跳至主要內容

以太坊上的後量子密碼學

以太坊如何為後量子時代做準備、哪些部分容易受到攻擊,以及正在建立哪些保護措施。

量子電腦最終將能夠破解保護以太坊及當今大多數其他數位系統的密碼學方法。本頁面將解釋這意味著什麼、網路如何主動開發改進措施以減輕此風險,以及您需要了解的內容。

為什麼後量子密碼學很重要

以太坊依賴多種形式的來保持網路安全並保護使用者資金。最重要的包括:

  • 橢圓曲線數位簽章演算法 (ECDSA):用於簽署交易的密碼學。您的以太坊帳戶安全取決於此。
  • BLS 簽章:由用於對網路狀態達成
  • KZG 多項式承諾:用於以太坊擴容路線圖中的
  • 零知識證明 (ZK-proof) 系統:由匯總 (rollups) 和其他應用程式用於驗證鏈下計算。

所有這些都依賴於數學結構(例如阿貝爾群),這些結構對傳統電腦來說很難破解,但量子電腦可以使用秀爾演算法 (Shor's algorithm) (opens in a new tab)高效地解決。

量子電腦何時會威脅以太坊?

2026 年 3 月,Google Quantum AI 發布的研究估計,破解 256 位元橢圓曲線密碼學(以太坊用於帳戶簽章的類型)大約需要 1,200 個邏輯量子位元。之前的估計數字要高得多。Google 已將 2029 年設定為將其自身系統遷移至後量子密碼學的內部期限。

目前的量子硬體遠未達到這種規模,僅能以數千個含雜訊的物理量子位元運行。邏輯量子位元(用於糾正錯誤並執行可靠計算)每個都需要許多物理量子位元。**目前的硬體與破解以太坊密碼學所需的硬體之間仍存在巨大差距,但縮小的速度比許多人預期的要快。**值得注意的是,美國國家標準暨技術研究院 (NIST) 預計在 2030 年棄用 ECDSA,並在 2035 年禁用它。

這不是迫在眉睫的威脅。但密碼學的過渡需要數年時間,而以太坊的安全模型旨在持續數個世紀。以太坊的應對措施是精簡以太坊 (Lean Ethereum) 路線圖,這是一項經過深思熟慮的多年任務,旨在圍繞能夠抵禦任何密碼學威脅的原語來重建以太坊。

容易受到量子攻擊的四個領域

2026 年 2 月,Vitalik Buterin 發布了一份路線圖 (opens in a new tab),指出了以太坊密碼學中需要進行後量子升級的四個不同領域。每個領域都有不同的挑戰和不同的解決路徑。

1. 共識層 BLS 簽章

它的作用:以太坊的協定使用 BLS 簽章來聚合來自數十萬個驗證者的投票。BLS 允許將許多簽章組合成一個,從而保持網路的高效。

為什麼它很脆弱:BLS 簽章依賴於橢圓曲線配對,而量子電腦可以破解它。

解決方法:精簡共識 (Lean Consensus) 路線圖包括開發兩個互補的工具:

  • leanXMSS:以太坊將用 leanXMSS(一種為驗證者設計的基於雜湊的簽章方案)取代 BLS 簽章。基於雜湊的簽章被認為是量子安全的,因為它們僅依賴於雜湊函數的安全性,量子電腦會削弱但不會破解雜湊函數。
  • leanVM:一個用於基於 SNARK 的簽章聚合的極簡 zkVM(零知識虛擬機)。因為基於雜湊的簽章要大得多(大約 3,000 位元組,而 BLS 為 96 位元組),切換到 leanXMSS 將在每個時槽產生多得多的資料。為了解決這個問題,leanVM 充當聚合引擎,將資料壓縮 250 倍。這保留了將許多簽章組合成一個的效率優勢,即使在切換到量子安全方案之後也是如此。

2. 資料可用性:KZG 承諾

它的作用:KZG 多項式承諾確保資料(特別是來自匯總的資料)在網路上可用,而不需要每個節點下載所有資料。

為什麼它很脆弱:KZG 承諾依賴於橢圓曲線配對,這正是量子電腦可以攻擊的數學結構。

目前的緩解措施:KZG 承諾使用「可信設置」,其中許多參與者貢獻了隨機性。只要至少有一位參與者是誠實的並丟棄了他們的秘密,該設置就是安全的,即使面對試圖在事後對其進行逆向工程的量子電腦也是如此。

長期解決方案:用量子安全的承諾方案取代 KZG。兩個主要的候選方案是:

  • 基於 STARK 的承諾:依賴於雜湊函數而不是橢圓曲線。已在一些 ZK 匯總 (ZK-rollups) 中使用。
  • 基於晶格的承諾:依賴於晶格問題的難度,這被認為是抗量子的。

