量子计算和区块链：紧迫性与实际威胁的权衡

本文作者：Justin Thaler 是 a16z 的研究合作伙伴，也是乔治城大学计算机科学系的副教授。他的研究兴趣包括可验证计算、复杂性理论和海量数据集算法。原文为英文，中文内容由谷歌翻译。

原文链接:https://a16zcrypto.com/posts/article/quantum-computing-misconceptions-realities-blockchains-planning-migrations/

与密码学相关的量子计算机的时间表经常被夸大——导致人们呼吁紧急、大规模地过渡到后量子密码学。

但这些呼吁往往忽视了过早迁移的成本和风险，并且忽略了不同加密原语的截然不同的风险状况：

尽管成本高昂，后量子加密仍需要立即部署：先收获后解密（HNDL）攻击已经在进行中，因为当量子计算机真正到来时，今天加密的敏感数据将仍然有价值，即使是几十年后。后量子加密的性能开销和实施风险是真实存在的，但 HNDL 攻击让需要长期保密的数据别无选择。

HNDL,译者注:简单来说，这是一种“蛰伏式”的攻击策略。攻击者现在就开始窃取并存储加密的敏感数据，即使他们目前无法解密。他们赌的是未来量子计算机技术成熟后，能够轻松破解现有的加密算法，届时这些囤积的数据就会被解密，造成灾难性后果。

后量子签名面临着不同的计算。它们不易受到 HNDL 攻击，并且成本和风险（更大的规模、性能开销、实施不成熟和错误）需要深思熟虑而不是立即迁移。

这些区别很重要。误解会扭曲成本效益分析，导致团队忽视更显着的安全风险——比如错误。

成功迁移到后量子密码学的真正挑战是将紧迫性与实际威胁相匹配。 下面，我澄清了有关密码学量子威胁的常见误解（包括加密、签名和零知识证明），并特别关注它们对区块链的影响。

我们的时间安排在哪里？

尽管有高调的说法，但 2020 年代出现与密码相关的量子计算机 (CRQC) 的可能性极小。

我所说的“与加密相关的量子计算机”是指一种容错、纠错的量子计算机，能够在合理的时间范围内以足以攻击椭圆曲线加密或 RSA 的规模运行 Shor 算法（例如，最多用一个月的持续计算来破解 secp256k1 或 RSA-2048）。

通过对公共里程碑和资源估计的合理解读，我们距离密码学相关的量子计算机还差得很远。公司有时声称 CRQC 可能会在 2030 年或 2035 年之前完成，但众所周知的进展并不支持这些说法。

就上下文而言，在所有当前架构（捕获离子、超导量子位和中性原子系统）中，当今没有一个量子计算平台能够接近在 RSA-2048 或 secp256k1 上运行 Shor 算法所需的数十万到数百万个物理量子位（取决于错误率和纠错方案）。

限制因素不仅仅是量子位数量，还包括门保真度、量子位连接性以及运行深度量子算法所需的持续纠错电路深度。虽然一些系统现在超过 1,000 个物理量子位，但仅原始量子位计数就具有误导性：这些系统缺乏加密相关计算所需的量子位连接性和门保真度。

最近的系统接近量子纠错开始起作用的物理错误率，但没有人展示出超过少数具有持续纠错电路深度的逻辑量子位……更不用说运行 Shor 算法实际需要的数千个高保真、深电路、容错逻辑量子位了。证明量子纠错原则上有效与实现密码分析所需的规模之间的差距仍然巨大。

简而言之：在量子比特数和保真度都提高几个数量级之前，与密码相关的量子计算机仍然遥不可及。

然而，企业新闻稿和媒体报道很容易让人感到困惑。这里的一些常见误解和混乱来源包括：

声称“量子优势”的演示目前针对的是人为任务。 选择这些任务并不是因为它们的实际用途，而是因为它们可以在现有硬件上运行，同时表现出巨大的量子加速——这一事实在公告中经常被掩盖。

