乜嘢係抗量子代幣？點樣保障加密貨幣免受量子計算威脅

量子計算──以往只係出現喺理論物理論文中──而家已成為全球區塊鏈密碼學基礎嘅實質威脅。本文會探討抗量子代幣同密碼學方法，點樣為2.7萬億美金嘅加密貨幣市場預備應對愈來愈被專家認為無可避免嘅數碼安全挑戰。

量子電腦運作方式與傳統機器根本唔同，利用量子位（qubits）可以通過「疊加」表示多種狀態同時存在。呢種能力再加埋量子糾纏，令原本唔可能嘅運算方法變成現實。

對於依靠複雜數學難題作為運算屏障嘅加密貨幣網絡，這構成生死攸關嘅威脅。

最近發展令理論層面的擔憂變為現實：

• Google 喺2023年公布咗433量子位嘅 Quantum Processing Unit (QPU) “Willow”，展示咗量子霸權實現特定運算
• IBM 2024路線圖預計到2027年可有超過4,000量子位的系統，接近破解主流密碼學系統所需門檻
• 薩塞克斯大學研究估計，約有2,000萬個雜訊量子位的量子電腦可24小時內破解比特幣橢圓曲線密碼學

根據2024年全球風險研究院關於量子威脅的報告，有能力破解現時密碼標準的量子電腦時間表大幅收窄。佢哋分析指，量子電腦到2032年有50%機會可以破解RSA-2048和ECC-256；到2040年則升至90%機會。

區塊鏈系統的特定脆弱點

區塊鏈網絡由於其核心安全設計，特別容易受到量子攻擊：

1. 公鑰密碼學曝露風險

比特幣、以太坊等加密貨幣大量依賴用secp256k1曲線的橢圓曲線數碼簽名算法（ECDSA）來驗證交易。當用戶發送交易時，會公開其公鑰，產生關鍵的漏洞窗口。高端量子攻擊者有機會：

• 用Shor算法由已公開的公鑰推導出私鑰
• 建立假冒交易，從受影響地址轉移資產
• 喺交易確認期間發動攻擊，快過其他人驗證

德勤分析指，約25%比特幣（以現價計超過4,000億美元）儲存在已公開公鑰的地址，一旦量子技術成熟將面臨直接威脅。

2. 共識機制上的脆弱性

除了直接竊資產，量子計算亦威脅區塊鏈的共識機制：

PoW（工作量證明）：量子演算法解決雜湊運算有指數級優勢，可能令：

• 少部分硬件成本即做到51%攻擊
• 加速區塊挖掘同鏈重組
• 動搖網絡公平運算假設

PoS（權益證明）：雖然較耐運算攻擊，但若簽名算法被破解亦會曝露：

• 複製驗證者簽名
• 操控驗證流程
• 創造分歧檢查點，導致最終無法完成

以太坊基金會密碼學研究團隊估計，一部有6,600個邏輯量子位的容錯量子電腦，已可威脅secp256k1安全；20,000個或以上則完全不安全。考慮現時錯誤修正要求，實現需數百萬個物理量子位──現時發展路徑下，或於15-20年內達到。

後量子密碼學：技術基礎

NIST 標準化同選擇過程

美國國家標準與技術研究院（NIST）由2016年展開後量子密碼學（PQC）標準化，評估過69個演算法。經嚴謹安全與效能測試，2022年選出多個決賽者：

金鑰封裝（密鑰交換）：

• CRYSTALS-Kyber（主要推薦）
• BIKE、Classic McEliece、HQC、SIKE（備選）

數碼簽名：

• CRYSTALS-Dilithium（主要推薦）
• FALCON（適合需要細簽名應用）
• SPHINCS+（需哈希安全論證應用）

呢批標準將奠定量子抗性區塊鏈基礎，正式標準化文檔預計2025年底完成。

抗量子技術途徑

不同密碼學技術對量子威脅提供不同程度保障，各有優缺點：

格狀基礎密碼學

格狀方法靠高維度格中搵最短/最近向量嘅困難性作防護 ─ 量子電腦亦難破解。

技術特點：

• 安全基礎：最短向量問題（SVP）與學習帶誤差問題（LWE）
• 運算效能：中至高（加密/驗證速度快）
• 金鑰/簽名大小：中等（一般為KB級）
• 實用成熟度：高（NIST拔尖）

