区块链量子安全万字研报：全景式拆解量子计算威胁论、量子安全现状、准备建议及时间线推演

原文作者：Bob，Web3Caff Research 研究员

目录

• 量子计算的理论简介
• 量子计算的原理（叠加、纠缠、干涉）
• 量子计算机的发展史
• 量子计算的应用
• 量子计算的威胁
• 量子算法之 SHOR 肖尔
• 量子算法之 Grover 格罗威
• 量子计算对区块链影响分析
• 量子计算在数字金融的影响
• 量子安全现状
• 后量子密码学的发展
• 区块链行业的抗量子进展
• 区块链行业抗量子的准备建议和时间线推演
• 国家层面的迁移规划
• 企业层面的实质部署
• 区块链行业的量子安全准备时间线
• 结语
• 要点结构图
• 参考文献

量子计算的理论简介

量子力学（Quantum mechanics）是量子计算的理论基础，量子力学这一学术理论始于 20 世纪初期，是现代物理学中很重要的组成部分。量子力学这一词原是德语 “Quantenmechanik” ，被一群来自德国、奥地利物理学家在德国的哥廷根大学（University of Göttingen）所创造出。量子力学的出现是在于解释 “经典物理学” 无法解释的系统，“经典物理学” 是对自然界基本规律的早期理解，如力学、电磁学、热力等方面。但是微观世界下，经典物理学的理论就遭遇了局限性，量子力学等现代物理理论便应运而生，与经典力学不同，量子力学以 “概率” 的方式描述物质行为，从而为微观世界提供了全新的理论框架。

用上帝是否掷骰子来形容传统物理和量子物理十分恰当，在一百多年前的人们所处的时代主流科学家们都认为上帝主宰的万物是存在 “确定性” 的，传奇物理学阿尔伯特·爱因斯坦（以下简称爱因斯坦）就曾以 “上帝不会掷骰子” 的说法来质疑量子的随机性。量子学派则抛出上帝不只掷骰子，他有时还把骰子扔到我们看不见的地方去的观点。爱因斯坦作为当时的量子力学不完备论的支持者，认为宇宙是客观存在的，是认同 “物理决定论” 的，即所有现象本质是必然受控的且没有 “真正的随机”。而丹麦物理学家尼尔斯·玻尔（Niels Henrik David Bohr，以下简称玻尔）作为新 “概率论” 量子学派的代表，其认为世界的本质是 “概率的”，并提出了 “互补论”（粒子性与波动性互补，不能同时被精确测量，与不确定性原理相关）。 这场有关量子力学的学术争论从 1925 年开始一直持续了 10 年之久。在后续的几十年时间里，各类的实验开始逐步证明玻尔的观点。尽管爱因斯坦曾经作为量子力学中 “概率论” 的批判者，但他也从侧面推动了量子理论的发展。一百多年后的今天，量子物理已经深入现代科技的方方面面，从半导体电子器件再到医学成像，世人们也后知后觉的接受了世界的底层是量子。

玻尔-爱因斯坦之争, 图源: wikipedia

量子计算是利用量子力学的非传统的规则来计算。用所有人都可以听懂的话来区别传统计算和量子计算：传统计算解决难题的方式类似于一个侦探按照线索一个接着一个的按部就班去解决问题；而量子计算是同时派出很多侦探，同时在多个维度方向调查线索，同时各个侦探的线索互相连通，这样就可以更快的找到问题的答案。

我们都知道传统计算机是二进制 0 或者 1，而量子计算中可以出现同时处于 0 和 1 的 “叠加态”，直到 “测量” 才能被确定。用白话来说，在传统计算机里，每一位信息都只能是 0 或者 1，就像一盏灯的开关：关着是 0，开着是 1。你要么看到灯亮，要么看到灯灭，没有第三种状态。而在量子计算里，这盏灯可以同时半亮半灭（叠加态），直到你去看它的时候，它才会 “决定” 自己是亮还是灭。量子里的叠加态是源于物理的本质，因为我们观察到的自然界就是这么运作的，如电子 Electron（构成物质的基本粒子之一）和光子 Photon（光及所有电磁辐射的基本单位），他们在被测量之前，确实处于多种可能的状态中。

虽然量子世界看起来和我们日常感受到的现实很不一样，但经典实验已经验证了它的存在——这就是著名的 “双缝实验”（Double-slit Experiment）。实验中，科学家让电子或光子通过一个有两条狭缝的屏幕，然后在后面的探测屏幕上记录它们的位置。结果发现，当电子或光子同时通过两条缝时，屏幕上会出现干涉条纹，好像粒子同时走了两条路，还互相 “干扰” 了一下。更奇妙的是，如果你试图去观察它们究竟走了哪条缝，干涉条纹就消失了，屏幕上只剩下两个单独的峰，就像粒子只能走一条路一样。这个实验表明，量子粒子在未被观测时，真的处于叠加态——同时存在多种可能状态。

为了更容易理解，可以把它比作投硬币：在量子世界里，硬币在空中旋转时不是正面或反面，而是正反同时存在的状态。只有当你把它接住看时，它才会 “决定” 是正面还是反面。量子叠加态的原理就是类似这样——在被观测之前，粒子可以同时处于多种可能状态。这也是经典物理无法解释的现象，也正因如此，量子力学被认为是未来跨学科和跨行业最具想象力的突破方向之一。

