用於簽名的 ECDSA,兩者在理論上都會受到量子解密的威脅,但共識認為這項威脅距離還有數十年之久。要破解加密需要數百萬顆實體量子比特(量子系統中的資訊單位)。而 Willow 剛好只有 105。
這個故事在 16 個月後已略有改變,且 Google 並未敷衍或否定任何事情。
該公司本週宣布,將在 2029 年設下最後期限,把其驗證服務遷移到後量子密碼學,並指出量子硬體、錯誤更正,以及因數分解所需資源的估算都有進展。
Google 的資安工程團隊寫道,量子電腦「將對現行的密碼學標準構成重大威脅,特別是對加密與數位簽名造成威脅」,並且指出,對數位簽名而言「在具備密碼學上相關的量子電腦之前,必須先完成過渡到 PQC。」
這些風險並非理論上的。Android 17 行動作業系統已在整合後量子數位簽名防護。Chrome 也已支援後量子金鑰交換。Google Cloud 為企業客戶提供後量子解決方案。
傳統電腦以位元處理資訊,每一個位元要嘛是 0,要嘛是 1,並透過逐一檢查可能性來解題。量子電腦使用量子比特(qubits),它們可以同時存在於 0 與 1,這種性質稱為疊加態,能讓它們並行探索龐大的可能性數量。
對於多數日常任務而言,這種優勢幾乎可說是微不足道。但對特定問題,例如支撐現代加密的巨大質數因數分解,一台足夠強大的量子電腦可能在幾分鐘內解出來,而傳統機器要花的時間會超過宇宙的年齡。
比特幣使用 ECDSA(橢圓曲線數位簽名演算法)來為交易簽名,這正是 Google 所點名、要求在能夠破解它的量子電腦出現之前就必須遷移的密碼學類別。
一台足夠強大的量子電腦若在執行 Shor 的演算法,可能從公鑰推導出私鑰,讓攻擊者能花用任何其公鑰已在區塊鏈上暴露的比特幣。
Shor 是一種量子運算方法,能以比正常電腦快得多的速度、呈指數級更快地破解保護密碼與錢包的數學。
當 CoinDesk 在 2024 年 12 月撰寫 Willow 時,這套數學仍令人安心。Solana 生態系專案 Dialect 的創辦人 Chris Osborn 當時清楚地把它講了出來:大約需要 5,000 個邏輯量子比特,才能用 Shor 的演算法針對目前的加密進行運算,而每一個邏輯量子比特都需要數千個用於錯誤更正的實體量子比特。
這意味著需要數百萬個實體量子比特,對照 Willow 的 105。這個落差看起來非常巨大。
變化的並不是量子比特數量。改變的是錯誤更正的演進路線,以及機構層級的回應。Google 從展示「低於門檻」的錯誤更正(也就是他們能首次把雜訊很大的實體量子比特轉化為可用的邏輯量子比特),走到在 16 個月後設定公司的遷移期限。
當建造量子電腦的公司敦促開發者在 2029 年前完成遷移,這是在釋放一個訊號:落差縮小的速度比公開時間表所暗示的要快。
以太坊聯合創辦人 Vitalik Buterin 早在 2024 年 10 月就已呼籲加快腳步,那是在 Willow 公告之前一個月。
「量子運算專家,例如 Scott Aaronson,最近也開始更嚴肅地看待『量子電腦在中期真的能運作』這種可能性」,Buterin 當時寫道。
「這將影響整個以太坊路線圖:這意味著目前依賴橢圓曲線的以太坊協議每一個部分,都將需要某種基於雜湊的,或其他抗量子替代方案。」
兩個最大的區塊鏈網路在回應上的差異,可能再也不可能更鮮明。
以太坊基金會把這視為一項指令,並據此展開工作。耗時八年的努力,如今已在每週交付的開發網路(devnets)中看得見,同時也有一份公開路線圖,且精確到「分叉等級」的程度。