公司声称已经实现了数千个物理量子位。 但这指的是量子退火器，而不是运行肖尔算法来攻击公钥密码学所需的门模型机器。

大量使用“逻辑量子比特”一词的公司。物理量子位是有噪音的。如上所述，量子算法需要逻辑量子位； Shor 的算法需要数千个。使用量子纠错，人们可以从许多物理量子位（通常是数百到数千个，具体取决于错误率）中实现一个逻辑量子位。但一些公司已经将这个术语延伸得面目全非。例如，最近的一项声明声称使用距离 2 代码实现了 48 个逻辑量子位，每个逻辑量子位只有两个物理量子位。这是荒谬的：distance-2 代码只能检测错误，而不能纠正错误。用于密码分析的真正容错逻辑量子位每个需要数百到数千个物理量子位，而不是两个。

更一般地说，许多量子计算路线图使用术语“逻辑量子位”来指代仅支持 Clifford 运算的量子位。这些操作可以有效地进行经典模拟，因此不足以运行 Shor 算法，该算法需要数千个纠错 T 门（或更普遍的非 Clifford 门）。

即使其中一个路线图的目标是“到 X 年实现数千个逻辑量子位”，这并不意味着该公司希望在 X 年之前运行 Shor 的算法来打破经典密码学。

这些做法严重扭曲了公众对我们与密码相关量子计算机的距离的看法，即使是在经验丰富的观察者中也是如此。

尽管如此，一些专家确实对进展感到兴奋。例如，斯科特·阿伦森 (Scott Aaronson) 最近写道，鉴于“当前硬件进步的惊人速度”，

我现在认为，在下届美国总统大选之前，我们很有可能拥有一台运行肖尔算法的容错量子计算机。

但阿伦森后来澄清说，他的声明并不意味着与密码学相关的量子计算机：即使完全容错地运行肖尔算法因式分解 15 = 3×5，他也会将其视为已完成的计算——你可以用铅笔和纸更快地完成这种计算。该条仍然是 Shor 算法的小规模执行，而不是与密码学相关的算法，因为之前在量子计算机上进行 15 因式分解使用的是简化电路，而不是完整的、容错的 Shor。这些实验始终将 15 作为要因式分解的数字是有原因的：算术模 15 在计算上很容易，而对 21 这样稍大的数字进行因式分解则要困难得多。因此，声称 21 因子的量子实验通常依赖于额外的提示或捷径。

简而言之，人们对密码学相关量子计算机能够在未来 5 年内破解 RSA-2048 或 secp256k1 的期望（这对实用密码学至关重要）并没有得到众所周知的进展的支持。

即使是10年也仍然雄心勃勃。考虑到我们离密码学相关的量子计算机还有多远，对进展的兴奋与十多年的时间线完全一致。

美国政府将 2035 年作为政府系统大规模后量子 (PQ) 迁移的最后期限怎么样？我认为这是完成如此大规模过渡的合理时间表。然而，这并不能预测届时将会存在与密码相关的量子计算机。

HNDL 攻击适用于何处（以及不适用于何处）？

现在收获，稍后解密（HNDL）攻击是指攻击者现在存储加密流量，然后在密码相关的量子计算机存在时对其进行解密。国家级的对手肯定已经大规模存档了来自美国政府的加密通信，因此当 CRQC 确实存在时，他们可以在多年后解密这些通信。

这就是为什么加密技术今天需要转型——至少对于任何有 10-50 年以上保密需求的人来说是这样。

但所有区块链都依赖的数字签名与加密不同：追溯攻击没有保密性。

换句话说，如果一台与密码相关的量子计算机出现，从那时起签名伪造确实成为可能，但过去的签名并不像加密消息那样“隐藏”秘密。只要您知道数字签名是在 CRQC 到达之前生成的，就不可能是伪造的。

