cover_image

【a16z专访Dan Boneh、Justin Thaler】量子计算:何为、何时、何处、如何

Kurt Pan XPTY
2025年05月17日 10:35

原文: https://a16zcrypto.com/posts/podcast/quantum-computing-what-when-where-how-fact-vs-fiction/

译者:Kurt Pan

目录

  • 量子计算是什麽

  • 量子计算在密码学中的应用

  • 新闻与里程碑宣称、术语釐清

  • 时间表与发展轨迹

  • 后量子密码的规划

本集节目聚焦于量子计算——它是什麽、如何运作、哪些是炒作、哪些是事实,以及建设者该如何为后量子时代做准备。内容涵盖:

  • 量子计算究竟是与不是什麽,为何人们担心它会攻破不具量子安全性的密码系统;

  • 量子电脑真正达到「具密码学意义」的规模大概还要多久?美国政府要求採用后量子密码的时程又是如何?

  • 各类密码学将受到哪些影响?不同解法与权衡为何?

  • 区块链主要依赖签章而非加密,在某些方面或许较具量子抗性——又在哪些方面不然?

我们也解析近来形形色色的「以新闻稿做科学」风潮,并探讨开发者何时应转向后量子密码、过程中该避免的陷阱(提示:错误!软体升级!)。最后还简述各种后量子密码路径,并深入讨论零知识/简洁证明系统与后量子密码的关係。

专家来宾

  • Dan Boneh:史丹佛大学教授、应用密码学先驱;亦为 a16z crypto 资深研究顾问

  • Justin Thaler:a16z 研究合伙人、乔治城大学教授,交互式与零知识证明系统领域的长期专家

(以下纯属讯息分享,无投资、商业、法律或税务建议。)

完整逐字稿

Sonal:Dan,请先用浅显方式简述何谓量子计算,以及为何密码学家对它忧心;Justin,之后请你补充量子电脑究竟擅长什麽。

量子计算是什麽

Dan:你知道,话题很快就会变得相当技术性。〈Sonal:没问题〉

但从宏观角度讲,这个概念其实可以追溯到 Richard Feynman

他意识到,有些量子实验在传统电脑上极难模拟——你想透过计算来瞭解量子系统的行为,却发现计算起来非常非常困难。

于是他提出了一个极具洞见的想法:啊!或许之所以难以用传统电脑模拟量子实验,是因为这些量子实验本身能进行传统电脑无法完成的计算。而事实证明他完全说对了——就我们所知,的确存在只能透过量子实验、而无法靠传统电脑完成的计算。

Sonal:给不瞭解的人补充一下——理查・费曼是着名的诺贝尔奖得主,我记得他还做过那些经典的物理学讲座?——

Dan:没错,他是位出色的讲者。

Sonal:是啊,要是他能上这档 Podcast 就好了,他可是有名的「伟大解说家」。〈Dan:绝对是〉不过你也是位出色的解说者 ;)

那麽,请再谈谈那些实验为何重要。

Dan:好,这里会稍微技术一些:怎麽利用量子实验来计算传统电脑做不到的事?我恐怕无法从头到尾完整说明,但我可以给一点直观——

Sonal:太好了!

Dan:大家都听过「薛丁格的猫」吧?〈Sonal:听过〉猫同时处于「活着」和「死去」两种状态,我们说牠处在两种态的「叠加」。〈Sonal:对〉

量子力学会为每个状态指派一个称为「振幅」的值——「活」有一个振幅,「死」有一个振幅;振幅就是个複数。〈Sonal:嗯哼〉关键是这些数可以是正的,也可以是负的:同一状态可以被赋予正值或负值。

这就是运作的基本原理。

有趣的是,若不只一隻猫,而是 100 隻猫,每隻都可同时「生」或「死」,那麽就不再只有两种状态,而是  种状态。用一百个实体对象,就能表示指数多的状态。

这本身并不新奇;例如掷 100 枚硬币,也能得到一个指数大的机率空间。新奇之处在于:这  个状态各自仍有正或负的振幅。我们能以全新的方式,同时操纵这个指数大小的向量——也就是这些指数多的状态。

