以太坊量子安全密码学计划内幕

如果今天出现了一台与密码学相关的量子计算机， Ethereum 可能不具备抗量子力学能力。 就其目前的形式而言，其核心数字签名依赖于椭圆曲线密码学和一台成熟的量子计算机。 Shor的算法 可能会破坏这些签名。这就是原因。 Vitalik Buterin 已将抗量子攻击作为以太坊长期计划的核心部分。

以太坊迈向量子安全的关键在于工程技术。正如 Buterin 在布宜诺斯艾利斯 Devconnect 大会上所说，量子风险不再是遥不可及的未来问题。即便时间表尚不明朗，但一旦出错，后果将不堪设想。 

为什么量子计算对以太坊至关重要

量子计算之所以重要，是因为以太坊的安全性依赖于它。 椭圆曲线数字签名，特别是 secp256k1 曲线。这些签名用于保护私钥、确认资金所有权和验证交易。

快速细分：

• 私钥是一个很大的随机数。
• 公钥是由该私钥导出的椭圆曲线上的一个点。
• 以太坊地址是公钥的哈希值。

在普通计算机上，将私钥转换为公钥很容易，但由于数学上的复杂性，反向转换几乎不可能。这种单向转换功能正是以太坊的安全保障。

量子计算 打破了这种假设Shor 算法表明，足够大的量子计算机可以求解椭圆曲线方程。 多项式时间这会削弱：

• ECDSA
• RSA
• 的Diffie-Hellman
• 其他公钥系统

美国国家标准与技术研究院 (NIST) 和互联网工程任务组 (IETF) 等机构一致认为，一旦出现具有密码学意义的量子计算机，传统的椭圆曲线系统将无法生存。

维塔利克·布特林究竟说了什么

维塔利克的警告分为两部分。

机率

他没有给出自己的猜测，而是指出了预测平台 Metaculus。该平台的用户估计：

• 机会20％ 量子计算机破解当今密码学的设想 2030
• 中位数预测值接近 2040

即使风险只占很小一部分，也足以证明提前做好准备的必要性。

发现有前途的项目...

有前景的项目...

（广告）

文章继续...

时间线

在Devconnect大会上，他提到了椭圆曲线系统。 “可能在2028年美国总统大选前破裂” 如果量子技术突破比预期来得更快。他还认为以太坊应该在大约……后转向抗量子密码技术。 四年.

目前的量子计算机尚无法攻击以太坊，但一旦出现合适的硬件，ECDSA 本身的设计就存在安全隐患。对于一个全球金融网络而言，坐等危险信号出现是不负责任的。

布特林像安全工程师一样解释说：应该在地震发生前加固桥梁，而不是在地震发生时加固。

量子计算如何与以太坊地址系统交互

要了解量子威胁，就需要了解地址和交易是如何运作的。

地址结构

以太坊的地址模型非常简单：

• 如果一个地址有 决不要 已发送交易，但链上不可见公钥。
• 由于只有哈希值是公开的，即使量子攻击技术成熟，这些“新”地址仍然被认为是安全的。

但就在那一刻，一个地址 发送 交易发生时，公钥就会暴露出来。这为量子攻击者打开了一扇门。

交易

交易必须由发送方的私钥签名。为了验证交易，必须包含公钥。

一旦被添加进去，任何人都可以查看。如果存在量子计算机，它就可以利用这个公钥推导出私钥。

这就是为什么以太坊的安全风险取决于地址是否已被使用过。

什么是“量子风险敞口”基金？

量子风险敞口基金是存储在地址中的代币，这些地址中的代币…… 公钥已公开这些都很脆弱。

目前，未使用地址中的资金仍然安全，因为攻击者无法看到公钥。但以太坊的架构存在很大的安全隐患。

以太坊比比特币更容易受到攻击

因为它 账户模型以太坊鼓励地址重用。 比特币 “ UTXO模型 鼓励每次都生成新地址。

这就是为什么存储级别的风险暴露看起来是这样的：

• 超过 65% 的以太坊 位于量子暴露地址。
• 类似分析表明大约 25%排放 比特币曝光度。

这种差距是为了让智能合约易于使用而做出的设计选择造成的，而不是因为有人预料到量子硬件会发展得如此迅速。

不同类型的量子漏洞

什么是存储攻击？

存储攻击的目标是存储在存在量子风险地址中的资金。

一步步：

1. 攻击者扫描以太坊的“世界状态”，其中列出了所有地址及其使用计数器。
2. 他们会找到至少汇款过一次的地址。
3. 他们找到了一笔泄露公钥的交易。
4. 他们将该公钥输入量子计算机。
5. 它们推导出私钥。
6. 他们将资金转移到一个新的、未公开的地址。

