量子還沒來,
信任先鬆動

The Ledger Podcast 這集找來 Ledger 技術長 Charles Guillemet:沒有量子電腦正在破解 Bitcoin、Ethereum 或網際網路。但問題不是 Q-Day 哪天到,而是信任可以在系統被破解之前就先鬆動。

SCROLL
PART 1 | 這不是 Bitcoin 阿宅的小眾話題

密碼學撐著現代世界,
不只撐著區塊鏈

節目開場先把一件事講清楚:今天沒有任何量子電腦正在破解 Bitcoin、Ethereum 或網際網路。這不是末日預言,是一個關於「現代世界怎麼繼續信任自己」的故事。

密碼學無所不在。它保護付款、通訊、軟體更新、網站連線、密碼、銀行、區塊鏈,還有那一小段「對,這個動作真的是我發出的」的數位簽章。量子電腦挑戰的就是這層地基的一部分。

💳
付款與銀行
轉帳、刷卡、金融機構之間的清算,都靠密碼學確認身分與授權。
💬
通訊加密
Signal、WhatsApp 這類加密訊息,還有國防與企業內部的私密通道。
🌐
網站與更新
瀏覽器上那把鎖(TLS)確認你看到的真的是 Google,而不是假頁面。

主持人 Mo 在節目裡自承不是密碼學專家,他的角色是把技術人關心的問題,翻成一般人聽得懂的語言。所以這集的主軸不是炫技,是「我們該擔心到什麼程度,又該開始做什麼」。

PART 2 | 最近到底發生了什麼

量子電腦還很小,
但 Google 的論文讓問題更難忽視

量子電腦不是更快的傳統電腦,是完全不同的機器。它用的是 qubit,靠疊加與糾纏這些量子現象運作,需要接近絕對零度的低溫維持狀態。早在 1990 年代,Shor 演算法就證明:只要有夠多 qubit 的量子電腦,就能破解 RSA 這類非對稱密碼學。當時沒人知道怎麼造量子電腦,今天最大的也只有約 96 個邏輯 qubit,還破解不了任何東西。

真正讓人坐直身體的,是 Google 三月底的一篇研究。它指出:用來破解 RSA 的 Shor 演算法,也能破解 ECDSA。ECDSA 是 Bitcoin、Ethereum 簽署交易用的橢圓曲線簽章演算法。而且破解需要的 qubit,比過去以為的少很多。

更少的 qubit,代表「需要多大的量子電腦才夠」這條門檻,往下降了。門檻變低,時間表就被往前拉。

有趣的是發表方式。Google 公布了結果,卻沒公布「怎麼做到的」。後來才知道是受到美國政府壓力,他們只能談判出一個折衷:用零知識證明證明結果為真,但不揭露方法。

一週內發生的連鎖反應
01
Google 論文
證明 ECDSA 可被破解,所需 qubit 比預期少。
02
零知識證明
受政府壓力,只證明結果為真,不公開方法。
03
AI 重現
開源社群用那個驗證器當獎勵函數,讓 AI 強化學習逼近結果。
04
超越 Google
兩天內追平,節目錄製當天已經比 Google 好約 20%。
AI 不會用同一種方式破解數學,但它能加速「造量子電腦」和「改進 Shor 演算法」這兩條研究路線。

這也回答了一個常見誤會:為什麼不直接用 AI 加上海量算力暴力破解?因為密碼學的安全靠的是數學。要破解 AES,就算動用全世界所有電腦和 AI、所有能源,也要好幾個宇宙的年齡。AI 不改變電腦怎麼運算,量子電腦才換了一套運算範式,破解的數學才會跟著變。

PART 3 | 真正的問題在 Q-Day 之前

系統還沒被破,
信任卻可以先鬆動

很多人問:Q-Day 是哪一天?節目裡引用 Justin Drake 的估計,他認為 2032 年有大約 50% 機率出現能破解密碼學的量子電腦,這個數字一路從 10%、25% 升到 50%。Charles 強調這是討論與估計,不是承諾。沒人真的知道 Q-Day,甚至可能永遠不會到。

Charles 的關鍵句:問題不是「Q-Day 哪天到」。因為等它真的到,就已經太晚了。我們用密碼學在系統裡建立信任,這是很好的數學信任。一旦這份信任因為量子威脅而被動搖,要解的就是信任鬆動的問題,而不是等破解發生。

把舊問題和真問題擺在一起,差別就出來了。

面向
舊問題(容易被誤導)
真問題(這集的重點)
在問什麼
量子電腦哪天會破解 Bitcoin?
市場與使用者哪天開始不再信任現有保護?
觸發點
要等到真的有人造出夠大的量子電腦。
只要威脅夠可信,定價與信心就會先反應。
留給你的時間
看起來還很久,容易拖延。
遷移要趕在信任崩壞之前,時間其實很緊。

