區塊鏈隱私是為當今的電腦設計的——這就是為什麼它的隱私性是暫時的，以及後量子時代零知識證明架構會帶來哪些改變

後量子密碼學已從理論探討迅速過渡到實際應用。各國政府正在製定遷移時間表，標準組織也發布了新的規範，現在的問題不再是現代安全的基礎密碼學是否需要變革，而是變革的速度以及代價。

在區塊鏈系統中，大部分討論都集中在錢包和交易簽名上。 克里斯托弗史密斯首席執行官 量子他認為，更深層且鮮為人知的脆弱性在於隱私本身。區塊鏈的設計初衷是永久性的：今天寫入鏈上的密文在十年或二十年後依然存在。如果保護這些資料的加密技術最終被破解——無論是透過量子電腦還是透過經典密碼分析技術的進步——它所提供的隱私從來就不是永久性的，而是有時效性的。

史密斯和他在Quantus的團隊正是基於這個假設從零開始建構系統，將後量子密碼學與零知識架構結合，打造出不僅能應對當今威脅環境，更能適應未來運算假設可能發生難以預測且難以逆轉的變化的系統。在本次對話中，他將深入探討在近期硬體突破之後，量子威脅的現狀如何；哪些區塊鏈生態系統最能應對，哪些最難應對；以及建立持久隱私而非僅僅滿足當前需求意味著什麼。

幾十年來，量子威脅一直被描述為“五到十年後才會出現”，但最近谷歌的Willow晶片、修正後的量子位元數量估算以及在公共硬體上破解的真實ECC密鑰等進展，重新引發了人們對量子威脅的關注。威脅情勢是否發生了變化？

在Google的Willow晶片於2024年底發布之前，認為量子計算可能無法實現的觀點是合理的。這曾是一種普遍的看法。多年來，許多公司都聲稱量子計算即將到來，但最終沒有一個被證明是真的。 

在谷歌 Willow 發布以及後續公告之後，我認為之前的觀點就顯得不那麼合理了，因為它們基本上證明了量子糾錯是可能的。之前我們需要見證某種奇蹟才能確信它能夠成功，而現在奇蹟已經發生──剩下的只是工程技術層面的問題了。 

這並不意味著它很容易，或會立即實現，但基本原理已經敲定。我不敢斷言何時才能開發出具有密碼學意義的量子電腦——這本身就很難估計，因為它具有非線性和隨機性——但從斯科特·阿倫森等機構和研究人員的角度來看，時間線似乎正在縮短。 

值得注意的是，由於此事事關國家安全，公眾可能不會被告知所有情況。如果美國政府鼓勵所有人升級加密技術，卻不具體說明原因，或許他們擔心其他人也擁有類似的技術。

當量子運算成熟後，加密貨幣領域具體會面臨哪些風險？

密碼學主要分為兩大類：保護資訊不被攻擊者讀取，以及防止資訊被竄改。第一種情況關乎隱私——如果你想和某人之間傳遞秘密訊息，並且不希望第三方讀取，那就是加密。 

第二點是身份驗證。如果有人能夠繞過身份驗證，他們就能冒充你，而在區塊鏈的背景下，這意味著他們可以竊取你的資金。這是一個嚴重的漏洞——沒有警察可以報警，也沒有銀行經理可以撤銷交易。

大多數區塊鏈，例如比特幣，實際上並不具備隱私性，但有些區塊鏈，例如門羅幣（Monero）和Zcash，已經添加了隱私功能。量子電腦還可以破解某些類型的加密，因此對於門羅幣來說，由於它使用了環簽名和誘餌，量子電腦可以識別哪些輸入是真實的，哪些是虛假的——它揭穿了偽裝。 

還有第三類問題，與零知識證明系統有關。當零知識證明系統失效時，它會接受無效的證明，因此攻擊者可以偽造虛假證明。以 Zcash 為例，這意味著有人可以鑄造並非自己擁有的加密代幣。 

以零知識總結為例，有人可以偽造餘額，使之看起來像是發生了實際上並未發生的交易。這些都是略有不同的故障模式，但歸根結底，沒有現代密碼學，區塊鏈就無法存在；而如果密碼學因任何原因（無論是量子技術還是其他原因）失效，通常都會造成嚴重故障。

業界對此的反應差異很大——以太坊正在積極推進相關工作，瑞波幣的目標是2028年，比特幣仍在討論相關提案。這種分歧反映了業界如何應對這項風險？

區塊鏈至少在初期，其核心在於去中心化——這既有優勢也有劣勢。它難以被阻止，也難以被改變。我們在不同的區塊鏈中都能看到這一點；每個區塊鏈都在展現其治理方面的優勢或劣勢。 

就比特幣而言，存在著一種「別改了，它已經僵化，完美無缺」的文化——這或許在其他方面大體上是正確的，但密碼學領域始終是一場軍備競賽。一旦出現問題，你就需要能夠更新金鑰和加密演算法，而在這方面行動遲緩則會帶來真正的風險。

以太坊的創始人 Vitalik Buterin 仍然健在，可以告訴所有人該做什麼——從某種意義上說，他們的社會協調問題更容易解決，而且他一直優先考慮量子計算，這是一個重要的數據點。 

從技術角度來看，比特幣實際上可能面臨著最簡單的挑戰：他們已經有了多種地址類型，所以他們只需添加新的後量子地址類型，就像他們添加了 SegWit 和 Taproot 一樣。 

