量子倒數,
不是遷移越快越安全

Zero Knowledge Podcast 第 400 集找 Dan Boneh 回來談量子電腦與後量子密碼。這集最重要的提醒不是「立刻換掉所有簽章」,而是:遷移本身也會創造風險。真正成熟的策略,要同時看期限、硬體、hybrid signatures、簽章結構與 ZK 可驗證性。

來源:Zero Knowledge Podcast Episode 400 | 2026 年 5 月 6 日

SCROLL
PART 1 | 先承認沒有人知道倒數幾年

量子時間表不是答案,
只是決策壓力

主持人 Anna Rose 在 400 集開場,把問題丟給 Stanford 教授 Dan Boneh:量子電腦到底什麼時候會變成密碼學威脅?Dan 的第一個答案很不行銷:沒有人知道。如果硬要用類似 Moore’s Law 的方式估算,他會說 2035 到 2040 之間,甚至 2040 更合理;但他也立刻補一句,許多物理學家會說這種估法不適合中性原子等新路線。

這也是他解讀 Google、Cloudflare 等公司喊出 2029 後量子遷移期限的方式。那不是量子研究團隊宣布「2029 就會有可攻破公鑰密碼的機器」,而是大型安全團隊在管理自己的基礎設施更新週期。金鑰、硬體安全模組、簽章服務、庫與協議需要多年更新;把期限設早一點,是為供應鏈與內部工程留下緩衝。

400
節目里程碑
Zero Knowledge Podcast 第 400 集,Dan Boneh 再次回訪
2029
遷移期限
Google、Cloudflare 等安全團隊設定的 post-quantum 目標
2035–2040
粗略猜測
Dan 若被迫估算,才會給出的不確定區間
n years
真實答案
未知的 n;重點是管理遷移風險,而不是假裝精準

這一段把整集的語氣定下來:量子威脅是真問題,但「倒數」本身不是策略。成熟策略不是把每個系統立刻換成最新後量子演算法,而是問:哪些資產暴露時間最長?哪些金鑰現在被硬體保護?哪些協議一改就會犧牲今天的安全性?

PART 2 | 不要讓遷移本身變成事故

最危險的錯誤,
可能不是被量子電腦攻破

Dan 最強烈的提醒,是不要 rush。他舉的例子很具體:今天許多 ECDSA 或 Schnorr 簽章金鑰放在 HSM 裡,攻擊者即使入侵基礎設施,也很難把金鑰偷出來。可是如果企業為了趕快支援 ML-DSA、Falcon 等後量子簽章,發現現有 HSM 不支援,就把金鑰搬出硬體、放到一般機器上簽名,這可能是「朝錯方向邁出的一步」。

倉促遷移
為了後量子,把今天的防線拆掉
金鑰離開 HSM,改在一般伺服器上處理新簽章。理論上抗量子,實務上卻更容易被一般攻擊者偷走。
穩健遷移
推動硬體與供應鏈跟上
用期限要求 HSM 供應商支援後量子簽章,等硬體與流程成熟後再換,而不是犧牲目前有效的保護。

這不是保守到什麼都不做。Dan 說,網路通訊其實已經在很多地方走向 hybrid:把既有 elliptic-curve cryptography 和 lattice cryptography 並用。這樣即使新的後量子部分後來出問題,安全性至少不會低於原本的 ECDSA/橢圓曲線基礎;如果量子威脅真的來,新部分又能提供額外保護。

這集的遷移哲學可以濃縮成一句話:不要為了避免未來的量子攻擊,先讓自己暴露在今天更常見的軟體、營運與供應鏈攻擊裡。

PART 3 | Google 論文真正證明了什麼

Google 的亮點,
不只是「量子更近了」

訪談中段談到 Dan 參與的 Google 量子演算法工作。他特別想拆開看:大家看到新聞時容易以為這是「量子電腦快來了」的單線故事,但技術上更有趣的是,Shor’s algorithm 中最困難的某段運算,可以被化約成非常具體的 classical computation:計算 X·G + Y·H

Dan 說,這段運算如果仔細看,等同於 28 次 elliptic curve additions。Google 的工作,是找到更短、更快的量子電路來做這件事;而 Zero Knowledge Podcast 聽眾熟悉的 ZK 也出場了:他們用知識證明去證明「存在一個量子電路,能用約 270 萬個 Toffoli gates 正確實作橢圓曲線加法」。