双缝实验 Double Slit Experiment , 图源： Science Notes

简单来说，量子计算机就是以量子学原理为基础，进行计算的新型计算机。与传统的计算机只能存储和处理比特（Bit：信息的最小单位，只能表示 0 和 1）相比，量子计算机是使用 “量子比特或称为量子位”（Qubit）来存储数据的。由于量子比特可以同时表示多种状态，就是我们上文所描述的 “叠加态”。正因为量子比特可以同时表示多种状态，当拥有多个量子比特时，它们能够组合出指数级增长的可能性。简单说，量子比特数量每增加一个，计算空间就会成倍扩张。也正因此，在某些特定领域，比如破解复杂密码、优化庞大的组合问题、模拟分子结构等方向，量子计算机可能比传统计算机具备巨大的潜在优势。

量子计算的原理（叠加、纠缠、干涉）

想要理解量子计算的运作原理，首先需要理解一套全新的术语体系，这套原理包括 3 个重要的概念：叠加（Superposition）、纠缠（Entanglement）和退相干（Decoherence）。

前文提到，量子计算机使用量子比特或量子位（Qubit）来存储和处理信息。而量子比特是一种特殊的单位，它可以同时表示不仅仅是 0 或 1 的多重状态，这种特性就叫做叠加态（Superposition）。

量子中可添加多个量子态成为另一个有效的量子态，反之也可以将单个量子态表示为 2 个或多个其他不同状态的综合。叠加特性让量子计算机具备并行处理能力，使其能够同时进行数百万个计算操作。举个简单的例子，普通计算机的运算环境下，10 个量子比特一次只能表示 1 种状态（如 0000011010），而量子计算机的 10 个量子比特可以同时表示至多可能的 1024 种状态（2 的 10 次方）。相较于普通计算机一次只能表示单一状态，量子计算机可以一次试探 1000 多种状态。量子比特的 “叠加态” 是量子计算里，最核心的特性。

第二个重要概念是量子纠缠（Entanglement）。简单来说，当两个量子比特（Qubit）“纠缠” 在一起时，无论它们相隔多远，修改其中一个的状态，另一个也会立即发生相应变化。这就是量子力学中最神奇的部分，好像它们之间有一种看不见的神秘联系。这种现象存在于光子（Photon）、电子（Electron）等微小粒子中。当几个粒子相互作用后，它们会形成一个整体系统，就像几个舞伴手拉手一起旋转。如果你推动其中一个舞伴，其他人也会随之动起来。

再换一个直观的生活例子，想象你和远在另一座城市的朋友各拿一只魔法硬币，它们被 “纠缠” 在一起。你把自己的硬币翻成正面，瞬间你朋友的硬币也会变成正面，不管你们相隔多远。量子纠缠正是量子计算机能够实现超强并行计算和信息传输潜力的关键特性之一，也是传统计算机无法做到的神奇现象。

量子纠缠在量子计算和量子通信中极为重要，可以让量子计算机更快地解决复杂难题。如果没有量子纠缠，量子计算机就无法使得量子比特（Qubit）互相协同工作，从而失去量子计算优势。量子纠缠的 “多体态” 特性可以使多个量子比特协同起来，从而通过算法使得计算机进行 “指数级” 加速。

第三个重要概念是量子退相干（Decoherence）。量子退相干（Decoherence）是指量子比特一旦受到外界环境干扰，原本的叠加态和纠缠等量子特性就会逐渐消失——就像一枚正在空中旋转的硬币，被人轻轻碰一下后立刻落地变成正面或反面——因此量子计算机的核心难点之一，就是尽可能延长这种 “旋转状态” 的稳定时间，保证计算能够顺利完成。比如在设备平台上制造量子比特（Qubit）的叠加态时，环境噪声会使得量子比特（Qubit) 发生退相干，通常需要构建极端的物理环境，如极低温、真空等环境。

量子计算的第一个步骤是 “初始化”，初始化的目的是为了将其量子比特（Qubit）的状态从随机态调整为基态（对应能量最低时的状态），确保量子算法在要求的状态中运行。其后通过一系列” 量子门” 操作让它们演化（类似于计算机的逻辑门），最终得到测量结果。但是量子态极其脆弱，外界环境的微小干扰都会破坏叠加和量子纠缠，所以量子计算机需要极其严苛的外部环境支持。

正因如此，量子计算在许多领域都有巨大的潜力，例如密码学（破解密码系统）、材料学（模拟分析和材料行为）、人工智能和天气预测等。随着量子计算的不断发展，未来的世界可能会因为量子计算而发生巨大的变革。

量子计算机的发展史

了解完量子计算的基础概念后，我们再来了解量子计算机。

量子计算机总是很神秘地出现在新闻中，因为量子霸权是各国竞争的顶尖科学之一。量子计算机的制造也仅 20 多年历史，但随着时代的进步，量子计算机的使用也逐步的向公众开放。量子计算设备的这一设想最早于 1969 年由美籍以色列物理学家史蒂芬·威斯纳（Stephen J. Wiesner）提出，1981 年理查德·费曼（Richard Phillips Feynman）提出使用量子进行通用计算的想法，为早期的量子计算机雏形奠定了理论基础。1994 年，彼得·肖尔（Peter Shor）提出了著名的肖尔算法，从此让世人理解了量子计算在破解传统加密技术的巨大潜力。从 2000 年后至今天，大型科技企业如谷歌、微软等都在发展量子计算相关的产品和服务。