给较技术的听众:特别有趣的是,我们可以对这个指数大小的向量执行快速傅立叶变换(FFT),能如此迅速地进行 FFT,正是 Shor 演算法 的基础——

Sonal:确认一下,这里的「Shor」就是密码学里那个 Shor,对吗?或许你再说明一下。

Dan:对。Shor 演算法在密码学里有很多应用,但最关键的两点是:

  1. 它能在多项式时间内快速分解大整数;

  2. 它也能在任何群上解决离散对数问题。

「质因数分解」和「离散对数」正是许多传统密码方案的基础。例如,用于加密的 RSA 和 ElGamal,以及用于签章的 RSA 和 ECDSA。Shor 演算法既可以破解网际网路 TLS 等协议使用的加密与密钥交换,也可以破解凭证和加密货币中用来验证交易有效性的经典签章方案(如 ECDSA、RSA)。

所以,只要有一臺足够大的量子计算机能实作 Shor 演算法,就能破解这些公开金钥系统——可能窃听通信,或伪造并未由资产持有者签出的交易。

人们常问:为什麽量子计算机能加速运算,解决传统电脑较慢的问题?核心就在于它们能对庞大的量子态做快速傅立叶变换。量子计算机非常擅长寻找函数的週期;而若能高效找出週期,就能解决一些在传统电脑上公认困难的问题。

你或许会想:为何它们能如此擅长找週期?有个我喜欢的说法是:传统电脑可以模拟所谓的「机率计算」——在运算中抽取随机位元——但机率始终是 0 到 1 之间的正数,相加后仍是正数。

而在量子计算机里,这些振幅不一定是正的;它们可以是正、负,甚至是複数。更重要的是可以为负。于是会出现干涉:当正值和负值相加时,可能互相抵消成零或极小值,也可能叠加放大——这就是「建设性」与「破坏性」干涉。

正是这些干涉图样,使我们能进行传统电脑办不到的计算,特别是寻找函数週期,对密码学意义重大。

不知这样说对大家是否有帮助,但量子计算能做出传统计算无法做到之事,直觉上就是因为这些建设性与破坏性的干涉。

Sonal:太精彩了!我从没听过有人把这些点串在一起。

Justin:科普书常把量子计算描述成能让人「超级并行」地做疯狂海量运算,但其实并非如此。

我们认为,它们无法把任意搜寻问题解得比现今笔电快多少(也许有一点加速,但不是夸张的数量级)。这是个重大误解;不过圈内大家都知道这是误解,虽然它仍普遍流传。

量子计算在密码学中的应用

Justin:量子计算机究竟能够在哪些问题上真正派上用场,仍然有许多悬而未决的疑问;

我们已经知道数十年来,它们的确定用途之一(也是今天的主要话题)是能够破解区块链与网路商务如今所依赖的很多密码学。这正是最大的隐忧。

除此之外,它们还能做些什麽,其实并不清楚……外界对 AI 和最佳化的应用炒作甚多,但我认为其中的实质内涵,远比大众所想像的要少。

Sonal:我想请教一个问题:

当媒体报导量子计算的进展——像 Google、Microsoft 这些大公司都在做所谓的「量子计算」专案——我其实不明白他们究竟在造什麽(笑),那个「它」到底是什麽?

还有另一个相关问题:他们只是专注于降低杂讯吗?还是已经在打造可以真正执行量子演算法的东西?当这些专案宣称要建造「量子电脑」时,我们谈的那个「它」究竟是什麽?