這個 Google 工作可以怎麼讀
① Shor量子演算法要做橢圓曲線相關運算
② 化約困難部分落到 X·G + Y·H
③ 28 次核心可看成 28 次 elliptic curve additions
④ 2.7M gates以 Toffoli gates 表示量子電路成本
⑤ ZK proof證明 simulator 載入的秘密電路真的正確

這裡的重點不是說量子攻擊明天就到,而是把風險討論從抽象倒數拉回工程細節:到底哪個運算變短了?成本是多少?證明了什麼?又還沒證明什麼?Dan 的語氣一直很小心,因為他在同一集裡同時承認量子研究進展、也拒絕把進展直接翻譯成確定期限。

PART 4 | Hash-based 不是唯一方向

後量子簽章,
也要保留可組合性

區塊鏈社群現在常把 hash-based signatures 當成後量子路線。Dan 沒有說這條路錯,但他想「rattle the cage」:如果全部押在 hash-based signatures,可能會失去許多今天靠 algebraic structure 才能做到的功能。

他舉的例子包括 Bitcoin 世界裡的 adapter signatures、threshold signatures、distributed key generation,以及 hierarchical key derivation。這些不是錦上添花,而是錢包、多簽、託管、支付通道、組織金鑰管理與更複雜協議能長出來的地基。Hash-based 路線結構少、直覺上安全,但也可能把未來創新空間切掉。

🧱
Hash-based
安全假設簡潔,適合保守遷移;但簽章可能較大,且少了許多代數結構可用。
🧮
Algebraic / lattice
結構較多,因此有 threshold、adapter、DKG、HD keys 等可組合空間,也需要更謹慎審計。
🪢
Hybrid
把既有簽章與後量子簽章串接,目標是「不降低既有安全性」,同時開始累積遷移經驗。

他也提到 NIST 後量子簽章標準化可能太早,後續還有更多候選方案:例如 SIKE Sign 的短簽章很吸引人,但 isogeny-based key exchange 先前被嚴重攻破,讓人更謹慎;Hawk 則是可能補上 Falcon 一些抱怨點的 lattice-based 方案。這些細節共同指向同一件事:後量子不是「選一個演算法」而已,而是一個長期的密碼學產品、硬體與協議設計過程。

PART 5 | ZK、AI 與 proximity prize

未來的證明,
會同時壓縮程式、數學與信任

節目後段轉向 ZK 與 AI。Dan 提到 LLM 可能寫 code、測 code、甚至產生 Lean proof。問題是,Lean proof 可能很大、驗證也需要原始碼與工具鏈。這時 SNARK/STARK 的角色就很自然:把複雜的 proof 壓成短證明,讓使用者驗證小證明,而不是整個原始 Lean proof。

這裡的語氣和上一集 Benedikt Bünz 談 AI 寫 proof system 很接近:AI 可以加速探索,但真正的安全邊界仍然要落在可驗證、可審計的小核心上。ZK 不只是隱私工具,也可能成為 AI 產生程式與證明之後,人類重新取得信任錨點的方法。

最後,Dan 談到 Ethereum Foundation 的 proximity prize:一個 100 萬美元的純代數問題,若解開,可能讓 Basefold、WHIR 等 SNARK 路線變得更好。這很像整集的縮影:看起來是抽象數學,最後會落到簽章、proof system、區塊鏈成本與安全遷移。真正的後量子準備,不只是在倒數日曆上畫紅線,而是把數學、工程和營運風險一起重排。

後量子遷移最難的不是換演算法,而是不要在換演算法的路上,拆掉今天仍然有效的安全邊界。

Dan Boneh 的提醒:期限有用,但期限不能替你做威脅建模。

面對後量子遷移,
你最想先守住哪條線?

選完之後,分享你的觀點

你的觀點

想看原始訪談?

這頁整理自 Zero Knowledge Podcast Episode 400。原始訪談完整保留 Dan Boneh 對 Google 量子演算法、後量子時間表、hybrid signatures、hash-based 與 algebraic signatures、ZK/AI 與 Ethereum Foundation proximity prize 的技術細節與不確定性。

前往 YouTube →