量子计算 - 日志

Mar 29, 2026

量子计算机什么时候能破解比特币？这个问题每隔几个月就会在社交媒体上引发一轮恐慌。但恐慌往往缺乏对原理的理解——人们不清楚量子计算机到底能做什么、不能做什么，也不清楚密码学社区已经在做什么。

这篇文章试图把这件事讲清楚。我们会覆盖三个维度：

威胁原理——量子算法如何破解现有密码学
商用进展——量子硬件离"密码学相关"还有多远
防御策略——区块链社区的应对方案与时间表

所有关键结论均追踪到具体论文或标准文件。

一、量子算法对密码学的威胁

1.1 Shor 算法：非对称密码的终结者

1994 年，Peter Shor 提出了一种能在量子计算机上以多项式时间 $O((\log N)^3)$ 求解整数分解问题和离散对数问题的算法。¹ 这两个问题恰好是现代公钥密码学的根基：

密码体系	依赖的数学难题	Shor 算法能否攻破
RSA	大整数分解	能
ECDSA / ECDH	椭圆曲线离散对数 (ECDLP)	能
Diffie-Hellman / DSA	有限域离散对数	能

一旦足够大的量子计算机出现，当前互联网上几乎所有的密钥协商和数字签名都会失效。

但"足够大"是多大？

RSA-2048 的资源估计。 Gidney 和 Ekerå 在 2021 年的论文中给出了迄今最优的估计：使用表面码（surface code）纠错、物理错误率 $10^{-3}$ 的条件下，分解一个 2048 位 RSA 整数需要约 2000 万个物理量子比特，运行时间约 8 小时。² 这对应大约 4000 个逻辑量子比特。这比 Fowler 等人 2012 年估计的 10 亿物理比特降低了约 50 倍——降幅来自更优的电路编译和 magic state distillation 技术。

ECC-256 的资源估计。 椭圆曲线密码学在同等安全级别下比 RSA 用更短的密钥，但在量子攻击面前反而更脆弱——Shor 算法对 ECDLP 的效率相对于经典安全级别更高。Roetteler 等人估计，破解一条 256 位椭圆曲线需要约 2330 个逻辑量子比特和 $1.26 \times 10^{11}$ 个 Toffoli 门。³ 在物理比特层面，Universal Quantum 团队（Webber 等人, 2022）的估计是：如果要在 1 小时内完成，需要 3.17 亿物理比特；如果允许 1 天的计算时间，需要约 1300 万物理比特。⁴

请记住这些数字——我们稍后会对比当前硬件的实际能力。

1.2 Grover 算法：对称密码学的"半价折扣"

Grover 算法（1996）为无结构搜索问题提供二次加速，将暴力搜索的复杂度从 $O(N)$ 降到 $O(\sqrt{N})$。对对称密码和哈希函数的影响如下：

算法	经典安全性	Grover 攻击后
AES-128	128 bit	64 bit
AES-256	256 bit	128 bit
SHA-256 原像	256 bit	128 bit
SHA-256 碰撞	128 bit	~85 bit (BHT 算法)

看起来 AES-128 被"腰斩"到 64 bit 很危险？实际威胁极低。 原因有三：

Grover 算法不可并行化。 Zalka（1999）和 Jaques 等人（2020）的分析表明，⁵ 对 AES-128 运行 Grover 需要顺序执行约 $2^{64}$ 次量子操作。即使量子门速度达到 GHz 级别，也需要数千年。
电路深度不可行。 每次 Grover oracle 调用需要数千个量子比特和大量门操作，总电路深度远超当前和近期架构的承受能力。
NIST 的结论。 NIST 在 2024 年的后量子指南中认定，AES-256 和 SHA-256 对量子攻击具有充分的抵抗力。⁶

底线： Shor 算法是致命威胁，Grover 算法是可控威胁。对称密码学只需将密钥长度翻倍（用 AES-256 替代 AES-128）即可获得足够的量子抗性。真正的危机在公钥密码学。

