量子计算机致命威胁：加密世界即将崩塌还是杞人忧天？

量子电脑威胁时间线常被夸大，短期内程式漏洞风险仍远大于量子攻击。区块链无需急于部署后量子签名，但应立即开始规划。本文源自 Justin Thaler 所著文章，由白话区块链整理、编译及撰稿。
（前情提要：VanEck 执行长放话：比特币若无法对抗量子「我们会退场」，市场老钱转移至ZCASH ）

 

加密相关的量子电脑的时间线经常被夸大——导致要求紧急、全面过渡到后量子密码学。但这些呼吁往往忽略了过早迁移的成本和风险，并忽略了不同加密原语之间截然不同的风险概况:

。后量子加密尽管有成本，仍要求立即部署:「先获取,后解密」(Harvest-Now-Decrypt-Later, HNDL) 攻击已在进行中，因为今天加密的敏感资料在量子电脑到来时仍将有价值，即使那是几十年后。后量子加密的效能开销和实作风险是真实存在的，但 HNDL 攻击使需要长期保密性的资料别无选择。

。后量子签章面临不同的考量。它们不易受到 HNDL 攻击，且其成本和风险 (更大的尺寸、效能开销、实作不成熟和错误) 要求深思熟虑而非立即迁移。

这些区别至关重要。误解会扭曲成本效益分析，导致团队忽略更突出的安全风险——比如程式错误 (bugs)。

成功过渡到后量子密码学的真正挑战在于将紧迫性与实际威胁相匹配。下面，我将阐明关于量子对密码学的威胁的常见误解——涵盖加密、签章和零知识证明——并特别关注它们对区块链的影响。

我们的时间表进展如何?

尽管有备受关注的说法，但在 2020 年代出现加密相关的量子电脑 (CRQC) 的可能性极低。

我所指的「加密相关的量子电脑」是指一台容错、纠错的量子电脑，能够以足够的规模运行 Shor 演算法，以便在合理的时间范围内 (例如，在最多一个月的持续计算内破解 {secp}256{k}1 或 {RSA-2048} 攻击椭圆曲线密码学或 RSA。

根据对公开里程碑和资源估算的任何合理解读，我们离加密相关的量子电脑还差得很远。公司有时声称 CRQC 可能在 2030 年之前或远在 2035 年之前出现，但公开已知的进展并不支持这些说法。

作为背景，在所有当前架构中——囚禁离子、超导量子位元和中性原子系统——今天的量子运算平台都不接近运行 Shor 演算法攻击 {RSA-2048} 或 {secp}256{k}1 所需的数十万到数百万物理量子位元 (取决于错误率和纠错方案)。

限制因素不只是量子位元数量，还有闸保真度、量子位元连接性，以及运行深度量子演算法所需的持续纠错电路深度。虽然一些系统现在超过 1,000 个物理量子位元，但原始量子位元数量本身具有误导性:这些系统缺乏加密相关计算所需的量子位元连接性和闸保真度。

最近的系统接近量子错误校正开始发挥作用的物理错误率，但没有人证明过多于少数逻辑量子位元具有持续纠错电路深度……更不用说实际运行 Shor 演算法所需的数千个高保真度、深电路、容错逻辑量子位元。证明量子错误校正在原理上可行与实现密码分析所需的规模之间的差距仍然巨大。

简而言之:除非量子位元数量和保真度都提高几个数量级，否则加密相关的量子电脑仍然遥不可及。

然而，企业新闻稿和媒体报导很容易让人感到困惑。这里有一些常见的误解和困惑来源，包括:

声称「量子优势」的演示，目前针对的是人为设计的任务。选择这些任务不是因为它们的实用性，而是因为它们可以在现有硬体上运行，同时似乎表现出很大的量子加速——这一事实在公告中经常被模糊。

