The Ledger Podcast 這集找來 Ledger 技術長 Charles Guillemet:沒有量子電腦正在破解 Bitcoin、Ethereum 或網際網路。但問題不是 Q-Day 哪天到,而是信任可以在系統被破解之前就先鬆動。
節目開場先把一件事講清楚:今天沒有任何量子電腦正在破解 Bitcoin、Ethereum 或網際網路。這不是末日預言,是一個關於「現代世界怎麼繼續信任自己」的故事。
密碼學無所不在。它保護付款、通訊、軟體更新、網站連線、密碼、銀行、區塊鏈,還有那一小段「對,這個動作真的是我發出的」的數位簽章。量子電腦挑戰的就是這層地基的一部分。
主持人 Mo 在節目裡自承不是密碼學專家,他的角色是把技術人關心的問題,翻成一般人聽得懂的語言。所以這集的主軸不是炫技,是「我們該擔心到什麼程度,又該開始做什麼」。
量子電腦不是更快的傳統電腦,是完全不同的機器。它用的是 qubit,靠疊加與糾纏這些量子現象運作,需要接近絕對零度的低溫維持狀態。早在 1990 年代,Shor 演算法就證明:只要有夠多 qubit 的量子電腦,就能破解 RSA 這類非對稱密碼學。當時沒人知道怎麼造量子電腦,今天最大的也只有約 96 個邏輯 qubit,還破解不了任何東西。
真正讓人坐直身體的,是 Google 三月底的一篇研究。它指出:用來破解 RSA 的 Shor 演算法,也能破解 ECDSA。ECDSA 是 Bitcoin、Ethereum 簽署交易用的橢圓曲線簽章演算法。而且破解需要的 qubit,比過去以為的少很多。
更少的 qubit,代表「需要多大的量子電腦才夠」這條門檻,往下降了。門檻變低,時間表就被往前拉。
有趣的是發表方式。Google 公布了結果,卻沒公布「怎麼做到的」。後來才知道是受到美國政府壓力,他們只能談判出一個折衷:用零知識證明證明結果為真,但不揭露方法。
這也回答了一個常見誤會:為什麼不直接用 AI 加上海量算力暴力破解?因為密碼學的安全靠的是數學。要破解 AES,就算動用全世界所有電腦和 AI、所有能源,也要好幾個宇宙的年齡。AI 不改變電腦怎麼運算,量子電腦才換了一套運算範式,破解的數學才會跟著變。
很多人問:Q-Day 是哪一天?節目裡引用 Justin Drake 的估計,他認為 2032 年有大約 50% 機率出現能破解密碼學的量子電腦,這個數字一路從 10%、25% 升到 50%。Charles 強調這是討論與估計,不是承諾。沒人真的知道 Q-Day,甚至可能永遠不會到。
Charles 的關鍵句:問題不是「Q-Day 哪天到」。因為等它真的到,就已經太晚了。我們用密碼學在系統裡建立信任,這是很好的數學信任。一旦這份信任因為量子威脅而被動搖,要解的就是信任鬆動的問題,而不是等破解發生。
把舊問題和真問題擺在一起,差別就出來了。
節目用海嘯警報來比喻。海水正在從沙灘退去,地平線看起來怪怪的,但有一半的人還在吧台點調酒。不恐慌,但也別繼續曬太陽。
對中心化系統來說,遷移雖然工程浩大,但至少有人坐在頂端拍板。銀行、電信、國防、IT,知道該做什麼,也有標準可以遵循,剩下的是把它做完。NIST 已經在 2024 年標準化了後量子演算法,並訂出時間表:2030 年所有關鍵應用都必須完成轉換,2035 年涵蓋長尾應用。
區塊鏈的密碼學其實不算複雜,設計區塊鏈的人都很懂怎麼換演算法。難的是社會共識。沒有一個中心化的單位可以宣布「我們 2027 年初開始遷移、用這個演算法、這個時間表,沒搬的幣就凍結」。越去中心化的鏈,越難談成共識,而 Bitcoin 正是最難的那一個。
遷移不能做一半。假設一半的幣搬到後量子簽章、另一半沒搬,一旦量子電腦出現,它能破解另一半的價值,Bitcoin 的價格會直接歸零。所以這不是個人自由意志式的選擇,要嘛大家一起搬,要嘛保護等於沒用。
要動,得讓一整排角色同時動。這也是為什麼 Charles 說,技術問題不難,難的是協調。
Charles 的判斷是:完整的社會共識大概很難達成。比較可能的是出現好幾條硬分叉,各自帶著不同的後量子設計。最後哪一條會被當成「真正的 Bitcoin」,是密碼學、行銷、政治和時機的混合題,不是純技術題。
解法本身已經存在,叫後量子密碼學(PQC)。NIST 在 2024 年標準化了幾種主要演算法,各有取捨。後量子簽章普遍更大、更難算、更難驗證,這正是談判卡關的地方。
選了簽章演算法,連鎖影響就來了。以 Bitcoin 為例,SPHINCS+ 這類簽章佔的空間是 ECDSA 的約 10 倍,一個區塊塞得下的簽章少 10 倍,每秒交易數會從本來就慢的約 7 筆掉到 1 筆以下,除非加大區塊。光是這一點,就會再掀起一輪老掉牙的區塊大小之爭。
遷移路徑大致是:推出一種新的後量子地址格式,開一個時間窗,要大家把舊的 UTXO 搬過去。為了製造誘因,遷移可以設計成只能單向:你能從舊地址搬到後量子地址,但不能再搬回來。
最棘手的是那些永遠不會動的幣,例如中本聰的約一百萬枚。Charles 列了幾個選項,沒有一個在每個面向都完美:留著不管,等於把破門鑰匙留在門上;凍結後銷毀,把上限從 2,100 萬下修;凍結後重新發給礦工,補上未來的安全預算。他自己偏好最後一種。
還有一個容易被忽略的差別。量子電腦能破解兩件事:一是身分認證(從公鑰反推私鑰,冒充你花掉你的幣),二是加密。對區塊鏈來說,只要在 Q-Day 之前搬完就沒事。但加密這條,攻擊者可以「現在先收割、之後再解密」。今天截走的加密流量,等量子電腦到手那天再回頭解開。對國防、銀行這些到處用加密的領域,等於現在就已經遲了。
真正的風險不是量子來得太早,而是加密世界動得太晚。
威脅還沒兌現,但信任可以在系統被破解之前就先鬆動。遷移的時鐘,在確定之前就已經開始走。
這不是考試,是讓你表態
The Ledger Podcast 原始影片裡,Charles 還談了零知識證明的細節、硬分叉怎麼運作、舊幣的安全預算,以及最後一輪 fud or not 快問快答。這裡已整理核心論點,原影片補上更多脈絡與互動。
觀看原始影片 →來源:Ledger YouTube 頻道 The Ledger Podcast。原始影片為 Quantum Is Not Here Yet. The Trust Problem Is.,由 Ledger 技術長 Charles Guillemet 與品牌發展主管 Mo El-Sayed 對談。
喜歡這種分析嗎?
從後量子密碼學、穩定幣到平台策略,用台灣讀者看得懂的語言,把複雜的產業變局說清楚。目前已有超過 2 萬位讀者訂閱。
免費訂閱區塊勢 →也可以直接付費支持,解鎖每週完整文章