跳到主要内容

17 篇博文 含有标签「密码学」

密码学协议和技术

查看所有标签

以太坊的后量子紧急状态:价值 200 万美元的 Q-Day 竞赛

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

如果保护以太坊 5000 亿美元网络的一切都能在几分钟内被破解,会发生什么?这不再是科幻小说。以太坊基金会刚刚宣布将后量子安全列为“顶级战略优先级”,成立了专门团队,并出资 200 万美元设立研究奖金。信息很明确:量子威胁不再只是理论,时间正在流逝。

量子定时炸弹

当今的每个区块链都依赖于量子计算机将会粉碎的密码学假设。以太坊、比特币、Solana 以及几乎所有主流网络都使用椭圆曲线密码学 (ECC) 进行签名——这种数学原理在拥有足够量子比特的 Shor 算法面前将变得不堪一击。

威胁模型非常严峻。目前的量子计算机还远未达到在现实世界的密钥上运行 Shor 算法的能力。破解 secp256k1(比特币和以太坊使用的椭圆曲线)或 RSA-2048 需要数十万到数百万个物理量子比特——这远远超出了当今 1000 多个量子比特的机器水平。谷歌和 IBM 的公开路线图目标是在 2030 年代初达到 100 万个物理量子比特,尽管工程延期可能会将其推迟到 2035 年左右。

但关键在于:对“Q-Day”(即量子计算机能够破解当前密码学的时刻)的预测范围从 5-10 年(激进型)到 20-40 年(保守型)不等。一些评估认为,到 2026 年,公钥密码学有七分之一的可能性被破解。当你正在保护数千亿美元的资产时,这并不是一个让人宽心的余量。

与单一个体可以强制升级的传统系统不同,区块链面临着协调噩梦。你无法强迫用户升级钱包。你无法修补每一个智能合约。而且一旦量子计算机能够运行 Shor 算法,每一笔暴露了公钥的交易都将变得易受私钥提取攻击。对于比特币来说,这大约意味着 25% 的 BTC 存在于重复使用或已暴露地址中。对于以太坊,账户抽象(Account Abstraction)提供了一些缓解措施,但遗留账户仍然处于风险之中。

以太坊的 200 万美元后量子赌注

2026 年 1 月,以太坊基金会宣布成立由 Thomas Coratger 领导的专门后量子 (PQ) 团队,并得到正在开发 leanVM 的密码学家 Emile 的支持。高级研究员 Justin Drake 将后量子安全称为基金会的“顶级战略优先级”——这对于此前一直是长期研究课题的项目来说,是一次罕见的地位提升。

基金会正提供重金支持:

  • 100 万美元 Poseidon 奖金:旨在加强 Poseidon 哈希函数,这是零知识证明系统中使用的密码学构建块。
  • 100 万美元 Proximity 奖金:继续研究后量子密码学邻近问题,这表明了对基于哈希的技术的偏好。

基于哈希的密码学是基金会选择的未来路径。与 NIST 标准化的基于格(lattice-based)或基于编码(code-based)的替代方案(如 CRYSTALS-Kyber 和 Dilithium)不同,哈希函数具有更简单的安全假设,并且已经在区块链环境中经过了实战测试。缺点是什么?它们产生的签名更大,需要更多的存储空间——这是以太坊为了长期抗量子能力而愿意做出的权衡。

LeanVM:以太坊战略的基石

Drake 将 leanVM 描述为以太坊后量子方法的“基石”。这个极简的零知识证明虚拟机针对抗量子的基于哈希的签名进行了优化。通过专注于哈希函数而非椭圆曲线,leanVM 避开了最容易受到 Shor 算法攻击的密码学原语。

为什么这很重要?因为以太坊的 L2 生态系统、DeFi 协议和隐私工具都依赖于零知识证明。如果底层加密技术不是量子安全的,整个堆栈就会崩塌。LeanVM 的目标是在量子计算机到来之前,让这些系统具备未来适应性。

多个团队已经在运行多客户端后量子开发网络,包括 Zeam、Ream Labs、PierTwo、Gean 客户端和 Ethlambda,并与 Lighthouse、Grandine 和 Prysm 等成熟的共识客户端合作。这并非空谈——而是正在接受压力测试的实时基础设施。

基金会还将启动每两周一次的突破性会议,作为全核心开发者 (All Core Developers) 流程的一部分,重点关注面向用户的安全变更:直接内置于协议中的专用密码学函数、新的账户设计,以及使用 leanVM 的长期签名聚合策略。

迁移挑战:数千亿资产命悬一线

将以太坊迁移到后量子密码学并非简单的软件更新。这是一个影响网络中每个参与者的多年、多层协调工作。

L1 协议:共识必须切换到抗量子签名方案。这需要一次硬分叉——意味着每个验证者、节点运营商和客户端实现都必须同步升级。

智能合约:部署在以太坊上的数百万个合约使用 ECDSA 进行签名验证。有些可以通过代理模式或治理进行升级;另一些则是不可更改的。Uniswap、Aave 和 Maker 等项目将需要迁移计划。

用户钱包:MetaMask、Ledger、Trust Wallet——每个钱包都必须支持新的签名方案。用户必须将资金从旧地址迁移到量子安全地址。这就是“现在收集,稍后解密”(harvest now, decrypt later) 威胁变得真实的地方:攻击者可以记录今天的交易,并在量子计算机出现后将其解密。

L2 Rollups:Arbitrum、Optimism、Base、zkSync——所有这些都继承了以太坊的密码学假设。每个 Rollup 必须独立迁移,否则就有可能成为量子攻击的薄弱环节。

以太坊在这里有一个优势:账户抽象。与比特币的 UTXO 模型(要求用户手动移动资金)不同,以太坊的账户模型可以支持具有可升级密码学的智能合约钱包。这并不能消除迁移挑战,但它提供了一条更清晰的路径。

其他区块链的进展

以太坊并非孤军奋战。更广泛的区块链生态系统也意识到了量子威胁:

  • QRL (Quantum Resistant Ledger):从诞生之初就采用了 XMSS (eXtended Merkle Signature Scheme),这是一种基于哈希的签名标准。QRL 2.0 (Project Zond) 将于 2026 年第一季度进入测试网,随后将进行审计并发布主网。

  • 01 Quantum:于 2026 年 2 月初推出了抗量子区块链迁移工具包,并在 Hyperliquid 上发行了 $qONE 代币。他们的 Layer 1 迁移工具包计划于 2026 年 3 月发布。

  • 比特币:存在多个提案(关于后量子操作码的 BIP、针对新地址类型的软分叉),但比特币保守的治理方式使得快速变革变得不太可能。如果量子计算机比预期更早出现,可能会出现具有争议的硬分叉场景。

  • Solana, Cardano, Ripple:都使用基于椭圆曲线的签名,并面临类似的迁移挑战。大多数处于早期研究阶段,尚未宣布专门的团队或时间表。

对排名前 26 的区块链协议进行的审查显示,其中 24 个纯粹依赖于量子易损的签名方案。目前只有两个(QRL 和另一个知名度较低的链)拥有抗量子的基础。

Q-Day 场景:快速、缓慢还是永不发生?

激进时间线(5-10 年):量子计算取得突破性进展。到 2031 年,100 万量子位的机器出现,全行业只有五年时间来完成全网络范围的迁移。尚未开始准备的区块链将面临灾难性的密钥泄露。以太坊的领先优势在这里至关重要。

保守时间线(20-40 年):受限于纠错和工程挑战,量子计算进展缓慢。区块链有充足的时间以稳健的步调进行迁移。以太坊基金会的早期投资看起来很明智,但并不紧迫。

黑天鹅(2-5 年):在公开路线图显示之前,秘密或私人的量子突破已经发生。国家行为者或资金充足的对手获得了密码学优势,从而能够从易受攻击的地址进行无声窃取。这种情况证明了将后量子安全视为当今“顶级战略优先事项”的合理性。

中间场景的可能性最大,但区块链无法承担只针对中间情况进行规划的后果。如果预测错误,代价将是毁灭性的。

开发者和用户应该做什么

针对在以太坊上构建的开发者:

  • 关注 PQ 突围电话会议:以太坊基金会每两周一次的后量子会议将影响协议变更。保持信息灵通。
  • 规划合约升级:如果你控制着高价值合约,现在就设计升级路径。代理模式、治理机制或迁移激励将至关重要。
  • 在 PQ 开发网上测试:多客户端后量子网络已经上线。测试你的应用程序的兼容性。

对于持有 ETH 或代币的用户:

  • 避免地址复用:一旦你从一个地址签署交易,公钥就会暴露。理论上,量子计算机可以从中推导出私钥。如果可能,每个地址只使用一次。
  • 关注钱包更新:随着标准的成熟,主流钱包将整合后量子签名。当时机成熟时,准备好迁移资金。
  • 不要恐慌:Q-Day 不会在明天到来。以太坊基金会以及更广泛的行业正在积极构建防御体系。

对于企业和机构:

  • 评估量子风险:如果你托管着数十亿美元的加密货币,量子威胁是一个受托责任问题。参与后量子研究并关注迁移时间表。
  • 跨链多元化:以太坊的积极姿态令人鼓舞,但其他链可能落后。相应地分散风险。

十亿美元的问题:这足够了吗?

