實現密碼學相關量子電腦的時間表常被誇大——這導致人們呼籲緊急、全面地過渡到後量子密碼學。但這些呼籲往往忽視了過早遷移的成本和風險，並忽視了不同密碼學原語之間截然不同的風險特徵：儘管後量子加密價格高昂，但需要立即部署：“ 先採集後解密 ”（HNDL）的攻擊已經開始。因為即使量子電腦問世還需要幾十年，今天被加密的敏感資料在未來仍然具有價值。後量子加密的性能開銷和實施風險確實存在，但對於需要長期保密的資料而言，面對 HNDL 攻擊我們別無選擇。後量子簽名面臨著不同的考量。 它們不易受到 HNDL 攻擊，但其成本和風險（更大的尺寸、性能開銷、實現不成熟和漏洞）要求我們採取深思熟慮而非立即遷移的策略。這些區別至關重要。誤解會扭曲成本效益分析，導致團隊忽視更突出的安全風險。後量子密碼學的真正挑戰，在於將緊迫性與實際威脅相匹配。下文將澄清關於量子威脅對密碼學（涵蓋加密、簽名和零知識證明）的常見誤解，並特別關注這些威脅對區塊鏈的影響。時間進展儘管一些知名人士聲稱在 2020 年代可能會出現具有密碼學意義的量子電腦，但這種說法極不現實。我所說的“具有密碼學意義的量子電腦”，是指一台容錯、糾錯的量子電腦，其規模足以在合理的時間範圍內運行肖爾演算法來攻擊橢圓曲線密碼學或 RSA（例如，最多用一個月的持續計算就能破解 secp256k1 或 RSA-2048）。根據對公開里程碑和資源估算的合理解讀，我們距離製造出具有密碼學意義的量子電腦還遙遙無期。一些公司聲稱 CRQC 很可能在 2030 年之前或 2035 年之前問世，但公開的進展並不支援這些說法。作為背景，在所有現有的架構中——囚禁離子、超導量子位元和中性原子系統——目前沒有任何一個量子計算平台能夠接近在 RSA-2048 或 secp256k1 上運行肖爾演算法所需的數十萬到數百萬個物理量子位元（具體取決於錯誤率和糾錯方案）。限制因素不僅是量子位元的數量，還包括門保真度、量子位元連接性，以及運行深度量子演算法所需的持續糾錯電路深度。雖然有些系統目前的物理量子位元數量已超過 1,000 個，但僅看原始量子位元數量是有誤導性的：這些系統缺乏進行密碼學相關計算所需的量子位元連接性和門保真度。近期的系統已接近量子糾錯開始發揮作用的物理誤差率，但沒有人展示出超過少數幾個能夠維持糾錯電路深度的邏輯量子位元……更不用說運行肖爾演算法實際需要的數千個高保真、深電路、容錯的邏輯量子位元了。證明量子糾錯原理可行與實現密碼分析所需的規模之間，仍然存在巨大的鴻溝。簡而言之：除非量子位元數量和保真度都提高幾個數量級，否則具有密碼學意義的量子電腦仍然遙不可及。然而，企業新聞稿和媒體報導很容易讓人感到困惑。一些常見的誤解和混淆來源包括：有些演示聲稱具有“量子優勢”，但針對的是人為設計的任務。 選擇這些任務並非因為其實際用途，而是因為它們可以在現有硬體上運行，同時表面上展現出巨大的量子加速效果——這一事實往往在公告中被掩蓋。有些公司聲稱擁有數以千計的物理量子位元。 但這通常指的是量子退火機，而不是運行 肖爾演算法攻擊公鑰密碼所需的門模型機器。有些公司濫用“邏輯量子位元”這個術語。 物理量子位元是有噪聲的。如上所述，量子演算法（如肖爾演算法）需要數千個邏輯量子位元。利用量子糾錯技術，可以用許多物理量子位元（通常是數百到數千個，具體取決於錯誤率）來實現一個邏輯量子位元。但有些公司將該術語延伸到了無法辨認的地步。例如，最近一份公告聲稱使用距離 2 的碼實現了48個邏輯量子位元，每個邏輯量子位元只有兩個物理量子位元。