這兩種方法仍在針對以太坊規模的效率和實用性進行研究。

3. 帳戶簽章:ECDSA

它的作用:每個標準的以太坊帳戶(外部擁有帳戶,或 )都使用 secp256k1 曲線上的 ECDSA 來簽署交易。這就是保護您資金的機制。

為什麼它很脆弱:對於任何發送過交易的帳戶,其公鑰都會暴露在鏈上。量子電腦可以從這些暴露的公鑰資料中推導出私鑰。

重要的細微差別:只接收過以太幣而從未發送過交易的帳戶尚未暴露其公鑰。只有地址(公鑰的雜湊)是可見的,這提供了一些額外的保護。

解決方法:以太坊不打算進行單一的、全協定範圍的遷移,而是計劃使用帳戶抽象化(特別是 EIP-8141,正在考慮在 2026 年下半年的 Hegotá 升級中引入),為使用者提供簽章敏捷性。個別帳戶可以切換到後量子簽章方案,而無需等待整個協定發生改變。

這是一種務實的方法。希望儘早獲得後量子保護的使用者和錢包可以自願採用它,而更廣泛的遷移則會隨著時間的推移而發生。

4. 應用層零知識證明 (ZK-proofs)

它的作用:零知識證明系統被第二層 (L2) 匯總和其他應用程式用於驗證計算,而無需揭露底層資料。

為什麼它很脆弱:許多流行的零知識證明系統(使用橢圓曲線配對的 SNARK)依賴於易受量子攻擊的假設。

解決方法:依賴於雜湊函數而不是橢圓曲線的 STARK 已經具備抗量子性,並被多個匯總所使用。生態系統對基於 STARK 系統的自然採用,已經在應用層提供了後量子安全。

NIST 標準

2024 年 8 月,美國國家標準暨技術研究院 (NIST) 已定案了三項後量子密碼學標準 (opens in a new tab)。這些標準很重要,因為它們為包括以太坊在內的整個科技產業提供了一套共享的、經過審查的演算法基礎,而不是讓每個專案都發明自己的演算法。

標準名稱類型使用案例
FIPS 203ML-KEM基於晶格金鑰封裝(金鑰交換)
FIPS 204ML-DSA (Dilithium)基於晶格數位簽章
FIPS 205SLH-DSA (SPHINCS+)基於雜湊數位簽章

這些標準為更廣泛產業的後量子過渡提供了基礎。以太坊的工作建立在這些標準之上並對其進行了擴展,特別關注去中心化網路中效率和聚合至關重要的獨特挑戰。

以太坊基金會的方法

以太坊基金會於 2026 年 1 月成立了專門的後量子安全團隊,由 Thomas Coratger 領導。該團隊的工作在 pq.ethereum.org (opens in a new tab) 上公開追蹤。

目前活動(截至 2026 年 4 月)

  • 每週互操作性開發者網路 (devnets):超過 10 個客戶端團隊參與定期的後量子互操作性測試,包括萊特豪斯 (Lighthouse)、Grandine、Zeam、Ream Labs 和 PierTwo。
  • 波塞冬獎 (Poseidon Prize):一項 100 萬美元的研究獎金,旨在改進基於雜湊的密碼學原語。
  • 開源實作:leanXMSS、leanVM、leanSpec (Python)、leanSig (Rust) 和 leanMultisig 均可在 leanEthereum GitHub 組織 (opens in a new tab)下取得。
  • 第二屆年度後量子研究靜修會 (PQ Research Retreat):計劃於 2026 年 10 月 9 日至 10 月 12 日在英國劍橋舉行。
  • 與 NIST 保持一致:以太坊的工作建立在 NIST 於 2024 年 8 月已定案的後量子密碼學標準(如 ML-KEM、ML-DSA 和 SLH-DSA)之上。

遷移里程碑

團隊概述了一系列協定升級,以逐步將後量子密碼學引入以太坊。這些是規劃中的里程碑,而非保證的承諾。名稱和順序可能會發生變化。

里程碑引入內容
I*後量子 (PQ) 金鑰註冊表。驗證者可以在現有 BLS 金鑰旁邊註冊後量子公鑰。
J*後量子簽章驗證預編譯。智慧合約和錢包可以原生驗證後量子簽章。
L*透過 leanVM 進行後量子證明和即時共識層證明。驗證者開始使用後量子簽章達成共識。
M*完整的後量子簽章聚合和後量子安全的資料塊承諾。

目標:結構化的分叉里程碑目標是在大約 2029 年完成核心後量子基礎設施。完整的執行層和生態系統遷移將延續到那之後。

使用者需要做什麼?

現在:什麼都不用做。 您的資金是安全的。當今沒有任何量子電腦可以威脅以太坊的密碼學。

未來:一旦以太坊廣泛支援後量子簽章方案(預計在 Hegotá 硬分叉和 EIP-8141 實施之後),您將需要將您的帳戶遷移到量子安全簽章。錢包軟體將引導您完成此過渡。

如果您的帳戶從未發送過交易(這意味著您的公鑰尚未暴露在鏈上),它將擁有一層額外的保護。但所有帳戶最終都應該遷移。

如何處理休眠錢包(其擁有者可能不知道需要遷移的帳戶)是一個開放的治理話題。以太坊社群尚未對此達成共識。

常見問題

進一步閱讀

頁面最後更新: 2026年4月9日

konopkjak (opens in a new tab)

這個頁面對您有幫助嗎?