公司声称已实现数千个物理量子位元。但这指的是量子退火机，而不是运行 Shor 演算法攻击公钥密码学所需的闸模型机器。

公司自由使用术语「逻辑量子位元」。物理量子位元是嘈杂的。正如前面提到的，量子演算法需要逻辑量子位元；Shor 演算法需要数千个。使用量子错误校正，可以用许多物理量子位元实现一个逻辑量子位元——通常是数百到数千个，具体取决于错误率。但一些公司已将这个术语延伸到面目全非。例如，最近的一个公告声称使用距离 2 码并仅用两个物理量子位元实现了一个逻辑量子位元。这是荒谬的:距离 2 码只能检测错误，而不能纠正错误。用于密码分析的真正容错逻辑量子位元每个需要数百到数千个物理量子位元，而不是两个。

更一般地，许多量子运算路线图使用术语「逻辑量子位元」来指代仅支援 Clifford 操作的量子位元。这些操作可以高效地进行经典模拟，因此不足以运行 Shor 演算法，而 Shor 演算法需要数千个纠错的 T 闸 (或更一般的非 Clifford 闸)。

即使其中一个路线图的目标是「在 X 年实现数千个逻辑量子位元」，这并不意味著该公司预期在同一年 X 运行 Shor 演算法来破解经典密码学。

这些做法严重扭曲了公众对我们距离加密相关的量子电脑有多近的看法，即使在成熟的观察家中间也是如此。

也就是说，一些专家确实对进展感到兴奋。例如，Scott Aaronson 最近写道，鉴于「当前惊人的硬体发展速度」，

我现在认为，在下一次美国总统选举之前，我们将拥有一台运行 Shor 演算法的容错量子电脑是一个现实的可能性。

但 Aaronson 后来澄清说，他的声明并不意味著加密相关的量子电脑:他认为即使一个完全容错的 Shor 演算法运行分解了 15 = 3 imes 5，也算作实现——而这个计算用铅笔和纸可以更快地完成。标准仍然是小规模执行 Shor 演算法，而不是加密相关的规模，因为之前在量子电脑上分解 15 的实验使用了简化的电路，而不是完整的、容错的 Shor 演算法。而且这些实验始终针对 15 这个数字进行分解是有原因的:模 15 的算术计算很容易，而分解像 21 这样稍大一点的数字要困难得多。因此，声称分解 21 的量子实验通常依赖于额外的提示或捷径。

简单来说，在未来 5 年内出现一台能够破解 {RSA-2048} 或 {secp}256{k}1 的加密相关量子电脑的期望——这对实际密码学至关重要——没有公开已知的进展支持。

即使 10 年仍然是雄心勃勃的。考虑到我们离加密相关的量子电脑有多远，对进步感到兴奋完全符合十年以上的时间线。

那么，美国政府将 2035 年定为政府系统全面后量子 (PQ) 迁移的最后期限又如何呢?我认为这是完成如此大规模过渡的一个合理的时间表。然而，它不是一个预测加密相关的量子电脑将在那时存在的预测。

HNDL 攻击适用于哪些情况 (不适用哪些情况)?

先获取,后解密 (HNDL) 攻击指的是对手现在储存加密流量，然后当加密相关的量子电脑存在时再解密。民族国家级别的对手肯定已经在大规模归档来自美国政府的加密通讯，以便在 CRQC 确实存在多年后解密这些通讯。

这就是为什么加密需要立即过渡——至少对于任何有 10-50 年以上保密需求的人来说。

但是数位签章——所有区块链都依赖它——与加密不同:没有保密性可以追溯攻击。

换句话说，如果加密相关的量子电脑到来，签章伪造确实从那时起成为可能，但过去的签章不像加密讯息那样「隐藏」秘密。只要你知道数位签章是在 CRQC 到来之前产生的，它就不可能是伪造的。