這簡直荒謬：距離為 2 的程式碼只能檢測錯誤，而不能糾正錯誤。真正用於密碼分析的容錯邏輯量子位元需要數百到數千個物理量子位元，而不是兩個。更廣泛地說，許多量子計算路線圖使用“邏輯量子位元”一詞來指代僅支援克利福德運算的量子位元。這些操作可以被經典電腦高效模擬，因此不足以運行肖爾演算法，後者需要數千個糾錯的 T 門（或更一般的非克利福德門）。即使某份路線圖的目標是“到某年實現數千個邏輯量子位元”，但這並不意味著該公司期望在同一年運行肖爾演算法來破解經典密碼學。這些做法嚴重扭曲了公眾對“我們距離具有密碼學意義的量子電腦還有多遠”的認知，即使是資深觀察者也受到了影響。話雖如此，一些專家確實對取得的進展感到興奮。例如，Scott Aaronson 最近寫道，鑑於“目前驚人的硬體發展速度”，我現在認為，在下屆美國總統大選之前，我們擁有一台能夠運行肖爾演算法的容錯量子電腦是有可能實現的。但 Aaronson 後來澄清，他的聲明並不是指一台具有密碼學意義的量子電腦：即使完全容錯的肖爾演算法運行分解 15 = 3×5比用鉛筆和紙還慢，他也會將其視為已實現。目前的標準仍然是肖爾演算法的小規模運行，而非具有密碼學意義的運行，因為之前在量子電腦上對 15 進行分解時使用的是簡化的電路，而不是完整的、容錯的肖爾演算法。這些實驗之所以始終選擇 15 作為分解目標，是有原因的：模 15 的運算在計算上很容易，而分解稍大一些的數字（比如 21）則要難得多。因此，聲稱能分解 21 的量子實驗通常依賴於額外的提示或捷徑。簡而言之，期望在未來 5 年內出現一台具有密碼學意義的量子電腦，能夠破解 RSA-2048 或 secp256k1（這對於實際密碼學來說才是最重要的），並不受支援。即使是 10 年也依然充滿不確定。考慮到我們距離具有密碼學意義的量子電腦還有多遠，對進展的興奮之情與‘十年以上’的時間線是完全相容的。那麼美國政府將 2035 年定為政府系統全面遷移到後量子時代的最後期限是怎麼回事？ 我認為這是一個完成如此大規模過渡的合理時間表。然而，這並不意味著預測屆時就會出現具有密碼學意義的量子電腦。HNDL 攻擊適用及不適用情況“先採集後解密 ”（HNDL） 攻擊指的是對手先儲存加密流量，然後在有密碼學相關的量子電腦存在後再解密。國家級敵對勢力肯定已經在大規模地存檔來自美國政府的加密通訊，以便在多年後，當 CRQC 出現時解密這些通訊。這就是為什麼說加密技術今天就需要轉型——至少對於那些有 10-50 年以上保密需求的人來說。但是，所有區塊鏈都依賴的數位簽名與加密技術不同：它不存在可追溯攻擊的保密性問題。換句話說，如果出現了與密碼學相關的量子電腦，那麼從那時起，偽造簽名將成為可能，但過去的簽名並不像加密資訊那樣“隱藏”秘密。只要你知道數位簽名是在 CRQC 出現之前生成的，它就不可能是偽造的。這使得向後量子數位簽名的過渡不如加密領域的後量子轉型緊迫。各大平台正採取相應措施：Chrome 和 Cloudflare 推出了用於 Web 傳輸層安全協議加密的混合 X25519 + ML-KEM 加密方案。（為了便於閱讀，本文中使用“加密方案”一詞，但嚴格來說，像 TLS 這樣的安全通訊協議使用的是金鑰交換或金鑰封裝機制，而不是公鑰加密。）這裡的“混合”指的是將後量子安全方案（即 ML-KEM）和現有方案（X25519）疊加使用，以獲得綜合安全保障。這樣一來，有望能夠通過 ML-KEM 阻止 HNDL 攻擊，同時萬一 ML-KEM 即使面對當今的電腦也存在安全漏洞，仍能保持 X25519 提供的經典安全性。