这使得向后量子数字签名的过渡不如后量子加密过渡那么紧迫。

主要平台正在采取相应行动：Chrome 和 Cloudflare 推出了混合 X25519 + ML-KEM，用于 Web 传输层安全 (TLS) 加密*。 [*在这篇文章中，我提到加密方案是为了提高可读性，但严格来说，像 TLS 这样的安全通信协议使用密钥交换或密钥封装机制，而不是公钥加密。]

这里的“混合”意味着同时使用后量子安全方案（即 ML-KEM）和现有方案（X25519），以获得两者的组合安全保证。这样，他们就可以（希望）通过 ML-KEM 阻止 HNDL 攻击，同时在 ML-KEM 即使针对当今的计算机也不安全的情况下保持 X25519 的经典安全性。

苹果的 iMessage 也通过其 PQ3 协议部署了这种混合后量子加密，Signal 也通过其 PQXDH 和 SPQR 协议部署了这种混合后量子加密。

相比之下，后量子数字签名在关键网络基础设施中的推出被推迟，直到密码学相关的量子计算机实际上即将面世，因为当前的后量子签名方案引入了性能回归（本文稍后会详细介绍）。

zkSNARKs——零知识简洁非交互式知识论证，是区块链长期可扩展性和隐私性的关键——与签名的情况类似。这是因为即使对于非后量子安全的 zkSNARK（它们使用椭圆曲线加密技术，就像今天的非后量子加密和签名方案），它们的零知识属性也是后量子安全的。

零知识属性确保证明中不会透露有关秘密证人的任何信息，甚至不会透露给量子对手，因此不存在“立即收获”供以后解密的机密信息。

因此，zkSNARK 现在不容易被收获，解密以后的攻击。正如今天生成的非后量子签名是安全的一样，在密码学相关的量子计算机到达之前生成的任何 zkSNARK 证明都是值得信赖的（也就是说，被证明的陈述绝对正确）——即使 zkSNARK 使用椭圆曲线密码学。只有在与密码相关的量子计算机到来之后，攻击者才能找到令人信服的虚假陈述证据。

这对区块链意味着什么

大多数区块链不会受到 HNDL 攻击：

大多数非隐私链，例如今天的比特币和以太坊，主要使用非后量子加密技术进行交易授权——也就是说，它们使用数字签名，而不是加密。

同样，这些签名不是 HNDL 风险：“现在收获，稍后解密”攻击适用于加密数据。例如，比特币的区块链是公开的；量子威胁是签名伪造（派生私钥来窃取资金），而不是解密已经公开的交易数据。这消除了 HNDL 攻击带来的直接加密紧迫性。

不幸的是，即使来自美联储等可靠来源的分析也错误地声称比特币容易受到 HNDL 攻击，这一错误夸大了向后量子密码学过渡的紧迫性。

也就是说，紧迫性降低并不意味着比特币可以等待：它面临着来自改变协议所需的巨大社会协调的不同时间压力。 （下面详细介绍了比特币的独特挑战。）

截至目前，隐私链是个例外，其中许多链会加密或以其他方式隐藏收件人和金额。一旦量子计算机能够破解椭圆曲线密码学，这种机密性现在就可以被获取并追溯去匿名化。

对于此类隐私链，攻击的严重程度因区块链设计而异。例如，通过门罗币基于曲线的环签名和关键图像（用于阻止双花的每个输出的可链接性标签），仅公共分类账就足以追溯重建支出图。但在其他方面，损害更为有限——请参阅 Zcash 密码工程师和研究员 Sean Bowe 的讨论了解详细信息。