量子计算机和普通计算机一样，设计制造量子计算机也分硬件和软件两大块。硬件部分有三个核心: 数据面板、控制测量面板和处理器。量子数据面板是量子计算机的” 心脏”，用来储存量子比特（量子计算机用来存储和处理信息的基本单元），以及固定这些量子比特的结构。目前主流方案包括超导量子比特、拓扑量子比特等。IBM 和谷歌公司选择使用超导量子比特的技术路线，其优点是制造简易。拓扑量子比特稳定性更高，但是实现难度大，微软公司选择其技术路线。

量子计算机像一座工厂，其 “心脏”——量子数据面板存储量子比特（Qubit），控制测量面板把数字信号转为波形操控量子比特，处理器负责运算，而软件通过量子电路运行算法，程序员可用 IBM 的 Qiskit、谷歌的 Cirq 或微软的 Q#来编写量子程序。

谷歌 CEO 和量子计算机，图源：NYTimes

量子计算的应用

随着量子算法的演进和量子计算机的 “商业化”，量子科技正逐步融入我们生活的方方面面。

在商业巨头的进入和资本投入的影响下，量子计算在各个细分领域都在发光发热，如医药品研发领域、金融行业里的风险控制模型设计等。传统医药研发方法依赖于经典计算机模拟分子交互，但量子计算机能更精确地模拟化学反应。例如，2021 年 1 月 11 日，谷歌与德国制药公司 Boehringer Ingelheim 合作，使用量子算法模拟分子结构，帮助设计针对心血管疾病的药物，大大缩短了试验的时间周期。在金融业，量子计算优化了风险管理和投资组合。摩根大通银行是全球首批采用 IBM Q System One（首款基于电路的商用量子计算机）进行量子计算探索的金融机构之一，使用 IBM 的 Q System One 量子计算机模拟蒙特卡洛方法，用于评估市场风险和衍生品定价，帮助银行在市场中做出更精准决策。尽管量子计算仍面临质疑和商用规模的挑战，但这些案例证明量子计算已经从实验室走向实际应用的步伐正在加速。

量子计算的威胁

量子计算机的独特优势使其能够在特定的环境下实现指数级加速计算，从而高维度的超越了经典计算机的计算处理速度，因此，量子破解算法对以密码学构建的区块链技术产生了极大的潜在威胁。目前，最主流的区块链架构（如比特币、以太坊等）主要依赖于公钥加密系统（如椭圆曲线数字签名算法 ECDSA）和哈希函数（如 SHA-256）来进行安全加密，而在可预见的未来量子计算将攻破这一安全壁垒。当前，量子计算对区块链安全的威胁主要来自两种最具标志性的量子算法，分别是 1994 年由彼得·肖尔（Peter Shor）提出的 Shor 算法和 1996 年由洛夫·格罗弗（Lov Grover）提出的 Grover 算法。

量子算法之 SHOR 肖尔

Shor（肖尔）算法是美国麻省理工数学教授彼得·肖尔（Peter Williston Shor）提出的一种量子算法，也叫 “量子质因数分解算法”。用通俗的话来说，它可以把类似 RSA 加密中使用的超大整数，快速拆解成两个大质数的乘积。相比传统计算机，量子计算机能在极短时间内完成这个任务，这也是 Shor 算法特别厉害的地方。它的核心思路也很 “聪明”：算法并不是直接去找质因子，而是先快速寻找数字规律（周期），然后再根据规律推算出质因子。

打个白话类比：如果传统计算机拆大数像是在一间巨大的仓库里翻箱找东西，量子计算机就像拥有一群分身，同时尝试每条路径，很快就能找到答案。

早在 2001 年，IBM 就用液态核磁共振量子计算机演示了 Shor 算法的实例。自此，这个算法在密码学领域引起巨大反响，因为它展示了量子计算机潜在的威力：未来可能对传统加密技术和互联网安全带来深远影响。

这意味着，在传统加密系统中，常用于网站 HTTPS/TSL 签名、SSH 密钥和老版的网站证书签名等的椭圆曲线加密（Elliptic Curve Cryptography）和 RSA 等这类基于非对称加密的算法将面临直接威胁。尤其是椭圆曲线加密，该加密技术与我们的日常生活密切相关，如在手机应用 Apps、软件 ID 认证用于进行加密，是现代互联网最主流的加密技术之一。尽管目前的量子计算机还未能破解 2048 位的 RSA 加密（理论还需上千的量子比特），但是随着量子计算技术的成熟，不远的将来可能会突破这一加密安全防线。

量子算法之 Grover 格罗威

在 Shor 算法推出后的 2 年，斯坦福大学的印度裔美国科学家 Lov Kumar Grover，提出并研发了新的量子算法 – 格罗弗 Grover 算法，也称为量子搜索算法。Grover 算法在量子计算中是一个很实用的算法，用于非结构化的数据库的搜索和查询。

如果普通计算机要在一个规模达到 “2 的几十次方” 这么大的数据库里找答案，传统做法基本上就是从头到尾一个个排查，就像在图书馆里一本本翻书，非常耗时。而 Grover 算法 则利用了 “量子叠加” 和 “振幅放大” 的特性，可以在大约 √N 次尝试中找到答案。这个过程叫做 “二次加速”（Quadratic Speedup）。

简单说，如果传统计算机需要运行 10¹² 次（也就是一万亿次），Grover 算法理论上只需要大约 100 万次就够了，效率差距非常明显。

它的核心原理是：首先，把所有可能的答案 “叠加” 起来，让量子比特同时代表 N 种可能状态——一开始，每个答案被选中的概率都是 1/N。然后，算法通过一个叫 “预言机” 的机制，把正确答案做一个 “标记”（相位翻转）。接着通过反复迭代，把正确答案的概率不断放大，而把其他错误答案的概率压低。

