密码学协议和技术
查看所有标签
Google 说是 2029 年。以太坊也说是 2029 年。在不停止机器运行的情况下,更换全球最大智能合约平台中每一块加密基石的竞赛现在正式开启。
2026 年 3 月 25 日,以太坊基金会推出了 pq.ethereum.org,这是一个专门的安全枢纽,将八年的后量子研究整合到一个统一的、可操作的路线图中。10 多个客户端团队已经在运行每周一次的互操作性开发网(devnets),在实时测试网络上测试抗量子签名。传递出的信息非常明确:将量子计算视为遥远假设的时代已经结束。
每个以太坊钱包、验证者签名和零知识证明都建立在同一个数学假设之上:对于任何计算机来说,分解大数和求解离散对数在实践中都是极其困难的。量子计算机最终将打破这一假设。当这一天到来时,按价值计算,大约 25% 的比特币——以及相当比例的以太坊——可能会在一个下午内暴露在风险之中。
以太坊基金会并没有坐等那个下午的到来。2026 年 3 月 25 日,它推出了 pq.ethereum.org,这是一个专门的后量子安全中心,将多年的研究整合为一个单一的、可操作的路线图。超过 10 个客户端团队已经在运行每周一次的互联互通开发网(devnets),核心第 1 层(Layer 1)升级的目标日期定为 2029 年。
这是任何去中心化网络尝试过的最雄心勃勃的密码学迁移——而且它已经在进行中。
如果你能证明自己年收入超过 100,000 美元、持有有效护照或拥有 800 分的 FICO 信用评分,而无需出示任何文件,那会怎样?这就是 zkTLS 的承诺。到 2026 年,它正迅速从密码学理论转向生产级基础设施。
零知识传输层安全协议 (zkTLS) 扩展了几乎保护你访问的所有网站的加密协议。zkTLS 不仅仅是保护传输中的数据,它还生成数学证明,证明特定数据来自经过验证的源,而绝不暴露底层信息。其结果是建立了一座桥梁,连接了被封锁的 Web2 数据宝库与可组合、无许可的 Web3 世界。
每个区块链上的每个私钥都是一个定时炸弹。当容错量子计算机问世时——可能早在 2028 年——Shor 算法将在几分钟内破解保护着 3 万亿美元数字资产的椭圆曲线密码学。拆除这枚炸弹的竞赛已不再仅仅是理论:NIST 已于 2024 年 8 月敲定了首批后量子密码学 (PQC) 标准,而在 2026 年,区块链行业终于开始将这些标准从学术论文转化为生产代码。
以太坊正处于倒计时之中。虽然能够破解现代密码学的量子计算机尚未问世,但 Vitalik Buterin 估计到 2030 年之前,这类计算机出现的概率为 20%——而一旦它们出现,数千亿美元的资产可能会面临风险。2026 年 2 月,他公布了以太坊迄今为止最全面的量子防御路线图,该路线图以 EIP-8141 为核心,并制定了为期数年的迁移战略,旨在“Q-Day”到来之前更换每一个易受攻击的密码学组件。
赌注从未如此之高。以太坊的权益证明(PoS)共识、外部拥有账户(EOAs)以及零知识证明系统都依赖于量子计算机可以在数小时内破解的密码学算法。与比特币不同——比特币用户可以通过从不重复使用地址来保护资金——以太坊的验证者系统和智能合约架构创造了永久的暴露点。网络现在必须采取行动,否则在量子计算成熟时将面临被淘汰的风险。
“Q-Day”的概念——即量子计算机能够破解当今密码学的时刻——已从理论上的担忧转变为战略规划的重点。大多数专家预测 Q-Day 将在 2030 年代到��来,而 Vitalik Buterin 认为 2030 年之前实现突破的可能性约为 20%。虽然这看起来还很遥远,但在区块链规模上安全执行密码学迁移需要数年时间。
量子计算机通过 Shor 算法对比特坊构成威胁,该算法可以高效解决 RSA 和椭圆曲线密码学(ECC)的底层数学问题。以太坊目前依赖于:
一旦足够强大的量子计算机出现,这些密码学原语中的每一个都将变得脆弱。单一的量子突破就可能使攻击者能够伪造签名、冒充验证者并清空用户账户,从而可能危及整个网络的安全性模型。
与比特币相比,这种威胁对以太坊尤为严重。从不重复使用地址的比特币用户在消费前会隐藏其公钥,从而限制了量子攻击的时间窗口。然而,以太坊的权益证明验证者必须发布 BLS 公钥才能参与共识。智能合约交互也会例行公开公钥。这种架构差异意味着以太坊拥有更多持久的攻击面,需要主动防御而非反应式的行为改变。
以太坊量子路线图的核心是 EIP-8141,该提案从根本上重新构思了账户如何验证交易。EIP-8141 不再将签名方案硬编码到协议中,而是实现了“账户抽象”——将身份验证逻辑从协议规则转移到智能合约代码中。
这一架构转变将以太坊账户从僵化的仅限 ECDSA 的实体转变为可以支持任何签名算法(包括抗量子替代方案)的灵活容器。在 EIP-8141 下,用户可以迁移到基于哈希的签名(如 SPHINCS+)、基于格的方案(CRYSTALS-Dilithium)或结合多种密码学原语的混合方法。
技术实现依赖于“框架交易”(frame transactions),这是一种允许账户指定自定义验证逻辑的机制。框架交易不再由 EVM 在协议层检查 ECDSA 签名,而是将此责任委托给智能合约。这意味着:
以太坊基金会开发者 Felix Lange 强调,EIP-8141 创造了一个关键的“ECDSA 离场出口”,使网络能够在量子计算机成熟之前弃用脆弱的密码学。Vitalik 已提议将框架交易纳入预计在 2026 年下半年进行的 Hegota 升级中,使其成为近期优先事项而非遥远的研究项目。