这使得过渡到后量子数位签章不如加密的后量子过渡那样紧迫。

主要平台正在相应地采取行动:Chrome 和 Cloudflare 为网路传输层安全 (TLS) 加密推出了混合 {X}25519+{ML-KEM}。

在本篇中，为便于阅读，我使用加密方案，尽管严格来说，像 TLS 这样的安全通讯协定使用的是金钥交换或金钥封装机制，而不是公钥加密。

这里的「混合」意味著同时使用后量子安全方案 (即 ML-KEM) 和现有方案 ({X}25519)，以获得两者的组合安全保证。这样，它们可以 (希望) 通过 ML-KEM 阻止 HNDL 攻击，同时在 ML-KEM 被证明即使对今天的电脑也是不安全的情况下，通过 {X}25519 保持经典安全。

苹果的 iMessage 也通过其 PQ3 协定部署了这种混合后量子加密，Signal 也通过其 PQXDH 和 SPQR 协定部署了。

相比之下，将后量子数位签章推广到关键网路基础设施正在被推迟，直到加密相关的量子电脑真正临近，因为当前的后量子签章方案会带来效能下降 (稍后在本篇中会详细介绍)。

zkSNARKs——零知识简洁非互动式知识论证，这是区块链长期可扩展性和隐私的关键——与签章处于相似的境地。这是因为，即使对于非后量子安全的 {zkSNARKs} (它们使用椭圆曲线密码学，就像今天的非后量子加密和签章方案一样)，它们的零知识属性是后量子安全的。

零知识属性确保在证明中不会泄露关于秘密证人的任何资讯——即使是对量子对手——因此没有机密资讯可供「先获取」以供日后解密。

因此，{zkSNARKs} 不容易受到先获取,后解密攻击。就像今天产生的非后量子签章是安全的一样，在加密相关的量子电脑到来之前产生的任何 {zkSNARK} 证明都是值得信赖的 (即所证明的陈述绝对是真实的)——即使 {zkSNARK} 使用椭圆曲线密码学。只有在加密相关的量子电脑到来之后，攻击者才能找到令人信服的虚假陈述的证明。

这对区块链意味著什么

大多数区块链不会暴露于 HNDL 攻击:

大多数非隐私链，如今天的比特币和以太坊，主要将非后量子密码学用于交易授权——即它们使用数位签章，而不是加密。

同样，这些签章不是 HNDL 风险:「先获取,后解密」攻击适用于加密资料。例如，比特币的区块链是公开的；量子威胁是签章伪造 (推导出私钥以窃取资金)，而不是解密已经公开的交易资料。这消除了 HNDL 攻击带来的即时加密紧迫性。

不幸的是，即使是像联准会这样可信来源的分析也错误地声称比特币容易受到 HNDL 攻击，这个错误夸大了过渡到后量子密码学的紧迫性。

话虽如此，紧迫性降低并不意味著比特币可以等待:它面临来自更改协定所需的巨大社会协调的不同时间线压力。

截至今天的例外是隐私链，其中许多加密或以其他方式隐藏了接收者和金额。一旦量子电脑能够破解椭圆曲线密码学，这种机密性现在就可以被获取，并被追溯性地去匿名化。

对于此类隐私链，攻击的严重性因区块链设计而异。例如，对于 Monero 基于曲线的环签章和金钥图像 (用于阻止双重花费的每个输出的可链接性标签)，公共帐本本身就足以追溯性地重建花费图。但在其他链中，损害更有限——详情请参阅 Zcash 加密工程师和研究员 Sean Bowe 的讨论。

如果使用者的交易不被加密相关的量子电脑暴露很重要，那么隐私链应该在可行的情况下尽快过渡到后量子原语 (或混合方案)。或者，它们应该采用避免将可解密秘密放在链上的架构。

比特币的特殊难题:治理 + 废弃币

特别是对于比特币，有两个现实推动了开始转向后量子数位签章的紧迫性。两者都与量子技术无关。

一个担忧是治理速度:比特币变化缓慢。如果社群无法就适当的解决方案达成一致，任何有争议的问题都可能引发破坏性的硬分叉。

另一个担忧是比特币转向后量子签章不能是被动迁移:所有者必须主动迁移他们的币。这意味著废弃的、量子易受攻击的币无法受到保护。一些估计将量子易受攻击且可能废弃的 BTC 数量定为数百万个币，按当前价格计算 (截至 2025 年 12 月) 价值数百亿美元。

