編者按：量子威脅的敘事正在被市場「過度緊迫化」，但後量子遷移不該一刀切。本文核心觀點是：加密要盡快上混合方案，因為「先收集、後解密」（HNDL）已是現實風險；但數位簽名與 zkSNARK 不必搶跑，過早切換可能帶來體積膨脹、性能回撤和實現漏洞等更直接的安全成本。

本文作者 Justin Thaler 是 a16z 研究合夥人、喬治城大學計算機系副教授，研究可驗證計算等方向，他提醒行業後量子時代要做的不是恐慌式遷移，而是把資源投向真正緊迫的風險。

以下為原文：

量子計算機距離「足以威脅現有密碼體系」究竟還有多遠，市場上的時間表往往被過度提前，也因此催生了「必須立刻、全面切換到後量子密碼（PQC）」的緊迫敘事。

但問題在於，這類呼籲常常忽略一個關鍵現實：過早遷移本身就有不小的成本與新風險。更重要的是，密碼體系並非鐵板一塊，不同密碼學原語（cryptographic primitives）的受攻擊方式與風險暴露程度差異其實很大：

後量子加密（Post-quantum encryption）的邏輯更緊迫：哪怕代價高，也需要盡快部署。原因是「先收集、後解密」（Harvest-now-decrypt-later, HNDL）攻擊已經在發生——敵手可以先把今天加密的敏感數據存下來，等未來量子計算機真正出現時再解密。即便量子計算機可能要幾十年後才到來，只要這些數據屆時仍然有價值，就構成現實威脅。後量子加密確實存在性能開銷與實現風險，但對於需要長期保密的數據來說，HNDL 攻擊讓我們別無選擇。

後量子簽名（Post-quantum signatures）的計算方式則不同：它們不受 HNDL 攻擊影響，而其成本與風險（體積更大、性能開銷、實現尚不成熟、漏洞風險）決定了遷移應當更謹慎、更有節奏，而不是立刻全面上馬。

這些區分非常關鍵。錯誤認知會扭曲成本效益分析，導致團隊忽略更迫切的安全風險——比如程式碼漏洞（bugs）。成功推進後量子密碼遷移的真正難點，是讓「緊迫性」匹配「真實威脅」。下面我會澄清一些關於量子威脅與密碼學的常見誤解——涵蓋加密、簽名與零知識證明，並特別強調它們對區塊鏈的影響。

我們現在的時間進度在哪？

在 2020 年代出現「與密碼破解相關的量子計算機」（Cryptographically Relevant Quantum Computer, CRQC）是極不可能的，儘管有一些高調說法並非如此。

我所說的「與密碼學相關的量子計算機」，指的是一種可容錯、具備糾錯能力的量子計算機，能夠在足夠規模上運行 Shor 算法，並在合理時間內攻破橢圓曲線密碼或 RSA（例如：能在最多一個月左右的持續計算內，破解 secp256k1 或 RSA-2048）。

以任何對公開里程碑與資源估算的合理解讀來看，我們距離 CRQC 仍然非常遙遠。有些公司宣稱在 2030 年前或遠早於 2035 年就可能實現 CRQC，但公開可見的進展並不支持這些說法。

作為對照：在目前所有主流架構，如離子阱、超導比特，以及中性原子系統中，沒有任何平台接近運行 Shor 算法所需的規模：要攻擊 RSA-2048 或 secp256k1，往往需要幾十萬到數百萬個物理比特（具體取決於誤差率與糾錯方案）。

限制因素不僅是比特數量，還包括門保真度（gate fidelity）、比特連接性（connectivity），以及運行深層量子算法所需的、可長期維持的糾錯電路深度。雖然一些系統已突破 1000 個物理比特，但單看數量很容易誤導：這些系統缺乏進行「與密碼破解相關計算」所需的連接性與門保真度。

一些最新系統的物理誤差率確實接近「量子糾錯開始發揮作用」的門檻，但目前仍沒有人展示出超過少量的邏輯比特（logical qubit）能在足夠深的糾錯電路下持續運行——更別說 Shor 算法真正需要的，是成千上萬個高保真、深電路、容錯的邏輯比特。

從「證明量子級錯誤更正在原理上可行」，到「達到足以做密碼分析的規模」，中間的差距仍然巨大。

簡而言之：在物理比特數量與保真度都提升數個數量級之前，CRQC 仍然遙不可及。

但為什麼大家容易被誤導？

企業新聞稿與媒體報導很容易製造混淆，常見誤解來源包括：

有些演示宣稱實現了「量子優勢」（quantum advantage），但目前多針對人為設計的、並不實用的任務。這些任務之所以被選中，不是因為有現實價值，而是因為它們能在現有硬件上跑出來，並「看起來」有巨大的量子加速，而這種背景往往在公告中被弱化。