Vitalik 的路线图针对四个需要抗量子替代方案的脆弱组件:
以太坊的权益证明共识依赖于 BLS 签名,它将成千上万个验证者签名聚合为紧凑的证明。虽然 BLS 签名效率很高,但它们在量子攻击面前很脆弱。该路线图提议用基于哈希的替代方案取代 BLS——这种密码学方案的安全性仅取决于抗碰撞哈希函数,而不是量子计算机可以解决的艰深数学问题。
像 XMSS(扩展默克尔签名方案)这样基于哈希的签名提供了经过数十载密码学研究验证的抗量子性。挑战在于效率:BLS 签名使以太坊能够经济地处理 900,000 多个验证者,而基于哈希的方案则需要多得多的数据和计算。
自 Dencun 升级以来,以太坊使用 KZG 多项式承诺来实现 “blob” 数据可用性——该系统允许 rollups 以低成本发布数据,同时验证者可以高效地进行验证。然而,KZG 承诺依赖于易受量子攻击的椭圆曲线配对。
解决方案涉及转向 STARK(Scalable Transparent Argument of Knowledge,可扩展的透明知识论证)证明,其安全性源自哈希函数而非椭圆曲线。STARKs 在设计上具有抗量子性,并且已经为 StarkWare 等 zkEVM rollups 提供支持。此次迁移将保持以太坊的数据可用性能力,同时消除量子风险。
对于用户来说,最明显的变化是将 2 亿多个以太坊地址从 ECDSA 迁移到量子安全替代方案。EIP-8141 通过账户抽象实现了这一转型,允许每个用户选择其偏好的抗量子方案:
关键限制在于 gas 成本。传统的 ECDSA 验证成本约为 3,000 gas,而 SPHINCS+ 验证运行成本约为 200,000 gas——增加了 66 倍。如果没有专门为后量子签名验证设计的 EVM 优化或新的预编译合约,这种经济负担可能会使抗量子交易变得昂贵得令人望而却步。
许多 Layer 2 扩容方案和隐私协议依赖于 zk-SNARKs(零知识简洁非交互式知识论证),它们通常使用椭圆曲线加密进行证明生成和验证。这些系统需要迁移到 STARKs 或基于格的 ZK 证明等抗量子替代方案。
StarkWare、Polygon 和 zkSync 已经在大力投资基于 STARK 的证明系统,为以太坊的量子转型奠定了基础。挑战在于协调数十个独立的 Layer 2 网络进行升级,同时保持与以太坊基层的兼容性。
以太坊的量子路线图建立在由美国国家标准与技术研究院 (NIST) 在 2024-2025 年标准化的加密算法之上:
这些经 NIST 批准的算法为 ECDSA 和 BLS 提供了经过实战检验的替代方案,具有正式的安全证明和广泛的同行评审。以太坊开发人员可以对其加密基础充满信心并实施这些方案。
实施时间线反映了受工程现实制约的紧迫感:
2026 年 1 月:以太坊基金会成立专门的后量子安全团队,获得 200 万美元资金支持,由研究员 Thomas Coratger 领导。这标志着抗量子性正式从研究课题提升为战略重点。
2026 年 2 月:Vitalik 发布了全面的量子防御路线图,包括 EIP-8141 和 “Strawmap”——一个整合抗量子加密技术至 2029 年的七次分叉升级计划。
2026 年下半年:目标在 Hegota 升级中包含框架交易(启用 EIP-8141),为量子安全账户抽象提供技术基础。
2027-2029 年:在基层和 Layer 2 网络中分阶段推出抗量子共识签名、数据可用性承诺�和 ZK 证明系统。
2030 年之前:完成关键基础设施向抗量子加密技术的全面迁移,在预计最早的 Q-Day 场景出现前建立安全边际。
这一时间线代表了计算历史上最雄心勃勃的加密转型之一,需要基金会团队、客户端开发人员、Layer 2 协议、钱包提供商和数百万用户之间的协调——同时还要保持以太坊的运行稳定性和安全性。
抗量子化并非没有代价。最重要的技术障碍涉及在以太坊虚拟机 (EVM) 上验证后量子签名的计算成本。
目前的 ECDSA 签名验证成本约为 3,000 gas——按典型 gas 价格计算约为 0.10 美元。SPHINCS+ 作为最保守的抗量子替代方案之一,验证成本约为 200,000 gas——每笔交易约 6.50 美元。对于进行频繁交易或与复杂 DeFi 协议交互的用户来说,这种 66 倍的成本增加可能会变得难以承受。
几种方法可以缓解这些经济问题:
EVM 预编译:为 CRYSTALS-Dilithium 和 SPHINCS+ 验证添加原生 EVM 支持将显著降低 gas 成本,类似于现有的预编译合约如何使 ECDSA 验证变得经济实惠。路线图包括 13 个新的抗量子预编译计划。
混合方案:用户可以采用 “经典 + 量子” 签名组合,其中 ECDSA 和 SPHINCS+ 签名都必须通过验证。这在提供抗量子性的同时保持了效率,直到 Q-Day 到来,届时可以舍弃 ECDSA 部分。
乐观验证:关于 “Naysayer 证明” 的研究探索了乐观模型,即假定签名有效除非受到挑战,从而以增加额外信任假设为代价显著降低链上验证成本。
Layer 2 迁移:抗量子交易可能主要发生在针对后量子加密优化的 rollups 上,而以太坊基层仅处理最终结算。这种架构转变将使成本增加局部化到特定的用例中。
以太坊研究社区正积极探索所有这些路径,针对不同的用例可能会出现不同的解决方案。高价值的机构转账可能会为了 SPHINCS+ 的安全性而接受 200,000 gas 的成本,而日常的 DeFi 交易可能会依赖更高效的基于格的方案或混合方法。