然而，对比特币的量子威胁不会是突然的、一夜之间的灾难……而更像是有选择的、渐进式的目标定位过程。量子电脑不会同时破解所有加密——Shor 演算法必须一次针对一个公钥。早期的量子攻击将极其昂贵和缓慢。因此，一旦量子电脑能够破解单个比特币签章金钥，攻击者将有选择地捕食高价值钱包。

此外，避免地址重复使用且不使用 Taproot 地址——这些地址直接在链上暴露公钥——的使用者即使没有协定更改，也在很大程度上受到保护:他们的公钥在他们的币被花费之前隐藏在杂凑函数后面。当他们最终广播一笔花费交易时，公钥变得可见，并且在需要让交易得到确认的诚实花费者和想要在真正所有者的交易最终确定之前找到私钥并花费这些币的量子装备攻击者之间会有一场短暂的即时竞赛。因此，真正易受攻击的币是公钥已暴露的币:早期的点对点 K 输出、重复使用地址和 Taproot 持有。

对于已被废弃的易受攻击的币，没有简单的解决方案。一些选择包括:

比特币社群同意一个「标志日」，在此之后，任何未迁移的币被宣布销毁。

将废弃的量子易受攻击的币容易被任何拥有加密相关量子电脑的人夺取。

第二个选项会造成严重的法律和安全问题。使用量子电脑在没有私钥的情况下占有币——即使声称拥有合法所有权或有良好意图——可能在许多司法管辖区根据盗窃和电脑诈欺法引发严重问题。

此外，「废弃」本身是基于不活动的推定。但没有人真正知道这些币是否缺乏拥有金钥的活著的拥有者。您曾经拥有这些币的证据可能不足以提供破解加密保护以收回它们的法律授权。这种法律上的模糊性增加了废弃的量子易受攻击的币落入愿意忽略法律限制的恶意行为者手中的可能性。

比特币特有的最后一个问题是其低交易吞吐量。即使迁移计划最终确定，将所有量子易受攻击的资金迁移到后量子安全地址，以比特币当前的交易速率也需要数月。

这些挑战使得比特币现在就开始规划其后量子过渡变得至关重要——不是因为加密相关的量子电脑可能在 2030 年之前到来，而是因为迁移价值数十亿美元的币所需的治理、协调和技术物流将需要数年才能解决。

对比特币的量子威胁是真实的，但时间线压力来自于比特币自身的限制，而不是迫在眉睫的量子电脑。其他区块链面临著各自的量子易受攻击资金挑战，但比特币面临独特的暴露:其最早的交易使用了付费到公钥 (点对点 K) 输出，将公钥直接放在链上，使得相当大一部分 BTC 特别容易受到加密相关量子电脑的攻击。这种技术差异——加上比特币的年代久远、价值集中、低吞吐量和治理僵化——使问题尤为严重。

请注意，我上面描述的漏洞适用于比特币数位签章的加密安全——但不适用于比特币区块链的经济安全。这种经济安全源于工作量证明 (PoW) 共识机制，它不容易受到量子电脑的攻击，原因有三:

PoW 依赖于杂凑，因此只受 Grover 搜寻演算法的二次量子加速影响，而不受 Shor 演算法的指数加速影响。

实施 Grover 搜寻的实际开销使得任何量子电脑极不可能在比特币的工作量证明机制上实现哪怕是适度的实际加速。

即使实现了显著的加速，这些加速也会赋予大型量子矿工相对于小型矿工的优势，但不会从根本上破坏比特币的经济安全模型。

后量子签章的成本与风险

要了解为什么区块链不应该急于部署后量子签章，我们需要了解效能成本以及我们对后量子安全仍在演变中的信心。

大多数后量子密码学基于以下五种方法之一:

• 杂凑 (hashing)
• 编码 (codes)
• 格 (lattices)
• 多元二次系统 (multivariate quadratic systems, MQ)
• 同源 (isogenies)。

为什么有五种不同的方法?任何后量子加密原语的安全性都基于量子电脑无法有效解决特定数学问题的假设。该问题越「结构化」，我们可以从中构建的加密协定就越高效。

但这有利有弊:额外的结构也为攻击演算法创造了更多的利用空间。这造成了一种根本性的矛盾——更强的假设能够实现更好的效能，但代价是潜在的安全漏洞 (即假设被证明是错误的可能性增加)。

一般来说，基于杂凑的方法在安全性方面最为保守，因为我们最有信心量子电脑无法有效地攻击这些协定。但它们也是效能最差的。例如，NIST 标准化的基于杂凑的签章方案，即使在其最小参数设定下，大小也为 7-8 KB。相比之下，今天的基于椭圆曲线的数位签章只有 64 位元组。这大约是 100 倍的大小差异。

格方案是当今部署的主要焦点。NIST 已经选择用于标准化的唯一加密方案和三个签章演算法中的两个都基于格。一种格方案 (ML-DSA，以前称为 Dilithium) 产生的签章大小从 2.4 KB (在 128 位元安全级别) 到 4.6 KB (在 256 位元安全级别) 不等——使其比今天的基于椭圆曲线的签章大约大 40-70 倍。另一种格方案 Falcon 具有稍小的签章 (Falcon-512 为 666 位元组，Falcon-1024 为 1.3 KB)，但带有复杂的浮点运算，NIST 本身将其标记为特殊的实作挑战。Falcon 的一位创建者 Thomas Pornin 称其为「我实作过的最复杂的加密演算法」。

格基数位签章的实作安全性也比椭圆曲线基签章方案更具挑战性:ML-DSA 具有更多的敏感中间值和非平凡的拒绝采样逻辑，需要侧信道和故障保护。Falcon 增加了常数时间浮点问题；事实上，对 Falcon 实作的几次侧信道攻击已经恢复了秘密金钥。

这些问题构成了即时风险，不像加密相关的量子电脑的遥远威胁。

在部署效能更高的后量子密码学方法时，有充分的理由保持谨慎。历史上，像 Rainbow (一种基于 MQ 的签章方案) 和 SIKE/SIDH (一种基于同源的加密方案) 这样的领先候选方案在经典上就被破解了，也就是说，使用今天的电脑，而不是量子电脑，就被破解了。

这发生在 NIST 标准化过程的很晚阶段。这是健康的科学在发挥作用，但这说明过早的标准化和部署可能会适得其反。

正如前面提到的，网际网路基础设施正在对签章迁移采取深思熟虑的方法。考虑到网际网路的加密过渡一旦开始需要多长时间，这一点尤其值得注意。从 MD5 和 SHA-1 杂凑函数的转变——几年前已被网路管理机构在技术上弃用——花了许多年才在基础设施中实际实施，并且在某些情况下仍在进行中。发生这种情况的原因是这些方案是完全被破解的，而不仅仅是潜在地容易受到未来技术的影响。

区块链与网际网路基础设施的独特挑战

幸运的是，像以太坊或 Solana 这样由开源开发者社群积极维护的区块链，可以比传统网路基础设施更快地升级。另一方面，传统网路基础设施受益于频繁的金钥轮换，这意味著其攻击面移动得比早期量子机器可以针对的速度更快——这是区块链没有的奢侈，因为币及其相关金钥可以无限期地暴露。

但总的来说，区块链仍应遵循网路的深思熟虑的签章迁移方法。两种设定的签章都不暴露于 HNDL 攻击，而且无论金钥持续多久，过早迁移到不成熟的后量子方案的成本和风险仍然很大。