以太坊 200 万美元的研究奖金、专门的团队和多客户端开发网络,代表了区块链行业中最激进的后量子推进。但这足够了吗?

乐观情况:是的。以太坊的账户抽象、强大的研究文化和早期起步使其最有希望实现平稳迁移。如果量子计算机遵循保守的 20-40 年时间线,以太坊将提前部署好抗量子基础设施。

悲观情况:不够。协调数百万用户、数千名开发者和数百个协议是前所未有的挑战。即使有最好的工具,迁移也将是缓慢、不完整且充满争议的。遗留系统——不可变合约、丢失的密钥、被遗弃的钱包——将无限期地处于量子易损状态。

现实情况:部分成功。以太坊核心将成功迁移。主要的 DeFi 协议和 L2 将紧随其后。但大量的小型项目、不活跃的钱包和边缘情况将作为量子易损的残余物继续存在。

结论:一场谁都不想输的竞赛

以太坊基金会的后量子紧急行动是一场全行业输不起的赌注。200 万美元的奖金、专门的团队和在线开发网络发出了严肃的信号。基于哈希的密码学、leanVM 和账户抽象提供了一条可靠的技术路径。

但意图并不等于执行。真正的考验在于量子计算机从研究好奇心转变为密码学威胁的那一刻。到那时,迁移窗口可能已经关闭。以太坊现在正在奔跑,而其他人还在系鞋带。

量子威胁不是炒作,而是数学。数学并不关心路线图或良好的意愿。问题不在于区块链是否需要后量子安全——而在于它们能否在 Q-Day 到来之前完成迁移。

以太坊积极的量子防御策略凸显了构建稳健、面向未来的区块链基础设施的重要性。在 BlockEden.xyz,我们提供基于能够随行业安全需求演进的基础设施而构建的企业级以太坊和多链 API 访问。探索我们的服务,在你可以长期信赖的基础设施上进行开发。

后量子区块链: 8 个竞相构建抗量子加密技术的项目

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

当 Coinbase 在 2026 年 1 月成立后量子咨询委员会时,它证实了安全研究人员多年来的警告:量子计算机将破解当前的区块链加密技术,抗量子加密的竞赛已经开始。QRL 的 XMSS 签名、StarkWare 基于哈希的 STARKs 以及以太坊的 200 万美元研究奖金,代表了旨在 2026 年占据市场领导地位的前沿项目。问题不在于区块链是否需要抗量子能力,而在于当 “Q-Day”(量子日)到来时,哪种技术方案将占据主导地位。

后量子区块链板块分为两大类:对现有链(如比特币、以太坊)进行改造,以及原生抗量子协议(如 QRL、Quantum1)。每一类都面临不同的挑战。改造必须保持向后兼容性,协调分布式升级,并管理暴露的公钥。原生协议从一开始就使用抗量子加密技术,但缺乏网络效应。这两种方法都是必要的——传统区块链承载着必须保护的数万亿资产,而新链可以从创世之初就针对抗量子能力进行优化。

QRL:首个抗量子区块链

Quantum Resistant Ledger (QRL) 于 2018 年启动,是首个从成立之初就实施后量子加密技术的区块链。该项目选择了 XMSS(扩展门克尔签名方案),这是一种基于哈希的签名算法,通过哈希函数而非数论提供抗量子安全性。

为何选择 XMSS? SHA-256 等哈希函数被认为具有抗量子性,因为量子计算机无法显著加速哈希碰撞(Grover 算法提供的是平方级加速,而非像 Shor 算法针对 ECDSA 那样提供指数级加速)。XMSS 利用这一特性,从哈希值的默克尔树(Merkle trees)中构建签名。

权衡: XMSS 签名体积巨大(约 2,500 字节,而 ECDSA 仅为 65 字节),这使得交易成本更高。每个地址的签名容量有限——在生成 N 个签名后,必须重新生成树。这种有状态的特性需要仔细的密钥管理。

市场地位: 与比特币或以太坊相比,QRL 仍然属于小众市场,处理的交易量极小。然而,它证明了抗量子区块链在技术上是可行的。随着 Q-Day 的临近,QRL 作为经过实战检验的替代方案可能会受到关注。

未来展望: 如果量子威胁比预期来得更快,QRL 的先发优势将变得非常重要。该协议在后量子签名方面拥有多年的生产经验。寻求抗量子资产的机构可能会将 QRL 作为一种 “量子保险” 进行配置。

STARKs:具有抗量子能力的零知识证明

StarkWare 的 STARK(可扩展、透明的知识参数)技术作为其零知识证明架构的一个附带收益,提供了抗量子能力。STARKs 使用哈希函数和多项式,避免了容易受到 Shor 算法攻击的椭圆曲线加密。

为何 STARKs 至关重要: 与 SNARKs(需要可信设置并使用椭圆曲线)不同,STARKs 是透明的(无需可信设置)且具有抗量子性。这使其成为扩展解决方案(StarkNet)和后量子迁移的理想选择。

当前应用: StarkNet 为以太坊 L2 扩展处理交易。其抗量子能力目前是潜在的——虽然不是核心特性,但随着量子威胁的增长,这是一项宝贵的属性。

集成路径: 以太坊可以集成基于 STARK 的签名以实现后量子安全,同时在过渡期间保持与 ECDSA 的向后兼容性。这种混合方法允许逐步迁移。

挑战: 尽管压缩技术正在改进,但 STARK 证明的体积仍然很大(数百 KB)。验证速度很快,但证明生成的计算成本很高。这些权衡限制了高频应用的吞吐量。

展望: STARKs 可能会成为以太坊后量子解决方案的一部分,无论是作为直接的签名方案,还是作为迁移传统地址的包装器。StarkWare 的生产记录和以太坊的集成使得这条路径极具可能性。

以太坊基金会的 200 万美元研究奖金:基于哈希的签名

以太坊基金会在 2026 年 1 月将后量子加密指定为 “首要战略任务”,并设立了 200 万美元的研究奖金,用于征集实际的迁移方案。重点是基于哈希的签名(SPHINCS+、XMSS)和基于晶格(lattice-based)的加密(Dilithium)。

SPHINCS+: 一种由 NIST 标准化的无状态哈希签名方案。与 XMSS 不同,SPHINCS+ 不需要状态管理——你可以使用一个密钥签署无限的消息。签名体积更大(约 16-40 KB),但无状态特性简化了集成。

Dilithium: 一种基于晶格的签名方案,与基于哈希的替代方案相比,它提供更小的签名(约 2.5 KB)和更快的验证速度。其安全性依赖于被认为具有量子抗性的晶格问题。

以太坊的挑战: 迁移以太坊需要解决历史交易中暴露的公钥问题,在过渡期间保持向后兼容性,并最大限度地减少签名体积膨胀,以避免破坏 L2 的经济模型。

研究重点: 这项 200 万美元的奖金旨在寻找实际的迁移路径——如何进行网络分叉、转换地址格式、处理传统密钥,以及在为期数年的过渡期间维持安全性。

时间线: 以太坊开发人员估计,从研究到生产部署需要 3-5 年。这表明,假设 Q-Day 不会提前到来,以太坊主网的后量子激活将在 2029-2031 年左右。

比特币 BIPs:后量子迁移的保守方法

讨论后量子密码学的比特币改进提议 (BIPs) 正处于草案阶段,但共识建立过程缓慢。比特币的保守文化抵制未经测试的密码学,更倾向于经过实战检验的解决方案。

可能采取的方法:由于保守的安全特性,倾向于采用基于哈希的签名 (SPHINCS+)。比特币将安全性置于效率之上,愿意接受更大的签名以降低风险。

Taproot 集成:比特币的 Taproot 升级提供了脚本灵活性,可以在不进行硬分叉的情况下容纳后量子签名。Taproot 脚本可以在 ECDSA 的基础上包含后量子签名验证,从而实现选择性迁移 (opt-in migration)。

挑战:暴露地址中存有 665 万枚 BTC。比特币必须做出抉择:强制迁移(销毁丢失的代币)、自愿迁移(面临量子盗窃风险)或接受损失的混合方法。

时间线:比特币的推进速度比以太坊慢。即使 BIPs 在 2026-2027 年达成共识,主网激活可能也要等到 2032-2035 年。这一时间线的前提是 Q-Day 并非迫在眉睫。

社区分歧:一些比特币极大化主义者否认量子威胁的紧迫性,将其视为遥远的威胁。另一些人则主张立即采取行动。这种紧张关系减缓了共识的建立。

Quantum1:原生抗量子智能合约平台

Quantum1(新兴项目的假设案例)代表了从创世阶段就设计为抗量子的新一代区块链。与 QRL(简单支付)不同,这些平台提供具有后量子安全性的智能合约功能。

架构:结合了基于格的签名 (Dilithium)、基于哈希的承诺和零知识证明,以实现隐私保护且抗量子的智能合约。

价值主张:构建长期应用(寿命超过 10 年)的开发者可能更倾向于原生抗量子平台,而非经过改造的链。既然要在 2030 年迁移,为什么今天还要在以太坊上构建呢?

