HASH GAME - Online Skill Game GET 300

　　公司对“逻辑量子比特”概念的随意使用。物理量子比特本身非常嘈杂，量子算法需要逻辑量子比特；如前所述，Shor 算法需要数千个逻辑比特。使用量子纠错，一个逻辑比特通常需要由数百到数千个物理比特构成（取决于误差率）。然而一些公司已将该术语滥用到荒谬的地步。例如，某公司近期声称通过一个距离为 2 的编码，用每个逻辑比特仅两个物理比特就实现了 48 个逻辑量子比特。这显然不合理：距离为 2 的编码只能检测错误，不能纠错。而真正用于密码破解的容错逻辑量子比特每个需要数百到数千个物理量子比特，而不是两个。

　　但 Aaronson 随后澄清，他的说法并不意味着一台具备密码学相关能力的量子计算机：即便一全容错的 Shor 算法运行只成功分解 15 = 3×5 — — 一个你用纸笔都能更快算出的数 — — 他也会认为其观点被满足。这里的标准仍然只是微型规模的 Shor 算法执行，而非具有密码学意义的规模；此前对 15 的量子分解使用的还是简化电路，而非完整的容错 Shor。此外，量子试验持续选择分解 15 不是偶然：因为模 15 的算术计算极其简单，而分解稍大一些的数（如 21）就困难得多。因此，一些声称分解 21 的量子实验往往依赖提示或捷径。

　　“先收集、后解密”（Harvest now, decrypt later，HNDL）攻击是指攻击者现在储存所有加密通信数据，等待未来某一天当“对密码学具有实际威胁的量子计算机”出现时，再将其解密。可以肯定的是，国家级攻击者已经在规模性归档美国政府的加密通信，以便在未来量子计算机真正出现时将其解密。这就是为什么加密体系必须从今天开始迁移 — — 至少对于那些需要保持 10–50 年以上机密性的主体而言。

　　此外，只要用户避免地址复用，且不使用 Taproot 地址（后者会直接在链上暴露公钥），即便协议本身尚未升级，他们也基本受到保护：其公钥在花费之前仍隐藏在哈希函数之后。当他们最终广播一笔花费交易时，公钥才变为公开，此时会存在一个短暂的“实时竞赛窗口”：诚实用户需要让自己的交易尽快确认，而量子攻击者则试图在交易确认前找出私钥并抢先花费这笔币。因此，真正脆弱的币，是那些公钥已暴露多年的：早期 P2PK 输出、被重复使用的地址、以及 Taproot 持仓。

　　格方案是当前部署的重点方向。NIST 已经选定的唯一加密方案、以及三种签名算法中的两种，都基于格。其中一种格签名（ML-DSA，原名 Dilithium）在 128-bit 安全级别下的签名大小为 2.4 KB，在 256-bit 安全级别下为 4.6 KB — — 约为当前椭圆曲线 倍。另一种格方案 Falcon 的签名更小（Falcon-512 为 666 字节，Falcon-1024 为 1.3 KB），但依赖复杂的浮点运算，NIST 自己也将其标记为实现时的重大挑战。Falcon 设计者之一 Thomas Pornin 称其为“迄今为止我实现过的最复杂的密码算法”。

　　幸运的是，由开源社区维护的区块链（如以太坊、Solana）比传统互联网基础设施更容易快速升级。另一方面，互联网基础设施受益于频繁的密钥轮换，这意味着攻击面变化比早期量子计算机能追上的速度更快 — — 而区块链不具备这一点，因为币及其密钥可能无限期暴露。但总体而言，区块链仍应借鉴互联网的谨慎方法推进签名迁移。两者都不受签名类 HNDL 攻击影响，而过早迁移至尚未成熟的后量子方案的成本与风险，依然显著，不随密钥生命周期长短而改变。

　　区块链开发者应学习 Web PKI 的做法，以审慎方式推进后量子签名的部署。这让后量子签名方案有时间在性能和安全理解上进一步成熟。同时，这也给开发者时间重新设计系统，以容纳更大的签名并开发更好的聚合技术。对于比特币和其他一层链：社区需要制定迁移路径，以及关于量子脆弱且被遗弃资金的政策。被动迁移不可能，因此规划至关重要。而比特币面临的挑战大多不是技术性的 — — 治理缓慢，以及大量高价值潜在被遗弃的量子脆弱地址 — — 更凸显了比特币社区应尽早开始规划。

　　更广泛的设计启示：很多区块链将账户身份与特定密码原语紧密耦合 — — 例如比特币和以太坊都绑定 secp256k1，其他链绑定 EdDSA。后量子迁移的困难凸显了将账户身份从特定签名方案中解耦的价值。以太坊向智能账户（smart accounts）的演进，以及其他链的账户抽象趋势，都体现了这一方向：允许账户升级其认证逻辑，同时保留链上历史与状态。这不会让后量子迁移变得简单，但比起将账户固定在单一签名方案上，灵活性显著提升。（这也启用其他功能，如代付交易、社交恢复、多签等。）