有公司宣稱實現「數千個物理比特」，但那通常指的是量子退火機（quantum annealer），而不是運行 Shor 算法所需的閘模型量子計算機（gate-model machine）。

還有公司濫用「邏輯比特」這個詞。物理比特噪聲很大，量子算法需要邏輯比特；而 Shor 算法需要數千個邏輯比特。邏輯比特通常由許多物理比特通過校正構成——每個邏輯比特往往需要幾百到幾千個物理比特（取決於錯誤率）。但有些公司把這個概念「拉伸到面目全非」。例如，有公告聲稱用距離為 2 的級錯碼（distance-2 code），每個邏輯比特只用兩個物理比特，就實現了 48 個邏輯比特——這是荒謬的：距離 2 的碼只能檢測錯誤，不能糾正錯誤。真正用於密碼分析的容錯邏輯比特，每個都需要幾百到幾千物理比特，而不是兩個。

更普遍地說，許多量子計算路線圖裡，「邏輯比特」指的是只支援 Clifford 運算的比特；而 Clifford 運算是可以被經典計算機高效模擬的，因此根本不足以運行 Shor 算法。Shor 算法需要大量級錯後的 T 閘（或更一般的非 Clifford 閘）。

所以，即使某路線圖說「X 年之前達到數千邏輯比特」，也不代表那家公司預計同一年就能跑 Shor 算法去攻破經典密碼學。

這些做法嚴重扭曲了大眾對 CRQC 距離的判斷，即便在一些專業觀察者群體中也是如此。

專家也會興奮，但不代表「馬上就能破密碼」

確實，有專家對進展感到興奮。比如 Scott Aaronson 最近曾寫道，鑑於「當前驚人的硬體進步速度」，他認為在下一次美國總統大選前出現能運行 Shor 算法的容錯量子電腦，是一種「現實可能性」。

但 Aaronson 隨後也澄清：他這並不是指 CRQC。哪怕是一次完全容錯的 Shor 算法運行，能分解 15 = 3×5，他也會認為「達成」。而這個計算用紙筆都更快。門檻仍然是「小規模」跑起來，而不是「足以用於密碼破解」的規模。

此外，為什麼很多實驗總愛分解 15？因為模 15 的算術很簡單，而分解稍微大一點的數，比如 21，就難得多。因此宣稱分解 21 的實驗，常常依賴額外提示或捷徑。

總之：認為未來 5 年內會出現能攻破 RSA-2048 或 secp256k1 的 CRQC（這才是實踐密碼學真正關心的能力），並沒有公開進展支撐。

就算是 10 年，也依然非常激進。考慮我們離 CRQC 還有多遠，對硬體進展感到興奮，完全可以和「十年以上時間表」並存。

至於美國政府將 2035 視作政府系統全面遷移到後量子體系的目標期限：我認為這是一個合理的「完成大規模遷移的時間表」，但它並不是對「2035 年前就會出現 CRQC」的預測。

HNDL 攻擊適用在哪些地方（又不適用在哪些地方）？

「先收集、後解密」（HNDL）攻擊指的是：對手現在就存儲加密通信流量，等未來 CRQC 出現後再解密。國家級對手幾乎肯定已經在大規模歸檔美國政府的加密通信，以便多年後能解密。

因此，加密體系需要從今天開始遷移——至少對那些需要 10–50 年以上保密性的人來說。

但區塊鏈依賴的數字簽名與加密不同：簽名本身不承載「保密內容」，不存在可以被事後解密的機密。

換句話說：如果 CRQC 到來，從那一刻起，確實可能偽造簽名；但歷史簽名並不像加密消息那樣「藏著秘密」。只要你知道某個簽名生成於 CRQC 出現之前，它就不可能是偽造的。

這使得後量子數位簽章的遷移迫切性，遠低於加密的後量子遷移。

因此主流平台的行動也符合這個節奏：

Chrome 與 Cloudflare 已在 TLS 加密中推出 X25519 + ML-KEM 的混合方案。
（註：為了可讀性我這裡說「加密方案」，但嚴格來說 TLS 使用的是金鑰交換或金鑰封裝機制，而非傳統意義的公鑰加密。）

「混合」指的是把後量子安全方案（ML-KEM）與現有方案（X25519）疊加使用，以同時獲得兩者的安全保證：一方面用 ML-KEM 抵擋 HNDL，另一方面即便 ML-KEM 被證明對經典計算機也不安全，仍保留 X25519 的經典安全性。