挑战:网络效应有利于成熟的链。比特币和以太坊拥有流动性、用户、开发者和应用。无论技术多么优越,新链在获得关注方面都面临巨大挑战。

潜在催化剂:针对主流链的量子攻击将引发向抗量子替代方案的逃离。Quantum1 类型的项目是应对现有链失效的保险单。

Coinbase 顾问委员会:机构协调

Coinbase 成立后量子顾问委员会,标志着机构开始关注量子准备工作。作为一家负有信托义务的上市公司,Coinbase 不能忽视客户资产面临的风险。

顾问委员会角色:评估量子威胁,建议迁移策略,与协议开发者协调,并确保 Coinbase 的基础设施为后量子过渡做好准备。

机构影响力:Coinbase 持有价值数十亿美元的客户加密货币。如果 Coinbase 推动协议采用特定的后量子标准,这种影响力将至关重要。交易所的参与会加速采用——如果交易所仅支持后量子地址,用户迁移的速度会更快。

时间线压力:Coinbase 的公开参与表明,机构的时间线比社区讨论所承认的要短。上市公司不会为了 30 年后的风险而成立顾问委员会。

布局领导地位的 8 个项目

竞争格局总结:

  1. QRL:先行者,生产级 XMSS 实现,利基市场
  2. StarkWare/StarkNet:基于 STARK 的抗量子特性,以太坊集成
  3. 以太坊基金会:200 万美元研究奖金,专注于 SPHINCS+/Dilithium
  4. Bitcoin Core:BIP 提案,支持 Taproot 的选择性迁移
  5. Quantum1 类平台:原生抗量子智能合约链
  6. Algorand:探索用于未来升级的后量子密码学
  7. Cardano:研究集成基于格的密码学
  8. IOTA:Tangle 架构中的抗量子哈希函数

每个项目都在不同的权衡之间进行优化:安全性 vs 效率、向后兼容性 vs 白手起家、NIST 标准化算法 vs 实验性算法。

对开发者和投资者的意义

对于开发者:构建 10 年以上长期应用的开发者应考虑后量子迁移。以太坊上的应用最终将需要支持后量子地址格式。现在的规划可以减少未来的技术债。

对于投资者:在抗量子链和传统链之间进行多元化投资可以规避量子风险。QRL 和类似项目具有投机性,但如果量子威胁比预期来得更快,它们将提供非对称的上行潜力。

对于机构:后量子准备是风险管理,而非投机。持有客户资产的托管机构必须规划迁移策略,与协议开发者协调,并确保基础设施支持后量子签名。

对于协议:迁移窗口正在关闭。2026 年才开始后量子研究的项目要到 2029-2031 年才能部署。如果 Q-Day 在 2035 年到来,那么只剩下 5-10 年的后量子安全期。启动太晚可能会导致时间不足。

参考资料

量子迁移问题:为什么你的比特币地址在一次交易后就会变得不安全

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

当你签署一笔比特币交易时,你的公钥就会永久地在区块链上可见。15 年来,这并不重要——保护比特币的 ECDSA 加密在计算上是经典计算机无法破解的。但量子计算机改变了一切。一旦拥有足够强大能力的量子计算机出现(Q-Day),它可以在几小时内从你暴露的公钥中重构出你的私钥,从而掏空你的地址。被低估的 Q-Day 问题不仅仅是“升级加密”。关键在于,已签署过交易的地址中存有的 665 万枚 BTC 已经处于风险之中,而且其迁移难度比升级企业 IT 系统要大得多。

以太坊基金会设立的 200 万美元后量子研究奖金,以及 2026 年 1 月成立的专门 PQ 团队,标志着“最高战略优先级”地位的确立。这并非未来的规划——而是紧急备战。Project Eleven 专门为后量子加密安全筹集了 2000 万美元。Coinbase 成立了后量子顾问委员会。与 Q-Day 的赛跑已经开始,区块链面临着传统系统所不具备的独特挑战:不可篡改的历史、分布式协作,以及存放在公钥已暴露地址中的 665 万枚 BTC。

公钥暴露问题:为什么你的地址在签名后会变得脆弱

比特币的安全依赖于一种基础的不对称性:从私钥派生公钥很容易,但逆向推导在计算上是不可能的。你的比特币地址是公钥的哈希值,这提供了额外的一层保护。只要你的公钥保持隐藏,攻击者就无法针对你的特定密钥。

然而,一旦你签署一笔交易,你的公钥就会在区块链上变得可见。这是不可避免的——签名验证需要公钥。对于接收资金,你的地址(公钥的哈希值)就足够了。但支出资金则需要揭示公钥。

经典计算机无法利用这种暴露。破解 ECDSA-256(比特币的签名方案)需要解决离散对数问题,估计需要 2^128 次运算——即使是运行数千年的超级计算机也无法实现。

量子计算机打破了这一假设。Shor 算法在具有足够量子比特和纠错能力的量子计算机上运行,可以在多项式时间内解决离散对数问题。据估计,一台拥有约 1,500 个逻辑量子比特的量子计算机可以在几小时内破解 ECDSA-256。

这创造了一个关键的脆弱性窗口:一旦你从一个地址签署了交易,该公钥就会永远暴露在链上。如果以后出现了量子计算机,所有先前暴露的密钥都将变得脆弱。存放在已签署交易地址中的 665 万枚 BTC 正伴随着永久暴露的公钥,等待着 Q-Day 的到来。

没有交易历史的新地址在首次使用前仍然是安全的,因为它们的公钥尚未暴露。但遗留地址——中本聪的代币、早期采用者的持有量、以及签署过交易的交易所冷钱包——都是滴答作响的定时炸弹。

为什么区块链迁移比传统加密升级更难

传统的 IT 系统也面临量子威胁。银行、政府和企业使用的加密技术都容易受到量子攻击。但它们的迁移路径是直接的:升级加密算法、轮换密钥并重新加密数据。虽然昂贵且复杂,但在技术上是可行的。

区块链迁移面临着独特的挑战:

不可篡改性:区块链历史是永久性的。你无法追溯性地更改过去的交易来隐藏已暴露的公钥。一旦泄露,它们就会在成千上万个节点中永远泄露。

分布式协作:区块链缺乏强制执行升级的中央机构。比特币的共识需要矿工、节点和用户的多数同意。为后量子迁移协调一次硬分叉在政治和技术上都非常复杂。

向后兼容性:在过渡期间,新的后量子地址必须与遗留地址并存。这导致了协议的复杂性——两种签名方案、双重地址格式、混合模式交易验证。

丢失的密钥和非活跃用户:数百万枚 BTC 存放于那些丢失密钥、已故或多年前放弃加密货币的人所拥有的地址中。这些代币无法自愿迁移。它们是应该保持脆弱状态,还是由协议强制迁移(这可能面临破坏访问权限的风险)?

交易规模和成本:后量子签名比 ECDSA 大得多。根据方案的不同,签名大小可能会从 65 字节增加到 2,500 字节以上。这会使交易数据膨胀,提高手续费并限制吞吐量。

算法选择的共识:该选择哪种后量子算法?NIST 标准化了多种算法,但每种都有权衡。如果选错了,可能意味着以后需要重新迁移。区块链必须押注于那些在未来几十年内依然安全的算法。

以太坊基金会的 200 万美元研究奖金正针对这些确切的问题:如何在不破坏网络、不失去向后兼容性、或不因签名冗余导致区块链无法使用的情况下,将以太坊迁移到后量子加密技术。

665 万 BTC 问题:暴露地址会面临什么?