可以打个比方：想象一间漆黑的房间里有无数扇门，其中只有一扇门后面有宝藏，传统计算机只能一扇一扇去试，Grover 算法则像是先让所有门 “同时被尝试”，然后每一轮都把正确那扇门的 “亮度” 调高一点，直到它在黑暗中越来越亮，最后一眼就能看出来。当正确答案的概率被放大到接近 100% 时，测量系统，就能高概率得到正确结果。

你可能会问：既然它一开始就同时尝试所有门，为什么不直接告诉我们哪一扇门有宝藏？原因是——当你真正 “看” 结果（测量）时，只能看到一扇门。如果在一开始就去看，因为每扇门的概率都一样，你看到宝藏门的概率就像随机抽签，几乎等于瞎猜。所以 Grover 算法必须一轮一轮地把正确那扇门变得越来越亮。当那扇门在黑暗中已经明显比其他门亮得多时，再去 “看”，你就几乎一定会看到正确答案。也就是说，量子计算机可以同时探索所有可能性，但不能同时展示所有答案——它只能通过 “放大正确答案的概率”，让你在测量时大概率得到正确结果。

Grover 算法也可以运用在密码学里的暴力破解，对破解对称密钥有实质性的威胁。目前业内建议采用 AES-256 (高级加密标准) 位的长度的密钥，因为在量子环境中 128 位的密钥仅能提供 64 位的安全度，为此行业需要更高的安全度。不过，Grover 算法也有局限性：它只能提供平方级加速，也就是虽然比传统计算机快很多，但增速并不是无限的。打个比方：如果你原本要跑 100 公里，Grover 算法可能让你只跑 10 公里就到，但你还是要付出跑步的体力；而量子计算机本身制造和运行成本很高，这就像你要用一台超级昂贵的跑步机去完成这 10 公里的跑步一样。所以在实际应用中，Grover 算法无法无限制地破解所有加密系统，仍然需要结合更长的密钥或其他安全措施才能保证安全。

量子计算对区块链影响分析

区块链设计的核心是基于密码学的基础上搭建出的一套分布式账本，大多区块链协议如比特币使用 ECC (椭圆曲线加密)来进行公钥和私钥生成和数字签名。而基于 ECDSA (Elliptic Curve Digital Signature Algorithm，椭圆曲线数字签名) 的 Secp256k1 ，是比特币及以太坊常使用的特定椭圆曲线的特定参数标准，其特点安全、高效且密钥较短，广泛用于链上的密钥对生成和签名等。

SHA-2（Secure Hash Algorithm 2）加密哈希函数组里的 SHA-256 也是被区块链普遍采用的加密哈希函数。哈希函数可以将任意长度的数据映射为固定长度的数值（哈希值），该算法具有不可逆性，很难反向推导，常用于工作量证明算法和交易验证等。随着量子计算机的迭代，在拥有足够量子比特规模下，计算机通过运行 “量子算法”，可以通过短时间（1 个月）的持续计算，破解椭圆曲线加密等非对称加密算法，区块链的组件会将面对直接的挑战。

不同算法对加密组件的影响，图源：Web3Caff Research 研究员 Bob 自制

除此以外，量子计算机还可能导致 “HNDL 攻击”（Harvest-Now-Decrypt-Later）， 即攻击者会从现在开始收集数据，在量子计算能力 “跃迁日” 发起解密攻击。HNDL 是一种监控策略，依赖于长时间的监控并储存目前无法破解的加密数据，在未来量子技术成熟后解密，而这个量子计算的假想 “跃迁日” 期被行业称为 Y2Q 或者 Q 日。面对量子计算的威胁，区块链行业也在积极响应，如 2026 年 1 月，美国知名上市公司 Coinbase，成立独立的量子计算和区块链委员会应对量子计算未来可能对区块链加密安全构成的潜在威胁，研究抗量子解决方案。同年，以太坊生态二层网络 Optimism 也开始引入抗量子算法，以应对未来更大的挑战。

HNDL 解释图，图源：Paloalto Networks

量子计算在数字金融的影响

当然，量子计算的潜在影响不仅限于区块链金融行业，对使用更加广泛的数字化金融行业也带来了影响，比如与人们日常生活相关的银行。从风险安全考虑，银行高度依赖的加密安全设施会最先受到威胁，Shor 算法会快速地破解银行常用的 RSA 加密和椭圆曲线加密，从而使银行用户的信息被破解。而”HNDL 先窃取后解密” 的攻击方式会使当前被泄露的金融数据同样存在未来被量子计算机破解的可能。面对 “量子威胁”，全球顶级的金融企业已开始步入 “后量子时代”。2024 年，美国国家标准与技术研究院 NIST 推出了首批量子安全标准，银行及金融机构也开始逐渐规划迁移至后量子密码学（PQC, Post-Quantum Cryptography）算法，以应对量子时代的到来。

但量子计算机对银行等金融机构带来的并不只有挑战，同时也有积极的一面，量子计算机可以通过加速复杂运算为金融业带来变革。量子计算可以风险建模方面，加速蒙特卡洛模拟（Monte Carlo method），方便银行更加精准且快速的评估风险。近年来，银行业应用量子计算的落地场景逐渐变多，例如，2025 年，汇丰银行与 IBM 的量子计算项目合作，利用量子处理器辅助债券交易预测准确率提升 34%。土耳其 Yapi Kredi 银行与加拿大量子计算公司 D-Wave 合作，通过风控模型快速锁定高风险企业。