比特币和以太坊面临量子威胁的方式不同,这影响了它们各自的防御策略。
比特币的 UTXO 模型和地址重用模式创造了一个更简单的威胁格局。从不重用地址的用户在消费之前会一直隐藏其公钥,这将量子攻击的窗口限制在交易广播到区块确认之间的短暂时间内。这种 “不重用地址” 的指南即使在没有协议级更改的情况下也能提供实质性保护。
以太坊的账户模型和智能合约架构创造了永久的暴露点。每个验证者都会发布保持不变的 BLS 公钥。智能合约交互通常会暴露用户的公钥。共识机制本身依赖于每 12 秒聚合数千个公共签名。
这种架构差异意味着以太坊需要主动进行密码学迁移,而比特币则可能采取更具反应性的立场。以太坊的量子路线图反映了这一现实,优先考虑保护所有用户的协议级更改,而不是依赖行为修改。
然而,这两个网络都面临类似的长期紧迫任务。比特币也出现了抗量�子地址格式和签名方案的提案,诸如 Quantum Resistant Ledger (QRL) 之类的项目展示了基于哈希的替代方案。更广泛的加密货币生态系统认识到,量子计算是一个需要协同应对的生存威胁。
对于 2 亿多以太坊地址持有者来说,抗量子性将通过逐步的钱包升级实现,而不是剧烈的协议更改。
钱包提供商 将集成抗量子签名方案,因为 EIP-8141 实现了账户抽象。用户可能会在 MetaMask 或硬件钱包中选择 “量子安全模式”,自动将其账户升级为 SPHINCS+ 或 Dilithium 签名。对于大多数人来说,这种过渡就像是一次常规的安全更新。
DeFi 协议和 dApp 必须为抗量子签名的 Gas 成本影响做好准备。智能合约可能需要重新设计,以尽量减少签名验证调用或更有效地批量操作。协议可能会提供 “量子安全” 版本,虽然交易成本更高,但安全保证更强。
Layer 2 开发者 面临着最复杂的过渡,因为 Rollup 证明系统、数据可用性机制和跨链桥都需要抗量子密码学。像 Optimism 这样的网络已经宣布了为期 10 年的后量子过渡计划,认识到了这一工程挑战的范围。
验证者和质押服务 最终将从 BLS 迁移到基于哈希的共识签名,这可能需要客户端软件升级和质押基础设施的更改。以太坊基金会的分阶段方法旨在最大限度地减少干扰,但验证者应为这种不可避免的过渡做好准备。
对于更广泛��的生态系统,抗量子性既代表挑战也代表机遇。如今构建量子安全基础设施的项目 —— 无论是钱包、协议还是开发者工具 —— 都将自己定位为以太坊长期安全架构的重要组成部分。
以太坊的量子防御路线图代表了区块链行业对后量子密码学挑战最全面的回应。通过同时针对共识签名、数据可用性、用户账户和零知识证明,该网络正在量子计算机成熟之前进行全面的密码学改革。
时间表虽然激进但并非不可实现。凭借一支专门的 200 万美元后量子安全团队、准备实施的 NIST 标准算法以及社区对 EIP-8141 重要性的共识,以太坊拥有执行这一过渡的技术基础和组织意愿。
经济挑战 —— 特别是基于哈希的签名导致 Gas 成本增加 66 倍 —— 仍未解决。但随着 EVM 优化、预编译开发和混合签名方案的出现,解决方案正在显现。问题不在于以太坊能否具备抗量子性,而在于它能多快大规模部署这些防御措施。
对于用户和开发者来说,信息很明确:量子计算不再是一个遥远的理论问题,而是一个近期的战略重点。2026-2030 年的时间窗口是以太坊在 Q 日到来之前对其密码学基础进行未来化验证的关键机遇。
数千亿美元的链上价值取决于能否正确处理此事。随着 Vitalik 的路线图现已公开并开始实施,以太坊正押注其能够赢得与量子计算的竞赛 —— 并为后量子时代重新定义区块链安全。
资料来源:
如果保护以太坊 5000 亿美元网络的一切都能在几分钟内被破解,会发生什么?这不再是科幻小说。以太坊基金会刚刚宣布将后量子安全列为“顶级战略优先级”,成立了专门团队,并出资 200 万美元设立研究奖金。信息很明确:量子威胁不再只是理论,时间正在流逝。
当今的每个区块链都依赖于量子计算机将会粉碎的密码学假设。以太坊、比特币、Solana 以及几乎所有主流网络都使用椭圆曲线密码学 (ECC) 进行签名——这种数学原理在拥有足够量子比特的 Shor 算法面前将变得不堪一击。
威胁模型非常严峻。目前的量子计算机还远未达到在现实世界的密钥上运行 Shor 算法的能力。破解 secp256k1(比特币和以太坊使用的椭圆曲线)或 RSA-2048 需要数十万到数百万个物理量子比特——这远远超出了当今 1000 多个量子比特的机器水平。谷歌和 IBM 的公开路线图目标是在 2030 年代初达到 100 万个物理量子比特,尽管工程延期可能会将其推迟到 2035 年左右。
但关键在于:对“Q-Day”(即量子计算机能够破解当前密码学的时刻)的预测范围从 5-10 年(激进型)到 20-40 年(保守型)不等。一些评估认�为,到 2026 年,公钥密码学有七分之一的可能性被破解。当你正在保护数千亿美元的资产时,这并不是一个让人宽心的余量。
与单一个体可以强制升级的传统系统不同,区块链面临着协调噩梦。你无法强迫用户升级钱包。你无法修补每一个智能合约。而且一旦量子计算机能够运行 Shor 算法,每一笔暴露了公钥的交易都将变得易受私钥提取攻击。对于比特币来说,这大约意味着 25% 的 BTC 存在于重复使用或已暴露地址中。对于以太坊,账户抽象(Account Abstraction)提供了一些缓解措施,但遗留账户仍然处于风险之中。