截至 2026 年,约有 665 万 BTC 存放于签署过至少一次交易的地址中,这意味着它们的公钥已经暴露。这占比特币总供应量的约 30%,其中包括:

中本聪的代币:由比特币创建者开采的约 100 万 BTC 仍未移动。这些地址中的许多从未签署过交易,但其他地址因早期交易而暴露了密钥。

早期采用者的持有量:数以千计的 BTC 由早期矿工和采用者持有,他们在每枚代币仅值几美分时积累了这些资产。许多地址处于休眠状态,但拥有历史交易签名。

交易所冷存储:交易所将数百万 BTC 存放在冷存储中。虽然最佳实践是轮换地址,但传统的冷钱包往往因过去的整合交易而暴露了公钥。

丢失的代币:据估计有 300 万至 400 万 BTC 已丢失(所有者去世、私钥遗忘、硬盘被丢弃)。这些地址中的许多都具有暴露的密钥。

在 Q-Day 发生时,这些代币会怎样?有几种可能的情况:

方案 1 - 强制迁移:通过硬分叉授权在截止日期前将代币从旧地址移动到新的后量子地址。未迁移的代币将变得无法消费。这会“销毁”丢失的代币,但能保护网络免受量子攻击耗尽国库。

方案 2 - 自愿迁移:用户自愿迁移,但暴露的地址仍然有效。风险:量子攻击者在所有者迁移之前耗尽易受攻击的地址。这会引发“迁移竞赛”的恐慌。

方案 3 - 混合方法:引入后量子地址,但无限期保持向后兼容性。接受易受攻击的地址最终将在 Q-Day 后被耗尽,将其视为自然选择。

方案 4 - 紧急冻结:在检测到量子攻击时,通过紧急硬分叉冻结易受攻击的地址类型。这为迁移赢得了时间,但需要比特币所抵制的中心化决策。

没有一个是理想的。方案 1 破坏了合法丢失的密钥。方案 2 允许量子盗窃。方案 3 接受数百亿美元的损失。方案 4 破坏了比特币的不可篡改性。以太坊基金会和比特币研究人员现在就在努力应对这些权衡,而不是在遥远的未来。

后量子算法:技术解决方案

几种后量子加密算法提供了抵御量子攻击的能力:

基于哈希的签名 (XMSS, SPHINCS+):安全性依赖于哈希函数,这些函数被认为是抗量子的。优点:易于理解、保守的安全假设。缺点:签名尺寸大(2,500+ 字节),导致交易成本昂贵。

基于格的密码学 (Dilithium, Kyber):基于量子计算机难以解决的格问题。优点:签名较小(约 2,500 字节),验证效率高。缺点:较新,且比基于哈希的方案经过的实战测试更少。

STARKs (可扩展透明知识论证):抗量子攻击的零知识证明,因为它们依赖于哈希函数而非数论。优点:透明(无需受信任的设置)、抗量子、可扩展。缺点:证明尺寸大,计算成本高。

多变量密码学:通过求解多变量多项式方程组来保证安全。优点:签名生成速度快。缺点:公钥尺寸大,不够成熟。

基于编码的密码学:基于纠错码。优点:速度快、研究充分。缺点:密钥尺寸非常大,在区块链中使用不切实际。

以太坊基金会正在探索基于哈希和基于格的签名,认为它们是区块链集成中最具前景的方案。QRL (量子抗性账本) 在 2018 年率先实现了 XMSS,证明了可行性,但在交易尺寸和吞吐量方面做出了妥协。

由于保守的安全理念,比特币可能会选择基于哈希的签名 (SPHINCS+ 或类似算法)。以太坊可能会选择基于格的签名 (Dilithium) 以尽量减少尺寸开销。两者都面临同样的挑战:比 ECDSA 大 10 到 40 倍的签名会使区块链体积和交易成本飙升。

时间表:距离 Q-Day 还有多久?

预测 Q-Day(量子计算机破解 ECDSA 的时刻)具有投机性,但趋势是明确的:

乐观(对攻击者而言)时间表:10 到 15 年。IBM、谷歌和初创公司在量子比特数量和纠错方面取得了快速进展。如果进展继续呈指数级增长,1,500 个以上的逻辑量子比特可能会在 2035 年至 2040 年间出现。

保守时间表:20 到 30 年。量子计算面临着巨大的工程挑战——纠错、量子比特相干性、规模化。许多人认为实际攻击仍需几十年。

悲观(对区块链而言)时间表:5 到 10 年。政府的秘密计划或突破性发现可能会加速这一进程。谨慎的规划应假设较短的时间表,而非较长的。

以太坊基金会在 2026 年 1 月将后量子迁移视为“最高战略优先级”,这表明内部估计比公开讨论承认的要短。你不会为了 30 年后的风险拨付 200 万美元并组建专门团队。你这样做是为了 10 到 15 年内的风险。

比特币的文化抵制紧迫感,但关键开发者承认这一问题。虽然存在后量子比特币的提案(处于 BIPs 草案阶段),但达成共识需要多年时间。如果 Q-Day 在 2035 年到来,比特币需要在 2030 年开始迁移,以便为开发、测试和网络推广留出时间。

个人现在可以采取的措施

虽然协议层解决方案还需要数年时间,但个人可以减少风险敞口:

定期迁移到新地址:从某个地址转账后,将剩余资金转移到新地址。这可以最大限度地缩短公钥暴露时间。

使用多重签名钱包:量子计算机必须同时破解多个签名,这增加了难度。虽然这并非完全抗量子,但可以争取时间。

避免重复使用地址:绝不要向已经发送过资金的地址转账。每次支出都会重新暴露公钥。

关注最新进展:关注以太坊基金会后量子(PQ)研究、Coinbase 顾问委员会的更新,以及与后量子密码学相关的比特币改进提案(BIPs)。

分散持有资产:如果你担心量子风险,可以分散投资于抗量子链(QRL)或风险较小的资产(权益证明 PoS 链比工作量证明 PoW 链更容易迁移)。

这些只是权宜之计,而非根本解决方案。协议层面的修复需要针对价值数十亿美元资产和数百万用户的协调网络升级。挑战不仅在于技术,还在于社会、政治和经济层面。

来源

ZKML 遇上 FHE:最终让区块链隐私 AI 成为可能的密码学融合

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

如果 AI 模型能在不让任何人看到其处理数据的情况下,证明其运行是正确的,那会怎样?这个问题多年来一直困扰着密码学家和区块链工程师。在 2026 年,随着两项曾被认为过于缓慢、昂贵且过于理论化的技术——零知识机器学习 (ZKML) 和全同态加密 (FHE) 的融合,答案终于初具规模。

单独来看,这两项技术各解决了一半的问题。ZKML 允许你在不重新运行计算的情况下验证 AI 计算的正确性。FHE 允许你在不解密数据的情况下对加密数据进行计算。两者结合,为 AI 创造了研究人员所谓的“加密密封 (Cryptographic Seal)”——在这个系统中,私有数据永远不会离开你的设备,但结果却可以向公共区块链上的任何人证明是可信的。

Mind Network 的 FHE 驱动型 AI Agent 隐私层:为何 55% 的区块链漏洞利用现在亟需加密智能

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

2025 年,AI 代理利用区块链漏洞的比例从 2% 跃升至 55.88% —— 攻击总收入从 5,000 美元激增至 460 万美元。这一统计数据揭示了一个令人不安的事实:支持区块链上自主 AI 的基础设施从未针对对抗性环境进行过设计。AI 代理进行的每一次交易、每一项策略、每一个数据请求都会向全网广播。在一个目前 AI 代理可以自主执行一半智能合约漏洞的世界里,这种透明度不再是一项功能,而是一种灾难性的隐患。

Mind Network 认为,解决方案在于被誉为计算机科学“圣杯”的密码学突破:全同态加密(FHE)。凭借来自 Binance Labs、Chainlink 的 1,250 万美元支持以及两项以太坊基金会的研究资助,他们正在构建基础设施,以使加密 AI 计算成为现实。

Project Eleven 的 2000 万美元量子盾牌:在 Q-Day 到来前竞赛保护 3 万亿美元加密资产

· 阅读需 11 分钟
Dora Noda
Dora Noda
Software Engineer

美联储在 2025 年 9 月发布了严厉警告:对手们目前已经开始搜集加密的区块链数据,等待足够强大的量子计算机来破解它们。随着谷歌的 Willow 芯片在两小时内完成了超级计算机需要 3.2 年才能完成的计算,且破解当前加密技术的资源估算在一年内下降了 20 倍,“Q 日”(Q-Day)的倒计时已从理论推测转变为紧迫的工程现实。

Project Eleven 出现了。这家加密初创公司刚刚筹集了 2000 万美元,致力于完成许多人认为不可能完成的任务:在为时已晚之前,让整个区块链生态系统为后量子世界做好准备。

隐私技术栈之争:ZK vs FHE vs TEE vs MPC —— 哪种技术将赢得区块链最重要的竞赛?