1.3 对区块链的特殊威胁

比特币和以太坊都使用 ECDSA over secp256k1（256 位 Koblitz 曲线）进行交易签名。这意味着：

每一笔暴露了公钥的链上交易，都永久处于量子威胁之下。
一旦量子计算机能解 secp256k1 上的 ECDLP，攻击者就能从公钥反推私钥。

但并非所有地址都同等脆弱。以比特币为例：

暴露公钥的地址（高危）：

P2PK（Pay-to-Public-Key）——早期比特币使用的格式，公钥直接写在脚本中。中本聪的约 110 万 BTC 就在此类地址中。总计约 170 万 BTC 处于 P2PK 输出中。
复用的 P2PKH/P2SH 地址——一旦从某地址花费过，公钥就暴露在交易输入中。如果该地址再次收到资金（地址复用），新资金即面临量子风险。

相对安全的地址：

未使用过的 P2PKH——地址是公钥的双重哈希 RIPEMD-160(SHA-256(pubkey))，攻击者只能看到哈希值，无法用 Shor 算法攻击。
P2SH、P2WPKH、P2WSH——同样使用哈希保护。

Taproot (P2TR) 的微妙之处： 在 key-path 花费路径中，经过调整的公钥（tweaked public key）直接出现在链上输出中，可能使其类似于 P2PK 的量子脆弱性。这一点在比特币开发社区仍有争论。

据估计，约 25–30% 的比特币（按价值计）的公钥已暴露，将立即面临量子攻击。⁷

对以太坊而言，情况更加直接：以太坊使用账户模型，任何发送过交易的账户，其公钥都已暴露。

1.4 “先收割，后解密”（Harvest Now, Decrypt Later）

这是当前最紧迫的实际量子威胁，即使大规模量子计算机尚不存在：

对手（尤其是国家级行为者）今天就记录加密通信和区块链交易数据，等到量子计算机成熟后再解密。美国国家安全局（NSA）在 2015 年宣布向后量子算法迁移，隐含承认了这一威胁。2022 年白宫国家安全备忘录 NSM-10 明确将 HNDL 列为加速后量子迁移的首要动机。

对区块链来说，每一个暴露在链上的公钥都被永久记录。区块链的不可篡改性——本是优势——在量子威胁下反而成了负担。

二、商用量子计算：硬件到哪了？

理解了威胁原理之后，关键问题是：我们离"密码学相关量子计算机"（Cryptographically Relevant Quantum Computer, CRQC）还有多远？

2.1 当前硬件能力一览（2026 年初）

指标	最佳记录	来源
单芯片物理比特数	1,121	IBM Condor
阵列物理比特数	~3,000	QuEra 中性原子
逻辑量子比特	~96	QuEra（低于阈值错误率）
两比特门保真度	99.99%	IonQ
纠错低于阈值	已实现	Google、中科大、QuEra

让我们逐个看主要玩家。

2.2 Google：Willow 芯片与纠错里程碑

2024 年 12 月，Google 发布了 Willow 量子处理器（105 物理比特），登上了 Nature 封面。⁸ 其核心突破是：

首次在表面码上实现低于阈值的量子纠错。 在 distance-3、distance-5、distance-7 的表面码实验中，每增加一级码距，错误率减半。这是 1995 年 Shor 提出量子纠错理论以来，研究者追求了近 30 年的工程里程碑。
Distance-7 码（101 比特）的逻辑比特寿命超过了其最好的物理比特 2.4 倍——越过了 “盈亏平衡点”。
逻辑错误率在码距增加 2 时被抑制了 2.14 ± 0.02 倍。

意义： 这证明了纠错的指数级抑制是可行的——你加入更多比特来做纠错，得到的逻辑比特确实更好而非更差。这是通往容错量子计算的先决条件。但 105 个物理比特距离破解密码学所需的数百万物理比特，仍有四到五个数量级的差距。

2.3 IBM：从 Heron 到 Blue Jay 的路线图

IBM 的量子路线图是业界最详细的：

当前：Heron 处理器（133–156 比特），使用可调耦合器，系统架构为 System Two。
2025–2026：Nighthawk（120 比特），新一代可调耦合器，预计到 2027 年达到 10,000 门操作。Kookaburra（2026）：三芯片互联组成 4,158 比特系统。
2028–2029：Starling——~200 个逻辑比特（~10,000 物理比特），能执行 1 亿门量级的电路。这将是 IBM 首台大规模容错量子计算机。
2033：Blue Jay——~2,000 个逻辑比特（~100,000+ 物理比特），执行十亿门量级的程序。