2026 年 1 月,以太坊基金会宣布成立由 Thomas Coratger 领导的专门后量子 (PQ) 团队,并得到正在开发 leanVM 的密码学家 Emile 的支持。高级研究员 Justin Drake 将后量子安全称为基金会的“顶级战略优先级”——这对于此前一直是长期研究课题的项目来说,是一次罕见的地位提升。
基金会正提供重金支持:
基于哈希的密码学是基金会选择的未来路径。与 NIST 标准化的基于格(lattice-based)或基于编码(code-based)的替代方案(如 CRYSTALS-Kyber 和 Dilithium)不同,哈希函数具有更简单的安全假设,并且已经在区块链环境中经过了实战测试。缺点是什么?它们产生的签名更大,需要更多的存储空间——这是以太坊为了长期抗量子能力而愿意做出的权衡。
Drake 将 leanVM 描述为以太坊后量子方法的“基石”。这个极简的零知识证明虚拟机针对抗量子的基于哈希的签名进行了优化。通过专注于哈希函数而非椭圆曲线,leanVM 避开了最容易受到 Shor 算法攻击的密码学原语。
为什么这很重要?因为以太坊的 L2 生态系统、DeFi 协议和隐私工具都依赖于零知识证明。如果底层加密技术不是量子安全的,整个堆栈就会崩塌。LeanVM 的目标是在量子计算机到来之前,让这些系统具备未来适应性。
多个团队已经在运行多客户端后量子开发网络,包括 Zeam、Ream Labs、PierTwo、Gean 客户端和 Ethlambda,并与 Lighthouse、Grandine 和 Prysm 等成熟的共识客户端合作。这并非空谈——而是正在接受压力测试的实时基础设施。
基金会还将启动每两周一次的突破性会议,作为全核心开发者 (All Core Developers) 流程的一部分,重点关注面向用户的安全变更:直接内置于协议中的专用密码学函数、新的账户设计,以及使用 leanVM 的长期签名聚合策略。
将以太坊迁移到后量子密码学并非简单的软件更新。这是一个影响网络中每个参与者的多年、多层协调工作。
L1 协议:共识必须切换到抗量子签名方案。这需要一次硬分叉——意味着每个验证者、节点运营商和客户端实现都必须同步升级。
智能合约:部署在以太坊上的数百万个合约使用 ECDSA 进行签名验证。有些可以通过代理模式或治理进行升级;另一些则是不可更改的。Uniswap、Aave 和 Maker 等项目将需要迁移计划。
用户钱包:MetaMask、Ledger、Trust Wallet——每个钱包都必须支持新的签名方案。用户必须将资金从旧地址迁移到量子安全地址。这就是“现在收集,稍后解密”(harvest now, decrypt later) 威胁变得真实的地方:攻击者可以记录今天的交易,并在量子计算机出现后将其解密。
L2 Rollups:Arbitrum、Optimism、Base、zkSync——所有这些都继承了以太坊的密码学假设。每个 Rollup 必须独立迁移,否则就有可能成为量子攻击的薄弱环节。
以太坊在这里有一个优势:账户抽象。与比特币的 UTXO 模型(要求用户手动移动资金)不同,以太坊的账户模型可以支持具有可升级密码学的智能合约钱包。这并不能消除迁移挑战,但它提供了一条更清晰的路径。
以太坊并非孤军奋战。更广泛的区块链生态系统也意识到了量子威胁:
QRL (Quantum Resistant Ledger):从诞生之初就采用了 XMSS (eXtended Merkle Signature Scheme),这是一种基于哈希的签名标准。QRL 2.0 (Project Zond) 将于 2026 年第一季度进入测试网,随后将进行审计并发布主网。
01 Quantum:于 2026 年 2 月初推出了抗量子区块链迁移工具包,并在 Hyperliquid 上发行了 $qONE 代币。他们的 Layer 1 迁移工具包计划于 2026 年 3 月发布。
比特币:存在多个提案(关于后量子操作码的 BIP、针对新地址类型的软分叉),但比特币保守的治理方式使得快速变革变得不太可能。如果量子计算机比预期更早出现,可能会出现具有争议的硬分叉场景。
Solana, Cardano, Ripple:都使用基于椭圆曲线的签名,并面临类似的迁移挑战。大多数处于早期研究阶段,尚未宣布专门的团队或时间表。
对排名前 26 的区块链协议进行的审查显示,其中 24 个纯粹依赖于量子易损的签名方案。目前只有两个(QRL 和另一个知名度较低的链)拥有抗量子的基础。
激进时间线(5-10 年):量子计算取得突破性进展。到 2031 年,100 万量子位的机器出现,全行业只有五年时间来完成全网络范围的迁移。尚未开始准备的区块链将面临灾难性的密钥泄露。以太坊的领先优势在这里至关重要。
保守时间线(20-40 年):受限于纠错和工程挑战,量子计算进展缓慢。区块链有充足的时间以稳��健的步调进行迁移。以太坊基金会的早期投资看起来很明智,但并不紧迫。
黑天鹅(2-5 年):在公开路线图显示之前,秘密或私人的量子突破已经发生。国家行为者或资金充足的对手获得了密码学优势,从而能够从易受攻击的地址进行无声窃取。这种情况证明了将后量子安全视为当今“顶级战略优先事项”的合理性。
中间场景的可能性最大,但区块链无法承担只针对中间情况进行规划的后果。如果预测错误,代价将是毁灭性的。
针对在以太坊上构建的开发者:
对于持有 ETH 或代币的用户:
对于企业和机构:
以太坊 200 万美元的研究奖金、专门的团队和多客户端开发网络,代表了区块链行业中最激进的后量子推进。但这足够了吗?