由于存储攻击对速度要求不高，即使是需要数周时间才能破解密钥的量子计算机也能奏效。只要受害者不先转移资金，攻击就能成功。

什么是传输攻击？

传输攻击的目标是在交易广播但尚未被包含在区块中的短暂时间内窃取资金。

以太坊的区块时间大约为 10-20 秒，这似乎太短，不足以发动量子攻击。但实际情况使问题变得更加复杂：

• 交通拥堵严重时，交易可能会延迟数小时甚至数天。
• 攻击者可以利用操纵手续费等手段来推进自己的交易。
• 矿工或验证者策略可能被滥用以造成确认延迟。

攻击者监听新的交易，计算出私钥，然后发送竞争性交易来窃取资金。

虽然这种攻击更为复杂，但它可以针对任何正在进行的交易。

两次攻击的比较

• 存储攻击
  • 不需要很快
  • 仅针对暴露的地址
  • 在量子时间线的早期阶段是可行的。
     
• 运输袭击
  • 需要速度非常快的量子硬件
  • 针对任何交易
  • 需要更成熟的机器

两者都很重要，但一旦量子计算机出现，存储攻击的风险就更为直接。

以太坊如何才能实现量子安全？

以太坊必须转向能够抵御 Shor 类攻击的新型数字签名系统。这意味着弃用椭圆曲线签名并采用新的密码学原语。

当前缓解措施

这些不需要更改协议：

• 避免地址重复使用
• 轮换地址
• 将资金存放在未使用的地址

但这些措施违背了以太坊的账户模型，也打破了智能合约的惯例。

后量子时代有哪些选择？

美国国家标准与技术研究院（NIST）目前正在制定量子安全算法的标准。早期候选算法包括：

• 基于格的密码学 （领先选项）
• 基于哈希的签名
• 多元二次系统
• 基于代码的签名

没有一种方法是完美的。有些方法需要较大的密钥长度，有些会减慢验证速度，有些会生成非常大的签名。对于一个已经面临可扩展性压力的网络来说，这些权衡取舍至关重要。

但以太坊的路线图已经开始为这些变化做准备。

以太坊的量子抗性计划是什么？

Vitalik 的路线图将量子力学准备工作归纳为多个主题。

“精益以太坊”

该方案于7月推出，主要关注以下方面：

• 简单
• 高效与舒适性
• 底层安全
• “量子阻力无处不在”

挥霍

此阶段的重点是：

• 集成基于格的密码学
• 升级以太坊虚拟机
• 构建测试量子安全算法的基础

通过 Pectra 进行 EVM 升级

关键特点： EVM 对象格式 (EOF)

EOF 将代码与数据分离，从而：

• 智能合约执行效率更高
• L2性能更流畅
• 未来加密迁移更容易实现

L2 网络可用作主网集成前量子安全方案的试验场。

加强防御

以太坊研究人员深知其中的风险，也清楚时间紧迫。因此，他们目前的工作重点是几个关键的升级。

危机前更新密码学

以太坊已计划将协议的许多部分迁移到量子安全签名。这包括：

• 验证器密钥
• 提款密钥
• 二层桥接签名
• 智能合约验证机制

这些变更必须在大规模量子计算机问世之前完成。这项工作进展缓慢，因为对以太坊核心加密技术的任何改动都会影响数百万用户和数十亿美元的资产。

随着时间的推移，减少对电子通信数据安全分析系统（ECDSA）的依赖

以太坊的长期发展路线图包含逐步淘汰旧方案的选项。它可能不会依赖单一的签名标准（例如 ECDSA），而是会转向同时使用经典安全方法和量子安全方法的混合系统。

这种方法给了以太坊更多的时间，避免了仓促的全面改革。

现实世界的挑战：治理的复杂性

将以太坊迁移到量子安全模型需要：

• 广泛共识
• 精心设计的辩论
• 可能引发争议的升级
• 多年的测试

加密技术的改动深入到协议的各个层面。风险在于，仓促的改动可能会引入新的漏洞。

这次迁移很可能是以太坊历史上最复杂的升级。

那么，以太坊现在能抵御量子攻击吗？

以太坊目前的签名机制不具备抗量子攻击能力。但该网络并没有忽视这个问题。

该路线图包括量子安全工作，Vitalik 已将该问题置于长期规划的核心位置。

以太坊并未向量子入侵屈服，但它尚未做好抵御量子入侵的准备。它的应对能力取决于量子硬件发展的速度和协议层面的迁移速度。

量子计算机能否破解以太坊地址？

他们可以， 但前提是用户必须重复使用他们的公钥。.