Justin:就区块链而言,重点在于具密码相关性的量子计算机。〈Sonal:对〉也就是能够运行 Shor 演算法,藉由质因数分解或离散对数来破解现行密码系统的那种量子计算机。

迈向那一步,途中有许多阶段;目前我们其实才刚踏出第一步。我们必须在多个方向上扩展,才能运行 Shor 演算法这类工作:

首先,我们需要更多量子位元——量子计算机可操作的资讯;其次,我们得让这些资讯在运算过程中保持稳定,而不是化为杂讯垃圾。所以,一方面要增加量子位元数量,另一方面要确保它们能长时间维持而不退化,这便涉及降噪。

此外,各团队正尝试多种路径来达成这一目标……(我并非此领域专家,不过)例如囚禁离子、拓扑量子计算等方法,还有其他几种。它们各自都有显着进展,同时也都仍处于不同程度的早期阶段。

因此,某一路线的突破并不代表其他路线同步突破——但最终只要其中一条路成功,我们今日使用的所有密码系统便可能被攻破。

Sonal:解释得太好了,Justin。或许这正好引出接下来的新闻话题……

新闻与里程碑宣称、术语釐清

Sonal:还有一个问题:大家常说的「量子优越性」到底是什麽意思?它只是量子位元的数量吗?他们真正想达成的里程碑究竟是什麽?

Justin:所谓量子优越性,是指一臺量子计算机在某个任务上——哪怕那任务毫无实际价值——也能远比任何非量子计算机更快地完成。理想状况下,量子计算机只需毫秒完成,而传统笔电可能要花上数十亿年,差距得有这麽大才算。

重点在于:这个任务可以刻意设计成对量子计算机「容易」,对传统电脑「困难」;只要能展现这种巨大差距,就算达标。

所以,Google 先前发表「Willow」晶片的时候才会引起误解:他们公布了一个任务,宣称 Willow 比任何传统电脑都快 六乘十的二十四次方倍,但很多人没意识到,那个任务本身就是为了製造这个天文级差距而「特别设计」的。

Sonal:我想追问一下,以便分辨真正的科学讯号和记者稿宣传:正如你说的,确实有点「面向考试教学」的味道——先设计出一个刻意容易让量子计算机「击败」的测试,然后宣布「我们达标了」。

话虽如此,这麽做到底有没有意义?Dan,你觉得他们这样做是因为能循序推进,只能从这里开始?还是说这种测试实在太武断、太遥远,以至于几乎显得可笑?

Dan:通常这些测试都是「从某个分佈抽样」,而让传统电脑去抽样则极其困难。

但首先要问的是:量子计算真的可行吗?也许量子物理理论是错的、自然运作方式跟我们想的不一样呢——所以我们先把镜头拉远:

量子力学这套理论已经存在一百多年,非常成功;如果你相信量子力学正确,那量子计算就应该可行——剩下的只是(这里要打大大的引号)工程问题。理论预言量子计算行得通。  〈Sonal:太棒啦!〉

因此,仅仅是我们能够做这些实验——而且甚至能做到传统电脑无法办到的事情——这件事本身就非常有趣,等于验证了整体方法确实可行

这代表量子计算机能做一些传统电脑做不到的事。〈Sonal:对!〉

但有趣的是,正因为传统电脑无法完成这项任务,要验证量子实验的结果是否正确就变得极其困难。对吧?传统电脑可能得花「十的二十四次方」年才能确认它真的做对了。

所以,我觉得能够(理论上)完成传统电脑无法做到的事非常吸引人……不过,正如 Justin 所说,距离终点仍然很长。

Sonal:没错。所以,Justin,你的意思是:这并非空谈;他们确实达成了一步,但距离最终目标还有很大的差距,且要付出巨大努力才能抵达。

Justin:对,完全正确。我想补充两点——

首先,我把这称作「有趣量子系统的第零步」:如果连这一步都达不到,就谈不上任何量子优势。

第二,这个目标已经激发出大量有价值的科学研究——研究人员尝试找出哪些问题能在合理时间内展示所谓「量子优越性」、我们能造出什麽硬体……产生了许多精彩的科学成果。

问题出在:新闻稿往往让人以为我们离真正有用的量子计算机——更别说与密码相关的量子计算机——近得多。〈Sonal:没错、没错〉

Google Willow 的公告其实有两个既相关又不同的面向:其一是那个六乘十的二十四次方倍的量子优越性,很多读者忽略了那个任务是刻意设计来产生如此巨幅差距的;其二是他们在所谓「逻辑量子位元」上达成某种量子错误更正。