还有特定于区块链的挑战，使得过早迁移特别冒险和复杂:例如，区块链对签章方案有独特的要求，特别是快速聚合许多签章的能力。今天，BLS 签章因其能够实现非常快速的聚合而常被使用，但它们不是后量子安全的。研究人员正在探索基于 SNARK 的后量子签章聚合。这项工作很有前景，但仍处于早期阶段。

对于 SNARKs 来说，社群目前专注于基于杂凑的结构作为领先的后量子选项。但一个重大转变即将到来:我相信在接下来的几个月和几年里，基于格的选项将成为有吸引力的替代方案。这些替代方案将在各个方面具有比基于杂凑的 {SNARKs} 更好的效能，例如更短的证明——类似于基于格的签章比基于杂凑的签章更短。

当前更大的问题:实作安全性

在未来几年，实作漏洞将是比加密相关的量子电脑更大的安全风险。对于 {SNARKs} 来说，主要关注点是程式错误 (bugs)。

程式错误已经是数位签章和加密方案的一个挑战，而 {SNARKs} 要复杂得多。确实，一个数位签章方案可以被视为一种非常简单的 {zkSNARK}，用于陈述「我知道对应于我的公钥的私钥，而且我授权了此讯息。」

对于后量子签章，即时风险还包括实作攻击，例如侧信道和故障注入攻击。这些类型的攻击有据可查，可以从已部署的系统中提取秘密金钥。它们比遥远的量子电脑构成了更紧迫的威胁。

社群将工作多年来识别和修复 {SNARKs} 中的程式错误，并强化后量子签章实作以抵抗侧信道和故障注入攻击。由于关于后量子 {SNARKs} 和签章聚合方案的尘埃尚未落定，过早过渡的区块链面临锁定在次优方案中的风险。当更好的选项出现时，或者当实作漏洞被发现时，他们可能需要再次迁移。

我们应该怎么做?7 条建议

鉴于我上面概述的现实情况，我将以对各种利益相关者——从构建者到政策制定者——的建议作为总结。首要原则:认真对待量子威胁，但不要以加密相关的量子电脑将在 2030 年之前到来的假设行事。这种假设没有被当前的进展所证实。尽管如此，我们现在仍然可以而且应该做一些事情:

我们应该立即部署混合加密。

或者至少在长期保密性很重要且成本可承受的情况下。

许多浏览器、CDN 和讯息应用 (如 iMessage 和 Signal) 已经部署了混合方法。混合方法——后量子 + 经典——可以防御 HNDL 攻击，同时对后量子方案中潜在的弱点进行对冲。

在尺寸可承受时立即使用基于杂凑的签章。

软体 / 韧体更新——以及其他此类低频率、对尺寸不敏感的场景——应该立即采用混合基于杂凑的签章。(混合是为了对冲新方案中的实作错误，而不是因为基于杂凑的安全假设存在疑问。)

这很保守，并且在加密相关的量子电脑意外早日出现的不太可能的情况下，为社会提供了明确的「救生艇」。如果事先没有部署后量子签章的软体更新，在 CRQC 出现后，我们将面临引导问题:我们将无法安全地分发我们需要抵御它的后量子密码学修复。

区块链无需急于部署后量子签章——但应立即开始规划。

区块链开发者应该遵循网路 PKI 社群的领导，对后量子签章部署采取深思熟虑的方法。这允许后量子签章方案在效能和我们对其安全性的理解方面继续成熟。这种方法也让开发者有时间重新架构系统以处理更大的签章，并开发更好的聚合技术。

对于比特币和其他 L1:社群需要定义迁移路径和关于废弃的量子易受攻击资金的政策。被动迁移是不可能的，因此规划至关重要。而且由于比特币面临特殊的非技术性挑战——缓慢的治理和大量高价值潜在废弃的量子易受攻击地址——比特币社群现在开始规划尤为重要。

同时，我们需要允许关于后量子 {SNARKs} 和可聚合签章的研究成熟 (可能还需要几年时间)。再次强调，过早迁移有锁定在次优方案中或需要第二次迁移来解决实作错误的风险。