比特幣的治理模式使得這種協調式回應在結構上更難。沒有等同於以太坊基金會的組織能夠資助並指揮一項跨越多年的工程工作。
協議變更需要分散式開發者社群之間達成廣泛共識,而這個社群在歷史上一直是以緩慢且審慎的方式推進——這是用於穩定性的特性,但在面對期限時會成為負擔。
比特幣最後一次重大密碼學升級 Taproot,在 2021 年啟用之前,經歷了多年的討論。
以太坊本週推出 pq.ethereum.org:這是一個專為其後量子安全工作而設的專用樞紐,而這項工作自 2018 年起就已在進行。以太坊基金會的後量子團隊(密碼學團隊、協議架構團隊、協議協調團隊)已花費八年時間,朝向一項會觸及協議每一層的遷移目標構建。
超過 10 個客戶端(client)團隊正透過基金會所稱的 PQ Interop 每週交付開發網路。路線圖在未來四次即將到來的硬分叉中,標出具體里程碑:從後量子金鑰註冊(key registry),到完整的 PQ 共識。
另一方面,比特幣沒有任何等同的工作。沒有協調的路線圖。沒有跨團隊的工程計畫。也沒有分叉里程碑。
Nic Carter 是比特幣最具代表性的支持者之一,也是加密基金 Castle Island Ventures 的共同創辦人;他本週把「安靜的那部分」講得很直接。
「橢圓曲線密碼學已站在過時的邊緣」,他在 X 上寫道。「不管是 3 年還是 10 年,都結束了,而我們需要接受這一點。唯一重要的是:區塊鏈開發者會以多快的速度意識到,他們必須把密碼學的可變性(mutability)內建到他們的網路中。」
Carter 也直接對照了兩種做法。他說,以太坊的做法是「同級最佳」(best in class)。他描述該網路如何「在 2029 年聚集並宣布一份具體且詳細的 PQ 路線圖,把它設定為最高的策略優先級,把 PQ 納入持續進行的路線圖、詳細 FAQ,並且不恐懼、只做行動。」
Carter 說,比特幣的做法則是「同級最差」(worst in class)。他指出,目前確實有一個團體在推進與量子相關的提案,但「並未獲得頂尖開發者的任何背書」,而開發者則以「零散的研究部分顯示進展」作為證據,然而卻「沒有一致的策略、沒有路線圖」。
「每個人都知道我是一名比特幣持有者,也希望比特幣能贏」,Carter 補充道。「我不是為了傷害感情而說這些。我是為了促使採取行動。」
不過,緊迫感並非人人都一致認同。
例如 CoinShares 等公司認為,外界對於比特幣將面臨即將到來的量子威脅的擔憂被誇大了;它估計只有大約 10,200 BTC 集中在足以受影響的既有地址型態中,這些資產被盜可能會造成「可觀的市場衝擊」。
剩下暴露的供給,大約是 160 萬 BTC(在更舊的 Pay-to-Public-Key 地址中),分散在超過 32,000 個獨立錢包裡,每個錢包平均約有 50 BTC。這使得它們若要逐一破解會非常緩慢且不具獲利性;正如 CoinDesk 當時所報導。
但問題不在於量子運算是否終將威脅區塊鏈的密碼學。Google、以太坊基金會、NIST,以及目前眾多知名的比特幣倡議者都一致認為:會。
問題在於:是否還有足夠的 3 年時間,可以遷移一個全球性的、去中心化的協議。這個協議沒有中央權威可設定期限,沒有協調的工程團隊能夠執行,且其文化還把緊迫感視為令人懷疑。
以太坊的答案是:八年的準備讓它能夠在四次硬分叉中完成遷移。Google 的答案是:2029 是最後期限,而且遷移已在其產品中展開。
就目前而言,比特幣的答案是沉默。而如 Carter 所警告的:「如果這份沉默持續下去,ETHBTC 將開始反映出優先順序上的分歧。」