節目用海嘯警報來比喻。海水正在從沙灘退去,地平線看起來怪怪的,但有一半的人還在吧台點調酒。不恐慌,但也別繼續曬太陽。

PART 4 | 為什麼區塊鏈特別難搬

中心化系統能發一封信就動工,
區塊鏈沒有人能發這封信

對中心化系統來說,遷移雖然工程浩大,但至少有人坐在頂端拍板。銀行、電信、國防、IT,知道該做什麼,也有標準可以遵循,剩下的是把它做完。NIST 已經在 2024 年標準化了後量子演算法,並訂出時間表:2030 年所有關鍵應用都必須完成轉換,2035 年涵蓋長尾應用。

區塊鏈的密碼學其實不算複雜,設計區塊鏈的人都很懂怎麼換演算法。難的是社會共識。沒有一個中心化的單位可以宣布「我們 2027 年初開始遷移、用這個演算法、這個時間表,沒搬的幣就凍結」。越去中心化的鏈,越難談成共識,而 Bitcoin 正是最難的那一個。

遷移不能做一半。假設一半的幣搬到後量子簽章、另一半沒搬,一旦量子電腦出現,它能破解另一半的價值,Bitcoin 的價格會直接歸零。所以這不是個人自由意志式的選擇,要嘛大家一起搬,要嘛保護等於沒用。

要動,得讓一整排角色同時動。這也是為什麼 Charles 說,技術問題不難,難的是協調。

🤝社會共識
📐標準制定
👛錢包
🏦交易所
🔐託管商
👩‍💻開發者
⛏️驗證者/礦工
🧑‍🤝‍🧑使用者

Charles 的判斷是:完整的社會共識大概很難達成。比較可能的是出現好幾條硬分叉,各自帶著不同的後量子設計。最後哪一條會被當成「真正的 Bitcoin」,是密碼學、行銷、政治和時機的混合題,不是純技術題。

PART 5 |「現在就開始動」是什麼意思

標準、新地址、單向遷移,
還有那些永遠不會醒來的舊幣

解法本身已經存在,叫後量子密碼學(PQC)。NIST 在 2024 年標準化了幾種主要演算法,各有取捨。後量子簽章普遍更大、更難算、更難驗證,這正是談判卡關的地方。

Hash-based(如 SPHINCS+)
最保守的選擇,安全性質研究得最透徹,因為它幾乎沒有隱藏結構可被攻破。代價是簽章很大、運算較重。Blockstream 團隊正在研究怎麼縮小它。
ML-DSA(lattice-based)
全世界 IT 系統幾乎都會採用的主流選項。但區塊鏈圈普遍對它保留,因為 lattice 只被研究約 25 年,擔心未來被發現隱藏結構。
Falcon(lattice-based)
後量子標準裡簽章最小的一種。Solana 和 Algorand 選了它,正是看上體積優勢。

選了簽章演算法,連鎖影響就來了。以 Bitcoin 為例,SPHINCS+ 這類簽章佔的空間是 ECDSA 的約 10 倍,一個區塊塞得下的簽章少 10 倍,每秒交易數會從本來就慢的約 7 筆掉到 1 筆以下,除非加大區塊。光是這一點,就會再掀起一輪老掉牙的區塊大小之爭。

遷移路徑大致是:推出一種新的後量子地址格式,開一個時間窗,要大家把舊的 UTXO 搬過去。為了製造誘因,遷移可以設計成只能單向:你能從舊地址搬到後量子地址,但不能再搬回來。

最棘手的是那些永遠不會動的幣,例如中本聰的約一百萬枚。Charles 列了幾個選項,沒有一個在每個面向都完美:留著不管,等於把破門鑰匙留在門上;凍結後銷毀,把上限從 2,100 萬下修;凍結後重新發給礦工,補上未來的安全預算。他自己偏好最後一種。

還有一個容易被忽略的差別。量子電腦能破解兩件事:一是身分認證(從公鑰反推私鑰,冒充你花掉你的幣),二是加密。對區塊鏈來說,只要在 Q-Day 之前搬完就沒事。但加密這條,攻擊者可以「現在先收割、之後再解密」。今天截走的加密流量,等量子電腦到手那天再回頭解開。對國防、銀行這些到處用加密的領域,等於現在就已經遲了。

真正的風險不是量子來得太早,而是加密世界動得太晚。

威脅還沒兌現,但信任可以在系統被破解之前就先鬆動。遷移的時鐘,在確定之前就已經開始走。

面對這場遷移,
你站在哪一邊?

這不是考試,是讓你表態

你的觀點

想聽完整對話?

The Ledger Podcast 原始影片裡,Charles 還談了零知識證明的細節、硬分叉怎麼運作、舊幣的安全預算,以及最後一輪 fud or not 快問快答。這裡已整理核心論點,原影片補上更多脈絡與互動。

觀看原始影片 →

來源:Ledger YouTube 頻道 The Ledger Podcast。原始影片為 Quantum Is Not Here Yet. The Trust Problem Is.,由 Ledger 技術長 Charles Guillemet 與品牌發展主管 Mo El-Sayed 對談。