蘋果的 iMessage 也通過其 PQ3 協議部署了這種混合後量子加密技術，Signal 的 PQXDH 和 SPQR 協議也是如此。相比之下，後量子數位簽名在關鍵網路基礎設施中的推廣應用正被推遲，直到真正具有密碼學意義的量子電腦即將問世，因為當前的後量子簽名方案引入了性能退化（本文後面會詳細說明）。zkSNARKs（零知識簡潔非互動式知識論證）是區塊鏈長期可擴展性和隱私性的關鍵，其處境與簽名類似。這是因為即使對於那些非後量子安全的 zkSNARKs（它們使用橢圓曲線密碼學，就像今天的非後量子加密和簽名方案一樣），它們的零知識屬性也是後量子安全的。零知識屬性確保在證明過程中不會洩露任何關於秘密見證的資訊——即使是量子對手也不會知道——因此不會有任何機密資訊可供“採集”以便以後解密。因此，zkSNARKs 不會受到“先採集後解密 ”攻擊。正如今天生成的非後量子簽名是安全的一樣，任何在具有密碼學意義的量子電腦出現之前生成的 zkSNARK 證明都是可信的（即被證明的命題絕對為真）——即使 zkSNARK 使用了橢圓曲線密碼學。只有在具有密碼學意義的量子電腦出現之後，攻擊者才能找到令人信服的虛假陳述的證明。這對區塊鏈意味著什麼大多數區塊鏈不會受到 HNDL 攻擊：目前大多數非隱私鏈，如比特幣和以太坊，主要使用非後量子密碼進行交易授權——也就是說，它們使用數位簽名，而不是加密。再次強調，這些簽名並非 HNDL 風險：“先採集後解密”攻擊適用於加密資料。例如，比特幣區塊鏈是公開的；其量子威脅在於簽名偽造（推匯出私鑰以竊取資金），而非解密已公開的交易資料。這消除了 HNDL 攻擊帶來的直接密碼學緊迫性。不幸的是，即使是來自聯準會等可信來源的分析也存在問題，錯誤地聲稱比特幣容易受到 HNDL 攻擊，這種錯誤誇大了向後量子密碼學過渡的緊迫性。也就是說，緊迫性降低並不意味著比特幣可以等待：它面臨著與更改協議所需的巨大社會協調所帶來的不同的時間壓力。（下文將詳細介紹比特幣的獨特挑戰。）目前的例外是隱私鏈，其中許多會對接收者和金額進行加密或其他方式的隱藏。這種保密性現在就可以被收集，一旦量子電腦能夠破解橢圓曲線密碼學，就可以追溯性地去匿名化。對於這類隱私鏈，攻擊的嚴重程度取決於區塊鏈的設計。例如，對於門羅幣採用的基於曲線的環簽名和金鑰鏡像（一種用於防止雙重支付的每個輸出的連結標籤），僅憑公共帳本就足以追溯重建支出圖譜。但在其他區塊鏈中，損失則更為有限——可以參見 Zcash 加密工程師兼研究員 Sean Bowe 的討論以瞭解詳情。如果使用者非常在意自己的交易不被具有密碼學意義的量子電腦洩露，那麼隱私鏈就應該盡快過渡到後量子原語（或混合方案）。或者，它們應該採用避免將可解密的秘密資訊放在鏈上的架構。比特幣特有的難題：治理 + 被遺棄的代幣尤其對於比特幣而言，有兩個現實因素促使人們迫切需要開始轉向後量子數位簽名。而這兩個因素都與量子技術無關。一個令人擔憂的問題是治理速度：比特幣的變革速度很慢。任何爭議性問題都可能引發破壞性的硬分叉，因為社區無法就合適的解決方案達成一致。另一個令人擔憂的問題是，比特幣向後量子簽名的轉換不能是被動遷移：持有者必須主動遷移他們的代幣。這意味著被遺棄的、易受量子攻擊的代幣無法得到保護。一些估算認為，存在量子漏洞且可能被遺棄的 BTC 數量達數百萬枚，按當前價格計算（截至 2025 年 12 月）價值數千億美元。然而，量子技術對比特幣的威脅並非突如其來的災難，而更像是一個有選擇、循序漸進的過程。