Sonal:我会直接引用你对那篇新论文的摘要,请你快速解析:

「他们使用约 100 个实体量子位元组成一个距离为 7 的表面码——基本上就是 50 个资料位元加 50 个量测位元——去编码一个逻辑量子位元,而该位元可以闲置(亦即不执行任何有用或逻辑上的运算)100 个週期且错误率仍可接受。」

Justin:我要向我们的研发团队澄清的是:这颗逻辑位元目前并不能真正执行任何计算。

也就是说,从工程与技术角度来看,他们能让这颗位元在稳定性与错误更正上达到此水准已是重大里程碑。但错误率依旧偏高,而且这颗位元只是在那里「闲置」——没有人能把它设定成特定值,然后在后续计算中使用。〈Sonal:嗯〉它只是待在那里而不退化,就这样。

Dan:我再补充一点——令人印象深刻之处,正是在于他们已达到错误更正开始发挥作用的门槛。他们把「物理错误率」压低到能套用错误更正,进而得到一颗逻辑位元;以前做不到,这是大进展。

当然,目前只有一颗,无法做太多有趣的事。接下来得扩充规模:到目前为止,他们用了 105 颗实体位元才换得一颗更正后的位元。但光是证明错误更正可行,本身就是相当重大的一步。

我认为这是量子计算发展史上的重要里程碑——〈Sonal:没错〉它本身还不够实用,但下一步就是「扩大规模」。

Justin:还有一个小重点:我们对传统电脑能力的理解也在不断进步。

Google 五年前首次宣称量子优越性——结果很快就被推翻,因为有人为同一任务找到更好的传统演算法。

理解加深固然值得高兴——即使那意味原本的声明站不住脚——这正是科学应有的运作方式。

真正的问题是:若因此让人太早转向量子方案,结果发生错误,就麻烦了。尤其是在他们误以为我们已接近与密码相关的量子计算机时……这才是风险所在。

Sonal:对,这对依赖新闻做决策的开发者影响很大。我们稍后会深入这点,特别是针对区块链社群。

Sonal:在此之前,还有一则 Microsoft 的新闻。与 Google Willow 不同,他们提出了「拓扑量子位元」的概念。你能否简要说说:Microsoft 的公告核心是什麽?讯号与杂讯如何分辨?什麽又是拓扑量子位元?

Justin:简单说,拓扑量子计算走的是跟 Google Willow 完全不同的路:目标是做出本质上更稳定的量子位元,从而大幅减少错误更正的负担与开销。

这已超出我的专长,但据说如果拓扑计算真能落地,或许几乎不需要错误更正(也许这说得太强)。目前的做法依赖一种称为「马约拉纳粒子」的理论粒子——

Sonal:对,「马约拉纳零模」之类的,对吧?

Justin:是的。Microsoft 几年前曾宣称他们证实了这种粒子的存在——但后来被认为言过其实。科学常常如此,这并不是指责。最近的新公告等于把进度「重置」回数年前的状态。

Dan:没错。Google 採用的是「超导量子位元」路线,杂讯大,需要先降噪再做错误更正;Microsoft 走另一条路,理论上更抗杂讯,较易扩充并维持足够长的相干时间,好让我们能做长时间计算。