一个隐藏的事实是：在进行交易之前，你的公钥在以太坊上是不可见的。在此之前，你的钱包地址会将你的公钥隐藏在一个哈希值之后。这为你提供了一层保护。

一旦你发送了 ETH，你的公钥就会公开。理论上，量子计算机届时可以尝试逆向工程你的私钥。但同样，这需要目前还不存在的机器。

以太坊希望转向公钥加密方案，使公钥泄露的信息更少。其目标是在未来几十年内始终领先于攻击者。

以太坊智能合约是否具有量子安全性？

有些是，有些不是。

智能合约根据其编写方式的不同，使用不同的加密工具和验证方法。许多较早的合约严重依赖 ECDSA 签名或哈希模式，而这些方法可能无法抵御大规模量子攻击。

升级它们并不容易，因为：

• 许多合同无人认领或已被弃置。
• 数十亿美元被封存在不可更改的合约中。
• 更改核心逻辑会破坏旧应用程序。

因此，以太坊必须创建量子安全的解决方案， 环绕 现有合同，无需重写。

硬道理

即使以太坊升级了所有东西，它仍然取决于：

• 钱包提供商
• 吊桥
• 二层网络
• 汇总
• 换货
• 保管人
• 节点运营商

生态系统中的每个部分都必须更新其加密技术。一个薄弱环节就足以引发攻击。

这就是为什么以太坊研究人员经常警告说，量子抗性并非一次简单的升级就能实现的，而是一个系统层面的转变，可能需要十年甚至更长时间。

量子计算何时会成为真正的威胁？

量子计算仍处于早期阶段。机器的量子比特数量有限，噪声高，相干性不稳定。专家估计，打破椭圆曲线需要…… 数百万个高质量量子比特而不是如今市面上仅有的几百种。

值得注意的是，当今的量子计算机：

• 无法破解 SHA-256
• 不能打破ECDSA
• 无法破坏智能合约签名
• Shor算法无法以任何有用的规模运行。

它们噪音大、不稳定、寿命短。即使是较为乐观的估计也表明，大规模容错机器的寿命很短。 20到30年后.

一些研究人员认为以太坊的寿命可能会更长。也有人认为它永远不会崩溃。因此，认为以太坊明年会因量子攻击而崩盘的担忧是没有根据的。 

然而，预测结果显示人们对此深感担忧：

• 由米歇尔·莫斯卡教授领导的一项反复研究发现，大多数专家认为存在…… 高概率 量子攻击对公钥密码学的影响 15 年.
• IBM 的路线图旨在实现容错系统 2029.
• 德勤的报告指出以太坊的风险敞口模型存在缺陷，尤其是在地址重用方面。

风险并非始于量子计算机准备就绪之时，而是始于社群意识到迁移时间已所剩无几之时。

真正的风险：“先收割，后解密”

这是以太坊开发者们非常重视的情况。

如今的攻击者可以：

1. 收集并存储区块链交易中的公钥
2. 将它们保存数十年
3. 等待量子计算机成熟
4. 稍后解密

这是一个长期威胁。这意味着旧的交易将来可能会变得不堪一击。这也是以太坊需要在危机到来之前很久就迁移到量子安全系统的另一个原因。

量子安全的以太坊会是什么样子？

面向未来的以太坊可能包括：

新的签名方案

如：

• 晶体-二锂
• 鹘
• SPHINCS +
• 基于哈希的签名

它们都被认为是量子安全的。

混合签名

每笔交易都使用：

• 一个古典签名
• 一个量子安全签名

这样既能保护用户，又无需在一夜之间强制进行全面过渡。

旧钱包迁移工具

以太坊需要一种安全的方式，让用户能够将资金从旧密钥转移到新的量子安全密钥。这必须是：

• 简易
• 实惠价格
• 向后兼容

如果没有这项技术，数百万个钱包可能仍然使用老旧、不安全的钥匙。

结语

以太坊的设计初衷并非为了在量子计算机技术成熟的时代生存，开发者们对此心知肚明。如今保护用户资金的签名机制，一旦容错机器出现，就无法抵挡 Shor 算法的攻击。但这并不意味着以太坊注定消亡，而是意味着迁移的时间表比大多数人预期的要紧迫得多。

未来的工作进展缓慢，技术难度高，而且充满权衡取舍。新的加密技术必须经过测试，钱包必须进行更新，合约必须得到保障，整个生态系统必须朝着同一个方向发展。

量子抗性并非一次简单的升级或突发事件，而是一个漫长的过渡过程，它影响着以太坊网络的每一层。以太坊网络不会向量子入侵屈服，而是像以往大型复杂系统一样，一步一个脚印地做好准备，不慌不忙，着眼于未来数十年的发展。

资源：

1. Vitalik Buterin 谈 X最新文章

2. 德勤报告以太坊区块链面临的量子风险——是前进道路上的小坎坷还是难以逾越的障碍？

3. 美国国家标准与技术研究院美国国家标准与技术研究院（NIST）的后量子密码学项目进入“遴选轮”

4. 量子内幕人士的报告以太坊在安全推动下为抗量子攻击的未来做好准备

5. CoinTelegraph 报道维塔利克为何认为量子计算可能会比预期更快地破解以太坊的加密技术