量子電腦無法同時破解所有加密——肖爾演算法必須逐個攻擊單個公鑰。早期的量子攻擊成本極高且耗時。因此，一旦量子電腦能夠破解單個比特幣簽名金鑰，攻擊者就會有選擇地攻擊高價值錢包。此外，那些避免地址復用且不使用 Taproot 地址（Taproot 直接在鏈上暴露公鑰）的使用者，即使在協議沒有變更的情況下也基本受到保護：他們的公鑰會一直隱藏在雜湊函數之後，直到代幣被花費。當他們最終廣播一筆花費交易時，公鑰就會暴露出來，此時會出現一場短暫的即時競賽：一方是需要確認交易的誠實花費者，另一方是任何擁有量子計算能力的攻擊者，他們試圖找到私鑰並在真正所有者的交易最終完成之前花費這些代幣。因此，真正脆弱的代幣是那些公鑰已經暴露的：早期的 P2PK 輸出、重複使用的地址和 Taproot 持倉。對於那些已被棄用的脆弱代幣來說，沒有簡單的解決辦法。一些可行的方案包括：比特幣社區同意設立一個“旗幟日”，之後所有未遷移的代幣都將被視為銷毀。任由被遺棄的、易受量子攻擊的代幣被任何擁有密碼學相關量子電腦的人攫取。第二種選擇會引發嚴重的法律和安全問題。即使聲稱擁有合法所有權或出於善意，使用量子電腦在沒有私鑰的情況下獲取代幣，也可能在許多司法管轄區引發盜竊和電腦欺詐法下的嚴重問題。此外，“被遺棄”本身就是一種基於不活躍狀態的推定。但實際上，沒有人知道這些代幣是否有能夠訪問金鑰的在世所有者。即使證據表明你曾經擁有過這些代幣，也未必能提供足夠的法律依據來破解加密保護並取回它們。這種法律上的模糊性，增加了被遺棄的、易受量子攻擊的代幣落入惡意行為者手中的可能性，而這些惡意行為者往往會無視法律約束。比特幣特有的最後一個問題是其低交易吞吐量。即使遷移計畫最終確定，將所有易受量子攻擊的資金遷移到後量子安全地址，按比特幣當前的交易速率計算也需要數月時間。這些挑戰使得比特幣現在必須開始規劃其後量子時代的轉型——這並非因為在 2030 年之前可能會出現具有密碼學意義的量子電腦，而是因為遷移價值數十億美元的代幣所涉及的治理、協調和技術後勤問題將需要數年時間才能解決。比特幣面臨的量子威脅確實存在，但時間壓力並非來自即將到來的量子電腦，而是來自比特幣自身的侷限性。其他區塊鏈也面臨著量子易受攻擊資金帶來的挑戰，但比特幣的特殊之處在於：其早期交易採用的是“支付到公鑰（P2PK）”輸出，這直接將公鑰置於鏈上，使得相當大比例的 BTC 極易受到密碼學相關量子電腦的攻擊。這種技術差異——再加上比特幣的運行年限、價值集中度、低吞吐量以及治理機制的僵化——使得這個問題尤為嚴重。請注意，我上面描述的漏洞指的是比特幣數位簽名的密碼學安全性，而不是比特幣區塊鏈的經濟安全性。這種經濟安全性源於工作量證明共識機制，該機制不易受到量子電腦攻擊，原因有三：PoW 依賴於雜湊演算法，因此僅受格羅弗搜尋演算法的二次方量子加速影響，而不受肖爾演算法指數級加速的影響。實現格羅弗搜尋的實際開銷使其極不可能讓任何量子電腦在比特幣的工作量證明機制上實現那怕是適度的實際加速。即使實現了顯著的速度提升，這些速度提升也只會讓大型量子礦工比小型礦工更有優勢，但不會從根本上破壞比特幣的經濟安全模型。後量子簽名的成本和風險要瞭解為什麼區塊鏈不應該急於部署後量子簽名，我們需要瞭解性能成本以及我們對後量子安全性的信心（這種信心仍在不斷發展）。大多數後量子密碼學基於以下五種方法之一：雜湊 (hashing)編碼 (codes)格 (lattices)多元二次方程系統 (MQ)同源性 (isogenies)為什麼會有五種不同的方法？ 任何後量子密碼原語的安全性都基於這樣一個假設：量子電腦無法高效地解決特定的數學問題。