量子安全现状

事实上，在人们意识到量子威胁后，近年来后量子密码学 （Post-Quantum Cryptography，简称 PQC）得到了积极的进步。尤其是在 2024 年 NIST（美国国家标准与技术研究院）发布 3 个后量子密码标准后，数据安全相关行业都在紧锣密鼓地进行量子安全迁移。金融银行行业、电子通信等大型平台企业都把抗量子计算的安全措施搬上了日程，计划在未来的几年时间里进行量子算法的升级。

后量子密码学的发展

据 Global Risk Institute（量子威胁时间线报告，基于数十位专家）预测，RSA 加密算法在 8 年后（2034 年）被量子破解的概率约 19–34%（2024/2025 数据），相比前几年，该时间线略有加速。后量子密码学（Post-Quantum Cryptography）就是在人们对 Q 日的日益担忧中应运而生，如今已发展为抗量子研究的基石。

量子计算机能在 1 天内破解 RSA-2048 的预测图，图源： Global Risk Institute

后量子密码学也被称作为 “抗量子密码学” 或 “量子安全密码学”。量子攻击大部分针对公钥算法，后量子密码学的研究方向包括了格密码学、容错学习、多变量多项式等。这些算法都是为了在未来的量子计算环境下保证隐私数据的安全性。

抗量子的标准化至今已有 10 年的进程，从 2016 年美国国家标准与技术研究院（National Institute of Standards and Technology，简称 NIST）开始启动后量子密码学项目，历经了多轮评估。2024 年 8 月，NIST 正式发布了首批后量子密码学加密标准，其目的只有一个 —— 为了应对在未来量子计算机对现有公钥算法（RSA 和椭圆曲线加密）的量子威胁。这三个后量子密码标准分别为：

• ML-KEM：用于密钥封装，主要负责 “安全交换钥匙”。简单理解，就是当你访问安全网站（比如 HTTPS）时，双方需要先偷偷约定一把 “加密钥匙”，ML-KEM 就是用来安全传递这把钥匙的工具，特点是加密速度快、效率高；
• ML-DSA：基于 CRYSTALS-Dilithium 的模块格数字签名算法，用于保证数据在传输过程中没有被篡改，同时确认发送方身份。可以理解为给文件或消息 “盖一个防伪章”，别人可以验证这个章是真的，而且内容没被改过；
• SLH-DSA：基于无状态哈希的数字签名算法，原名 SPHINCS+。它的安全性更强，属于更加 “稳健” 的方案，但代价是生成签名所需时间更长、体积也更大。可以理解为一种更保险的签名方式，只是签字速度慢一些。

它们之所以被称为 “抗量子算法”，核心原因在于：不再依赖会被 Shor 算法高效破解的数学问题（如大数分解或椭圆曲线离散对数问题），而是建立在目前量子计算机仍难以攻破的数学基础之上。

传统加密算法（如 RSA、ECC）安全性建立在 “大数分解很难” 或 “椭圆曲线反推私钥很难” 这些问题上，但量子计算机可以利用 Shor 算法对其进行指数级加速破解，因此在理论上不再安全。

而 ML-KEM 和 ML-DSA 基于的是 “格密码学”。可以理解为在一个极其复杂、维度极高的数学迷宫中寻找特定解，目前并不存在像 Shor 算法那样可以大幅加速破解格问题的量子算法，因此即便在量子计算环境下，这类问题依然被认为难度极高。

SLH-DSA（原 SPHINCS+）则基于哈希函数构建。量子计算机针对哈希函数最多只能使用 Grover 算法进行平方级加速，而不是指数级加速。这意味着，只要适当增加安全参数（例如使用更长的哈希长度），就可以抵消量子带来的加速优势，因此其安全性更稳健，但代价是签名体积更大、生成速度更慢。

总结来说，这些抗量子算法之所以安全，是因为它们基于目前已知量子计算机无法高效解决的数学难题（格问题或哈希问题），而不是容易被 Shor 算法击破的传统大数分解问题。

基于上述标准，开发者研究了三类主流的抗量子算法技术路线：

1. 基于格密码（Lattice-based）的技术路线。此类技术路线，综合性能最优，也是最被看好的路线。用非技术的语言解读，其加密机制是通过设计一个高维度的 “格子空间结构”，阻止量子算法进行 “最短线路” 进行计算解密。此类技术路线的优点最为明显，密钥大小适中、可多功能（加密、签名及零知识证明）及安全性高。TLS 传输层安全性协议大多数会选择该技术路线。美国 NIST 规定的标准算法如 ML-KEM (原 Kyber) 密码算法，ML-DSA（原 Crystal-Dilithium）密码算法等都基于此；
2. 基于哈希密码 (Hash-based)的技术路线。此类技术路线是安全度最高的解决方案。该技术路线完全使用哈希函数作为签名，量子计算仅可以使用暴力盲猜进行解密，而其优势就是安全度高。以太坊创始人 Vitalik Buterin 也在 2026 年 2 月 27 日，公开建议未来该用 “基于哈希” 的签名方案，并通过 EIP-8141 升级增强签名切换能力。由 NIST 标准化的 SLH-DSA 算法正是该路径的代表之一，但其缺点是签名较大且速度慢，不适合作为频繁签名的场景；
3. 基于编码密码 (Code-based) 的技术路线。该技术路线被美国 NIST 选作为 “备份算法”，具有近近 50 年的历史。该技术的安全性依赖于通信领域常用的纠错码（Error Correction Code) 来隐藏私钥信息。攻击者需要在复杂数据环境下通过验证恢复原始信息，计算难度极高。此类问题无论是普通计算还是量子计算都非常困难，Shor 算法对此类 “编码问题” 无效且 Grover 算法对其影响也有限。目前被用作 “密钥封装算法 “的备选方案，可以避免 “基于格密码学” 中可能出现的漏洞。但是其缺点是公钥通常比较大，高达几万甚至几十万字节，使用场景受到限制。