据我瞭解,那篇《Nature》论文其实是去年就投稿的,而且并未提供充足证据证明他们真的实现马约拉纳态。

Sonal:对,编辑还特别加了註解〈笑〉。

Dan:希望将来能有更有力的证据证明他们成功,届时就多一条可扩充的路。不过这仅是起点——下一步是:能否扩大规模并製作多颗位元?这是一段非常漫长的旅程。

顺带一提,投入这领域的不只是几家大公司——IBM、Microsoft、Amazon 等——还有一长串新创:IonQ、Rigetti、Psi……它们各自採用截然不同的方法。这很好;大概有四、五种路在同时探索「稳定量子位元」的可能。

我们必须全盘尝试;而且最好能在美国本土完成,对吧?〈Sonal:对!〉因此,所有这些团队都值得称赞。〈Sonal:我同意!〉

科学就是一步一步往前,小步快跑;能亲身经历这一切真是难得。

Sonal:你提到各家採用截然不同的方法,让我想起数百年前人们试飞、造车的「黄金年代」——大家完全不知道该从哪里开始,只能尝试各种疯狂的途径,最后才找到正确之路。我们正处于同样激动人心的时刻。

回到 Microsoft 公告的「讯号╱杂讯」:IEEE Spectrum 曾因 2018 年 Microsoft 撤回马约拉纳粒子的研究而写过一篇幽默文章,标题玩梗写成「Major(ana)」——意思是「重大退步」。

那麽,他们为何撤回,又为何现在改口谈拓扑量子位元?

Dan:问题在于:证据足够吗?他们原以为找到了这些马约拉纳态,结果证据不足;即便在那篇《Nature》文章中,也仍不足以说他们真的做到。所以就卡在这里。

Sonal:明白。那你要不要简短谈谈其他团队的路线?

Dan:IBM 和 Google 都走超导路线:这方法行得通,但杂讯大,不过技术上相对成熟。

Sonal:好,很棒。

我觉得很有意思——技术进程总带着张力:它不是线性的;如果硬要线性思考,就会看到前进、前进、退步,再前进、再退步……有时加速进展,却突然遇到几乎无法逾越的障碍;另一些路线则一开始进展缓慢、看似艰难,后来却反而走得更顺。

这正好引出下一个话题:我们究竟在谈多长的时间线?这将为下一部分铺路——我们要谈区块链开发者该怎麽做。

时间表与发展轨迹

Sonal:那我们来谈谈时间表吧。Justin,你想先从 NIST 开始说吗?

Justin:好,我来说。

最近几个月内,NIST 发布了一份文件(目前仍在徵求意见),大致表示他们计画在 5 年内停止支援椭圆曲线与 RSA 这些一旦量子计算机问世就会被破解的密码方案,并在 10 年内完全淘汰──也就是 2030 年停止支持,2035 年全面弃用。

他们并没有对「具有密码学意义的量子计算机」提出任何时间预测,只谈到何时要在政府体系淘汰非量子安全的系统。

这里要澄清:NIST 提到的考量有些是区块链等其他领域不必面对的,我举两点。

第一是「先储存、后解密」攻击──政府可能需要将资讯保密 70 年,而中国今天可能收集所有加密的美国政府通讯,等 30 年后有量子计算机再解密。区块链基本不用担心这件事。

第二是有些装置部署后几乎无法更新。某些收集敏感数据的盒子一旦放到现场,就改不了加密方案,可能运行 50 年。这与区块链最终「定型」的情况不同。

因此 NIST 文件只谈淘汰时程,未预测量子计算机何时出现;外界只能从「保密 70 年」反推他们估计 80 年内不会有相关量子计算机,但这终究是猜测。

Sonal:先说明一下,NIST 是「美国国家标准与技术研究院」,隶属商务部,负责度量与重要标准制定。那麽 NIST 是否可能从 NSA 得到内部消息才这麽决定?政府机构会彼此共享情报吗?