CRYSTALS-Kyber作為NIST標準，針對區塊鏈有多項優點：

• 1.5-2KB金鑰大小，易於鏈上儲存
• 加解密速度貼近傳統算法
• 對抗量子及傳統攻擊都有高安全裕度
• 計算要求較低，適合資源受限裝置

NIST評估Kyber-768（約128位數後量子安全）現代處理器下按次生成金鑰約需0.3毫秒、密鑰封裝0.4毫秒、解包0.3毫秒，適合高吞吐量鏈網。

哈希基礎簽名

哈希簽名方案靠哈希函數抗量子能力，安全高但有實際限制。

**技術特點：

• 安全基礎：哈希碰撞抗性
• 運算效能：高（簽名同驗證快）
• 金鑰/簽名大小：大，特別係stateful方案
• 實用成熟度：極高（安全屬性已充分認證）

XMSS（擴展Merkle簽名方案）及SPHINCS+等方案有理論證明安全，SPHINCS+亦被NIST選為文字簽名標準。不過，實際難題包括：

• 簽名大小8-30KB，遠大於現行ECDSA簽名
• Stateful方案需複雜狀態管理
• Stateful如XMSS簽名次數有限

所以，哈希類方案較合適簽名頻率低，或對安全要求重於簽名少量的鏈應用。

編碼基礎與多元多項式密碼學

一些備選方案則擴闊安全基礎，可在格類或哈希類出現漏洞時作防線。

編碼基礎技術特點：

• 安全基礎：綜合解碼問題（Syndrome decoding）
• 運算效能：中
• 金鑰/簽名大小：極大（10幾至數百KB）
• 實用成熟度：中（多年分析，但應用不多）

多元多項式技術特點：

• 安全基礎：解多元多項式方程
• 運算效能：混合（驗證快、簽名慢）
• 金鑰/簽名大小：公開金鑰較大、簽名細
• 實用成熟度：中（多受密碼分析關注）

由於效能問題暫時唔太適合大規模鏈應用，但作為密碼多樣性重要後備方案。

抗量子區塊鏈項目：落地路徑

原生抗量子鏈網

有部分區塊鏈項目自建立起就用抗量子密碼技術，為實際部署提供寶貴經驗：

Quantum Resistant Ledger (QRL)

2018年推出的QRL係全球首批針對量子威脅設計的鏈，簽名採用XMSS。

技術落地：

• XMSS簽名方案連256位SHAKE-128哈希
• 地址格式支援多簽名算法
• 單次簽名機制，需精細金鑰管理
• 支援多重簽名加強資產安全

QRL證明咗哈希基礎方案既優點亦有挑戰。實際鏈上平均每筆交易簽名大約2.5KB，遠大於比特幣每筆約72字節簽名，導致儲存同頻寬要求提高──QRL鏈每交易膨脹速度約比比特幣快3.5倍。

儘管有呢啲挑戰，QRL已穩定運行逾260萬個區塊、無重大安全問題，為區塊鏈用stateful hash簽名提供即時案例。

IOTA 過渡策略

IOTA 最初採用了 Winternitz 一次性簽名（WOTS）來抵抗量子威脅，但其後已經透過多個協議版本進行技術演進。

技術演進：

• 原始 WOTS 實現（應對量子威脅，但帶來可用性問題）
• 過渡至 Chrysalis 升級中的 Ed25519 簽名（提升效能為優先）
• 計劃於即將推出的 Coordicide 升級中融合 NIST PQC 標準

IOTA 的經驗展示出在實現量子抗性時，平衡安全性、效率及可用性所遇到的實際挑戰。該項目文件亦承認，最初的量子抗性方案帶來嚴重用戶體驗阻力，特別是在重用地址的限制上，結果在開發更可用的量子抗性方案期間，暫時回退至傳統密碼學方法。

QANplatform

QANplatform 遵循 NIST 建議，採用格基（lattice-based）方法，具體實施 CRYSTALS-Kyber 進行金鑰交換，以及 CRYSTALS-Dilithium 作為簽名算法。

技術路線：

• 融合 NIST PQC 決賽演算法
• 支援傳統及後量子雙模式的混合密碼架構
• 量子抗性智能合約平台
• Layer-1 設計側重於開發者易用性

QANplatform 測試網的效能數據顯示，基於格的算法在實務上可行，平均交易驗證時間為 1.2 秒——與許多傳統密碼學實作相若。其混合方案容許漸進式遷移，有助解決量子抗性密碼在普及過程中的主要採納難題。

已有網絡的量子抗性策略

主要加密貨幣網絡面對量子抗性轉型時遭遇嚴峻挑戰，原因包括網絡規模、資產價值及協調複雜性等。

比特幣的做法

比特幣一直採取保守開發策略，重視穩定及向下兼容，因此在密碼學轉型上困難重重。

現狀及建議：

• 尚未有正式的 Bitcoin Improvement Proposal（BIP）針對後量子簽名被接納
• Taproot 升級提升私隱但未解決量子安全問題
• 建議方案包括：
  • 量子抗性地址格式、作為可選功能
  • 雙重驗證的逐步過渡期間
  • 當量子威脅突然出現時的緊急硬分叉機制