关于以太坊的帐户模型的一点说明:以太坊支援两种帐户类型，对后量子迁移有不同的影响——外部拥有帐户 (EOAs)，由 {secp}256{k}1 私钥控制的传统帐户类型；以及具有可程式化授权逻辑的智慧合约钱包。

在非紧急情况下，如果以太坊增加了后量子签章支援，可升级的智慧合约钱包可以通过合约升级切换到后量子验证——而 EOAs 可能需要将其资金转移到新的后量子安全地址 (尽管以太坊很可能也会为 EOAs 提供专门的迁移机制)。

在量子紧急情况下，以太坊研究人员提出了一个硬分叉计划，以冻结易受攻击的帐户，并让使用者通过使用后量子安全 {SNARKs} 证明其助记词的知识来恢复资金。这种恢复机制将适用于 EOA 和任何尚未升级的智慧合约钱包。

对使用者的实际影响:经过良好稽核、可升级的智慧合约钱包可能提供略微平滑的迁移路径——但差异不大，并且伴随著对钱包提供商和升级治理的信任方面的权衡。更重要的是以太坊社群继续其关于后量子原语和应急回应计划的工作。

对构建者的更广泛设计教训:今天许多区块链将帐户身份与特定的加密原语紧密耦合——比特币和以太坊与 {secp}256{k}1 上的 ECDSA 签章，其他链与 EdDSA。后量子迁移的挑战突显了将帐户身份与任何特定的签章方案解耦的价值。以太坊向智慧帐户的迈进以及其他链上的类似帐户抽象工作反映了这一趋势:允许帐户升级其认证逻辑，而无需放弃其链上历史和状态。这种解耦不会使后量子迁移变得微不足道，但它确实提供了比将帐户硬编码到单个签章方案中更多的灵活性。(这也支援了诸如赞助交易、社交恢复和多重签章等不相关的功能)。

对于隐私链，它们加密或隐藏交易细节，如果效能可承受，应优先考虑更早的过渡。

这些链上的使用者机密性目前暴露于 HNDL 攻击，尽管严重程度因设计而异。仅凭公共帐本就能实现完全追溯去匿名化的链面临最紧迫的风险。

考虑混合方案 (后量子 + 经典) 以防止表面上的后量子方案被证明甚至在经典上也是不安全的，或实施避免将可解密秘密放在链上的架构更改。

在近期，优先考虑实作安全性——而不是量子威胁缓解。

特别是对于像 {SNARKs} 和后量子签章这样复杂的加密原语，程式错误和实作攻击 (侧信道攻击、故障注入) 在未来几年将是比加密相关的量子电脑大得多的安全风险。

立即投资于稽核、模糊测试、形式验证，以及深度防御 / 分层安全方法——不要让量子担忧掩盖更紧迫的程式错误威胁!

资助量子运算发展。

上述所有内容的一个重要国家安全影响是，我们需要持续资助和人才培养量子运算。

一个主要对手在美国之前实现加密相关的量子运算能力，将对我们和世界其他国家构成严峻的国家安全风险。

对量子运算公告保持透视。

随著量子硬体的成熟，未来几年将会有许多里程碑。矛盾的是，这些公告的频率本身就证明了我们离加密相关的量子电脑还有多远:每个里程碑代表著我们在到达该点之前必须跨越的众多桥梁之一，每个里程碑都将产生自己的头条新闻和兴奋浪潮。

将新闻稿视为需要批判性评估的进展报告，而不是采取突然行动的提示。

当然，可能会有令人惊讶的进展或创新加速预期的时间线，就像可能会有严重的扩展瓶颈延长它们一样。

我不会争辩说在五年内出现加密相关的量子电脑是绝对不可能的，只是极不可能。上述建议对这种不确定性是稳健的，并且遵循它们可以避免更即时、更可能的风险:实作错误、仓促部署以及加密过渡出错的普通方式。