深度分析：我們是否過於恐懼量子電腦帶來的加密安全威脅？

量子電腦威脅時間線常被誇大，短期內程式漏洞風險仍遠大於量子攻擊。區塊鏈無需急於部署後量子簽名，但應立即開始規劃。本文源自 Justin Thaler 所著文章，由白話區塊鏈整理、編譯及撰稿。 （前情提要：Raoul Pal 警告：聯準會再不印鈔QE「流動性將短缺」，或重演2018年回購市場金融危機） （背景補充：美國下週補公布 9 月非農報告，市場緊盯對聯準會 (Fed) 降息影響） 加密相關的量子電腦的時間線經常被誇大——導致要求緊急、全面過渡到後量子密碼學。但這些呼籲往往忽略了過早遷移的成本和風險，並忽略了不同加密原語之間截然不同的風險概況: 。後量子加密儘管有成本，仍要求立即部署:「先獲取,後解密」(Harvest-Now-Decrypt-Later, HNDL) 攻擊已在進行中，因為今天加密的敏感資料在量子電腦到來時仍將有價值，即使那是幾十年後。後量子加密的效能開銷和實作風險是真實存在的，但 HNDL 攻擊使需要長期保密性的資料別無選擇。 。後量子簽章面臨不同的考量。它們不易受到 HNDL 攻擊，且其成本和風險 (更大的尺寸、效能開銷、實作不成熟和錯誤) 要求深思熟慮而非立即遷移。 這些區別至關重要。誤解會扭曲成本效益分析，導致團隊忽略更突出的安全風險——比如程式錯誤 (bugs)。 成功過渡到後量子密碼學的真正挑戰在於將緊迫性與實際威脅相匹配。下面，我將闡明關於量子對密碼學的威脅的常見誤解——涵蓋加密、簽章和零知識證明——並特別關注它們對區塊鏈的影響。 我們的時間表進展如何? 儘管有備受關注的說法，但在 2020 年代出現加密相關的量子電腦 (CRQC) 的可能性極低。 我所指的「加密相關的量子電腦」是指一台容錯、糾錯的量子電腦，能夠以足夠的規模運行 Shor 演算法，以便在合理的時間範圍內 (例如，在最多一個月的持續計算內破解 {secp}256{k}1 或 {RSA-2048} 攻擊橢圓曲線密碼學或 RSA。 根據對公開里程碑和資源估算的任何合理解讀，我們離加密相關的量子電腦還差得很遠。公司有時聲稱 CRQC 可能在 2030 年之前或遠在 2035 年之前出現，但公開已知的進展並不支持這些說法。 作為背景，在所有當前架構中——囚禁離子、超導量子位元和中性原子系統——今天的量子運算平台都不接近運行 Shor 演算法攻擊 {RSA-2048} 或 {secp}256{k}1 所需的數十萬到數百萬物理量子位元 (取決於錯誤率和糾錯方案)。 限制因素不只是量子位元數量，還有閘保真度、量子位元連接性，以及運行深度量子演算法所需的持續糾錯電路深度。雖然一些系統現在超過 1,000 個物理量子位元，但原始量子位元數量本身具有誤導性:這些系統缺乏加密相關計算所需的量子位元連接性和閘保真度。 最近的系統接近量子錯誤校正開始發揮作用的物理錯誤率，但沒有人證明過多於少數邏輯量子位元具有持續糾錯電路深度……更不用說實際運行 Shor 演算法所需的數千個高保真度、深電路、容錯邏輯量子位元。證明量子錯誤校正在原理上可行與實現密碼分析所需的規模之間的差距仍然巨大。 簡而言之:除非量子位元數量和保真度都提高幾個數量級，否則加密相關的量子電腦仍然遙不可及。 然而，企業新聞稿和媒體報導很容易讓人感到困惑。這裡有一些常見的誤解和困惑來源，包括: 聲稱「量子優勢」的演示，目前針對的是人為設計的任務。選擇這些任務不是因為它們的實用性，而是因為它們可以在現有硬體上運行，同時似乎表現出很大的量子加速——這一事實在公告中經常被模糊。 公司聲稱已實現數千個物理量子位元。但這指的是量子退火機，而不是運行 Shor 演算法攻擊公鑰密碼學所需的閘模型機器。 公司自由使用術語「邏輯量子位元」。物理量子位元是嘈雜的。正如前面提到的，量子演算法需要邏輯量子位元；Shor 演算法需要數千個。使用量子錯誤校正，可以用許多物理量子位元實現一個邏輯量子位元——通常是數百到數千個，具體取決於錯誤率。但一些公司已將這個術語延伸到面目全非。例如，最近的一個公告聲稱使用距離 2 碼並僅用兩個物理量子位元實現了一個邏輯量子位元。這是荒謬的:距離 2 碼只能檢測錯誤，而不能糾正錯誤。用於密碼分析的真正容錯邏輯量子位元每個需要數百到數千個物理量子位元，而不是兩個。 更一般地，許多量子運算路線圖使用術語「邏輯量子位元」來指代僅支援 Clifford 操作的量子位元。這些操作可以高效地進行經典模擬，因此不足以運行 Shor 演算法，而 Shor 演算法需要數千個糾錯的 T 閘 (或更一般的非 Clifford 閘)。 即使其中一個路線圖的目標是「在 X 年實現數千個邏輯量子位元」，這並不意味著該公司預期在同一年 X 運行 Shor 演算法來破解經典密碼學。 這些做法嚴重扭曲了公眾對我們距離加密相關的量子電腦有多近的看法，即使在成熟的觀察家中間也是如此。 也就是說，一些專家確實對進展感到興奮。例如，Scott Aaronson 最近寫道，鑑於「當前驚人的硬體發展速度」， 我現在認為，在下一次美國總統選舉之前，我們將擁有一台運行 Shor 演算法的容錯量子電腦是一個現實的可能性。 但 Aaronson 後來澄清說，他的聲明並不意味著加密相關的量子電腦:他認為即使一個完全容錯的 Shor 演算法運行分解了 15 = 3 imes 5，也算作實現——而這個計算用鉛筆和紙可以更快地完成。標準仍然是小規模執行 Shor 演算法，而不是加密相關的規模，因為之前在量子電腦上分解 15 的實驗使用了簡化的電路，而不是完整的、容錯的 Shor 演算法。而且這些實驗始終針對 15 這個數字進行分解是有原因的:模 15 的算術計算很容易，而分解像 21 這樣稍大一點的數字要困難得多。因此，聲稱分解 21 的量子實驗通常依賴於額外的提示或捷徑。 簡單來說，在未來 5 年內出現一台能夠破解 {RSA-2048} 或 {secp}256{k}1 的加密相關量子電腦的期望——這對實際密碼學至關重…