Apple 的 iMessage 通過 PQ3 協議部署了類似的混合後量子加密；Signal 也通過 PQXDH 與 SPQR 協議部署了相近思路。

相對地，關鍵互聯網基礎設施上的後量子數位簽章部署被推遲，直到 CRQC 真正臨近，因為現有後量子簽名方案帶來顯著性能退化（後文會解釋）。

zkSNARK 的情況類似於簽名，而不是加密

zkSNARK（零知識簡潔非互動式知證）對區塊鏈的長期可擴展性與隱私非常關鍵，它的處境與簽名類似：即便某些 zkSNARK 並非後量子安全（因為它們使用橢圓曲線密碼學，就像今天的非後量子加密和簽名方案一樣），它們的零知識性質依然是後量子安全的。

零知識性質意味著證明不會洩露任何關於「秘密見證」（witness）的資訊——即使面對量子對手也不會——因此不存在可以「先收集、後解密」的機密內容。

所以 zkSNARK 不會受到 HNDL 攻擊。就像今天生成的非後量子簽名仍然可靠一樣，只要某個 zkSNARK 證明是在 CRQC 出現之前生成的，它就可信（證明的命題一定為真），即便該 zkSNARK 使用橢圓曲線密碼學。只有在 CRQC 出現後，攻擊者才可能伪造「看似可信但實際上證明假命題」的證明。

這對區塊鏈意味著什麼？

大多數區塊鏈並不會暴露在 HNDL 攻擊下：像比特幣、以太坊這樣的非隱私鏈，主要用非後量子密碼學進行交易授權，也就是用數位簽章，而不是加密。簽名不是 HNDL 風險點：HNDL 針對的是加密數據。例如比特幣鏈是公開的，量子威脅是「偽造簽名（推導私鑰竊幣）」，而不是「解密本就公開的交易數據」。因此，HNDL 並不會帶來「立刻必須遷移」的密碼學緊急性。

遺憾的是，就連美聯儲這類可信來源的部分分析，也曾錯誤聲稱比特幣會受到 HNDL 攻擊，這種誤判會誇大量子遷移的緊急性。

當然，緊急性降低並不等於比特幣可以慢慢等：它的時間壓力來自另一件事——改變協議所需的巨大社會協調成本。（後文會談比特幣的特殊難題。）

目前真正的例外是隱私鏈：其中很多鏈會加密或隱藏收款方與金額。這類機密性可以被「現在收集」，並在未來量子計算機能破解橢圓曲線密碼後進行追溯去匿名。

隱私鏈受到攻擊的嚴重程度取決於具體設計。例如，Monero 的基於曲線的環簽名與 key image（用於防止雙花的一種「每個輸出的可鏈接標籤」），僅憑公開帳本就可能在很大程度上重建歷史支出圖譜。而另一些隱私方案的損害更有限——細節可參考 Zcash 的密碼工程師兼研究員 Sean Bowe 的討論。

如果用戶非常在意交易不會在 CRQC 到來後被曝光，那麼隱私鏈應盡快遷移到後量子原語（或混合方案），或採用避免把可解密秘密寫入鏈上的架構。

比特幣的「特殊頭痛點」：治理 + 棄置幣

對比特幣而言，有兩個現實因素推動它必須盡早開始規劃後量子簽名遷移——而這兩點都與量子技術本身無關：

治理速度：比特幣升級極慢。任何有爭議的議題都可能引發破壞性的硬分叉，如果社區無法達成一致。

遷移無法被動完成：比特幣切換到後量子簽名不可能「自動遷移」，幣的持有人必須主動搬遷資產。也就是說，棄置的、量子脆弱的幣將無法被保護。有些估計認為，這類潛在棄置且量子脆弱的 BTC 可能有數百萬枚，以 2025 年 12 月的價格計，價值可達數千億美元。

不過，比特幣的量子威脅不會是一夜之間的末日，而更像是一種「選擇性、逐漸式」的攻擊過程。量子計算機不會同時破解所有密鑰：Shor 算法需要逐個攻擊公鑰。早期量子攻擊會極其昂貴且緩慢。因此，一旦能破解單個比特幣簽名密鑰，攻擊者會優先瞄準高價值錢包。