Justin:这方面 Dan 比我熟。过去确实出现 NSA 介入 NIST 标准而引发争议。就这件事而言,不能排除 NIST 或其合作方掌握未公开的量子工程进展。不过我个人猜测,如今科技巨头投入甚多,民间了解的状态恐怕不逊于政府──纯属推测。

Dan:根本问题是更换密码演算法非常耗时。早年 SHA-1 将被攻破时,光是找出哪些系统在用 SHA-1 就花了很久;即使现在 SHA-1 已完全报废,仍有系统在使用。

因此政府现在定下 2035 的目标,要求所有卖给政府的设备或软体必须内建后量子安全。

Sonal:也就是 10 年。

Dan:事实上仍很乐观,可能需要更久,但总得先有个目标。这种威胁的术语是 HNDL──「Harvest Now, Decrypt Later」。对 TLS 等加密通讯来说,确实要及早导入后量子方案。即便 NIST 已标准化后量子演算法,如何整合进 TLS 还得 IETF 慢慢协商,标准落地需要时间。

如今业界争论该直接部署后量子方案,还是与现有方案并用;意见尚未统一。

对区块链而言,以太坊基金会做法颇为成熟:现阶段仍用前量子方案,但为每个密码原语都备好后量子版本,以便需要时快速切换。

Sonal:如果没有量子计算机,怎麽能称「后量子安全」?

Dan:「后量子密码学」指的是在一般电脑上执行,但即使攻击者拥有大型量子计算机也难以破解的方案;「前量子密码学」则是一旦量子计算机出现就会被破解的方案。RSA 与椭圆曲线属于前量子;格基、码基、杂凑基方案属于后量子。

Sonal:那为什麽区块链不用管「先储存后解密」?

Dan:「先储存后解密」针对的是加密资料,而区块链主要使用的是签章。所以这种威胁基本不适用。

Justin:举例说,你转帐比特币要用数位签章。如果攻击者拥有量子计算机,就能伪造签章盗走你的币。因此区块链首先要把数位签章换成后量子方案。其他像工作量证明、零知识证明也各有不同影响,需要逐一评估。

Justin:还有一点:与 NIST 在全球推动标准相比,区块链升级其实更快。以太坊每年一次硬分叉,协调虽难但做得到;比特币改动则更难,升级到后量子签章的挑战最大。

Sonal:好,那你们的时间预测呢?

Dan:如果有人用量子计算机非法转移区块链资产,我们就会知道量子计算机出现了。估算上,要影响密码学大概要一千万量子位元;如果假设「量子摩尔定律」──每 18 个月能力倍增──从现在约 100 物理位元起算,需要 10–15 次倍增,约 20 年。误差可能 ±10 年。若像阿波罗计画那样投入巨资,也许 10 年,但目前看来不会。

Justin:查看各公司路线图,没任何一家预测 10 年内能达到加密相关的量子计算机;这些路线图已经偏乐观,实际多半更慢。而且报告里的「逻辑量子位元」往往只能做 Clifford 运算,要跑 Shor 还需能执行 T-gate;许多路线图根本没提 T-gate。专家普遍认为 20 年上下较合理,要大幅早于 20 年得有意外突破。

Dan:进展速度取决于投入动力。传统摩尔定律背后是巨大市场需求;量子计算目前没有商业杀手级应用,投资力度远不及当年硅晶片产业,所以 Moore 的倍增假设对量子计算可能过于乐观。

Sonal:科学总会带来惊喜;十年前的零知识证明进展就超乎想像。也许十年后我们会大吃一惊。

Justin:对我来说,更惊讶的是人们为零知识证明找到诱人应用,从而推动技术飞速前进。

Sonal:听到这点我起鸡皮疙瘩——科技与创新的演进真是太美妙了。

后量子密码迁移指南

Sonal:好的!现在我们已经把新闻放进脉络,区分了事实与夸大,聊了可能的时间表与意外。Justin,你刚刚提到,不论微软、Google、IBM 或政府在路线图上写了什麽,都不一定等于真正的时程。既然区块链具有可快速升级这个特性,又主要依赖签章而不是传统加密,社群到底该担心什麽?更重要的是,何时需要担心?你们跟加密货币创办人与技术人谈论如何规划后量子世界时,他们是太早紧张还是太晚?该担心到什麽程度?