乐观情况:是的。以太坊的账户抽象、强大的研究文化和早期起步使其最有希望实现平稳迁移。如果量子计算机遵循保守的 20-40 年时间线,以太坊将提前部署好抗量子基础设施。
悲观情况:不够。协调数百万用户、数千名开发者和数百个协议是前所未有的挑战。即使有最好的工具,迁移也将是缓慢、不完整且充满争议的。遗留系统——不可变合约、丢失的密钥、被遗弃的钱包——将无限期地处于量子易损状态。
现实情况:部分成功。以太坊核心将成功迁移。主要的 DeFi 协议和 L2 将紧随其后。但大量的小型项目、不活跃的钱包和边缘情况将作为量子易损的残余物继续存在。
以太坊基金会的后量子紧急行动是一场全行业输不起的赌注。200 万美元的奖金、专门的团队和在线开发网络发出了严肃的信号。基于哈希的密码学、leanVM 和账户抽象提供了一条可靠的技术路径。
但意图并不等于执行。真正的考验在于量子计算机从研究好奇心转变为密码学威胁的那一刻。到那时,迁移窗口可能已经关闭。以太坊现在正在奔跑,而其他人还在系鞋带。
量子威胁不是炒作,而是数学。数学并不关心路线图或良好的意愿。问题不在于区块链是否需要后量子安全——而在于它们能否在 Q-Day 到来之前完成迁移。
以太坊积极的量子防御策略凸显了构建稳健、面向未来的区块链基础设施的重要性。在 BlockEden.xyz,我们提供基于能够随行业安全需求演进的基础设施而构建的企业级以太坊和多链 API 访问。探索我们的服务,在你可以长期信赖的基础设施上进行开发。
当 Coinbase 在 2026 年 1 月成立后量子咨询委员会时,它证实了安全研究人员多年来的警告:量子计算机将破解当前的区块链加密技术,抗量子加密的竞赛已经开始。QRL 的 XMSS 签名、StarkWare 基于哈希的 STARKs 以及以太坊的 200 万美元研究奖金,代表了旨在 2026 年占据市场领导地位的前沿项目。问题不在于区块链是否需要抗量子能力,而在于当 “Q-Day”(量子日)到来时,哪种技术方案将占据主导地位。
后量子区块链板块分为两大类:对现有链(如比特币、以太坊)进行改造,以及原生抗量子协议(如 QRL、Quantum1)。每一类都面临不同的挑战。改造必须保持向后兼容性,协调分布式升级,并管理暴露的公钥。原生协议从一开始就使用抗量子加密技术,但缺乏网络效应。这两种方法都是必要的——传统区块链承载着必须保护的数万亿资产,而新链可以从创世之初就针对抗量子能力进行优化。
Quantum Resistant Ledger (QRL) 于 2018 年启动,是首个从成立之初就实施后量子加密技术的区块链。该项目选择了 XMSS(扩展门克尔签名方案),这是一种基于哈希的�签名算法,通过哈希函数而非数论提供抗量子安全性。
为何选择 XMSS? SHA-256 等哈希函数被认为具有抗量子性,因为量子计算机无法显著加速哈希碰撞(Grover 算法提供的是平方级加速,而非像 Shor 算法针对 ECDSA 那样提供指数级加速)。XMSS 利用这一特性,从哈希值的默克尔树(Merkle trees)中构建签名。
权衡: XMSS 签名体积巨大(约 2,500 字节,而 ECDSA 仅为 65 字节),这使得交易成本更高。每个地址的签名容量有限——在生成 N 个签名后,必须重新生成树。这种有状态的特性需要仔细的密钥管理。
市场地位: 与比特币或以太坊相比,QRL 仍然属于小众市场,处理的交易量极小。然而,它证明了抗量子区块链在技术上是可行的。随着 Q-Day 的临近,QRL 作为经过实战检验的替代方案可能会受到关注。
未来展望: 如果量子威胁比预期来得更快,QRL 的先发优势将变得非常重要。该协议在后量子签名方面拥有多年的生产经验。寻求抗量子资产的机构可能会将 QRL 作为一种 “量子保险” 进行配置。
StarkWare 的 STARK(可扩展、透明的知识参数)技术作为其零知识证明架构的一个附带收益,提供了抗量子能力。STARKs 使用哈希函数和多项式,避免了容易受到 Shor 算法攻击的椭圆曲线加密。
为何 STARKs 至关重要: 与 SNARKs(需要可信设置并使用椭圆曲线)不同,STARKs 是透明的(无需可信设置)且具有抗量子性。这使其成为扩展解决方案(StarkNet)和后量子迁移的理想选择。
当前应用: StarkNet 为以太坊 L2 扩展处理交易。其抗量子能力目前是潜在的——虽然不是核心特性,但随着量子威胁的增长,这是一项宝贵的属性。
集成路径: 以太坊可以集成基于 STARK 的签名以实现后量子安全,同时在过渡期间保持与 ECDSA 的向后兼容性。这种混合方法允许逐步迁移。
挑战: 尽管压缩技术正在改进,但 STARK 证明的体积仍然很大(数百 KB)。验证速度很快,但证明生成的计算成本很高。这些权衡限制了高频应用的吞吐量。
展望: STARKs 可能会成为以太坊后量子解决方案的一部分,无论是作为直接的签名方案,还是作为迁移传统地址的包装器。StarkWare 的生产记录和以太坊的集成使得这条路径极具可能性。
