抗量子加密技术到底走到哪一步了?NIST 标准化、链上实践与实际威胁评估
围绕量子计算威胁的讨论持续了十几年,多数时候像远在天边的问题。但 2026 年判断口径发生明显转变:NIST 三个抗量子加密(PQC,post-quantum cryptography)标准全部完成正式化,主流浏览器、操作系统、密钥交换协议陆续切换,比特币和以太坊核心讨论也从"要不要迁移"变成了"什么时候、怎么迁移"。这篇讲清今天这条赛道走到哪。
量子威胁针对的到底是什么
先把"量子威胁"这个模糊概念拆精确。量子计算并不会"破坏所有密码学"——它实际上精准命中两类算法:
- 基于大整数因式分解的算法(RSA)——Shor 算法在足够大的量子计算机上可以在多项式时间内分解大整数
- 基于离散对数问题的算法(ECDSA、ECDH 等椭圆曲线密码学)——同样被 Shor 算法解决
而对称加密(AES)和哈希算法(SHA-256、Keccak)受到的威胁要小得多——Grover 算法只能把搜索时间缩短到平方根级别,对应的对策只是把密钥长度翻倍。
这件事对链上世界意味着什么?比特币、以太坊上的签名几乎全部依赖 ECDSA 或类似椭圆曲线签名——一旦足够强的量子计算机出现,任何把公钥暴露在链上的地址都面临被反推私钥的风险。这是为什么这条赛道在 2026 年突然被认真讨论。如果你对智能合约和地址机制还不熟,建议先看 安全入门。
NIST 抗量子标准的三套算法分别在做什么
2024 年 NIST 正式发布了第一批 PQC 标准,到 2026 年这套标准已经走完了完整审查并被主流系统逐步采纳。把三套算法放在一张表里:
| 标准名 | 类型 | 用途 | 大致替代 |
|---|---|---|---|
| ML-KEM (Kyber) | 密钥封装 | 安全建立对称密钥 | RSA / ECDH 密钥交换 |
| ML-DSA (Dilithium) | 数字签名 | 高吞吐通用签名 | ECDSA / RSA 签名 |
| SLH-DSA (SPHINCS+) | 哈希签名 | 长期保守签名 | 高保守度场景 |
注意这三套是互补不是互替:ML-KEM 解决密钥交换、ML-DSA 解决日常签名性能、SLH-DSA 用于不需高吞吐但需极保守假设的场景(如根证书、固件签名)。
代价是什么?比起 RSA 和 ECDSA,这几套算法的密钥和签名都更大——ML-DSA 签名约 2.4KB(ECDSA 约 64 字节),SLH-DSA 可能到 8KB+。在链上"每字节都是 gas"的环境下,这是实打实的工程挑战。
"先存后解"威胁到底有多现实
这条威胁在英语里有个专门术语叫 “Harvest Now, Decrypt Later”——攻击者今天就开始大规模存储加密通信,等几年或十几年后量子计算机成熟,再回头批量解密。
这件事对什么场景是真实威胁?
- 长期机密数据——医疗记录、国家级机密、企业知识产权这种 10–20 年后仍敏感的内容
- 永久公开的链上交易——比特币和以太坊的全历史链都是公开的,今天暴露的公钥相当于把"未来量子时代的攻击素材"永久存档
- 机构级长期合规存证——某些合规要求的电子签名需要 30 年内有效
哪些场景"先存后解"威胁较小?日常聊天、临时会话密钥、短期金融交易等——攻击者愿意花十年存储再解密一笔日常消息的动机几乎没有。
链上世界比通讯世界更脆弱的原因恰好在第二条——链上数据是公开且永久的。这就是为什么以太坊核心研究者已经把"PQC 迁移"列进了长期路线图。
比特币和以太坊各自的迁移讨论
两个生态的应对节奏不太一样。
比特币走得相对保守——核心讨论集中在几条 BIP 提案上,思路是引入新脚本类型用 PQC 签名替换 ECDSA/Schnorr。最大挑战是兼容性:比特币硬分叉门槛极高,全网协调切换签名算法是多年工程,折衷方案是新老地址并存逐步迁移。
以太坊节奏更积极。核心开发者多次提到"账户抽象 + PQC"的组合路径——通过 EIP-7702/智能账户机制让账户层签名算法平滑升级,详细机制参考 智能账户 2025 趋势。
下面把两条迁移路径做个简单对比:
| 维度 | 比特币迁移 | 以太坊迁移 |
|---|---|---|
| 升级机制 | 软分叉/硬分叉 + 新脚本类型 | EIP + 账户抽象升级 |
| 时间表 | 多年讨论 + 长尾迁移 | 路线图明确但仍多年 |
| 兼容压力 | 极高 | 中等 |
| 迁移成本 | 老地址用户主动行动 | 智能账户可批量适配 |
链上具体在做什么的几个研究方向
除了等 NIST 标准被应用,链上世界也在探索自己的路径。几个方向:
- STARK 类零知识证明——基于哈希函数构造,本身就是抗量子的,这是 zk-STARK 相对 zk-SNARK 在 PQC 假设下的关键优势
- 基于格的零知识证明——一些团队在做 lattice 高效 ZK,同时满足"高效率 + 抗量子"
- 账户抽象 + 签名算法升级——以太坊路线
- BMIC 等专门研究项目——专门做链上 PQC 集成可行性论证
ZK 类技术的基础参见 zk Rollup 入门。
普通用户和开发者到底要不要现在动手
最实际的问题:普通用户和普通项目方今天要不要立刻开始 PQC 迁移?
- 普通用户:短期内没必要为 PQC 改变使用习惯,关键还是基础安全——硬件钱包、避免地址重用(本身就在降低"先存后解"暴露面)、警惕钓鱼
- 链上项目方与协议开发者:现在就要了解 PQC 工程代价、签名大小、密钥管理变化——迁移还有几年,但路线图需要现在纳入
基础安全实践参见 硬件钱包供应链风险 和 MetaMask 钓鱼防御——今天 99% 的资产损失不是量子计算机造成的,而是钓鱼和私钥保管出问题。
时间表上的几个关键里程碑
把 2026 年这个节点附近的几个重要时间点列一下:
- 2024:NIST 正式发布 ML-KEM、ML-DSA、SLH-DSA 三大 PQC 标准
- 2025:主流浏览器(Chrome、Firefox)TLS 层开始默认混合 PQC + 传统算法
- 2026 当前:比特币 BIP 讨论持续推进;以太坊核心研究将 PQC 列入长期路线图;机构对长期密钥管理开始采纳 PQC
- 2027–2030 预期:链上项目陆续给出可选的 PQC 签名方案;机构合规要求中开始出现 PQC 条款
- 2035 之后:业内对"密码学相关量子计算机"出现的可能性中位预测时间点
具体的"威胁成真"日期没人能给出准数——最坏情况下可能比预期快几年,最好情况下可能延后十年——但这件事在 2026 年的判断已经从"是否会发生"转向"多久之内会发生"。
一个值得放进长期视野的判断
抗量子加密不是 2026 年这一年能完结的话题——它是接下来十年持续重塑链上密码学基础的长周期变化。今天对普通用户影响几乎为零,对协议设计者开始显现,对长期资产保护的影响五到十年后会成为主流话题。提前理解结构比危机时刻才反应要好得多。本文不构成投资或技术选型建议,PQC 算法、链上实现路径、攻击者能力都在动态演化,请独立跟踪 NIST 与各主流协议的官方信息。