如果用户的交易不被加密相关的量子计算机暴露很重要，那么隐私链应该尽快过渡到后量子原语（或混合体）。或者，他们应该采用避免将可解密秘密放在链上的架构。

比特币特别令人头疼的问题：治理+废弃的币

尤其是对于比特币来说，有两个现实推动了开始转向后量子数字签名的紧迫性。两者都与量子技术无关。

一个担忧是治理速度：比特币变化缓慢。如果社区不能就适当的解决方案达成一致，任何有争议的问题都可能引发破坏性的硬分叉。

另一个担忧是，比特币向后量子签名的转变不能是被动迁移：所有者必须主动迁移他们的货币。这意味着废弃的、易受量子影响的硬币无法得到保护。一些估计认为，量子脆弱且可能被废弃的 BTC 数量为数百万枚，按当前价格计算（截至 2025 年 12 月）价值数千亿美元。

然而，对比特币的量子威胁不会是突然的、一夜之间的灾难……而更像是一个选择性的、渐进的目标过程。量子计算机不会同时破解所有加密——肖尔的算法必须一次针对一个单独的公钥。早期的量子攻击将极其昂贵且缓慢。因此，一旦量子计算机能够破解单个比特币签名密钥，攻击者就会有选择地攻击高价值钱包。

此外，即使没有协议更改，避免地址重用且不使用 Taproot 地址（直接在链上公开公钥）的用户也会在很大程度上受到保护：他们的公钥仍然隐藏在哈希函数后面，直到他们的代币被花完。当他们最终广播支出交易时，公钥变得可见，并且在需要确认交易的诚实支出者和任何想要在真正所有者的交易最终完成之前找到私钥并花费代币的配备量子的攻击者之间存在短暂的实时竞赛。因此，真正容易受到攻击的代币是那些公钥已经暴露的代币：早期的 P2PK 输出、重复使用的地址和 Taproot 持有量。

对于已经被废弃的脆弱代币，没有简单的解决方案。一些选项包括：

比特币社区同意设立一个“卖旗日”，此后所有未迁移的代币将被宣布销毁。
让废弃的量子脆弱硬币很容易被任何拥有加密相关量子计算机的人没收。
第二种选择会造成严重的法律和安全问题。使用量子计算机在没有私钥的情况下占有硬币——即使声称拥有合法所有权或良好意图——可能会在许多司法管辖区根据盗窃和计算机欺诈法引发严重问题。

此外，“放弃”本身就是一种基于不活动的推定。但没有人真正知道这些硬币是否缺少可以使用钥匙的在世主人。您曾经拥有代币的证据可能无法提供足够的法律权限来打破加密保护以收回它们。这种法律上的模糊性增加了被遗弃的量子脆弱代币落入愿意无视法律约束的恶意行为者手中的可能性。

比特币特有的最后一个问题是其交易吞吐量低。即使迁移计划最终确定，按照比特币当前的交易速度，将所有易受量子影响的资金迁移到后量子安全地址也需要数月时间。

这些挑战使得比特币现在就开始规划其后量子转型至关重要——不是因为密码相关的量子计算机可能在 2030 年之前出现，而是因为迁移价值数十亿美元的货币的治理、协调和技术物流将需要数年时间才能解决。

对比特币的量子威胁是真实存在的，但时间压力来自比特币自身的限制，而不是来自即将到来的量子计算机。其他区块链也面临着量子脆弱基金的挑战，但比特币面临着独特的挑战：其最早的交易使用公共密钥付费 (P2PK) 输出，将公共密钥直接放在链上，这使得 BTC 的很大一部分容易受到与加密相关的量子计算机的攻击。这种技术差异，再加上比特币的年龄、价值集中、低吞吐量和治理僵化，使得问题变得尤为严重。

请注意，我上面描述的漏洞适用于比特币数字签名的加密安全，但不适用于比特币区块链的经济安全。这种经济安全性源自工作量证明（PoW）共识机制，该机制不易受到量子计算机的攻击，原因有以下三个：

PoW 依赖于哈希，因此仅受到 Grover 搜索算法的二次量子加速，而不受 Shor 算法的指数加速。
实施 Grover 搜索的实际开销使得任何量子计算机都不太可能在比特币的工作量证明机制上实现哪怕是适度的现实世界加速。
即使实现了显着的加速，这些加速也会使大型量子矿工比小型矿工更具优势，但不会从根本上打破比特币的经济安全模型。