以太坊基金会在 2026 年 1 月将后量子加密指定为 “首要战略任务”,并设立了 200 万美元的研究奖金,用于征集实际的迁移方案。重点是基于哈希的签名(SPHINCS+、XMSS)和基于晶格(lattice-based)的加密(Dilithium)。
SPHINCS+: 一种由 NIST 标准化的无状态哈希签名方案。与 XMSS 不同,SPHINCS+ 不需要状态管理——你�可以使用一个密钥签署无限的消息。签名体积更大(约 16-40 KB),但无状态特性简化了集成。
Dilithium: 一种基于晶格的签名方案,与基于哈希的替代方案相比,它提供更小的签名(约 2.5 KB)和更快的验证速度。其安全性依赖于被认为具有量子抗性的晶格问题。
以太坊的挑战: 迁移以太坊需要解决历史交易中暴露的公钥问题,在过渡期间保持向后兼容性,并最大限度地减少签名体积膨胀,以避免破坏 L2 的经济模型。
研究重点: 这项 200 万美元的奖金旨在寻找实际的迁移路径——如何进行网络分叉、转换地址格式、处理传统密钥,以及在为期数年的过渡期间维持安全性。
时间线: 以太坊开发人员估计,从研究到生产部署需要 3-5 年。这表明,假设 Q-Day 不会提前到来,以太坊主网的后量子激活将在 2029-2031 年左右。
讨论后量子密码学的比特币改进提议 (BIPs) 正处于草案阶段,但共识建立过程缓慢。比特币的保守文化抵制未经测试的密码学,更倾向于经过实战检验的解决方案。
可能采取的方法:由于保守的安全特性,倾向于采用基于哈希的签名 (SPHINCS+)。比特币将安全性置于效率之上,愿意接受更大的签名以降低风险。
Taproot 集成:比特币的 Taproot 升级提供了脚本灵活性,可以在不进行硬分叉的情况下容纳后量子签名。Taproot 脚本可以在 ECDSA 的基础上包含后量子签名验证,从而实现选择性迁移 (opt-in migration)。
挑战:暴露地址中存有 665 万枚 BTC。比特币必须做出抉择:强制迁移(销毁丢失的代币)、自愿迁移(面临量子盗窃风险)或接受损失的混合方法。
时间线:比特币的推进速度比以太坊慢。即使 BIPs 在 2026-2027 年达成共识,主网激活可能也要等到 2032-2035 年。这一时间线的前提是 Q-Day 并非迫在眉睫。
社区分歧:一些比特币极大化主义者否认量子威胁的紧迫性,将其视为遥远的威胁。另一些人则主张立即采取行动。这种紧张关系减缓了共识的建立。
Quantum1(新兴项目的假设案例)代表了从创世阶段就设计为抗量子的新一代区块链。与 QRL(简单支付)不同,这些平台提供具有后量子安全性的智能合约功能。
架构:结合了基于格的签名 (Dilithium)、基于哈希的承诺和零知识证明,以实现隐私保护且抗量子的智能合约。
价值主张:构建长期应用(寿命超过 10 年)的开发者可能更倾向于原生抗量子平台,而非经过改造的链。既然要在 2030 年迁移,为什么今天还要在以太坊上构建呢?
挑战:网络效应有利于成熟的链。比特币和以太坊拥有流动性、用户、开发者和应用。无论技术多么优越,新链在获得关注方面都面临巨大挑战。
潜在催化剂:针对主流链的量子攻击将引发向抗量子替代方案的逃离。Quantum1 类型的项目是应对现有链失效的保险单。
Coinbase 成立后量子顾问委员会,标志着机构开始关注量子准备工作。作为一家负有信托义务的上市公司,Coinbase 不能忽视客户资产面临的风险。
顾问委员会角色:评估量子威胁,建议迁移策略,与协议开发者协调,并确保 Coinbase 的基础设施为后量子过渡做好准备。
机构影响力:Coinbase 持有价值数十亿美元的客户加密货币。如果 Coinbase 推动协议采用特定的后量子标准,这种影响力将至关重要。交易所的参与会加速采用——如果交易所仅支持后量子地址,用户迁移的速度会更快。
时间线压力:Coinbase 的公开参与表明,机构的时间线比社区讨论所承认的要短。上市公司不会为了 30 年后的风险而成立顾问委员会。
竞争格局总结:
每个项目都在不同的权衡之间进行优化:安全性 vs 效率、向后兼容性 vs 白手起家、NIST 标准化算法 vs 实验性算法。
对于开发者:构建 10 年以上长期应用的开发者应考虑后量子迁移。以太坊上的应用最终将需要支持后量子地址格式。现在的规划可以减少未来的技术债。
对于投资者:在抗量子链和传统链之间进行多元化投资可以规避量子风险。QRL 和类似项目具有投机性,但如果量子威胁比预期来得更快,它们将提供非对称的上行潜力。
对于机构:后量子准备是风险管理,而非投机。持有客户资产的托管机构必须规划迁移策略,与协议开发者协调,并确保基础设施支持后量子签名。
对于协议:迁移窗口正在关闭。2026 年才开始后量子研究的项目要到 2029-2031 年才能部署。如果 Q-Day 在 2035 年到来,那么只剩下 5-10 年的后量子安全期。启动太晚可能会导致时间不足。