由於以太坊的表面積更大，而且帳戶抽象並非從一開始就內置，因此它在技術上處境更加艱難——需要進行更深層次的改造。 

像 Zcash 這樣的區塊鏈雖然不像比特幣那樣有社交協調問題，但其加密技術更為複雜，升級難度也更大。我很高興大家都在討論量子技術，但我最擔心的還是比特幣。

大多數關於量子安全的討論都集中在錢包和交易上。您認為更深層的問題是隱私本身會發生什麼變化。這又會帶來哪些更廣泛的影響？

從區塊鏈誕生之初，隱私就一直被放在次要位置。中本聰希望增強比特幣的隱私性，但如何實現卻並非易事——零知識密碼學當時尚未普及，而且他們當時正忙於構建第一個區塊鏈，這本身就是一項艱鉅的任務。因此，隱私在很大程度上一直是次要功能，要么是附加的，要么是作為特殊層添加的。

區塊鏈是永久性的。過去交易的數位簽章保存在鏈上，如果有人破解了這些金鑰，而這些金鑰對應的帳戶裡仍然有餘額，那就麻煩了。但如果這些舊地址裡沒有餘額，就沒那麼重要了。 

然而，就隱私而言，有人會在鏈上留下密文——這些加密資料對普通觀察者來說就像一堆亂碼，但如果底層加密技術被破解，將來就可以解密。這些密文在未來很長一段時間內都可能保持有效性。這就是所謂的「先保存，後解密」策略。 

你可以假設網路服務供應商或像美國國家安全局這樣的大型政府機構已經在巨型資料庫中保存加密流量——他們現在或許無法解密，但將來或許可以。即使今天不存在這種攻擊，明天也可能出現，他們或許能夠回溯並找到一些相關資訊。

隨著運算能力的進步，如今的私密數據可能不再私密。您如何看待在更長的時間跨度內保護隱私的問題？

使用零知識證明系統，可以完全將密文保存在鏈外。任何你想用於計算但永遠不想洩露的資訊——最好永遠不要讓這些資訊離開你的裝置。 

現代密碼學，例如零知識協議，可以實現這一點。將加密資料放在區塊鏈上或任何公開平台上並非明智之舉，因為資料可能無法永遠保持加密狀態。如果資料從一開始就沒有上線，解密難度就會大大增加。

現有的ZK架構是否具有抗量子能力？

零知識證明（ZK）基本上分為兩類：量子前和量子後。早期的零知識證明系統——例如 Zcash 或以太坊上的 Rollup——屬於量子前系統，因為它們基於橢圓曲線。最著名的量子後零知識證明系統是 STARKs，StarkNet 就使用了這個系統。如果使用量子前零知識證明系統，量子攻擊者可以偽造虛假證明。 

並非零知識證明（ZK）技術本身就容易受到量子攻擊－而是某些特定技術容易受到量子攻擊。一個有用的經驗法則是：如果一個系統基於橢圓曲線，它很可能容易受到量子攻擊；如果它基於哈希或格，它很可能屬於後量子系統。

未來我們會完全轉向後量子技術嗎？

我認為未來我們甚至不會再使用「後量子密碼學」這個詞——它就直接被稱為密碼學，而其他一切都將歸為「前量子」範疇，只有攻讀數學博士學位需要了解其歷史時才會接觸到它。大多數區塊鏈從業者並不關注密碼學，如果你讓消費者應用的使用者去思考這個問題，那就很不利了，因為他們可能很少會用到密碼學。

世界上許多地方已經轉向後量子加密，而大多數人卻渾然不覺。 Signal 和 iMessage 多年前就已將加密技術升級到後量子加密，用戶無需任何操作——應用程式會自動完成。根據 Cloudflare 的報告，目前超過一半的人類網路流量都透過 TLS 1.3 使用後量子加密。同樣，大多數用戶無需考慮這一點——這只需要少數工程師採取正確的措施即可實現。

區塊鏈面臨的挑戰更大，因為用戶需要掌控自己的金鑰——他們必須遷移金鑰，而你必須盡快解釋遷移的原因。這種複雜性也容易讓人感到困惑，或是讓其他人為了自身經濟利益而故意混淆視聽。

現有系統進行後量子安全改造後無法解決哪些問題？

我認為這個過程可以分成三到四個步驟。第一步是決定要做什麼——對於領導層清晰、中心化程度較高的區塊鏈來說，這相對容易；而對於去中心化的區塊鏈來說，則更難。一旦做出決定，就需要更新程式碼。在人工智慧時代，這其實並不難：幾個稱職的工程師，正確的指導，以及一次徹底的審查。這部分比較容易。

更難的是讓所有人遷移他們的金鑰——手機錢包用戶、硬體錢包用戶、使用多重簽名的企業、託管機構、政府機構，所有人都需要遷移。這也會對區塊空間造成巨大需求，而比特幣的區塊大小有限，即使所有人同時嘗試遷移，也可能需要數月時間。

最後一步，也是政治上最棘手的一步，是決定如何處理那些無法或不願意升級的人。最極端的例子就是中本聰。他（或者說他是誰）似乎已經過世了。而涉及的加密貨幣價值數百億美元。如果有人破解了這些密鑰會發生什麼事？這是一個非常嚴重的問題——但如果你能關閉這些金鑰，那麼下一個被關閉的金鑰又會是誰的呢？人們自然會對這個問題非常敏感。 

最後一個問題主要針對比特幣——我不知道還有哪個區塊鏈會有大量比特幣存放在無法存取的錢包裡。風險不在於更新程式碼有多難，而是如果我們進展太慢，遷移到一半時，可能會突然發布重大公告，導致所有人恐慌。

對於當今建立區塊鏈專案的團隊而言，他們現在可以做出哪些具體的設計選擇來降低未來的風險？

如果你打算在 2026 年建立一個新的區塊鏈，那就直接跳過橢圓曲線吧。你只會給自己埋下未來的隱憂。迎難而上——現在就用基於格或哈希的加密技術來解決擴展性挑戰。儘早下定決心，否則你會累積巨額技術債務，最終會為此付出代價。