IBM 的一个关键技术突破是 qLDPC（双变量自行车码），每个逻辑比特只需约 50 个物理比特——比标准表面码的开销低 10–14 倍。⁹

2.4 微软：拓扑量子比特的赌注

2025 年 2 月，微软发布了 Majorana 1——世界上第一个基于拓扑核心的量子处理单元。¹⁰ 其路线截然不同：

使用砷化铟/铝纳米线中的马约拉纳零模（Majorana Zero Modes），将量子信息编码在拓扑状态中，从物理层面天然抗噪。
当前仅 8 个拓扑比特，但设计目标是单芯片百万比特。
数字控制（非模拟），参与了 DARPA 的 US2QC 计划。

但 Physics World 报道称，专家对微软拓扑比特的有效性仍有争议。这仍然是一个高风险、高回报的技术路线。

2.5 其他玩家

IonQ（离子阱）：达到 99.99% 两比特门保真度。路线图：2028 年 ~20,000 物理比特（~1,600 逻辑比特），2030 年 ~200 万物理比特。
Quantinuum（离子阱）：H2 处理器 56 全连接比特，Quantum Volume 达 $2^{25}$（3350 万），用 30 个物理比特产生了错误率降低 800 倍的逻辑比特。
QuEra（中性原子）：演示了 96 个低于阈值错误率的逻辑比特，构建了运行超过 2 小时的 3,000 物理比特阵列。获得 Google Quantum AI、软银、NVIDIA 超过 2.3 亿美元投资。
PsiQuantum（光量子）：投入 10 亿美元在芝加哥和布里斯班同时建设，目标 2027–2028 年达到百万物理比特。
中科大：祖冲之 3.0（105 超导比特，声称比最快超算快 $10^{15}$ 倍）；祖冲之 3.2（107 比特，实现低于阈值纠错——非美国团队首次达成此里程碑）；九章 3.0（光量子）；天衍平台（2025 年 7 月，880 比特超导量子计算集群开放商用云接入）。

2.6 离 CRQC 还有多远？

把数字放在一起看：

目标	所需逻辑比特	所需物理比特（估计）	当前最佳	差距
RSA-2048	~4,000	~2000 万	~96 逻辑 / ~3,000 物理	~40 倍逻辑 / ~6,600 倍物理
ECC-256	~2,330	~1300 万	同上	~24 倍逻辑 / ~4,300 倍物理

专家预测：

全球风险研究所 2024 年调查（32 位专家）：CRQC 在 5 年内出现的概率 5–14%；10 年内 19–34%；到 2044 年约 79%。这些概率比 2023 年的调查有所上升。¹¹

Michele Mosca 定理（滑铁卢大学 / evolutionQ）：如果 $X + Y > Z$（$X$ = 数据需要保密的年限，$Y$ = 迁移所需时间，$Z$ = CRQC 出现的时间），你必须现在就行动。¹² 他在 2015 年估计：到 2026 年基础密码学被破解的概率为 1/7，到 2031 年为 1/2。

Scott Aaronson（UT Austin）：认为实用量子攻击即使在乐观估计下也是 5–10 年之后的事。但他强调，迁移本身才是瓶颈——“从现在开始迁移"是正确的时间。¹³

John Preskill（加州理工）：提出从 NISQ（嘈杂中等规模量子）到 FASQ（容错应用规模量子）的跨越**“可能需要数十年”**。他与 Eisert 合著的 2025 年研究发现，“达到容错应用规模系统所需的时间将远超预期，且需要解决重大工程和概念性差距。”¹⁴

2.7 2023 年中国团队"量子破解 RSA"事件

2022 年底/2023 年初，以郭光灿团队为代表的中国研究者发表了一篇论文，声称使用 D-Wave 量子退火机和 10 比特超导量子处理器的混合方法分解了一个 48 位 RSA 整数，并推测该方法可扩展至 RSA-2048。

社区的回应：

48 位数可以被任何经典计算机瞬间分解。
该方法依赖于 Schnorr 的经典格基分解方案——Schnorr 在 2021 年声称其方法可以经典地分解 RSA-2048，但从未被证实且被广泛质疑。
Scott Aaronson 等多位专家指出，没有证据表明该技术可以扩展。量子部分贡献的优势可以忽略不计。