后量子签名的成本和风险

为了了解为什么区块链不应该急于进行后量子签名部署，我们需要了解性能成本以及我们对后量子安全性仍在不断变化的信心。

大多数后量子密码学基于以下五种方法之一：

散列
代码
格子
多元二次系统 (MQ)
同基因。

为什么有五种不同的方法？任何后量子密码原语的安全性都基于这样的假设：量子计算机无法有效解决特定的数学问题。问题越“结构化”，我们可以根据它构建的加密协议就越有效。

但这是双向的：额外的结构也为攻击算法创造了更多的可利用表面积。这造成了一种根本性的紧张——更强的假设可以带来更好的性能，但代价是潜在的安全漏洞（即假设被证明是错误的可能性增加）。

一般来说，基于哈希的方法是最保守的安全方法，因为我们最有信心量子计算机无法有效地攻击这些协议。但它们的性能也是最低的。例如，由 NIST 标准化的基于哈希的签名即使在最小参数设置下也具有 7-8 KB 的大小。相比之下，当今基于椭圆曲线的数字签名只有 64 字节。这大约是尺寸的 100 倍差异。

点阵方案是当今部署的主要焦点。唯一的加密方案以及 NIST 已选择用于标准化的三种签名算法中的两种都是基于格的。一种网格方案（ML-DSA，以前称为 Dilithium）生成的签名范围从 2.4 KB（在 128 位安全级别）到 4.6 KB（在 256 位安全级别），这使得它们比当今基于椭圆曲线的签名大大约 40-70 倍。另一种点阵方案 Falcon 的签名稍小（Falcon-512 为 666 字节，Falcon-1024 为 1.3 KB），但带有复杂的浮点算术，NIST 本身将其标记为特殊的实现挑战。 Falcon 的创建者之一 Thomas Pornin 称其为“迄今为止我实现过的最复杂的加密算法”。

基于格的签名方案比基于椭圆曲线的签名方案更具挑战性：ML-DSA 具有许多更敏感的中间值和需要侧通道和故障保护的重要拒绝采样逻辑。 Falcon 添加了恒定时间浮点关注点；对 Falcon 实现的几次旁路攻击实际上已经恢复了秘密密钥。

这些问题带来了直接的风险，与密码相关的量子计算机的更遥远的威胁不同。

在为后量子密码学部署更高性能的方法时，有充分的理由要谨慎。从历史上看，Rainbow（基于 MQ 的签名方案）和 SIKE/SIDH（基于同源的加密方案）等主要候选方案都是通过经典方式破解的，也就是说，使用当今的计算机而不是量子计算机来破解。

NIST 的标准化过程中就发生了这种情况。这是健康的科学在发挥其作用，但它表明过早的标准化和部署可能会适得其反。

如前所述，互联网基础设施正在采取审慎的方法来进行签名迁移。考虑到互联网的加密转换一旦开始实际上需要多长时间，这一点尤其值得注意。 MD5 和 SHA-1 哈希函数（在技术上已被网络管理机构多年前废弃）的迁移花费了很多年的时间才在基础设施中实际实施，并且在某些情况下仍在进行中。尽管这些计划已被完全破坏，但这种情况还是发生了，而不仅仅是可能受到未来技术的影响。

区块链与互联网基础设施的独特挑战

幸运的是，由开源开发者社区积极维护的区块链（例如以太坊或 Solana）可以比传统网络基础设施更快地升级。另一方面，传统的网络基础设施受益于频繁的密钥轮换，这意味着它的攻击面移动速度比早期量子机器的目标移动速度更快——豪华区块链则不具备这种能力，因为硬币及其相关密钥可以无限期地暴露在外。

但总的来说，区块链仍然应该遵循网络的签名迁移方法。这两种设置都不会受到 HNDL 签名攻击，并且无论密钥持续多久，过早迁移到不成熟的后量子方案的成本和风险仍然很大。