此外，不複用地址、並且不使用 Taproot 地址（Taproot 會將公鑰直接暴露在鏈上）的用戶，即便協議不改也相對安全：他們的公鑰在花費前一直被雜湊函數隱藏。直到發出花費交易，公鑰才可見，此時會出現一場短暫的「實時競速」——真實持有人需要交易盡快被確認，而量子攻擊者嘗試在其最終確認前推導私鑰並抢先花費。因此，真正長期脆弱的是那些公鑰早已暴露的幣：早期的 P2PK 輸出、複用地址、以及 Taproot 持幣。

對於已暴露且可能棄置的幣，並沒有簡單解法，可能選項包括：

社區設定一個「旗幟日」（flag day），在某日期之後，任何未遷移的幣視為被銷毀；

或放任這些棄置的量子脆弱幣，未來被任何擁有 CRQC 的人直接「接管」。

第二個選項會帶來嚴重的法律與安全問題：用量子計算機在沒有私鑰的情況下獲取幣的控制權，即便聲稱所有權正當或出於善意，在許多司法轄區也可能觸犯盜竊或計算機詐騙相關法律。

而且，「棄置」本身只是基於長期不動用的推測，沒人能確認這些幣是否真的沒有活著的持有人或仍可訪問的密鑰。僅憑「我曾經擁有過這些幣」的證據，往往也不足以構成合法授權去突破密碼保護取回資產。這種法律模糊性會增加惡意攻擊者抢先下手的概率。

比特幣還有一個額外問題：鏈上吞吐量很低。即便遷移方案確定，要把所有量子脆弱資金遷移到後量子安全地址，以比特幣當前交易速率，可能需要數月。

這些問題使得比特幣必須從現在開始規劃後量子遷移——不是因為 2030 年前會出現 CRQC，而是因為治理、協調與技術遷移本身就需要多年才能解決。

比特幣面臨的量子風險是真實存在的，但時間壓力來自它自身的約束，而不是量子計算機迫在眉睫。其他區塊鏈也會有量子脆弱資金的問題，但比特幣更特殊：它早期交易使用 P2PK 輸出，將公鑰直接寫在鏈上，使得其量子脆弱幣的比例尤其顯著。加上比特幣的歷史更久、價值更集中、吞吐量更低、治理更嚴格，使得問題格外嚴重。

需要強調的是：上述脆弱性影響的是比特幣數位簽名的密碼安全性，而不是比特幣鏈的經濟安全性。比特幣的經濟安全性來自 PoW（工作量證明），量子計算對 PoW 的威脅相對有限，原因有三：

PoW 依賴雜湊，因此只會受到 Grover 搜索演算法的平方級加速，而不會遭受 Shor 演算法那種指數級加速；

實現 Grover 搜索的現實開銷極大，使得量子計算機在比特幣 PoW 上獲得哪怕「溫和的實際加速」都不太可能；

即便出現顯著加速，也更多是讓大礦工（量子礦工）相對更佔優勢，而不會從根本上打破比特幣的經濟安全模型。

後量子簽名的成本與風險

要理解為什麼區塊鏈不應倉促部署後量子簽名，我們必須同時理解性能代價，以及我們對後量子安全性的信心仍在變化。

多數後量子密碼方案基於五種路線之一：

雜湊（hashing）, 編碼（codes）, 格（lattices）, 多變量二次方程系統（MQ）, 同源映射（isogenies）

為什麼會有五種？因為任何後量子密碼原語的安全性都建立在一個假設上：量子計算機無法高效解決某個數學難題。問題結構越強，我們越能構造高效協議。

但結構越強也意味著攻擊面更大，越可能被演算法利用。這形成基本張力：更強的結構假設帶來更好性能，同時也可能帶來更高的安全風險（假設被推翻的機率更大）。

總體而言，雜湊路線在安全性上最保守，因為我們對量子計算機難以高效攻擊它們更有信心；但性能也最差。比如 NIST 標準化的雜湊簽名，即使用最小參數，簽名也有 7–8KB。相比之下，今天基於橢圓曲線的數位簽名只有 64 字節，尺寸差不多是 100 倍。

格密碼是當前部署重點：NIST 選定標準化的唯一加密方案，以及三種簽名演算法中的兩種，都基於格。

其中 ML-DSA（原 Dilithium）的簽名大小大致為：

128 位安全級別：2.4KB

256 位安全級別：4.6KB

比起橢圓曲線簽名大約大 40–70 倍。

另一種格簽名 Falcon 簽名較小（Falcon-512 為 666 位元組，Falcon-1024 為 1.3KB），但需要複雜的浮點運算，NIST 也特別指出其實現難度。一位 Falcon 的作者 Thomas Pornin 甚至稱其為「我實現過的最複雜的密碼演算法」。