Justin:好,我们逐类来看区块链用到的密码学。
首先是数位签章──它们必须更换。<Sonal:对> 但问题在于时机,以及过早更换会不会有风险。过早切换的代价有两个:第一,现有所有后量子签章在某些方面都更昂贵。最热门的那些签章本身大了十倍以上;另一种做法是签章小,但公开密钥大一百倍──两种都不好对吧。网路变臃肿,节点需要更多运算与储存,去中心化因此受影响。这是实际成本。

更大的顾虑是:我们仍在摸索哪些后量子签章真正安全,以及性能与安全的最佳平衡。等得越久,理解越深,就越不会跳到一个其实对传统电脑都不安全的方案。
正如 Dan 提过,是否同时部署传统与后量子签章仍有争议;理由之一就是后量子方案可能被证明对传统攻击也不安全。

Dan:这种事已经发生过好几次—提议的后量子方案被传统攻击破解。

Sonal:所以你说过早切换的代价,其实是把自己暴露在真正的安全风险下。

Justin:对。准备是好事,确保届时能切换;但不到必要时别急着换,因为那本身就带来额外风险。以上谈的是数位签章……

Dan:我补充一下比特币的情况。比特币地址公开的其实只是你公开密钥的杂凑,光靠杂凑无法对量子攻击下手。只有当你花费该地址中的币时,才需公开真正的公开密钥;如果那个地址仍有馀额,且你已经花过,才会暴露于量子攻击。并非所有地址都会受影响。

此外,比特币改动极难。引入新签章属重大变动,上次启用 Schnorr 已经很不容易。他们得非常确定自己挑对了方案,可能还得再等几年观察。之后还需要一个「旗日」:某年某月某日,未迁移的地址视为废弃,否则大量资金可能被盗并动摇经济。奇怪的是,比特币社群对此讨论并不多。

Sonal:这其实不意外;因为比特币社群极度分散,需要高度协调,本质上是个社会问题。

Dan:没错。L1 若要进入后量子世界,许多人得把资金从旧地址搬到新地址。

Justin:比特币还有另一点与量子计算相关:工作量证明。比特币挖矿靠 SHA-256 杂凑。今天你付出十倍算力,就有十倍中矿机率;这种线性关係对(有限的)去中心化很重要。若量子计算机能对杂凑取得边际加速,付出十倍算力得到的成功率增幅超过十倍,会带来中心化趋势。这在理论上需担心,但实际量子计算机的複杂开销可能让这加速极微小。即便可扩展的量子计算机出现,也不会「完全破解」SHA-256,只是很小的速度提升而已。

Sonal:明白,这澄清了许多。

Justin:说完签章,下一个重要原语是零知识证明(或用来扩容与隐私的简洁证明)。

Sonal:先提醒听众何谓零知识。

Justin:零知识证明让你证明你知道某资料,而不洩露任何关于该资料的资讯。例如我证明我知道控制某比特币钱包的私钥,但证明内容本身不洩露私钥。零知识还有简洁性:证明短小、验证快速,你可以把大量计算外包给不受信任的人,对方提供短小证明,你用很少资源验证即可。

一些热门的 ZK 系统已经是后量子安全(基于杂凑);另一些基于椭圆曲线,后者证明更短。需要注意的是,量子攻击影响 ZK 的可靠性(soundness),不影响零知识性。只要产生证明时攻击者手上没有大规模量子计算机,未来量子电脑也无法回头破坏你过去的隐私。因此,除非你相信量子计算机已经近在眼前,否则 ZK 系统不必急于切换。

后量子 ZK 证明虽然对证明者较快,但证明常大两个数量级。今日普遍做法是:用非后量子系统包装后量子证明以缩小体积,这又複杂又易出错。如果大家恐慌地提前全面改用后量子,证明大小将暴增百倍,区块链成本暴涨。我的看法是未来十年内,真正要担心的不是量子,而是漏洞。若可选,我宁採用简单、前量子的方案,而非複杂、后量子的。

Sonal:非常好的脉络。 Dan,说说格基密码学吧?