当你签署一笔比特币交易时,你的公钥就会永久地在区块链上可见。15 年来,这并不重要——保护比特币的 ECDSA 加密在计算上是经典计算机无法破解的。但量子计算机改变了一切。一旦拥有足够强大能力的量子计算机出现(Q-Day),它可以在几小时内从你暴露的公钥中重构出你的私钥,从而掏空你的地址。被低估的 Q-Day 问题不仅仅是“升级加密”。关键在于,已签署过交易的地址中存有的 665 万枚 BTC 已经处于风险之中,而且其迁移难度比升级企业 IT 系统要大得多。
以太坊基金会设立的 200 万美元后量子研究奖金,以及 2026 年 1 月成立的专门 PQ 团队,标志着“最高战略优先级”地位的确立。这并非未来的规划——而是紧急备战。Project Eleven 专门为后量子加密安全筹集了 2000 万美元。Coinbase 成立了后量子顾问委员会。与 Q-Day 的赛跑已经开始,区块链面临着传统系统所不具备的独特挑战:不可篡改的历史、分布式协作,以及存放在公钥已暴露地址中的 665 万枚 BTC。
比特币的安全依赖于一种基础的不对称性:从私钥派生公钥很容易,但逆向推导在计算上是不可能的。你的比特币地址是公钥的哈希值,这提供了额外的一层保护。只要你的公钥保持隐藏,攻击者就无法针对你的特定密钥。
然而,一旦你签署一笔交易,你的公钥就会在区块链上变得可见。这是不可避免的——签名验证需要公钥。对于接收资金,你的地址(公钥的哈希值)就足够了。但支出资金则需要揭示公钥。
经典计算机无法利用这种暴露。破解 ECDSA-256(比特币的签名方案)需要解决离散对数问题,估计需要 2^128 次运算——即使是运行数千年的超级计算机也无法实现。
量子计算机打破了这一假设。Shor 算法在具有足够量子比特和纠错能力的量子计算机上运行,可以在多项式时间内解决离散对数问题。据估计,一台拥有约 1,500 个逻辑量子比特的量子计算机可以在几小时内破解 ECDSA-256。
这创造了一个关键的脆弱性窗口:一旦你从一个地址签署了交易,该公钥就会永远暴露在链上。如果以后出现了量子计算机,所有先前暴露的密钥都将变得脆弱。存放在已签署交易地址中的 665 万枚 BTC 正伴随着永久暴露的公钥,等待着 Q-Day 的到来。
没有交易历史的新地址在首次使用前仍然是安全的,因为它们的公钥尚未暴露。但遗留地址——中本聪的代币、早期采用者的持有量、以及签署过交易的交易所冷钱包——都是滴答作响的定时炸弹。
传统的 IT 系统也面临量子威胁。银行、政府和企业使用的加密技术都容易受到量子攻击。但它们的迁移路径是直接的:升级加密算法、轮换密钥并重新加密数据。虽然昂贵且复杂,但在技术上是可行的。
区块链迁移面临着独特的挑战:
不可篡改性:区块链历史是永久性的。你无法追溯性地更改过去的交易来隐藏已暴露的公钥。一旦泄露,它们就会在成千上万个节点中永远泄露。
分布式协作:区块链缺乏强制执行升级的中央机构。比特币的共识需要矿工、节点和用户的多数同意。为后量子迁移协调一次硬分叉在政治和技术上都非常复杂。
向后兼容性:在过渡期间,新的后量子地址必须与遗留地址并存。这导致了协议的复杂性——两种签名方案、双重地址格式、混合模式交易验证。
丢失的密钥和非活跃用户:数百万枚 BTC 存放于那些丢失密钥、已故或多年前放弃加密货币的人所拥有的地址中。这些代币无法自愿迁移。它们是应该保持脆弱状态,还是由协议强制迁移(这可能面临破坏访问权限的风险)?
交易规模和成本:后量子签名比 ECDSA 大得多。根据方案的不同,签名大小可能会从 65 字节增加到 2,500 字节以上。这会使交易数据膨胀,提高手续费并限制吞吐量。
算法选择的共识:该选择哪种后量子算法?NIST 标准化了多种算法,但每种都有权衡。如果选错了,可能意味着以后需要重新迁移。区块链必须押注于那些在未来几十年内依然安全的算法。
以太坊基金会的 200 万美元研究奖金正针对这些确切的问题:如何在不破坏网络、不失去向后兼容性、或不因签名冗余导致区块链无法使用的情况下,将以太坊迁移到后量子加密技术。
截至 2026 年,约有 665 万 BTC 存放于签署过至少一次交易的地址中,这意味着它们的公钥已经暴露。这占比特币总供应量的约 30%,其中包括:
中本聪的代币:由比特币创建者开采的约 100 万 BTC 仍未移动。这些地址中的许多从未签署过交易,但其他地址因早期交易而暴露了密钥。
早期采用者的持有量:数以千计的 BTC 由早期矿工和采用者持有,他们在每枚代币仅值几美分时积累了这些资产。许多地址处于休眠状态,但拥有历史交易签名。
交易所冷存储:交易所将数百万 BTC 存放在冷存储中。虽然最佳实践是轮换地址,但传统的冷钱包往往因过去的整合交易而暴露了公钥。
丢失的代币:据估计有 300 万至 400 万 BTC 已丢失(所有者去世、私钥遗忘、硬盘被丢弃)。这些地址中的许多都具有暴露的密钥。
在 Q-Day 发生时,这些代币会怎样?有几种可能的情况:
方案 1 - 强制迁移:通过硬分叉授权在截止日期前将代币从旧地址移动到新的后量子地址。未迁移的代币将变得无法消费。这会“销毁”丢失的代币,但能保护网络免受量子攻击耗尽国库。