問題的“結構化”程度越高，我們基於此建構的密碼協議就越高效。但這有利有弊：額外的結構也為攻擊演算法提供了更多可利用的攻擊面。這就造成了一種根本性的張力——更強的假設能夠帶來更好的性能，但代價是潛在的安全漏洞（也就是說，假設被證明是錯誤的可能性更大）。一般來說，基於雜湊的方法在安全性方面最為保守，因為我們最有信心量子電腦無法有效地攻擊這些協議。但它們的性能也是最差的。例如，即使在最小參數設定下，NIST 標準化的基於雜湊的簽名大小也為 7-8 KB。相比之下，如今基於橢圓曲線的數位簽名只有 64 字節。這大約是 100 倍的大小差異。格方案是當今部署的重點。目前唯一的加密方案以及 NIST 選定的三種簽名演算法中的兩種都基於格。其中一種格方案（ML-DSA，原名 Dilithium）生成的簽名大小範圍從 2.4 KB（128 位安全等級）到 4.6 KB（256 位安全等級），比目前基於橢圓曲線的簽名大約大 40 到 70 倍。另一種格方案 Falcon 則具有較小的簽名（Falcon-512 為 666 字節，Falcon-1024 為 1.3 KB），但它包含複雜的浮點運算，NIST 本身也將其標記為特殊的實施挑戰。Falcon 的建立者之一 Thomas Pornin 稱其為“我迄今為止實現過的最複雜的加密演算法。”實施安全性在基於格的簽名方案中也比基於橢圓曲線的方案更具挑戰性：ML-DSA 存在更多敏感的中間值，且非平凡拒絕採樣邏輯需要側通道和故障保護。Falcon 增加了恆定時間浮點運算的擔憂；事實上，針對 Falcon 實現的多個側通道攻擊已經恢復出了私鑰。這些問題構成了直接的風險，這與具有密碼學意義的量子電腦這一更為遙遠的威脅截然不同。在部署性能更優異的後量子密碼方案時，謹慎行事是完全合理的。歷史上，像 Rainbow（一種基於 MQ 的簽名方案）和 SIKE/SIDH（一種基於同源的加密方案）這樣的領先候選方案都在經典電腦上被破解了——也就是說，是用今天的電腦而不是量子電腦破解的。這件事發生在 NIST 標準化流程的後期階段。這體現了科學的健康運作，但也說明過早的標準化和部署可能會適得其反。如前所述，網際網路基礎設施正在採取審慎的方式進行簽名遷移。考慮到網際網路加密轉換一旦開始就需要很長時間，這一點尤其值得注意。MD5 和 SHA-1 雜湊函數（儘管網路管理機構多年前就已在技術上棄用）的遷移，實際上花費了數年時間才在整個基礎設施中真正實施，並且在某些語境下仍在進行中。即使這些方案已經完全被破解，而不僅僅是可能容易受到未來技術的影響，這種情況依然發生了。區塊鏈與網際網路基礎設施相比的獨特挑戰幸運的是，由開源開發者社區積極維護的區塊鏈（例如以太坊或 Solana）比傳統網路基礎設施升級速度更快。另一方面，傳統網路基礎設施受益於頻繁的金鑰輪換，這意味著其攻擊面移動速度比早期量子電腦所能瞄準的速度更快——這是區塊鏈所不具備的奢侈條件，因為代幣及其關聯金鑰可以無限期地暴露在外。但總的來說，區塊鏈仍然應該遵循網際網路在簽名遷移方面採取的審慎方法。這兩種場景都不會受到針對簽名的 HNDL 攻擊，而且無論金鑰的保存時間長短，過早遷移到不成熟的後量子方案的成本和風險仍然十分巨大。區塊鏈特有的挑戰也使得過早遷移變得尤為危險和複雜：例如，區塊鏈對簽名方案有著獨特的要求，特別是快速聚合大量簽名的能力。如今，BLS 簽名之所以被廣泛使用，是因為它們能夠實現非常快速的聚合，但它們並不具備後量子安全特性。