区块链还面临一些特定的挑战，使得过早迁移变得尤其危险和复杂：例如，区块链对签名方案有独特的要求，特别是快速聚合许多签名的能力。如今，BLS 签名被广泛使用，因为它们可以实现非常快速的聚合，但它们不是后量子安全的。研究人员正在探索基于 SNARK 的后量子签名聚合。这项工作很有希望，但仍处于早期阶段。

特别是对于 SNARK，社区目前专注于基于哈希的结构作为领先的后量子选项。但重大转变即将到来：我相信在未来几个月和几年内，基于网格的选择将成为有吸引力的替代品。这些替代方案在各个方面都比基于哈希的 SNARK 具有更好的性能，例如明显更短的证明 – 类似于基于格的签名比基于哈希的签名更短。

现在更大的问题：实施安全

未来几年，实施漏洞将成为比密码相关量子计算机更大的安全风险。对于 SNARK 来说，首要关注的是 bug。

错误已经成为数字签名和加密方案的一个挑战，而 SNARK 则要复杂得多。事实上，数字签名方案可以被视为一种非常简单的 zkSNARK，因为声明“我知道与我的公钥对应的私钥，并且我授权了该消息”。

对于后量子签名，直接风险还包括侧通道攻击和故障注入攻击等实施攻击。此类攻击有详细记录，并且可以从已部署的系统中提取密钥。它们构成的威胁比遥远的量子计算机要紧迫得多。

社区将花费数年时间来识别和修复 SNARK 中的错误，并强化后量子签名实施以抵御侧通道和故障注入攻击。由于后量子 SNARK 和签名聚合方案的尘埃尚未尘埃落定，过早过渡的区块链有可能将自己锁定在次优方案中。当出现更好的选择或发现实施漏洞时，他们可能需要再次迁移。

我们应该做什么？ 7 条建议

鉴于我上面概述的现实，我将向各个利益相关者（从建设者到政策制定者）提出建议。总体原则：认真对待量子威胁，但不要假设密码学相关的量子计算机将在 2030 年之前问世。这一假设目前的进展并不能证明其合理性。尽管如此，我们现在仍然可以而且应该做一些事情：

#1 我们应该立即部署混合加密。

或者至少，在长期保密问题和成本可以承受的情况下。

许多浏览器、CDN 和消息应用程序（如 iMessage 和 Signal）已经部署了混合方法。后量子+经典的混合方法可以防止 HNDL 攻击，同时对冲后量子方案中的潜在弱点。

#2 当基于哈希的签名的大小可以忍受时，立即使用它们。

软件/固件更新——以及其他此类低频、大小不敏感的环境——现在应该采用基于混合哈希的签名。 （混合是为了对冲新方案中的实施错误，而不是因为基于哈希的安全假设受到质疑。）

这是保守的，并为社会提供了一条明确的“救生艇”，以防万一与密码相关的量子计算机意外很快出现。如果没有后量子签名的软件更新，我们将在 CRQC 出现后面临引导问题：我们将无法安全地分发我们需要承受的后量子加密修复。

#3 区块链不需要急于进行后量子签名，但应该现在就开始计划。

区块链开发人员应跟随网络 PKI 社区的脚步，采取审慎的方法来部署后量子签名。这使得后量子签名方案在性能和我们对其安全性的理解方面不断成熟。这种方法还允许开发人员有时间重新构建系统以处理更大的签名并开发更好的聚合技术。

对于比特币和其他 L1：社区需要定义废弃的量子脆弱基金的迁移路径和政策。被动迁移是不可能的，因此规划至关重要。由于比特币面临着主要是非技术性的特殊挑战——缓慢的治理，以及大量可能被废弃的高价值的量子脆弱地址——比特币社区现在就开始这项计划就显得尤为重要。

