·
密码债:后量子密码为什么是「今天」的问题,而不是「等量子机造出来」的问题
绝大多数人对后量子密码(PQC)的第一反应是「量子机还没造出来,急什么」——这句话把时间线彻底搞反了。靠 HNDL(先收割后解密),今天不换的密码今天就已泄露,账单只是延后到 Q-Day 结算。你系统里每一处 RSA/ECDSA 都是一笔正在计息的「密码债」。本文拆解威胁机制、NIST 标准、为什么难的不是算法而是迁移,以及比特币约⅓供应量暴露、BIP-360/361 的「烧还是抢」死结。
如果你在做数字资产托管、支付清算、银行 IT,或者任何一个管着私钥和证书的系统——有一个威胁,你可能一直把它归到「以后再说」那一栏,而这恰恰是它最危险的地方。
它叫后量子密码(PQC,Post-Quantum Cryptography)。绝大多数人对它的第一反应是:「量子计算机还没造出来呢,急什么。」
这句话把时间线彻底搞反了。给你一个能带走的判断:
后量子密码不是一个「等量子机就位再处理」的未来问题,是一个「今天不动手,今天就已经泄露」的当下问题。 你系统里每一处还在用 RSA / ECDSA 的地方,都是一笔正在计息的密码债——而利息,今天就在扣。
利息是怎么扣的:HNDL
让密码债今天就计息的机制,叫 HNDL:Harvest Now, Decrypt Later——先收割,后解密。
攻击者根本不需要等量子机就位。他今天就把你的加密流量、把区块链上暴露的公钥,原样抄走、存起来。等到 Q-Day(量子机能跑破解算法那天),再拿出来离线慢慢解。
这就是关键:加密数据的保质期,往往比量子机的到来还长。 一份今天用 RSA-2048 加密的病历、合同、外交电报、私钥备份,如果它的敏感性要维持十年二十年,那么它今天被抄走,就等于今天已经泄露——只是账单延后到 Q-Day 结算。已有研究警告过,一旦那天到来,历史数据的隐私会回溯性、永久性地坍塌:身份、资金归属、交易图谱,全部暴露。
所以「被迫」两个字不是营销。它是时间结构决定的:你无法在威胁兑现之后再补救,因为损害在收割那一刻就已经发生了。
好消息与坏消息:算法很便宜,迁移很贵
好消息是,还债的工具已经造好了。NIST 在 2024 年 8 月定死了首批标准:ML-KEM(FIPS 203) 负责密钥交换,ML-DSA(FIPS 204) 和 SLH-DSA(FIPS 205) 负责数字签名。这些是能跑在普通计算机上的数学算法,用来替换公钥密码里被量子撬开的那部分。标准就绪,倒计时开始。
(顺带厘清一个常见混淆:PQC 不是 QKD。QKD——量子密钥分发——靠单光子物理特性、需要专用光纤,是另一套东西,只在极少数场景有意义。绝大多数互联网和企业系统要走的,是 PQC。)
坏消息,也是这件事真正的难点所在:算法本身几乎不值钱,把它换进去才是天文数字。
NIST 标准编译出来不过几百 KB 代码。但你要把这几百 KB,铺进几十年积累下来的证书体系、HSM、固件、TLS 握手、代码签名、VPN、旧主机协议、以及层层外包的供应链——这是一场全栈工程。业内一个反复被引用的估算是:迁移与集成的工作量,是算法本身的 8 到 12 倍。
这就是密码债的还款结构:借钱(用上 RSA/ECDSA)很容易,一行配置的事;还钱(迁移到 PQC)很难,要盘清你到底在哪些地方欠了债——而大多数机构连自己的密码资产清单都没有。你不知道你的固件里、某个二十年前的批处理脚本里、某张即将过期的证书链里,到底埋了多少 RSA。清点,才是迁移工程里最先卡住的那一步。
加密行业:暴露面最大的那个,不是最安全的那个
很多人以为区块链天生「密码学最硬」。在量子这件事上,正好相反——比特币和以太坊是暴露面最大的资产类别之一。
它们的签名根基是 ECDSA(secp256k1 曲线),而椭圆曲线密码恰恰是量子计算最先能撬开的目标(密钥短、所需量子比特和门数更少)。更麻烦的是,链是公开的——你的公钥,很多时候就明晃晃摆在链上。