比特幣社群一貫優先考慮穩定性多於功能升級，因此即使是如 Taproot 較輕微的改動，亦需時數年討論才能落實。這種治理模式令實施量子抗性更具挑戰性，因為這需要重大協議修改。

BitMEX Research 分析指，約有 250 萬 BTC（價值超過 $1,300 億美元）仍存於直接暴露公鑰的 pay-to-public-key（p2pk）地址，這是比特幣供應中最易受量子攻擊影響的一部分。

以太坊路線圖

以太坊在協議演進上展現較大彈性，並已把量子抗性列入長線路線圖考慮。

計劃方案：

• 在以太坊「Endgame」階段納入後量子簽名
• 研究兼容現有零知識證明系統的格基簽名
• 探討賬戶抽象以增加密碼靈活性
• 可能在全網實施前提供可選擇的量子抗性功能

以太坊研究員 Justin Drake 曾提出「密碼靈活性」（cryptographic agility）願景，讓網絡可於不中斷原有應用情況下升級簽名方案。這種思路認同，量子抗性需要不只新算法，還需新協議架構方便日後適應密碼標準演化。

以太坊測試網的效能測試顯示，採用 CRYSTALS-Dilithium 簽名會令交易體積增加約 2.3KB，對標準交易產生 40-60% 的 gas 成本升幅——對應以太坊擴容路線，屬明顯但可應付的增加。

實作挑戰與解決方案

技術限制

實施量子抗性密碼學為區塊鏈帶來多項技術挑戰：

儲存及頻寬需求

後量子密碼方案一般需要較大的金鑰及簽名。

這種體積膨脹會影響：

• 區塊空間效率
• 網絡頻寬需求
• 節點儲存負擔
• 交易費用

潛在解決方案包括：

• 簽名聚合技術
• Layer-2 把簽名資料離線處理
• 漸進式資料刪減機制
• 優化編碼格式

效能與效率

後量子算法往往需要更多運算資源。

對高吞吐量區塊鏈來說，可能影響：

• 交易驗證時間
• 區塊產生速度
• 節點硬件要求
• 能源消耗

優化方式包括：

• 部分算法的硬件加速
• 批量驗證技術
• 並行處理方案
• 針對算法的特殊優化

以太坊基金會研究發現，經硬件優化後的格基簽名實現，效能差距有可能縮至現有 ECDSA 的 2-3 倍水平——對大多數區塊鏈應用來說亦能接受。

治理及協調挑戰

公有鏈的去中心化特質為密碼學過渡帶來獨有困難：

協議升級協調

相比中心化系統可強制安全升級，區塊鏈升級須得到廣泛共識，包括：

• 核心開發者
• 節點營運商
• 礦工／驗證人
• 錢包提供者
• 交易所及託管商

比特幣、以太坊的歷史顯示，具爭議性的協議更改有機會導致分叉，分散了安全和價值。例如比特幣 SegWit 升級，即使針對關鍵問題由提案到實行亦歷時近 18 個月。

遷移策略

有效的量子抗性過渡需周全的遷移路線：

選擇性遷移：

• 讓用戶自願把資產轉移到量子抗性地址
• 為早期遷移用戶提供獎勵（如減免手續費、增強功能）
• 訂明過渡時間表與截止期限

混合模式：

• 過渡期內實行雙重簽名驗證
• 同時支援傳統及後量子簽名
• 漸進式加強驗證要求

緊急機制：

• 快速應對量子威脅時，準備加速過渡方案
• 制定共識機制以緊急更新密碼協議
• 建立安全通訊渠道統一應對方案

前路展望：業界回應與最佳實踐

當前業界動向

數個具潛力的方案正湧現以應對加密貨幣的量子威脅：

跨鏈標準制定

業界在量子抗性協作正逐步提升，例如：

• Cryptocurrency Quantum Resistance Alliance（CQRA）聯合 14 個區塊鏈項目協調實施標準
• NIST Cryptographic Technology Group 針對 DLT 行業提供指引
• Post-Quantum Cryptography Alliance（PQCA）開發開源區塊鏈整合工具

這些努力均旨在制定可互通標準，令不同區塊鏈能統一部署量子抗性，避免安全分割。

企業方案與混合路線

商業界亦有方案於協議更換前填補保護空隙：

• Quip Network 推出「量子保險箱」以混合密碼技術即時保護資產
• ID Quantique 與 Mt Pelerin 合作，為機構級持幣開設硬件保安量子金庫
• StarkWare 針對 Layer-2 擴容方案進行後量子零知識證明研究