· 阅读需 13 分钟
Dora Noda
Dora Noda
Software Engineer

2024 年,全球机密计算市场价值为 133 亿美元。预计到 2032 年,这一数字将达到 3,500 亿美元 —— 复合年增长率为 46.4%。目前已有超过 10 亿美元专门投入到去中心化机密计算(DeCC)项目中,20 多个区块链网络组成了 DeCC 联盟,以推广隐私保护技术。

然而,对于决定使用哪种隐私技术的开发者来说,现状令人困惑。零知识证明(ZK)、全同态加密(FHE)、可信执行环境(TEE)和多方计算(MPC)各自解决的是根本不同的问题。选择错误的技术会浪费数年的开发时间和数百万美元的资金。

本指南提供了行业所需的对比:真实的性能基准测试、诚实的信任模型评估、生产环境部署状态,以及将在 2026 年实际交付的混合方案。

每项技术的实际作用

在进行对比之前,必须理解这四种技术并不是可以互换的替代方案。它们回答的是不同的问题。

零知识证明 (ZK) 回答的是:“如何在不泄露数据的情况下证明某事是真的?” ZK 系统生成密码学证明,证明计算被正确执行,而无需披露输入。输出是二进制的:陈述要么有效,要么无效。ZK 主要关注的是验证,而非计算。

全同态加密 (FHE) 回答的是:“如何在不解密数据的情况下对其进行计算?” FHE 允许直接在加密数据上进行任意计算。结果保持加密状态,只能由密钥持有者解密。FHE 关注的是保护隐私的计算。

可信执行环境 (TEE) 回答的是:“如何在隔离的硬件飞地中处理敏感数据?” TEE 使用处理器级的隔离(Intel SGX, AMD SEV, ARM CCA)来创建安全飞地(Enclaves),即使是操作系统也无法访问其中的代码和数据。TEE 关注的是硬件强制的机密性。

多方计算 (MPC) 回答的是:“如何在不泄露个人输入的情况下,由多个参与方计算出共同结果?” MPC 将计算分布在多个参与方之间,因此没有任何一个参与者能了解最终输出之外的任何信息。MPC 关注的是无需信任的协作计算。

性能基准:至关重要的数据

Vitalik Buterin 曾主张,行业应从绝对的 TPS 指标转向“密码学开销比(cryptographic overhead ratio)” —— 即对比使用隐私技术与不使用隐私技术的任务执行时间。这种框架揭示了每种方法的真实成本。

FHE:从不可用到可行

在历史上,FHE 曾比未加密的计算慢数百万倍。但现在情况已经改变。

Zama 是首个 FHE 独角兽企业(在融资超过 1.5 亿美元后估值达到 10 亿美元),其报告显示自 2022 年以来速度提升了超过 2,300 倍。目前在 CPU 上的性能可达约 20 TPS,用于机密 ERC-20 转账。GPU 加速将这一数值推高至 20-30 TPS(Inco Network),相比仅使用 CPU 执行,提升了高达 784 倍。

Zama 的路线图目标是到 2026 年底通过 GPU 迁移实现每条链 500-1,000 TPS,并预计在 2027-2028 年推出基于 ASIC 的加速器,目标是 100,000+ TPS。

架构也至关重要:Zama 的机密区块链协议使用符号执行,智能合约在轻量级的“句柄(handles)”上操作,而不是实际的密文。繁重的 FHE 操作在链下协处理器上异步运行,从而保持链上 Gas 费用处于较低水平。

底线: 对于典型操作,FHE 的开销已从 1,000,000 倍下降到大约 100-1,000 倍。目前已可用于机密 DeFi;到 2027-2028 年,其吞吐量将具备与主流 DeFi 竞争的能力。

ZK:成熟且高效

现代 ZK 平台已经实现了显著的效率。SP1、Libra 和其他 zkVM 展示了近乎线性的证明者扩展能力,对于大型工作负载,密码学开销低至 20%。在消费级硬件上,简单支付的证明生成时间已降至一秒以下。

ZK 生态系统是这四种技术中最成熟的,已在 Rollup(zkSync, Polygon zkEVM, Scroll, Linea)、身份验证(Worldcoin)和隐私协议(Aztec, Zcash)中实现了生产级部署。

底线: 对于验证任务,ZK 提供的开销最低。该技术已通过生产验证,但不支持通用的隐私计算 —— 它证明的是正确性,而不是持续计算过程中的机密性。

TEE:快速但依赖硬件

TEE 以接近原生的速度运行 —— 它们增加的计算开销极小,因为隔离是由硬件强制执行的,而不是通过密码学操作。这使得它们成为机密计算中速度最快的选择。

权衡点在于信任。你必须信任硬件制造商(Intel, AMD, ARM),并相信不存在侧信道漏洞。2022 年,一个关键的 SGX 漏洞迫使 Secret Network 协调了一次全网密钥更新 —— 这展示了操作风险。2025 年的实证研究显示,32% 的真实世界 TEE 项目在飞地内部重新实现密码学时存在侧信道暴露风险,25% 的项目表现出不安全的实践,削弱了 TEE 的保障。

底线: 执行速度最快,开销最低,但引入了硬件信任假设。最适合对速度要求极高且可以接受硬件被攻破风险的应用。

MPC:受限于网络但具备韧性

MPC 性能主要受限于网络通信而非计算。在协议执行期间,每个参与者必须交换数据,产生的延迟与参与者数量以及他们之间的网络状况成正比。

Partisia Blockchain 的 REAL 协议提高了预处理效率,实现了实时 MPC 计算。Nillion 的 Curl 协议扩展了线性秘密共享方案,以处理传统 MPC 难以应对的复杂操作(除法、平方根、三角函数)。

总结: 性能中等,但具备强大的隐私保证。诚实多数假设意味着即使部分参与者被攻破,隐私依然安全,但任何成员都可以审查计算 —— 这是与 FHE 或 ZK 相比的一个根本性局限。

信任模型:真正的区别所在

性能比较占据了大多数分析的主导地位,但对于长期架构决策而言,信任模型更为重要。

技术信任模型可能出现的问题
ZK密码学(无需信任第三方)无 —— 证明在数学上是完备的
FHE密码学 + 密钥管理密钥泄露会暴露所有加密数据
TEE硬件厂商 + 远程度量 (Attestation)侧信道攻击、固件后门
MPC门限诚实多数超过阈值的共谋会破坏隐私;任何一方都可以进行审查

ZK 除了证明系统的数学完备性外,不需要任何额外信任。这是目前最强大的信任模型。

FHE 在理论上是密码学安全的,但引入了“谁持有解密密钥”的问题。Zama 通过使用门限 MPC 将私钥分发给多个参与者来解决这个问题 —— 这意味着 FHE 在实践中往往依赖 MPC 进行密钥管理。

TEE 需要信任 Intel、AMD 或 ARM 的硬件和固件。这种信任已被多次打破。在 CCS 2025 上展示的 WireTap 攻击证明了通过 DRAM 总线拦截(DRAM bus interposition)可以攻破 SGX —— 这是一个任何软件更新都无法修复的物理攻击向量。

MPC 将信任分发给参与者,但需要诚实多数。如果超过阈值,所有输入都会暴露。此外,任何单一参与者都可以拒绝配合,从而有效地审查计算。

抗量子性 是另一个维度。FHE 天生具备量子安全性,因为它依赖于基于格的密码学(Lattice-based cryptography)。TEE 不提供抗量子性。ZK 和 MPC 的抗量子性取决于所使用的具体方案。

谁在构建什么:2026 年的市场格局

FHE 项目

Zama(融资 1.5 亿美元+,估值 10 亿美元):为大多数 FHE 区块链项目提供支持的基础设施层。于 2025 年 12 月底在以太坊上启动主网。$ZAMA 代币拍卖于 2026 年 1 月 12 日开始。创建了机密区块链协议(Confidential Blockchain Protocol)和用于加密智能合约的 fhEVM 框架。

Fhenix(融资 2200 万美元):利用 Zama 的 TFHE-rs 构建 FHE 驱动的乐观 Rollup L2。在 Arbitrum 上部署了 CoFHE 协处理器,这是第一个实用的 FHE 协处理器实现。获得了日本最大的 IT 供应商之一 BIPROGY 的战略投资。

Inco Network(融资 450 万美元):利用 Zama 的 fhEVM 提供机密性即服务(Confidentiality-as-a-service)。提供基于 TEE 的快速处理模式以及 FHE+MPC 安全计算模式。

Fhenix 和 Inco 都依赖 Zama 的核心技术 —— 这意味着无论哪个 FHE 应用链占据主导地位,Zama 都能捕获价值。

TEE 项目

Oasis Network:开创了将计算(在 TEE 中)与共识分离的 ParaTime 架构。在 TEE 中使用密钥管理委员会和门限密码学,因此没有单个节点可以控制解密密钥。