数字(多家独立测算收敛在同一区间):
- 约 6–7 百万枚 BTC,接近总供应量的三分之一,坐在已经暴露的公钥后面。 Chaincode Labs 2025 年 5 月估约 600 万枚(30%),Coinbase 的报告给到 690 万枚,Project 11 在 2026 年 1 月的口径约 700 万枚(33%)。
- 其中约 170–190 万枚在最古老的 P2PK 地址里,公钥直接刻在链上,包括中本聪的约 110 万枚——这批币永远无法迁移,因为私钥要么丢了,要么主人不会再出现。
- 剩下约 65% 的比特币藏在未暴露公钥的地址后面(现代地址先暴露的是公钥的哈希)。它们暂时安全——但只要你花一次,就必须在交易里亮出公钥,安全窗口当场关闭。
两种攻击要分清:长程攻击打永久暴露的公钥(P2PK、地址复用、P2TR),没有时间限制,量子机哪怕跑几天几周都无所谓——这是最致命的;短程攻击打你广播交易到确认之间那几分钟的窗口,需要量子速度再上一个台阶。今天真正悬在头上的,是长程攻击。
比特币的死结:烧,还是抢
技术侧已经在动。2026 年 2 月 11 日,BIP-360(P2QRH,Pay-to-Quantum-Resistant-Hash)合入官方仓库,这是比特币第一个抗量子地址类型。但要有分寸——没有一个严肃开发者说「比特币现在量子安全了」。它是脚手架,不是盾牌:它让未来的抗量子花费路径成为可能,本身没解决迁移。
真正棘手的是两个月后的 BIP-361。2026 年 4 月 14 日,Jameson Lopp 等人提出这份「后量子迁移与遗留签名日落(Post Quantum Migration and Legacy Signature Sunset)」,核心是设一个截止期:过期后,网络停止承认旧的、量子脆弱签名类型的花费。
这就逼出了一个没有正确答案的问题——烧,还是抢?
那约 110 万枚中本聪的币,私钥不可能找回。留着不管,它们就是一颗永久的定时炸弹,Q-Day 一到就是量子攻击者的第一批猎物;一旦被「抢」走抛售,冲击的是整个市场的信用。主动日落冻结,等于在协议层对一批合法私产执行没收——这在一条以「抗审查、不可没收」为立身之本的链上,是价值观的自我背刺。没有第三个干净选项。这不再是技术问题,是政治问题。
这才是 PQC 落到区块链上真正的样子:不是一个算法升级就能一笔勾销,而是一场必须全网协调、还夹着产权伦理的多年迁移。
如果这套系统归你管,现在该做什么
密码债的还款不能等到 Q-Day,因为那时利息已经结清、损害已经发生。三件事,今天就能动:
- 先做密码资产清点。 你不可能迁移你不知道存在的东西。搞清楚 RSA / ECDSA 埋在你哪些证书、固件、协议、脚本和第三方依赖里——这一步最枯燥,也最卡人,越早越好。
- 建立「密码敏捷性」(crypto-agility)。 把算法做成可替换的模块,而不是焊死在系统里。这次换 PQC 不会是最后一次换算法,架构上能不能快速轮换,决定你下一轮迁移是几周还是几年。
- 数字资产团队额外一条:立刻停止地址复用、开始密钥轮换。 一个从未花费过的地址,公钥仍藏在哈希后面;一旦复用或花费,就暴露。这是今天零成本就能降低长程攻击暴露面的动作。
收尾
后量子密码的难点,从来不是「等一台还没出现的量子机」。是标准早就定了、威胁靠 HNDL 今天就生效、而迁移是一场要干很多年、还得先把自己欠的债清点清楚的全栈工程。
比特币把这一课演到了极致:6–7 百万枚币坐在暴露的公钥上,一次算法升级救不了它,能救它的是一场夹着「烧还是抢」的全网迁移。
密码债不会因为你不看它就停止计息。 你所在的系统里,那笔账埋在哪一层,你清点过了吗?
转发此帖子?
与您的关注者分享。
回复