除了以上三大主流技术路线，也有其他小众路线对应不同使用场景，如基于多变量的密码和超奇异同源密钥交换（已被攻破）等。基于多变量的密码技术路线常用于在区块链快速生成和验证签名中，其优势是验证速度快，该方案更适合签名而不是加密。超奇异同源密钥交换之前常用在 SSL 协议中，用于建立量子安全的会话密钥。但在 2022 年被破解，所以该技术路线已经被美国 NIST 从标准中除名。

总的来说，后量子密码学的核心就是运用新的数学保护机制来替换未来会被量子计算破解的 “旧派数学保护机制”，从而保护数据隐私的安全性。因此，在金融行业此类高度依赖数据加密的行业，后量子密码学的部署迁移尤为重要。如今世界顶级的科技公司（谷歌、微软、亚马逊等）电脑浏览器、操作系统都在逐步集成这些算法。因此普通用户也不必过度的焦虑，因为大的平台型企业已经开始规划迁移量子安全算法。

区块链行业的抗量子进展

对于高度依赖密码学安全性的区块链行业而言，量子计算的潜在威胁并非近期才被关注，而是早在多年前就开始进行前瞻性研究和技术储备。目前行业头部机构及核心从业者形成的一个基本 “共识” 是：量子计算的威胁是一个可以工程化解决的问题，而不是无法应对的系统性风险。

因此，虽然 “原生抗量子区块链” 尚未成为主流方向，但随着治理机制的逐步推进，部分主流企业、公链已经开始为迁移至量子安全环境做准备。近期的一系列动向显示，行业正从理论讨论逐步走向部署规划阶段。

例如，全球最大的上市加密公司之一 Coinbase 于 2026 年 1 月成立了独立的量子顾问委员会，邀请美国学界量子计算教授及安全专家参与，预计将发布量子风险评估报告与抗量子迁移路线图。其规划包括升级比特币地址处理机制、强化内部密钥管理系统，并逐步支持后量子签名方案，如基于模块格的数字签名算法（ML-DSA）等。

与此同时，Ethereum Foundation 也组建了专门的抗量子研究团队，并将量子安全列为 2026 年的战略优先事项。这些举措表明，2026 年或将成为区块链进入 “抗量子时代” 的规划起点，量子安全正在从理论议题转向工程实施阶段（下文将具体介绍）。

相比之下，比特币社区采取了更为审慎的路径。其挑战并不仅仅在技术层面，更在治理层面。由于比特币的治理机制高度依赖社区共识，升级周期通常以 “数年” 为单位推进，因此量子安全迁移所面临的主要难题，更多来自决策协调与共识形成，而非纯粹技术实现。

目前，比特币社区主要讨论三类技术路线：

1. 通过软分叉逐步引入新功能；
2. 弃用旧地址格式以减少公钥暴露风险；
3. 集成后量子签名方案。

但在短期内形成统一解决方案仍存在难度。

最新受到关注的提案是 BIP-360（又称 Pay-to-Tapscript-Hash，P2TSH）。该提案最早提出于 2024 年，并在 2025 年底进行了重要更新，目前仍处于草案阶段，但讨论已具规模。其核心思路是借鉴 2021 年 Taproot 升级的输出机制，删除 Key Path Spend（公钥路径花费），减少早期地址格式中公钥在链上暴露的风险，从而为未来集成抗量子签名算法预留空间。

不过，社区内部仍存在另一种声音：认为量子威胁尚处于早期阶段，距离现实攻击还有较长时间，因此是否需要立即进行大规模升级，仍存在争议。

也就是说，区块链行业并非被动等待量子冲击，而是在不同治理节奏与风险认知框架下，逐步推进抗量子转型。真正的挑战不只是技术实现，而是如何在开放网络中达成跨社区、跨利益结构的升级共识。

尽管目前看来，比特币还并未受到实际的量子攻击和安全威胁，但是有少部分的比特币是处于量子风险中的。在美国新泽西的金融公司 Coinshares 表示，那些早期采用 Pay-To-Public-Key (P2PK) 格式的公钥地址最容易成为量子攻击的目标，约有 160 万的地址（占总量的 8%）会被更容易受到威胁。而大概率造成市场波动的数量约 10000 比特币。

受到量子威胁的比特币数量统计，图源：Coinshare

考虑到区块链网络的升级周期较长的问题，在比特币社区未对抗量子正式升级之前，开发者社区也正积极地尝试创造 “快捷” 的解决方案，如 Project Eleven 团队在 2025 年开发的抗量子密钥生成工具 Yellow Pages， 使比特币的用户可以直接将其比特币链接到抗量子地址，并对其所有权进行证明。

Yellow Pages 的机制较为简洁，产品可以生成后量子签名密钥（支持 NIST 标准），用户签名后会将其地址与后量子密钥关联。当量子威胁时刻来临时，用户可以在证明所有权后将比特币转移至量子安全的地址。除了比特币区块链，Project Eleven 正在与 Solana 及其他主流区块链合作，为后量子时代的基础建设开发系列工具。