Phala Network:将去中心化 AI 基础设施与 TEE 相结合。所有 AI 计算和 Phat 合约都通过 pRuntime 在 Intel SGX 飞地(Enclaves)内执行。

Secret Network:每个验证者都运行 Intel SGX TEE。合约代码和输入在链上加密,仅在执行时在飞地内部解密。2022 年的 SGX 漏洞暴露了这种单一 TEE 依赖的脆弱性。

MPC 项目

Partisia Blockchain:由 2008 年开创实用 MPC 协议的团队创立。其 REAL 协议通过高效的数据预处理实现了抗量子的 MPC。最近与 Toppan Edge 合作,将 MPC 用于生物识别数字身份 —— 在不解密的情况下匹配人脸识别数据。

Nillion(融资 4500 万美元+):于 2025 年 3 月 24 日启动主网,随后在币安 Launchpool 上市。结合了 MPC、同态加密和 ZK 证明。企业集群包括 STC Bahrain、阿里云的 Cloudician、沃达丰的 Pairpoint 和德国电信。

混合方法:真正的未来

正如 Aztec 研究团队所言:不存在完美的单一解决方案,而且也不太可能出现某种技术成为那个完美的解决方案。未来属于混合架构。

ZK + MPC 支持协作证明生成,其中每个参与者仅持有见证数据(Witness)的一部分。这对于多机构场景(合规性检查、跨境结算)至关重要,因为在这种场景下,任何单一实体都不应看到所有数据。

MPC + FHE 解决了 FHE 的密钥管理问题。Zama 的架构使用门限 MPC 将解密密钥分发给多个参与者 —— 在消除单点故障的同时,保留了 FHE 对加密数据进行计算的能力。

ZK + FHE 允许在不泄露加密数据的情况下,证明加密计算已正确执行。其开销仍然显著 —— Zama 报告称,在大型 AWS 实例上为一个正确的自举(Bootstrapping)操作生成证明需要 21 分钟 —— 但硬件加速正在缩小这一差距。

TEE + 密码学回退 使用 TEE 进行快速执行,并将 ZK 或 FHE 作为硬件受损时的备份。这种“深度防御”方法在接受 TEE 性能优势的同时,减轻了其信任假设。

2026 年最先进的生产系统结合了两到三种此类技术。Nillion 的架构根据计算要求编排 MPC、同态加密和 ZK 证明。Inco Network 同时提供 TEE 快速模式和 FHE+MPC 安全模式。这种组合方法很可能成为行业标准。

选择合适的技术

对于在 2026 年做出架构决策的开发者来说,选择取决于三个问题:

你在做什么?

  • 在不泄露数据的情况下证明事实 → ZK
  • 对来自多个方的加密数据进行计算 → FHE
  • 以最高速度处理敏感数据 → TEE
  • 多个方在互不信任的情况下进行联合计算 → MPC

你的信任约束是什么?

  • 必须完全无需信任 → ZK 或 FHE
  • 可以接受硬件信任 → TEE
  • 可以接受阈值假设 → MPC

你的性能要求是什么?

  • 实时、亚秒级 → TEE(或仅用于验证的 ZK)
  • 中等吞吐量、高安全性 → MPC
  • 大规模隐私保护 DeFi → FHE(2026-2027 年时间表)
  • 最高验证效率 → ZK

机密计算市场预计将从 2025 年的 240 亿美元增长到 2032 年的 3500 亿美元。如今正在构建的区块链隐私基础设施 —— 从 Zama 的 FHE 协处理器到 Nillion 的 MPC 编排,再到 Oasis 的 TEE ParaTimes —— 将决定哪些应用能够在这个 3500 亿美元的市场中存在,而哪些不能。

隐私不是一项功能。它是使符合监管要求的 DeFi、机密 AI 和企业级区块链采用成为可能的基础设施层。最终胜出的技术不一定是速度最快或理论上最优雅的 —— 而是能够交付生产就绪、可组合的原语,供开发者实际在其上构建的技术。

根据目前的发展轨迹,答案很可能是这四者兼而有之。

BlockEden.xyz 提供支持隐私保护区块链网络和机密计算应用的多链 RPC 基础设施。随着隐私保护协议从研究走向生产,可靠的节点基础设施成为每一笔加密交易的基石。探索我们的 API 市场 以获取企业级区块链接入服务。

探索隐私技术全景:区块链中的 FHE、ZK 和 TEE

· 阅读需 12 分钟
Dora Noda
Dora Noda
Software Engineer

当 Zama 在 2025 年 6 月成为首个全同态加密(FHE)独角兽时——估值超过 10 亿美元——这预示着比单一公司成功更重大的意义。区块链行业终于接受了一个基本事实:隐私不是可选项,而是基础设施。

但开发者面临着一个令人不安的现实:没有唯一的“最佳”隐私技术。全同态加密(FHE)、零知识证明(ZK)和可信执行环境(TEE)各自解决了不同的问题,并在权衡取舍上各不相同。选择错误不仅会影响性能,还可能从根本上损害你试图构建的东西。

本指南将深入分析何时使用每种技术,你实际权衡的代价是什么,以及为什么未来很可能涉及这三者的协同工作。

2026 年的隐私技术格局

区块链隐私市场已从细分领域的实验演变为严肃的基础设施。基于 ZK 的 Rollup 现在锁定的总价值(TVL)已超过 280 亿美元。仅零知识 KYC 市场预计就将从 2025 年的 8360 万美元增长到 2032 年的 9.035 亿美元——复合年增长率为 40.5%。

但市场规模无法帮你选择技术。了解每种方法实际的作用才是起点。

零知识证明:无需泄露即可证明

ZK 证明允许一方证明某个陈述是真实的,而无需透露有关内容本身的任何信息。你可以在不透露出生日期的情况下证明自己已年满 18 岁,或者在不暴露金额的情况下证明一笔交易是有效的。

工作原理:证明者生成一个加密证明,表明某项计算已正确执行。验证者可以快速检查该证明,而无需重新运行计算或查看底层数据。

短板:ZK 擅长证明你已经持有的数据。它在处理共享状态(shared state)时表现欠佳。你可以证明自己的余额足以支付交易,但在没有额外基础设施的情况下,你很难轻松地查询诸如“全链范围内发生了多少欺诈案例?”或“谁赢得了这场密封竞价拍卖?”之类的问题。

领先项目:Aztec 实现了混合公有/私有智能合约,用户可以选择交易是否可见。zkSync 主要专注于可扩展性,通过面向企业的“Prividiums”提供许可隐私。Railgun 和 Nocturne 则提供隐匿交易池。

全同态加密:在加密数据上进行计算

FHE 常被称为加密技术的“圣杯”,因为它允许在不解密的情况下直接对加密数据进行计算。数据在处理过程中保持加密状态,结果也保持加密——只有授权方才能解密输出。

工作原理:数学运算直接在密文上执行。对加密值进行的加法和乘法运算会产生加密结果,当解密这些结果时,其内容与对明文进行相同操作得到的结果完全一致。

短板:计算开销巨大。即便经过最近的优化,Inco 网络上的 FHE 智能合约也仅能达到 10-30 TPS(取决于硬件)——这比明文执行慢了几个数量级。

领先项目:Zama 通过 FHEVM(其全同态以太坊虚拟机)提供基础架构。Fhenix 利用 Zama 的技术构建应用层解决方案,已在 Arbitrum 上部署了 CoFHE 协处理器,其解密速度比竞争方案快 50 倍。

可信执行环境:基于硬件的隔离

TEE 在处理器内创建安全飞地(enclave),计算在隔离状态下进行。即使更广泛的系统遭到破坏,飞地内的数据仍能受到保护。与密码学方法不同,TEE 依赖硬件而非数学复杂性。

工作原理:专用硬件(如 Intel SGX、AMD SEV)创建隔离的内存区域。飞地内的代码和数据经过加密,操作系统、管理程序或其他进程(即使拥有 root 权限)也无法访问。

短板:你必须信任硬件制造商。任何一个飞地被破解都可能导致明文泄露,无论有多少节点参与。2022 年,一个关键的 SGX 漏洞迫使 Secret Network 进行了协调一致的密钥更新,这展示了硬件依赖型安全性的运维复杂性。

领先项目:Secret Network 率先使用 Intel SGX 实现了私有智能合约。Oasis Network 的 Sapphire 是首个投入生产的机密 EVM,处理能力高达 10,000 TPS。Phala Network 运行着超过 1,000 个 TEE 节点,用于机密人工智能(AI)工作负载。