与此同时，我们需要让后量子 SNARK 和可聚合签名的研究成熟（可能还需要几年）。同样，过早迁移可能会导致陷入次优方案或需要进行第二次迁移来解决实施错误。

关于以太坊账户模型的说明：以太坊支持两种对后量子迁移具有不同影响的账户类型：外部拥有账户（EOA），由 secp256k1 私钥控制的传统账户类型；以及具有可编程授权逻辑的智能合约钱包。

在以太坊添加后量子签名支持的非紧急情况下，可升级的智能合约钱包可以通过合约升级切换到后量子验证，而 EOA 可能需要将其资金转移到新的后量子安全地址（尽管以太坊也可能为 EOA 提供专用的迁移机制）。在量子紧急情况下，以太坊研究人员提出了一项硬分叉计划，以冻结易受攻击的账户，并让用户通过使用后量子安全 SNARK 证明其种子短语的知识来恢复资金。这种恢复机制将适用于 EOA 和任何尚未升级的智能合约钱包。

对用户的实际影响：经过良好审核、可升级的智能合约钱包可能会提供稍微平滑的迁移路径，但差异不大，并且需要在钱包提供商的信任和升级治理方面进行权衡。比账户类型更重要的是，以太坊社区继续致力于后量子原语和紧急响应计划。

为构建者提供的更广泛的设计课程：当今许多区块链将账户身份与特定的加密原语紧密结合——比特币和以太坊与 secp256k1 上的 ECDSA 签名，其他区块链与 EdDSA 紧密结合。后量子迁移的挑战凸显了将帐户身份与任何特定签名方案解耦的价值。以太坊向智能账户的转变以及其他链上类似的账户抽象工作反映了这一趋势：让账户升级其身份验证逻辑，而不放弃其链上历史和状态。这种解耦不会使后量子迁移变得微不足道，但它确实比将帐户硬连接到单一签名方案提供了更大的灵活性。 （这还启用了不相关的功能，例如赞助交易、社交恢复和多重签名）。

#4 对于加密或隐藏交易详细信息的隐私链，如果性能可以忍受，请尽快优先考虑转换。

这些链上的用户机密性目前面临 HNDL 攻击，尽管不同设计的严重程度有所不同。仅靠公共账本就能实现完全追溯去匿名化的链面临着最紧迫的风险。

考虑混合（后量子+经典）方案，以防止表面上的后量子方案甚至在经典上不安全，或者实施架构更改，避免将可解密的秘密放在链上。

#5 短期内优先考虑实施安全，而不是缓解量子威胁。
特别是对于 SNARK 和后量子签名等复杂的加密原语，错误和实施攻击（侧通道攻击、故障注入）在未来几年将比加密相关的量子计算机带来更大的安全风险。

现在就投资审计、模糊测试、形式验证和深度防御/分层安全方法——不要让量子担忧掩盖了更紧迫的错误威胁！

#6 资助量子计算开发。

上述所有因素对国家安全的重大影响是，我们需要维持量子计算的资金和人才开发。

如果一个主要对手在美国之前实现与密码相关的量子计算能力，将会给我们和世界其他国家带来严重的国家安全风险。

#7 保持对量子计算公告的看法。

随着量子硬件的成熟，未来几年将会出现许多里程碑。矛盾的是，这些公告的频繁发布本身就证明了我们距离密码学相关的量子计算机还有多远：每个里程碑都代表了我们在到达这一点之前必须跨越的众多桥梁之一，并且每一个都会产生自己的头条新闻和令人兴奋的浪潮。

将新闻稿视为进行批判性评估的进度报告，而不是提示采取突然行动。

***

当然，可能会出现令人惊讶的发展或创新，从而加速预计的时间表，就像可能存在严重的扩展瓶颈导致时间表延长一样。

我不会说五年内出现与密码相关的量子计算机实际上是不可能的，只是极不可能。上述建议对于这种不确定性是有效的，遵循这些建议可以避免更直接、更可能的风险：实施错误、仓促部署以及加密转换出错的常见方式。