与比特币的升级周期相比，以太坊社区会更具前瞻性。2025 年 11 月，以太坊创始人 Vitalik Buterin 在 Devconnect 大会上警告量子计算可能在 2028 年美国大选前拥有足以破解以太坊安全性的算力，Vitalik Buterin 积极督促以太坊社区在 4 年内完成量子安全的系统迁移。2 个月后，2026 年 1 月，以太坊基金将量子安全列为今年顶级战略优先级，并成立专门的后量子团队，出资帮助和开发相关量子安全升级软件。2026 年 2 月，Vitalik Buterin 在 X 上更新了以太坊抗量子路线图，以太坊将通过采用基于哈希码的（Hash-based cryptography，见上文）技术路线替代现在的 BLS 数字签名，用 STARK 做聚合压低开销，提前攻克以太坊的量子弱点。其目标是在一年内，通过 EIP-8141 的升级，彻底解决账户抽象问题并且摆脱 ECDSA 单一签名（易被量子攻击），届时用户可以自由切换签名方案，包括抗量子签名（基于哈希的技术路线）。

此外，以太坊基金会也将投入 200 万美元用于相关研发的激励。以太坊研究员 Justin Drake 也表示，以太坊正从研究阶段过渡到工程实施阶段，包括将举办抗量子开发者会议，发布多客户端的抗量子测试网等。

同时，以太坊的二层网络 Optimism 也于 2026 年 1 月发布了 Superchain / OP Stack 抗量子路线策略，计划在 2036 年前放弃易被攻击的基于 ECDSA 的 EOA（外部钱包），从 AA 账户抽象（Account Abstraction）层面过渡到后量子时代，外部钱包可将其权限委托给智能合约账户。2036 年，OP 主网及其生态将不再接受纯 ECDSA 签名的交易，用户必须通过支持后量子签名的智能合约账户进行链上交互，但用户无需转移资产。作为 L2（二层网络），Optimism 将成为以太坊量子安全的探路者，在之后的几年中，Optimism 会并行支持 ECDSA 和后量子 PQ 签名，动员其生态如 dApp（去中心应用）迁移至智能合约账户，最终淘汰易受到量子攻击的 ECDSA。

在依赖于密码学基础设施的区块链行业，2026 年是抗量子从理论到具体实施的时间节点。以太坊生态的量子迁移更加顺滑且更加有时间规划，比特币社区抗量子虽然还未正式进行升级，但已经出现具有规模讨论范围的提案，且其网络设计上是可升级的。随着更多抗量子提案的涌现，等到量子威胁的时间点来临前，社区可以通过软分叉与社区同步升级算法。同时，在区块链网络成功升级前，用户还可以选择尝试开源工具（如前文提到的 YellowPages) 保证其资产的 “量子安全”。

区块链行业抗量子的准备建议和时间线推演

截止目前，量子计算机技术正在从百位量子比特向千位量子比特进军。2025 年日本富士通（Fujitsu）和理化学研究所 (Riken) 合作开发出了 256 量子比特的超导机，目标是在 2026 年研发出拥有超过 1000 个量子比特的量子计算机。在 2026 年 3 月 25 日，谷歌 Google 将后量子时代时间表更新为 2029 年，并呼吁行业进行安全迁移。 尽管现有的量子比特量级不足以快速地破解传统加密，但随着量子计算机的迭代，量子比特的存储量级会在不久的将来以指数级提高，所以国家与企业间也给出了量子安全迁移的时间线。

国家层面的迁移规划

2022 年，美国发布《Commercial National Security Algorithm Suite 2.0》（CNSA 2.0），明确国家安全系统向后量子密码迁移的路线与标准。该框架旨在为国家安全系统和敏感信息提供长期防护，以应对未来量子计算带来的密码破解风险。

2025 年 3 月，英国国家网络安全中心发布抗量子密码迁移时间表，计划：

• 2028 年前完成全面风险评估；
• 2035 年前完成关键系统的全面迁移。

根据 CNSA 2.0 的安排，美国国家安全局将 2030–2033 年设为关键迁移窗口期。英国与澳大利亚亦将 2035 年视为完成迁移的最终节点。

此外，National Institute of Standards and Technology（NIST）已发布后量子密码标准，并明确要求自 2030 年起，联邦机构和关键基础设施逐步淘汰易受量子攻击的传统算法。欧盟在《Quantum Europe Strategy》中同样提出，大部分关键基础设施需在 2035 年前完成量子安全升级。

整体来看，2025–2035 年正成为全球量子安全迁移的政策窗口期。

企业层面的实质部署

在企业层面，金融、通信与云基础设施行业被认为面临 “Harvest Now, Decrypt Later”（HNDL，即 “现在窃取、未来解密”）攻击的潜在风险——攻击者今天窃取加密数据，待未来量子计算成熟后再进行破解。因此，长期敏感数据（如银行交易记录、身份数据）成为优先防护对象。

2024 年 5 月，全球大型银行 JPMorgan Chase 宣布部署量子安全加密敏捷网络（Q-CAN），以提升其在量子时代下的网络加密弹性。

在通信领域，CDN 与云服务商 Cloudflare 早在 2022 年便开始部署混合后量子 TLS 协议，并在服务器端支持后量子密钥交换机制，为未来互联网全面迁移至后量子加密环境提前铺路。

