a16z報告：五年還是十年？關於量子電腦威脅的時間線評估

量子電腦何時能攻破現有加密技術？a16z 研究合夥人深度剖析量子威脅的真實時間線，釐清加密與簽章面對的不同風險，並為區塊鏈產業提出七大因應建議。本文源自 Justin Thaler / a16z 的研究報告，由動區編譯潤飾而成。 （前情提要：物理專家：再給量子電腦五年就能攻破比特幣私鑰，想升級BTC須全面停機？） （背景補充：比特幣2030前破解？Google Willow「量子回聲」掀專家論戰：多數公鑰早暴露）   距離能夠攻破比特幣的量子電腦問世，我們究竟還有多遠？ 量子電腦何時能破解現有密碼學？這個問題的時間線經常遭到過度渲染，進而引發「必須緊急且全面轉向後量子密碼學」的呼籲。 然而這些呼籲往往忽略了過早遷移所帶來的成本與風險，也未能認清不同密碼學工具所面臨的威脅本質迥異： 後量子加密必須立即部署，無論代價多高都得執行。因為「現在竊取、未來解密」（HNDL）的攻擊手法已然存在。今日加密的敏感資料，即便數十年後量子電腦才問世，其價值依舊非凡。後量子加密雖會造成效能折損和實施風險，但對於需要長期保密的資料而言，我們別無選擇。 後量子數位簽章則是另一回事。它們較不容易遭受上述「竊存解密」攻擊，而其本身的成本與風險（體積增大、效能負擔、方案尚未成熟、潛在漏洞）所要求的是審慎規劃，而非立刻行動。 區分這一點至關重要。錯誤的認知會扭曲成本效益分析，導致團隊忽略更迫切的安全風險，例如程式碼漏洞。 成功過渡到後量子密碼學的真正挑戰，在於讓行動的急迫程度與真實威脅相互匹配。下文將釐清關於量子運算威脅密碼學的常見誤解，涵蓋加密、簽章和零知識證明，並特別聚焦其對區塊鏈的意涵。 時間線：距離能攻破加密技術的量子電腦還有多遠？ 儘管各種誇大的宣傳不斷，但在本世紀 20 年代出現「密碼學相關量子電腦」的可能性極低。 所謂「密碼學相關量子電腦」，指的是一台具備容錯與糾錯能力的量子電腦，它能夠執行 Shor 演算法，且規模足以在合理時間內（例如持續運算不超過一個月）攻破橢圓曲線密碼（如 secp256k1）或 RSA（如 RSA-2048）。 根據公開的技術里程碑與資源評估，我們距離這樣的電腦仍相當遙遠。儘管有公司宣稱在 2030 年甚至 2035 年前就可能實現，但目前已知的進展並不支持這些說法。 目前，無論是離子阱、超導量子位元或中性原子體系，沒有任何量子運算平台能夠接近破解 RSA-2048 或 secp256k1 所需的數十萬乃至數百萬個物理量子位元（具體數量取決於錯誤率與糾錯方案）。 瓶頸不僅在於量子位元的數量，更在於閘極保真度、量子位元之間的連接性，以及執行深度量子演算法所需的持續糾錯電路深度。當前有些系統的物理量子位元數已超過 1000，但單憑這個數字具有誤導性：它們欠缺密碼學運算所需的連接性與保真度。 近期的系統雖正逐步接近量子糾錯所需的物理錯誤率門檻，但迄今為止無人能穩定執行超過幾個邏輯量子位元，更遑論執行 Shor 演算法所需的數千個高保真、深電路、容錯的邏輯量子位元。從原理驗證到實現密碼分析所需的規模，差距依然巨大。 簡言之：在量子位元數量與保真度提升數個數量級之前，密碼學相關量子電腦仍遙不可及。 然而，企業新聞稿和媒體報道常令人困惑。主要的混淆點包括： 「量子優勢」演示：目前演示的任務多為精心設計，並非實際有用，只因它們能在現有硬體上執行並「顯得」很快。這一點在宣傳中常被淡化。 「數千物理量子位元」的宣傳：這通常指的是量子退火機，而非攻擊公鑰密碼所需的、能執行 Shor 演算法的門模型量子計算機。 對「邏輯量子位元」的濫用：物理量子位元有噪聲，實用演算法需要由許多物理量子位元透過糾錯構成的「邏輯量子位元」。執行 Shor 演算法需要數千個這樣的邏輯量子位元，每個通常需數百至數千個物理量子位元。但有些公司誇大其詞，例如最近有宣稱用「距離 -2」糾錯碼（僅能檢錯，不能糾錯）以每邏輯量子位元僅 2 個物理量子位元實現了 48 個邏輯量子位元，這毫無意義。 路線圖的誤導：許多路線圖中的「邏輯量子位元」僅支援「Clifford 操作」，這些操作可被經典計算機高效模擬，不足以執行需要大量「非 Clifford 門」（如 T 門）的 Shor 演算法。因此，即便某路線圖宣稱「在 X 年實現數千邏輯量子位元」，也不意味著該公司預計那時就能破解經典密碼。 這些做法嚴重扭曲了公眾（包括資深觀察者）對量子計算進度的認知。 當然，進展確實令人興奮。例如 Scott Aaronson 近期寫道，鑑於「硬體進展速度快得驚人」，他認為「在下屆美國總統大選前，我們擁有一臺能執行 Shor 演算法的容錯量子計算機，是一個真實的可能性」。但他隨後澄清，這並非指密碼學相關的量子計算機——即使只是容錯地分解 15=3×5（這用紙筆算更快），他也算其承諾達成。這仍是小規模演示，且此類實驗總以 15 為目標，因為模 15 運算簡單，稍大的數（如 21）就困難得多。 關鍵結論：預計在未來 5 年內出現能破解 RSA-2048 或 secp256k1 的密碼學相關量子計算機——這對實際密碼學至關重要——缺乏公開進展的支援。即便 10 年，也仍具雄心。 因此，對進展的興奮與「仍需十幾年」的時間線判斷並不矛盾。 那麼，美國政府將 2035 年定為政府系統全面後量子遷移的最後期限又如何？我認為這是完成大規模轉型的合理時間規劃，但它並非預測屆時一定會出現密碼學相關量子計算機。 「現在竊取，未來解密」攻擊：適用於誰？不適用於誰？ 「現在竊取，未來解密」攻擊指：攻擊者現在儲存加密流量，待未來密碼學相關量子計算機出現後再解密。國家級對手很可能已在大量歸檔來自美國政府的加密通訊，以備未來解密。 因此，加密必須立即升級，至少對於那些需要 10-50 年以上保密期的資料。 但數字簽名（所有區塊鏈的基石）與加密不同：它沒有需要追溯攻擊的機密性。即使未來量子計算機出現，也只能從那時起偽造簽名，而無法「解密」過去的簽名。只要你能證明簽名是在量子計算機出現前生成的，它就不可...