共识：这篇论文不构成对 RSA 的有意义威胁。

三、区块链的量子防御策略

威胁是真实的，但不是即时的。关键在于：在量子计算机到来之前完成迁移。 各方正在从不同角度推进。

3.1 NIST 后量子密码标准

2024 年 8 月 13 日，NIST 发布了首批后量子密码学最终标准¹⁵：

标准	算法	基础	类型
FIPS 203	ML-KEM (原 CRYSTALS-Kyber)	模格	密钥封装
FIPS 204	ML-DSA (原 CRYSTALS-Dilithium)	模格	数字签名
FIPS 205	SLH-DSA (原 SPHINCS+)	哈希	数字签名（备份）

FIPS 206（FN-DSA，原 FALCON）草案于 2025 年 8 月提交审批，预计 2026 年底或 2027 年初最终发布。

格基 vs 哈希基的区别至关重要：

格基方案（ML-DSA、FN-DSA）：签名更小、速度更快，但安全性依赖格问题的困难性——一个相对较新的假设。如果格数学被攻破，两者同时失效。
哈希基方案（SLH-DSA）：签名大得多（8–49 KB），速度也慢，但安全性仅依赖哈希函数——密码学中最保守、研究最充分的假设。这就是 NIST 将其作为"备份"的原因。

签名大小对比——这是区块链面临的核心难题：

方案	签名大小	相比 ECDSA 的倍数
ECDSA (secp256k1)	~64 字节	1x
Falcon-512	~666 字节	~10x
ML-DSA (Dilithium2)	~2,420 字节	~38x
SPHINCS+-128f	~17,088 字节	~267x

签名膨胀直接意味着：区块更大、吞吐量更低、存储和带宽成本更高。 研究表明，签名大小增加十倍可将比特币的分叉概率从 1.9% 提升到 17.6%。

3.2 比特币：BIP-360 (P2MR)

BIP-360 是比特币首个正式提出量子抗性的提案，由 Hunter Beast、Ethan Heilman 和 Isabel Foxen Duke 撰写。¹⁶

核心设计：

引入新的输出类型 P2MR（Pay-to-Merkle-Root），使用 SegWit v2，地址编码为 bc1z（bech32m）。
模仿 Taproot (P2TR) 的结构，但完全移除 key-path 花费路径。所有花费路由都通过脚本树的 Merkle 根进行哈希承诺——消除了量子脆弱的 ECDSA/Schnorr 密钥路径。
属于软分叉，利用现有 SegWit 机制，不需要共识层面的破坏性变更。
BIP-360 本身不引入新签名算法，而是为未来软分叉添加 PQC 签名验证（ML-DSA、SLH-DSA）创建框架。

实现进展： 2026 年 3 月，BTQ Technologies 在 Bitcoin Quantum Testnet v0.3.0 上部署了首个可工作的 BIP-360 实现，包含完整的 P2MR 共识、五个 Dilithium 后量子签名操作码和端到端 CLI 钱包工具。¹⁷

中本聪的币怎么办？

这是比特币社区最棘手的治理问题：

约 700 万 BTC 处于 P2PK 地址中（公钥直接暴露），包括中本聪的约 110 万 BTC。
BIP-360 仅保护新输出，对存量 P2PK 无能为力。
社区严重分裂：部分人（如 Charles Edwards）主张对不迁移的币设定惩罚期限；另一些人（如 Adam Back、Samson Mow）认为威胁不紧迫，反对任何强制措施。
BIP-360 联合作者估计，比特币完全升级到后量子密码可能需要 7 年。¹⁸

3.3 以太坊：Vitalik 的四管齐下方案

2026 年 2 月，Vitalik Buterin 发布了全面的量子抗性路线图，识别了四个脆弱领域：¹⁹

1. 共识层签名。 当前使用 BLS（Boneh-Lynn-Shacham）签名，可被量子算法攻破。方案：用**哈希基签名（Winternitz 变体）**替换，在"精简"共识设计下通过 STARKs 聚合以提升效率。STARKs 本身基于哈希函数，天然抗量子。