在手机操作系统中，谷歌最新的 Android17 已经集成了基于 ML-DSA 的后量子数字签名保护技术，且符合 NIST 标准。

目前，大多数关键基础设施企业遵循 NIST 标准，已经从技术验证阶段进入小规模试点与混合部署阶段。

量子威胁和准备时间表， 图源： Paloato Networks

区块链行业的量子安全准备时间线

如果以美国 NIST 和欧盟的量子安全迁移时间规定作为参考，量子迁移的截止日期规定在 2035 年，但是根据 2026 年谷歌最新的量子威胁评估，量子威胁已经大幅提前，谷歌官方给出新的时间表是 2029 年，说明相关行业需要完成 “量子安全迁移” 的时间仅有 3 年，而区块链必须紧急启动后量子升级。

事实上，不同的区块链生态也的确是基于这一时间截点来部署计划的。作为区块链生态 “最积极” 的抗量子先锋 – 以太坊或将在 2026 年年底完成 EIP-8141 提案的部署，该提案其中就包括了抗量子签名方案。以太坊生态 Optimism 宣布会在 10 年内淘汰 OP 主网和整个 Superchain 上基于 ECDSA 的外部所有账户 (EOA)。比特币社区已于 2026 年 2 月将 BIP360 合并至官方 BIPs 仓库草稿，BTQ Technologies 完成部署了测试网，2026 年 3 月 31 日，比特币杂志发布开发者正在审核抗量子的提案。很明显，2026 年起区块链行业的量子迁移时刻正在加速。

此外，为了能够进一步明确 “跃迁日” 的具体时间点，区块链量子安全基础设施团队 Project Eleven 近期发起了 Q-Day Prize 公开量子密码学挑战赛，并且设计了动态评估模型 Q-Day Clock，用来衡量量子计算对椭圆曲线加密构成实质性威胁的时间窗口。而 Project Eleven 将基于这两者的数据来校准行业对于量子攻击 “Q-Day” 临近程度的认知。从整体上看，在 “跃迁日” 到来之前，整个行业需要面临大致三个准备阶段，分别是：规划与实验、大规模迁移及量子安全阶段。

• 规划与实验阶段：2026–2027 年左右，区块链企业和公链开发团队完成量子风险的初步评估工作，尝试开发测试网，部署混合加密模型，保护数据的 HNDL 攻击风险；
• 大规模迁移阶段：2028–2029 年左右，主流链上线后量子密码学可选签名、基础设施交易平台，资产托管机和去中心生态如跨链桥等完成混合加密部署，公链的二层网络可先验证其运行的稳定性；
• 量子安全阶段：2030–2035 年，主流链、交易平台和相关基础设施弃用或升级被易攻击 ECDSA 算法，采用抗量子算法或其他抗量子解决方案，达成量子安全。2035 年行业从业相关机构达成 NIST 和欧盟的目标，完成量子安全的迁移工作。

结语

2026 年伊始，世界顶尖的区块链企业和团队不约而同地将量子安全提上战略优先级，从行业的基础设施到公链，再至监管都提出了相对明确的量子安全时刻表。

在比特币诞生后的这十几年中，基于密码学的区块链已经孕育出一个庞大的数字金融生态且运行至今。但是在这 17 年的进程中，计算机科学也在飞速发展，量子对区块链的威胁从早期的天方夜谭走向了后量子迁移的时代，无论是传统的银行还是互联网科技行业，其加密基础设施都将面临威胁。

虽然在 2026 年，行业及市场的宏观情况还将面临巨大不确定性，但是目前区块链的加密安全还是能够得以保障且面对后量子时代，也有相对完整的应对方法，甚至于比传统行业更加超前。量子时代终究会到来，尽管媒体常将此刻画得危机四伏，但客观而言，当所谓的 “Q-day” 降临时，其带来的颠覆性算力或将开启一个更伟大的计算纪元，而其背后所蕴含的机遇或许远比挑战更为深远和积极。

参考文献

[1] Quantum Mechanics, wiki

[2] Quantum Computing, wiki

[3] 量子纠缠， wiki

[4] 什么是量子计算，亚马逊 AWS

[5] Shor’s algorithm, wiki

[6] Grover’s algorithm , wiki

[7] 美国 NIST 发布后量子密码标准，中科院战略咨询研究院

[8] Quantum Threat Timeline Report 2024, Global Risk Institute

[9] Harvest Now, Decrypt Later (HNDL): The Quantum-Era Threat, PaloAlto Networks

[10] NIST Role and Activities Relative to the Post Quantum Cryptography White House Memo, NIST

免责声明: 本报告由 Web3Caff Research 编写，所含信息仅供参考，不构成任何预测或投资建议、提议或要约，投资者请勿依赖此类信息购买、出售任何证券、加密货币或采取任何投资策略。报告中使用的术语和表达的观点旨在帮助理解行业动向，促进 Web3 包括区块链行业负责任发展，不应被解释为明确的法律观点或 Web3Caff Research 的观点。报告中的看法仅反映作者截至所述日期的个人意见，与 Web3Caff Research 立场无关，且可能随后续情况而变化。本报告中所含的信息和看法来自 Web3Caff Research 认为可靠的专有和非专有来源，并不一定涵盖所有数据，亦不保证其准确性。因此，Web3Caff Research 不对其准确性和可靠性作任何形式的担保，也不承担以任何其他方式产生的错误和遗漏的责任（包括因疏忽而对任何人产生的责任）。本报告可能含有 “前瞻性” 信息，这类信息可能包括预测和预报，本文并不构成对任何预测的担保。是否依赖本报告所载信息完全由读者自行决定。本报告仅供参考，不构成购买或出售任何证券、加密货币或采取任何投资策略的投资建议、提议或要约，并请您严格遵守所在国家或地区的相关法律法规。