研究人員正在探索基於 SNARK 的後量子簽名聚合。這項工作很有前景，但仍處於早期階段。就 SNARKs 而言，目前社區主要關注基於雜湊的構造方法，將其視為後量子時代的主流選擇。但重大轉變即將到來：我相信在未來的幾個月和幾年裡，基於格的選項將成為極具吸引力的替代方案。這些替代方案在諸多方面都將優於基於雜湊的 SNARK，例如顯著縮短證明長度——類似於基於格的簽名比基於雜湊的簽名更短。目前更大的挑戰：實施安全性在未來數年內，實現漏洞將比具有密碼學意義的量子電腦構成更大的安全風險。對於 SNARKs 而言，主要問題是漏洞。漏洞對於數位簽名和加密方案來說已經是一個挑戰，而 SNARKs 則要複雜得多。實際上，數位簽名方案可以看作是一種非常簡單的 zkSNARK，它證明了“我知道與我的公鑰對應的私鑰，並且我授權了這條消息”這一陳述。對於後量子簽名而言，直接風險還包括諸如“側通道攻擊”和“故障注入攻擊”之類的實現攻擊。這類攻擊已有充分的文獻記載，並且能夠從已部署的系統中提取私鑰。它們構成的威脅遠比遙遠的量子電腦更為緊迫。社區將持續數年時間來識別和修復 SNARKs 中的漏洞，並加固後量子簽名實現以抵禦側通道和故障注入攻擊。由於後量子 SNARK 和簽名聚合方案的塵埃尚未落定，過早過渡的區塊鏈可能會將自身鎖定在次優方案中。一旦出現更優方案或發現實現漏洞，它們可能需要再次遷移。我們應該怎麼做？7 條建議基於上述情況，我將最後向包括建構者和政策制定者在內的各利益相關方提出建議。最重要的原則是：需要認真對待量子威脅，但不要基於“具有密碼學意義的量子電腦將在 2030 年之前到來”這一假設而急切採取行動。 目前的進展並不支援這種假設。儘管如此，我們現在仍然可以而且應該做一些事情：我們應該立即部署混合加密。或者至少，在長期保密性至關重要且成本可以接受的地方部署。許多瀏覽器、CDN 和即時通訊應用（例如 iMessage 和 Signal）已經部署了混合方案。這種混合方案——後量子 + 經典——既能抵禦 HNDL 攻擊，又能規避後量子方案中潛在的弱點。能接受簽名體積比較大的前提下，應立即採用基於雜湊的簽名。軟體/韌體更新——以及其他此類低頻、對大小不敏感的場景——現在就應該採用混合雜湊簽名。（採用混合簽名是為了防範新方案中的實現漏洞，而不是因為對基於雜湊的安全假設存在疑問。）這種保守的做法為社會提供了一個明確的“救生艇”，以防萬一具有密碼學意義的量子電腦意外地過早出現。如果沒有預先部署好後量子簽名的軟體更新機制，一旦 CRQC 出現，我們將面臨冷啟動問題：我們將無法安全地分發抵禦所需的補丁。區塊鏈不需要急於實現後量子簽名——但現在就應該開始規劃。區塊鏈開發者應效仿 Web PKI 社區的做法，採取審慎的方式部署後量子簽名。這允許後量子簽名方案在性能和我們對其安全性的理解上繼續成熟。這種方式也為開發者提供了時間，讓他們能夠重新設計系統架構以處理更大的簽名，並開發更優的聚合技術。對於比特幣和其他 L1：社區需要制定針對被遺棄的、易受量子攻擊資金的遷移路徑和政策。被動遷移是不可能的，因此規劃至關重要。由於比特幣面臨著一些特殊的挑戰，這些挑戰大多是非技術性的——治理緩慢，以及大量高價值的、可能被遺棄的、易受量子攻擊的地址——因此，比特幣社區現在就開始規劃尤為重要。與此同時，我們需要讓後量子 SNARK 和可聚合簽名方面的研究更加成熟（可能還需要幾年時間）。再次強調，過早遷移可能會導致鎖定在次優方案中，或者需要進行二次遷移來解決實現漏洞。