方案 2 - 自愿迁移:用户自愿迁移,但暴露的地址仍然有效。风险:量子攻击者在所有者迁移之前耗尽易受攻击的地址。这会引发“迁移竞赛”的恐慌。
方案 3 - 混合方法:引入后量子地址,但无限期保持向后兼容性。接受易受攻击的地址最终将在 Q-Day 后被耗尽,将其视为自然选择。
方案 4 - 紧急冻结:在检测到量子攻击时,通过紧急硬分叉冻结易受攻击的地址类型。这为迁移赢得了时间,但需要比特币所抵制的中心化决策。
没有一个是理想的。方案 1 破坏了合法丢失的密钥。方案 2 允许量子盗窃。方案 3 接受数百亿美元的损失。方案 4 破坏了比特币的不可篡改性。以太坊基金会和比特币研究人员现在就在努力应对这些权衡,而不是在遥远的未来。
几种后量子加密算法提供了抵御量子攻击的能力:
基于哈希的签名 (XMSS, SPHINCS+):安全性依赖于哈希函数,这些函数被认为是抗量子的。优点:易于理解、保守的安全假设。缺点:签名尺寸大(2,500+ 字节),导致交易成本昂贵。
基于格的密码学 (Dilithium, Kyber):基于量子计算机难以解决的格问题。优点:签名较小(约 2,500 字节),验证效率高。缺点:较新,且比基于哈希的方案经过的实战测试更少。
STARKs (可扩展透明知识论证):抗量子攻击的零知识证明,因为它们依赖于哈希函数而非数论。优点:透明(�无需受信任的设置)、抗量子、可扩展。缺点:证明尺寸大,计算成本高。
多变量密码学:通过求解多变量多项式方程组来保证安全。优点:签名生成速度快。缺点:公钥尺寸大,不够成熟。
基于编码的密码学:基于纠错码。优点:速度快、研究充分。缺点:密钥尺寸非常大,在区块链中使用不切实际。
以太坊基金会正在探索基于哈希和基于格的签名,认为它们是区块链集成中最具前景的方案。QRL (量子抗性账本) 在 2018 年率先实现了 XMSS,证明了可行性,但在交易尺寸和吞吐量方面做出了妥协。
由于保守的安全理念,比特币可能会选择基于哈希的签名 (SPHINCS+ 或类似算法)。以太坊可能会选择基于格的签名 (Dilithium) 以尽量减少尺寸开销。两者都面临同样的挑战:比 ECDSA 大 10 到 40 倍的签名会使区块链体积和交易成本飙升。
预测 Q-Day(量子计算机破解 ECDSA 的时刻)具有投机性,但趋势是明确的:
乐观(对攻击者而言)时间表:10 到 15 年。IBM、谷歌和初创公司在量子比特数量和纠错方面取得了快速进展。如果进展继续呈指数级增长,1,500 个以上的逻辑量子比特可能会在 2035 年至 2040 年间出现。
保守时间表:20 到 30 年。量子计算面临着巨大的工程挑战——纠错、量子比特相干性、规模化。许多人认为实际攻击仍需几十年。
悲观(对区块链而言)时间表:5 �到 10 年。政府的秘密计划或突破性发现可能会加速这一进程。谨慎的规划应假设较短的时间表,而非较长的。
以太坊基金会在 2026 年 1 月将后量子迁移视为“最高战略优先级”,这表明内部估计比公开讨论承认的要短。你不会为了 30 年后的风险拨付 200 万美元并组建专门团队。你这样做是为了 10 到 15 年内的风险。
比特币的文化抵制紧迫感,但关键开发者承认这一问题。虽然存在后量子比特币的提案(处于 BIPs 草案阶段),但达成共识需要多年时间。如果 Q-Day 在 2035 年到来,比特币需要在 2030 年开始迁移,以便为开发、测试和网络推广留出时间。
虽然协议层解决方案还需要数年时间,但个人可以减少风险敞口:
定期迁移到新地址:从某个地址转账后,将剩余资金转移到新地址。这可以最大限度地缩短公钥暴露时间。
使用多重签名钱包:量子计算机必须同时破解多个签名,这增加了难度。虽然这并非完全抗量子,但可以争取时间。
避免重复使用地址:绝不要向已经发送过资金的地址转账。每次支出都会重新暴露公钥。
关注最新进展:关注以太坊基金会后量子(PQ)研究、Coinbase 顾问委员会的更新,以及与后量子密码学相关的比特币改进提案(BIPs)。
分散持有资产:如果你担心量子风险,可以分散投资于抗量子链(QRL)或风险较小的资产(权益证明 PoS 链比工作量证明 PoW 链更容易迁移)。
这些只是权宜之计,而非根本解决方案。协议层面的修复需要针对价值数十亿美元资产和数百万用户的协调网络升级。挑战不仅在于技术,还在于社会、政治和经济层面。
如果 AI 模型能在不让任何人看到其处理数据的情况下,证明其运行是正确的,那会怎样?这个问题多年来一直困扰着密码学家和区块链工程师。在 2026 年,随着两项曾被认为过于缓慢、昂贵且过于理论化的技术——零知识机器学习 (ZKML) 和全同态加密 (FHE) 的融合,答案终于初具规模。
单独来看,这两项技术各解决了一半的问题。ZKML 允许你在不重新运行计算的情况下验证 AI 计算的正确性。FHE 允许你在不解密数据的情况下对加密数据进行计算。两者结合,为 AI 创造了研究人员所谓的“加密密封 (Cryptographic Seal)”——在这个系统中,私有数据永远不会离开你的设备,但结果却可以向公共区块链上的任何人证明是可信的。