2. 用户账户（EOA）。 核心是 EIP-8141（Frame Transactions），允许账户从硬编码的 ECDSA 切换到可编程的签名类型——包括后量子方案。Vitalik 确认 EIP-8141 预计在一年内随 Hegota 硬分叉（2026 下半年）发布。²⁰

3. 数据可用性。 当前依赖 KZG 承诺（基于椭圆曲线配对），量子脆弱。需要用量子安全的替代方案（如基于哈希的承诺）替换。

4. 零知识证明。 Layer-2 和应用层的 ZK 系统需要量子安全替代品。量子抗性的 STARK 证明可能消耗约 1000 万 gas。

Vitalik 概述了一个四年 L1 升级计划，以太坊基金会的后量子团队计划在 2029 年前在协议层面实现量子抗性方案。

以太坊 vs 比特币的迁移路径对比： 以太坊的账户抽象（EIP-8141）创造了更平滑的迁移路径——用户可以逐个账户升级到 PQC 签名，不需要协议级的硬切换。比特币则没有协调计划、没有资金结构、没有统一时间表。

3.4 其他先行者

QRL（Quantum Resistant Ledger）——第一个从零开始构建量子抗性的区块链，使用 XMSS（扩展 Merkle 签名方案），这是 IETF 指定、NIST 批准的哈希基签名方案。QRL 2.0 测试网计划 2026 Q1 上线，提供量子安全的 EVM 兼容迁移路径。²¹

Algorand——2025 年 11 月 3 日，在公共区块链上执行了首笔后量子交易，使用 NIST 选定的 Falcon-1024 签名。2026 路线图包含将 Falcon 验证原生集成到共识模块中。²²

IOTA——原始主网（2016）天然使用 Winternitz 一次性签名（量子安全），但 Chrysalis 升级（2021）切换到 Ed25519 后重新引入了量子脆弱性。2025 年 12 月引入了 “Winternitz Vault” 概念——基于哈希一次性签名的智能合约保险库。

3.5 哈希基签名：近期最佳方案？

哈希基签名是区块链量子迁移的热门选项，因为它们的安全假设最为保守——只需要哈希函数安全。但它们也有严重的实用性问题：

方案	签名大小	有状态？	标准状态
XMSS	~2.5 KB	是	NIST SP 800-208 (2020)
LMS	~4–8 KB	是	NIST SP 800-208 (2020)
SPHINCS+ / SLH-DSA	8–49 KB	否	FIPS 205 (2024)

优势： 最保守的安全假设；不受 Shor 算法威胁；SPHINCS+ 无状态，适合分布式节点。

劣势： 签名膨胀 100–700 倍；SPHINCS+ 签名速度慢；有状态方案（XMSS/LMS）在分布式系统中极其危险——重用一次性密钥会完全破坏安全性。NIST 自己也警告：“有状态哈希基方案不适合通用使用，因为其安全性依赖于小心的状态管理。”

3.6 可行的迁移策略

综合来看，以下是社区正在探索的五条路径：

混合签名：在过渡期同时使用经典 + PQC 签名。只要其中一个安全，方案就安全。代价是签名更大。
签名聚合：通过 Merkle 树或批量验证压缩多个 PQC 签名，降低每笔交易的开销。
STARK 聚合：以太坊的方案——用 STARKs（天然量子安全）聚合大量哈希基共识签名。
密码敏捷性（Crypto-agility）：设计可以灵活切换签名方案的系统（如以太坊的 EIP-8141），避免每次升级都需要协议大改。
设定迁移窗口：为未迁移的资金设置宽限期和截止日期。这在比特币社区极具争议。

四、时间线总结与行动建议

把所有信息放在一起：

现在 (2026)                     2029        2033        2040+
  |                              |           |            |
  |-- NIST PQC 标准已发布          |           |            |
  |-- BIP-360 测试网运行中         |           |            |
  |-- EIP-8141 预计 2026H2 发布   |           |            |
  |                              |-- Google 后量子迁移目标  |
  |                              |-- IBM Starling ~200 逻辑比特
  |                              |           |-- IBM Blue Jay ~2000 逻辑比特
  |                              |           |            |-- CRQC 最可能区间
  |                              |           |            |   (专家共识 2035-2045)
  |                              |           |            |
  ▼                              ▼           ▼            ▼
  开始迁移的窗口正在关闭          紧迫度上升   迁移应基本完成  量子攻击可能成为现实

