最近我深入研究了量子计算及其对区块链密码学的影响。问题的规模比最初想象的要严重得多。

在此之前，谷歌进行了优化。早期科学家认为，破解256位椭圆曲线密码系统需要几百万个物理量子比特。但谷歌重新设计了肖尔算法的实现，将逻辑量子比特的需求从大约6000个减少到约1200个。这降低了20倍的计算成本。这也是为什么目前量子威胁被如此积极讨论——曾被认为不可能的事情，现在有了具体的数字。

谷歌将2029年称为关键日期。到那时，必须转向量子抗性加密方法——这涉及HTTPS、SSL证书、SSH，以及尤为重要的，用于比特币和以太坊等区块链的ECDSA签名。否则后果可能是灾难性的。虽然我个人认为，三年时间太过乐观。从理论到实践的转变需要巨大的努力。但这是一个信号：升级密码算法的窗口已经开启，不能忽视。

这个问题有多个维度。在比特币上，大约25%到35%的地址包含公开的公钥——旧的P2PK格式地址、重复使用的地址以及曾经进行过转账的地址。这些地址是脆弱的。其他地址目前受到保护，但一旦量子计算机成熟，任何交易都可以在10分钟内在Mempool中被截获并夺取资金。网络可能会完全瘫痪。

以太坊面临的情况更为严重。在首次转账时，EOA账户会在区块链中暴露出公钥。考虑到EIP-4844之后的数据验证机制，以及依赖于PoS签名验证的共识机制，如果不更新签名算法，整个网络将变得无法运行。这不仅仅是保护私钥的问题——更是对公共网络存在的威胁。

还有一点：区块链交易历史是永久且可追踪的。即使目前量子攻击还不可能，所有过去和现在的带有公开密钥的交易都已被记录，等待机器准备好。这就像一颗定时炸弹，时间未定。

幸运的是，有技术方案，如果在未来几年内实现的话。以太坊已经在努力：开发账户抽象，支持在应用层切换签名方案，并将验证者签名迁移到后量子算法（PQC）。动态在线升级是其最大优势。比特币选择了BIP-360方案，允许引入FALCON或CRYSTALS-Dilithium等后量子算法。这技术上很简单，但在一个多年来争论区块大小的社区中达成共识却很困难。然而，当威胁变得明显时，即使是最保守的开发者也不得不接受救命的补丁。

有趣的是，谷歌采用了零知识证明的方法，巧妙地提出了这个问题。零知识让他们在不引起恐慌的情况下披露潜在风险，因为对密码学的失控不仅威胁区块链，也威胁整个互联网文明。在谷歌量子AI团队中，有以太坊基金会的研究人员——看起来，量子抗性将成为未来的主要叙事之一。这是合理的：密码学是区块链的核心，而这一新使命也非常符合其本质。