权衡矩阵:性能、安全与信任

了解基本的权衡取舍有助于将技术与用例相匹配。

性能

技术吞吐量延迟成本
TEE接近原生 (10,000+ TPS)运维成本低
ZK中等(取决于具体实现)较高(证明生成开销)
FHE低(当前为 10-30 TPS)运维成本极高

TEE 在原始性能上胜出,因为它们本质上是在受保护的内存中运行原生代码。ZK 引入了证明生成的开销,但验证速度很快。FHE 目前需要密集的计算,这限制了实际的吞吐量。

安全模型

技术信任假设后量子失效模式
TEE硬件制造商不具抗性单个飞地 (Enclave) 被攻破会导致所有数据泄露
ZK密码学(通常需要可信设置)视方案而定证明系统的漏洞可能难以被察觉
FHE密码学(基于格)具有抗性破解成本极高,计算密集

TEE 需要信任 Intel、AMD 或任何硬件制造商,并且需要信任不存在固件漏洞。ZK 系统通常需要“可信设置 (Trusted Setup)”仪式,尽管较新的方案已消除了这一点。FHE 的基于格的密码学被认为是抗量子的,使其成为最强大的长期安全选择。

可编程性

技术可组合性状态隐私灵活性
TEE完全受硬件可用性限制
ZK有限本地 (客户端侧)验证灵活性高
FHE完全全局受性能限制

ZK 擅长本地隐私——保护你的输入——但在处理用户间的共享状态时比较困难。FHE 保持了完全的可组合性,因为任何人都可以在不暴露内容的情况下对加密状态进行计算。TEE 提供高度的可编程性,但仅限于拥有兼容硬件的环境。

选择合适的技术:用例分析

不同的应用需要不同的权衡。以下是领先项目如何做出这些选择的。

DeFi:MEV 防护与隐私交易

挑战:抢跑 (Front-running) 和三明治攻击通过利用可见的内存池 (Mempools),从 DeFi 用户身上榨取了数十亿美元。

FHE 解决方案:Zama 的机密区块链支持在区块包含之前参数保持加密的交易。这使得抢跑在数学上变得不可能——没有可见数据可供利用。2025 年 12 月的主网启动包含了使用 cUSDT 的首次机密稳定币转账。

TEE 解决方案:Oasis Network 的 Sapphire 为暗池和隐私订单撮合提供了机密智能合约。较低的延迟使其适用于 FHE 计算开销过大的高频交易场景。

何时选择:当应用需要最强的密码学保证和全局状态隐私时,选择 FHE。当性能需求超过 FHE 的处理能力且硬件信任可以接受时,选择 TEE。

身份与凭证:隐私保护的 KYC

挑战:在不泄露文档的情况下证明身份属性(年龄、国籍、资质证明)。

ZK 解决方案:零知识凭证允许用户在不暴露底层文档的情况下证明“已通过 KYC”。这在监管压力日益增大的情况下,既满足了合规性要求,又保护了用户隐私。

为什么 ZK 在此处胜出:身份验证本质上是证明关于个人数据的陈述。ZK 是为此而生的:简洁的证明可以在不泄露信息的情况下进行验证。验证速度快,足以满足实时使用。

机密 AI 与敏感计算

挑战:在不向运营商暴露数据的情况下处理敏感数据(医疗保健、财务模型)。

TEE 解决方案:Phala Network 基于 TEE 的云平台在平台无法访问输入的情况下处理大语言模型 (LLM) 查询。凭借 GPU TEE 的支持 (NVIDIA H100/H200),机密 AI 工作负载能够以实用的速度运行。

FHE 潜力:随着性能的提高,FHE 能够实现在硬件运营商也无法访问数据的情况下进行计算——彻底消除了信任假设。目前的局限性使其仅限于较简单的计算。

混合方案:在 TEE 中进行初始数据处理以保证速度,对最敏感的操作使用 FHE,并生成 ZK 证明来验证结果。

安全漏洞的现实情况

每种技术在生产环境中都发生过失败——了解失效模式至关重要。

TEE 失效

2022 年,关键的 SGX 漏洞影响了多个区块链项目。Secret Network、Phala、Crust 和 IntegriTEE 需要进行协同补丁。Oasis 得以幸存,是因为其核心系统运行在较旧的 SGX v1 (未受影响) 上,且不依赖飞地私密性来保护资金安全。

启示:TEE 的安全性取决于你无法控制的硬件。深度防御(密钥轮换、门限密码学、最小信任假设)是强制性的。

ZK 失效

2025 年 4 月 16 日,Solana 修复了其机密转账 (Confidential Transfers) 功能中的一个零日漏洞。该漏洞可能导致无限代币增发。ZK 失效的一个危险方面是:当证明失效时,它们是隐形失效的。你无法察觉到不该存在的东西。

启示:ZK 系统需要广泛的形式化验证和审计。证明系统的复杂性造成了难以推敲的攻击面。

FHE 注意事项

FHE 尚未经历重大的生产环境故障——很大程度上是因为它处于部署早期。其风险特征有所不同:FHE 在攻击成本上是计算密集的,但复杂密码学库中的实现漏洞可能会导致细微的安全漏洞。

启示:新技术意味着较少的实战测试。虽然密码学保证很强,但实现层需要持续的审查。

混合架构:未来并非非此即彼

最复杂的隐私系统结合了多种技术,各取所长。

ZK + FHE 集成

用户状态(余额、偏好)通过 FHE 加密存储。ZK 证明在不暴露加密值的情况下验证有效的状态转换。这使得在可扩展的 L2 环境中进行隐私执行成为可能——将 FHE 的全局状态隐私与 ZK 的高效验证相结合。

TEE + ZK 组合

TEE 以接近原生的速度处理敏感计算。ZK 证明验证 TEE 输出是否正确,从而消除了对单一运营商的信任假设。如果 TEE 被攻破,无效的输出将无法通过 ZK 验证。

权衡与选择

一个实用的决策框架:

在以下情况下选择 TEE:

  • 性能至关重要(高频交易、实时应用)
  • 硬件信任对于你的威胁模型是可接受的
  • 你需要快速处理大量数据

在以下情况下选择 ZK:

  • 你正在证明有关客户端持有数据的陈述
  • 验证必须快速且成本低廉
  • 你不需要全局状态隐私

在以下情况下选择 FHE:

  • 全局状态必须保持加密
  • 需要后量子安全
  • 计算复杂度对于你的用例是可以接受的

在以下情况下选择混合模式:

  • 不同组件有不同的安全需求
  • 你需要在性能与安全保证之间取得平衡
  • 监管合规需要可证明的隐私

未来展望

Vitalik Buterin 最近推动了标准化的“效率比”——将加密计算时间与明文执行进行比较。这反映了行业的成熟:我们正在从“它能工作吗?”转向“它的工作效率如何?”

FHE 性能在持续提升。Zama 的 2025 年 12 月主网证明了简单智能合约的生产就绪性。随着硬件加速的发展(GPU 优化、定制 ASIC),与 TEE 的吞吐量差距将缩小。

ZK 系统变得更具表现力。Aztec 的 Noir 语言实现了几年前还无法实现的复杂隐私逻辑。标准正在缓慢趋同,从而实现跨链 ZK 凭证验证。

TEE 的多样性正在超越 Intel SGX。AMD SEV、ARM TrustZone 和 RISC-V 的实现减少了对单一制造商的依赖。跨多个 TEE 供应商的阈值密码学可以解决单点故障问题。

隐私基础设施的建设正在进行中。对于构建隐私敏感型应用的开发者来说,选择不在于寻找完美的技术——而在于足够深入地理解权衡,以便智能地将它们结合起来。

正在区块链上构建隐私保护应用?BlockEden.xyz 在 30 多个网络(包括专注于隐私的链)中提供高性能 RPC 节点。探索我们的 API 市场 以获取你的机密应用所需的基础设施。

量子计算 vs 比特币:时间线、威胁及持币者须知

· 阅读需 10 分钟
Dora Noda
Dora Noda
Software Engineer

Google 的 Willow 量子芯片可以在五分钟内解决传统超级计算机需要 10 𥝱(septillion,即 10 的 24 次方)年才能完成的任务。与此同时,价值 7180 亿美元的比特币存放在量子计算机理论上可以破解的地址中。你应该感到恐慌吗?还不用——但时钟正在滴答作响。

比特币面临的量子威胁不是“是否”会发生的问题,而是“何时”发生的问题。随着我们进入 2026 年,对话已从不屑一顾的怀疑转向了认真的准备。以下是每位比特币持有者需要了解的时间线、实际漏洞以及已经在开发中的解决方案。

量子威胁:解析数学原理

比特币的安全性建立在两个加密支柱之上:用于交易签名的椭圆曲线数字签名算法 (ECDSA) 和用于挖矿及地址哈希的 SHA-256。两者面临不同程度的量子风险。

Shor 算法,在足够强大的量子计算机上运行,可以从公钥推导出私钥——从而有效地撬开任何公钥已暴露的比特币地址。这是生存威胁。

Grover 算法 为哈希函数的暴力破解提供二次加速,将 SHA-256 的有效强度从 256 位降低到 128 位。这令人担忧,但并非立即致命——128 位的安全性依然非常强大。

关键问题:针对比特币运行 Shor 算法需要多少个量子比特?