Dan:后量子系统有几条路,是漂亮的几何对象,存在被认为连量子计算机都难解的计算问题。二十多年来我们试图破解,皆未成功;越多人尝试而失败,我们就越信任它的困难度。这和 AES、ECDSA 建立信心的历程一样。不过这是永无止境的过程——我们仍需要更多研究人员攻击 NIST 标准所用的格问题,哪怕仅削弱一点安全强度,也将是重大成果。

NIST 已标准化一整套后量子系统。例如密钥交换机制 Kyber(ML-KEM)。传统方案公钥与讯息约 64 位元组;Kyber 公钥与交换讯息都超过 1 KB,对区块链而言储存与手续费成本暴增。签章方面,NIST 选了三个:两个格基,一个杂凑基的 SLH-DSA(源自 Sphinx)。杂凑基方案风险最低,但签章约 7 KB,对区块链与 HTTPS 都很沉重;然而在软体更新场景就非常重要,因为若量子计算机突然出现,我们仍需可信的更新。
因此,软体更新系统应儘早採用后量子签章;HTTPS 加密演算法必须在 2035 前换成后量子,但签章/凭证可再等等。

Sonal:总结得很好!Justin,回到 ZK 世界,最近有篇由 Setty 与 Nguyen 发表的 Neo:格基折叠方案,还有 Dan 与其博士后的相关论文。

Justin:目前都属最新研究,尚未实用。今日大部分公钥密码学靠椭圆曲线,不幸非后量子;而格似乎能在保持那些好处的同时提供后量子安全。新论文尝试用格实作椭圆曲线在 ZK 中才能做到的超高效率折叠方案。我看到后对为 Jolt 製作后量子版本更乐观,也许比改用杂凑路径更简单。

椭圆曲线依旧有优势:证明更小、内存占用低,可在手机上产生。未来若格基折叠成熟,也许能兼得安全与高效。在区块链可负担更多计算与资料前,我认为用非后量子包后量子证明是多馀且易出错的做法。

Sonal:重点是别因追逐后量子而忽略更大的安全视角:漏洞今天就可能伤害你。

Justin:没错。如果像 NIST 那样必须花二十年转换,你就得现在开始;但若有选择,就别匆忙,免得把系统搞得更複杂、更容易出错。

Sonal:那麽,给开发者的建议?

Justin:对于零知识证明,量子只影响可靠性,不影响隐私。只要产生证明时攻击者没有大型量子计算机,就安全无虞。最终我们一定得切换,但这是成本效益问题。做好准备,但别恐慌。

Sonal:别盲目相信媒体炒作,也别在一夜之间乱升级。区块链升级其实比整个网际网路基础设施容易得多。

Justin:就是这样。

Sonal:太好了!

(音乐/结语淡出)

Justin:谢谢邀请,终于一起录了这一集,希望对大家有帮助,也很开心。

Dan:谢谢 Sonal,超级有趣,盼望对听众有用。

Sonal:非常受教。我总觉得你们暗地为 NSA 或 CIA 工作 <Dan大笑>,偷偷造量子计算机;我们下次聚会再聊拓扑量子位元这种听起来像外星「智子」的东西吧。谢谢,Dan。

Dan:谢谢 Sonal,下次见。


Kurt Pan: 即日起提供有偿「密码学论文代码实现和 benchmarking 服务」,语言侧重Rust / Python / C++,密码学侧重零知识证明系统格密码方案。欢迎有需要的老师同学以及对密码学感兴趣的朋友联系我,邮箱kurtpan666 at pm dot me 或微信 cryptokurt,也可关注公众号后留言。