Mosca 定理的启示： 如果区块链的迁移需要 7 年（BIP-360 作者的估计），而 CRQC 可能在 2035 年出现（专家中位数），那么迁移窗口的起点是 2028 年。我们还有两年的缓冲——但考虑到区块链治理的复杂性和社区共识的形成速度，现在就应该认真对待这件事了。

如果你是普通用户，现在可以做什么？

比特币：不要复用地址；将资金从 P2PK 格式迁移到 P2WPKH/P2WSH；关注 BIP-360 的进展。
以太坊：关注 EIP-8141 的发布；准备在账户抽象可用时迁移到 PQC 签名方案。
通用：对长期持有的加密资产，优先使用支持后量子升级路径的钱包和链。

量子计算对密码学的威胁不是"是否"的问题，而是"何时”。好消息是，密码学社区没有坐以待毙——从 NIST 标准到 BIP-360 到 Vitalik 的路线图，防御工作已经在进行中。坏消息是，迁移的速度必须快于量子硬件的进步。 这是一场我们不能输的竞赛。

Shor, P.W. (1994). “Algorithms for quantum computation: discrete logarithms and factoring.” Proceedings 35th Annual Symposium on Foundations of Computer Science. ↩︎
Gidney, C. & Ekerå, M. (2021). “How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits.” Quantum, 5, 433. ↩︎
Roetteler, M., Naehrig, M., Svore, K.M. & Lauter, K. (2017). “Quantum resource estimates for computing elliptic curve discrete logarithms.” ASIACRYPT 2017. ↩︎
Webber, M., Elfving, V., Granade, C., et al. (2022). “The impact of hardware specifications on reaching quantum advantage in the fault tolerant regime.” AVS Quantum Science, 4(1). ↩︎
Jaques, S., Naehrig, M., Roetteler, M. & Virdia, F. (2020). “Implementing Grover oracles for quantum key search on AES and LowMC.” EUROCRYPT 2020. ↩︎
NIST (2024). Post-Quantum Cryptography: FIPS 203, 204, 205. ↩︎
CoinDesk (2026). “To Freeze or Not to Freeze: Satoshi and the $440 Billion in Bitcoin Threatened by Quantum Computing.” ↩︎
Google Quantum AI (2024). “Quantum error correction below the surface code threshold.” Nature. ↩︎
IBM (2025). “IBM Quantum Roadmap 2025.” ibm.com/quantum. ↩︎
Microsoft (2025). “Microsoft unveils Majorana 1, the world’s first quantum processor powered by topological qubits.” Azure Blog. ↩︎
Global Risk Institute (2024). “2024 Quantum Threat Timeline Report.” ↩︎
Mosca, M. (2018). “Cybersecurity in an era with quantum computers: will we be ready?” IEEE Security & Privacy. ↩︎
Aaronson, S. (2025). “More on whether useful quantum computing is imminent.” scottaaronson.blog. ↩︎
Preskill, J. & Eisert, J. (2025). “Beyond NISQ: The Megaquop Machine.” ↩︎
NIST (2024). “NIST Releases First 3 Finalized Post-Quantum Encryption Standards.” ↩︎
BIP 360: Pay-to-Merkle-Root (P2MR). bip360.org. ↩︎
BTQ Technologies (2026). “BTQ Technologies Implements BIP 360 Quantum-Resistant Bitcoin Transactions on Testnet.” The Quantum Insider. ↩︎
Cointelegraph (2026). “Bitcoin May Take 7 Years to Upgrade to Post-Quantum: BIP-360 Co-Author.” ↩︎
CoinDesk (2026). “Vitalik Buterin Unveils Ethereum Roadmap to Counter Quantum Computing Threat.” ↩︎
CryptoTimes (2026). “Ethereum’s Quantum Defense: Vitalik Buterin Backs EIP-8141 Upgrade.” ↩︎
QRL. “The Quantum Resistant Ledger.” theqrl.org. ↩︎
Algorand (2025). “Post-Quantum Blockchain Technology.” algorand.co. ↩︎