這些方法證明，量子抗性可循序漸進加入既有系統，未必需要即時協議層級大改動。

持份者的實戰建議

不同區塊鏈參與者可採取針對性措施，以應對量子威脅：

個人持幣者

即時保護可包括：

1. 地址健康：避免重用地址及暴露公鑰
2. 定期換鑰：定期將資產轉移到新地址
3. 多重簽名保安：採用多簽設計需多把金鑰共同授權交易
4. 冷錢包：大部分資產存於未曾暴露公鑰的冷地址
5. 分散持倉：跨不同密碼系統分布資產

開發者及項目組

技術準備應包括：

1. 密碼靈活性：設計能更換簽名機制而不影響原功能之系統
2. 混合實作：過渡期支援傳統及後量子雙重方案
3. 協議測試：建立測試網驗證後量子算法的應用挑戰
4. 教育推廣：讓用戶及持份者預備日後遷移要求
5. 開源工具：貢獻 NIST PQC 標準區塊鏈應用庫

交易所及託管機構

機構級準備應聚焦於：

1. 風險評估：評估各類加密資產的量子風險敞口

2. 安全升級：落實進一步安全強化措施 protection layers beyond blockchain-native security
   區塊鏈原生安全之外的保護層

3. Customer Education: Inform users about quantum risks and protective measures

4. 用戶教育：通知用戶有關量子風險及相應的防護措施

5. Industry Coordination: Participate in standards development for quantum-resistant addresses

6. 行業協調：參與具備抗量子特性的地址標準制定工作

7. Transaction Monitoring: Develop systems to detect potential quantum-based attacks

8. 交易監控：開發系統以偵測潛在的量子攻擊

Conclusion: Beyond Fear, Uncertainty, and Doubt

結論：超越恐懼、不確定與懷疑

The quantum threat to cryptocurrency requires serious attention but not alarmism. With proper preparation and implementation of quantum-resistant cryptography, blockchain networks can maintain their security guarantees even as quantum computing advances.
加密貨幣面對的量子威脅需要認真處理，但毋須過度恐慌。只要有合適的準備及實施抗量子密碼學，即使量子計算發展，區塊鏈網絡都可以維持其安全保障。

Several key perspectives should guide the industry's approach:
有幾個重要方向應該引導行業的應對方案：

Timeframes and Preparation Windows

時間表及準備窗口

Current projections suggest a window of approximately 5-10 years before practical quantum attacks become feasible against current cryptographic standards. This provides sufficient time for measured, careful transitions if preparation begins now.
現時預測顯示，在真正能針對現有密碼學標準實行有效量子攻擊之前，尚有大約五至十年時間。只要及早開始準備，這就足夠進行審慎和有序的轉換。

The most recent analysis from the Global Quantum Risk Assessment Working Group indicates that attacks against Bitcoin and Ethereum's current cryptographic schemes would require quantum computers with at least 6,000 logical qubits - a threshold unlikely to be reached before 2030 based on current development trajectories.
全球量子風險評估工作組最近的分析顯示，要對比特幣及以太坊現有密碼方案發動攻擊，至少需要配備6,000個邏輯量子位的量子電腦，根據目前的發展路徑，2030年前達到這一水平的機會極低。

Cryptographic Diversity as Defense

密碼學多元化作為防禦

The diversity of post-quantum approaches provides resilience against potential vulnerabilities. By implementing multiple cryptographic methods rather than relying on a single approach, blockchain systems can create defense-in-depth against both classical and quantum threats.
多元化的後量子方法可提高系統抵禦潛在漏洞的能力。透過採用不同的密碼學措施而非單一方案，區塊鏈系統可以建立層層防線，對抗傳統或量子威脅。

Beyond merely defending against threats, quantum resistance represents an opportunity for blockchain innovation. New cryptographic methods can enable enhanced privacy features, more efficient validation mechanisms, and novel smart contract capabilities previously constrained by computational limitations.
抗量子安全不僅只是防禦威脅，更為區塊鏈帶來創新機遇。新的密碼技術可帶來更強的私隱功能、更高效的驗證機制，以及因電腦運算限制而受阻的新型智能合約功能。

The emergence of quantum-resistant cryptography may ultimately strengthen rather than undermine blockchain technology, pushing the industry toward more robust security models and greater cryptographic sophistication. By embracing this challenge proactively, the cryptocurrency ecosystem can ensure its fundamental value proposition - trustless, censorship-resistant value transfer - remains viable in the quantum computing era.
抗量子密碼學的興起，有望最終強化（而非削弱）區塊鏈科技，引領行業邁向更堅固的安全模式和更先進的密碼技術水平。若主動迎接這個挑戰，加密貨幣生態圈便能確保其核心價值主張——去信任、抗審查的價值轉移——在量子計算時代依然行得通。