關於以太坊帳戶模型的說明： 以太坊支援兩種帳戶類型，對後量子遷移有不同的影響——外部擁有帳戶 (EOA)，即由 secp256k1 私鑰控制的傳統帳戶類型；以及具有可程式設計授權邏輯的智能合約錢包。在非緊急情況下，如果以太坊加入了後量子簽名支援，可升級的智能合約錢包可以通過合約升級切換到後量子驗證——而 EOA 可能需要將其資金轉移到新的後量子安全地址（儘管以太坊很可能也會為 EOA 提供專門的遷移機制）。在量子緊急情況下，以太坊研究人員提出了一種硬分叉計畫，凍結存在安全隱患的帳戶，並允許使用者通過使用後量子安全 SNARK 證明其知曉助記詞來恢復資金。此恢復機制適用於 EOA 和任何尚未升級的智能合約錢包。對使用者而言，實際意義在於：經過良好審計、可升級的智能合約錢包或許能提供略微更順暢的遷移路徑——但這種差異微乎其微，而且還會帶來對錢包提供商的信任以及升級治理方面的權衡。比帳戶類型更重要的是，以太坊社區仍在繼續推進後量子原語和應急響應計畫的工作。給建構者的更廣泛設計經驗： 如今許多區塊鏈將帳戶身份與特定的加密原語緊密耦合——例如比特幣和以太坊與 secp256k1 上的 ECDSA 簽名耦合，其他區塊鏈則與 EdDSA 耦合。後量子遷移的挑戰凸顯了將帳戶身份與任何特定簽名方案解耦的價值。以太坊正朝著智能帳戶的方向發展，其他鏈上的帳戶抽象努力也反映了這一趨勢：允許帳戶升級其認證邏輯，而無需放棄其鏈上歷史記錄和狀態。這種解耦不會使後量子時代的遷移變得輕而易舉，但它確實比將帳戶硬編碼到單一簽名方案中提供了更大的靈活性。（這也支援了諸如代付交易、社交恢復和多重簽名等其他功能。）對於加密或隱藏交易詳情的隱私鏈，如果性能可以接受，則應優先考慮儘早過渡。目前，這些區塊鏈上的使用者隱私面臨 HNDL 攻擊的風險，儘管不同設計方案的嚴重程度有所不同。僅依靠公共帳本就能實現完全追溯去匿名化的區塊鏈面臨著最緊迫的風險。考慮採用混合（後量子+經典）方案，以防止表面上的後量子方案最終被證明在經典層面上也不安全，或者實施架構變更，避免將可解密的秘密放在鏈上。近期內應優先考慮實施安全性，而不是量子威脅緩解。尤其對於 SNARKs 和後量子簽名等複雜的密碼原語而言，在未來幾年內，漏洞和實現攻擊（側通道攻擊、故障注入）將比具有密碼學意義的量子電腦構成更大的安全風險。現在就投資於審計、模糊測試、形式化驗證和縱深防禦/分層安全方法——不要讓量子擔憂掩蓋了更緊迫的漏洞威脅！為量子計算發展提供資金。以上所有因素對國家安全有著重大影響，那就是我們需要持續投入資金並培養量子計算人才。如果某個主要對手在美國之前獲得了具有密碼學意義的量子計算能力，將會對我們以及世界其他國家構成嚴重的國家安全風險。對量子計算相關公告保持理性態度。隨著量子硬體的日趨成熟，未來幾年將會湧現出許多里程碑式的進展。然而，矛盾的是，這些公告的頻繁發佈本身就證明了我們距離真正具備密碼學應用價值的量子電腦還有很長的路要走：每一個里程碑都代表著我們在到達那個點之前必須跨越的眾多橋樑之一，而每一個里程碑的出現都將引發媒體的頭條報導和興奮。將新聞稿視為需要批判性評估的進度報告，而不是倉促採取行動的提示。當然，可能會出現一些出人意料的發展或創新，從而加快預計的時間表，就像可能會出現嚴重的擴展瓶頸從而延長時間表一樣。我並不認為五年內出現一台具有密碼學意義的量子電腦在字面上是“不可能”的，只是可能性極低。上述建議對這種不確定性具有魯棒性，遵循這些建議可以避免更直接、更可能發生的風險：實現漏洞、倉促部署以及密碼學轉型過程中常見的各種問題。 (W3C DAO)