估算差异巨大:

  • 保守估计:2,330 个稳定的逻辑量子比特理论上可以破解 ECDSA
  • 实际情况:由于纠错需求,这需要 100 万至 1,300 万个物理量子比特
  • 萨塞克斯大学估算:1,300 万个量子比特在一天内破解比特币加密
  • 最激进估算:3.17 亿个物理量子比特在一小时内破解 256 位 ECDSA 密钥

Google 的 Willow 芯片拥有 105 个量子比特。105 与 1,300 万之间的巨大差距解释了为什么专家们目前并没有感到恐慌。

现状:2026 年的现实检查

2026 年初的量子计算格局如下:

目前的量子计算机正跨越 1,500 个物理量子比特的门槛,但错误率依然很高。大约需要 1,000 个物理量子比特才能创建一个稳定的逻辑量子比特。即使有 AI 辅助的激进优化,在 12 个月内从 1,500 个跃升至数百万个量子比特在物理上也是不可能的。

专家的时间线预测:

来源估算
Adam Back (Blockstream CEO)20-40 年
Michele Mosca (滑铁卢大学)到 2026 年有 1/7 的机会发生根本性的加密突破
行业共识具备破解比特币的能力需要 10-30 年
美国联邦指令到 2035 年逐步淘汰 ECDSA
IBM 路线图到 2029 年达到 500-1,000 个逻辑量子比特

2026 年的共识:今年不会出现量子末日。然而,正如一位分析师所言,“量子计算在 2026 年成为加密安全意识中顶级风险因素的可能性很高。”

7180 亿美元的漏洞:哪些比特币面临风险?

并非所有比特币地址都面临同等的量子风险。漏洞完全取决于公钥是否已在区块链上公开。

高风险地址 (P2PK - Pay to Public Key):

  • 公钥直接在链上可见
  • 包括比特币早期(2009-2010 年)的所有地址
  • 中本聪估算的 110 万枚 BTC 属于此类
  • 总暴露量:约 400 万枚 BTC(占总供应量的 20%)

低风险地址 (P2PKH, P2SH, SegWit, Taproot):

  • 公钥经过哈希处理,仅在花费时显现
  • 只要你从不重复使用花费后的地址,公钥就始终保持隐藏
  • 现代钱包的最佳实践自然地提供了一些量子抗性

关键洞察:如果你从未从某个地址发送过资金,你的公钥就不会暴露。一旦你花费并重复使用该地址,你就会变得脆弱。

中本聪的代币呈现出一个独特的难题。 那些存放于 P2PK 地址中的 110 万枚 BTC 无法转移到更安全的格式——因为转移需要私钥对交易进行签名,而我们没有证据表明中本聪能够或将会这样做。如果量子计算机达到足够的性能,这些代币将成为全球最大的加密赏金。

“现在收集,以后解密”:阴影下的威胁

即便量子计算机今天无法破解比特币,对手可能已经在为明天做准备。

“现在收集,以后解密” (Harvest Now, Decrypt Later) 策略涉及现在从区块链收集暴露的公钥并存储,等待量子计算机成熟。当 Q-Day 到来时,拥有公钥档案的攻击者可以立即掏空脆弱的钱包。

国家级参与者和复杂的犯罪组织很可能已经在实施这一策略。今天在链上暴露的每一个公钥都可能成为 5-15 年后的潜在目标。

这创造了一个令人不安的现实:对于任何已暴露的公钥,安全时钟可能已经开始滴答作响。

正在开发中的解决方案:BIP 360 与后量子密码学

比特币开发者社区并没有坐以待毙。多种解决方案正在开发和标准化进程中。

BIP 360:支付至量子抗性哈希 (P2TSH)

BIP 360 提议一种量子抗性的 Tapscript 原生输出类型,作为迈向量子安全比特币的关键“第一步”。该提案概述了三种量子抗性签名方法,能够在不破坏网络效率的情况下实现逐步迁移。

到 2026 年,倡导者希望看到 P2TSH 的广泛采用,允许用户主动将资金迁移到量子安全地址。

NIST 标准化的后量子算法

截至 2025 年,NIST 已最终确定了三项后量子密码学标准:

  • FIPS 203 (ML-KEM):密钥封装机制
  • FIPS 204 (ML-DSA/Dilithium):数字签名(基于格)
  • FIPS 205 (SLH-DSA/SPHINCS+):基于哈希的签名

BTQ Technologies 已经演示了一个使用 ML-DSA 替代 ECDSA 签名的比特币运行实现。他们的 Bitcoin Quantum Core Release 0.2 证明了迁移在技术上的可行性。

权衡挑战

像 Dilithium 这样基于格(Lattice-based)的签名比 ECDSA 签名大得多——可能大 10 到 50 倍。这将直接影响区块容量和交易吞吐量。一个具备量子抗性的比特币每个区块处理的交易可能会减少,从而导致手续费上涨,并可能将较小的交易推向链下。

比特币持有者现在该做什么

量子威胁虽然真实存在,但并非迫在眉睫。以下是针对不同类型持有者的实用建议框架:

对于所有持有者:

  1. 避免地址复用:永远不要向你已经花费过资金的地址发送比特币
  2. 使用现代地址格式:SegWit (bc1q) 或 Taproot (bc1p) 地址会对你的公钥进行哈希处理
  3. 关注动态:跟踪 BIP 360 的开发进度和 Bitcoin Core 的发布版本

对于大额持有者 (>1 BTC):

  1. 审计你的地址:使用区块浏览器检查是否有任何资产存储在 P2PK 格式中
  2. 考虑更新冷存储:定期将资金转移到新地址
  3. 记录你的迁移计划:了解当量子安全选项成为标准时,你将如何转移资金

对于机构持有者:

  1. 将量子风险纳入安全评估:贝莱德 (BlackRock) 在其 2025 年的比特币 ETF 申请文件中增加了量子计算警告
  2. 监测 NIST 标准和 BIP 进展:为未来的迁移成本编制预算
  3. 评估托管服务商:确保他们拥有量子迁移路线图

治理挑战:比特币独特的脆弱性

与以太坊通过以太坊基金会拥有更集中的升级路径不同,比特币的升级需要广泛的社会共识。没有中央机构可以强制执行后量子迁移。

这带来了几个挑战:

丢失和遗弃的代币无法迁移。 据估计,有 300 万到 400 万枚 BTC 永久丢失。这些代币将无限期地处于量子脆弱状态,一旦量子攻击变得可行,就会形成一个潜在的可被盗取的比特币池。

中本聪的代币引发了哲学问题。 社区是否应该先发制人地冻结中本聪的 P2PK 地址?Ava Labs 首席执行官 Emin Gün Sirer 曾提议这样做,但这将从根本上挑战比特币的不可篡改性原则。通过硬分叉来冻结特定地址会开启一个危险的先例。

协调需要时间。 研究表明,执行全面的网络升级(包括迁移所有活跃钱包)在乐观情况下可能需要至少 76 天的专门链上努力。在实际操作中,随着网络的持续运行,迁移可能需要数月甚至数年的时间。

中本聪 (Satoshi Nakamoto) 预见到了这种可能性。在 2010 年的一篇 BitcoinTalk 帖子中,他写道:“如果 SHA-256 被完全攻破,我认为我们可以在问题开始前就诚实的区块链达成某种协议,将其锁定,然后使用新的哈希函数继续运行。”

问题在于,社区能否在威胁实现之前,而不是之后,达成这种协议。

底线:紧迫但不恐慌

能够破解比特币的量子计算机可能还需要 10 到 30 年的时间。目前的直接威胁较低。然而,缺乏准备的后果是灾难性的,而且迁移需要时间。

加密行业的反应应与威胁相匹配:深思熟虑、技术严谨且主动出击,而非被动反应。

对于个人持有者来说,行动项目非常明确:使用现代地址格式,避免复用,并关注动态。对于比特币生态系统而言,未来五年是实施和测试量子抗性解决方案的关键期,必须未雨绸缪。

量子时钟正在滴答作响。比特币还有时间——但并不是无限的时间——去适应。

BlockEden.xyz 在 25 多个网络中提供企业级区块链基础设施。随着加密行业为量子时代做准备,我们致力于支持优先考虑长期安全的协议。探索我们的 API 服务,在为未来挑战做好准备的网络上进行构建。