從實現安全角度看，格簽名方案也比橢圓曲線方案更難部署安全：ML-DSA 有更多敏感中間值與複雜的拒絕採樣邏輯，必須進行側信道與容錯防護；Falcon 涉及常數時間浮點實現等難題，且確實已有針對 Falcon 實現的側信道攻擊能恢復私鑰。

這些問題是當下立即存在的風險，而不是遠期的 CRQC 風險。

謹慎是有歷史教訓的：一些曾經領先的候選方案，比如 Rainbow（MQ 簽名）與 SIKE/SIDH（同源映射加密），後來都被經典計算機攻破，也就是用今天的計算機就能破解，而不是量子計算機。

而且它們是在 NIST 標準化過程進行到後期時才被打破。這固然說明科學過程在發揮作用，但也提醒我們：過早標準化與過早部署可能適得其反。

正因如此，互聯網基礎設施在簽名遷移上採取更穩健的路徑。即使互聯網密碼遷移一旦開始，通常需要極長時間才能真正落地：從 MD5 和 SHA-1 的淘汰就能看出，即便它們早已被正式棄用，基礎設施落地仍耗時多年，至今在一些場景中仍未完全消失。那還是在這些演算法「已經徹底被攻破」的情況下，而不僅僅是「未來可能會被攻破」。

區塊鏈 vs 互聯網基礎設施：一些獨特挑戰

好消息是，像以太坊、Solana 這種活躍的開源社區維護型區塊鏈，升級速度往往比傳統互聯網基礎設施快。

但傳統互聯網基礎設施也有優勢：它會頻繁輪換金鑰，這讓攻擊面不斷移動，早期量子機器很難逐個擊破。而區塊鏈沒有這個「奢侍條件」，因為幣與對應金鑰可以長期暴露並靜置不動。

总体而言，区块链仍应该采用互联网对签名迁移的「穩健節奏」：因為簽名不面對 HNDL，而過早遷移到不成熟後量子方案的代價與風險，依舊很大。

同時，區塊鏈還有一些讓過早遷移更複雜的特殊要求：比如鏈上需要快速聚合大量簽名。今天 BLS 簽名常用，原因就是聚合極快，但它並非後量子安全。研究者正在探索用 SNARK 聚合後量子簽名，這很有前景，但仍處於早期。

對 SNARK 來說，社區目前多把雜湊構造視為主要後量子方案。但未來數月到數年，格方案可能會成為性能更好的替代選擇，帶來更短證明等優勢——類似「格簽名比雜湊簽名更短」的對比。

當前更大的問題：實現安全，而不是量子威脅

在未來很多年裡，實現漏洞將遠比 CRQC 更可能成為主要安全風險。對 SNARK 來說，首要問題就是 bugs。

數位簽名與加密本就難以實現無漏洞，SNARK 的複雜度更高。實際上，數位簽名方案可以看作一種非常簡單的 zkSNARK：它證明「我知道與該公鑰對應的私鑰，並授權了這條消息」。

對於後量子簽名，當下還要面對側信道、故障注入等實現攻擊。這些攻擊在現實世界裡非常成熟，足以從部署系統中提取私鑰，其威脅遠比「遙遠的量子計算機」更迫切。

未來數年，社區需要持續發現與修復 SNARK 的 bug，並加固後量子簽名實現以抵禦側信道與故障注入。由於後量子 SNARK 與簽名聚合方案仍在演化，過早遷移的鏈可能被鎖死在次優方案中，甚至在更優方案出現或實現漏洞被發現時不得不進行第二次遷移。

我們該怎麼做？7 條建議

結合上述現實，我給不同角色（開發者、政策制定者等）的建議是：認真對待量子威脅，但不要假設 CRQC 會在 2030 年前到來。這個假設不符合公開進展。不過，我們仍然可以、也應該立刻做一些事：

#1 立刻部署混合加密。
至少在需要長期保密且成本可承受的地方。瀏覽器、CDN、通訊軟件已經廣泛採取「後量子 + 經典」的混合方案，用來抵禡 HNDL，同時對沖後量子方案可能存在的缺陷。

#2 在尺寸可接受時，立即使用雜湊簽名。
例如軟體/韌體更新等低頻、對體積不敏感的場景，應盡快採用混合雜湊簽名（混合是為了對沖實現 bug，而非懷疑雜湊安全假設）。

這相當於給社會準備一艘「救生艇」：如果 CRQC 意外提前出現，而我們又沒有後量子簽名的軟體更新機制，就會陷入啟動難題——我們甚至無法安全分發應對 CRQC 的補丁。

#3 區塊鏈不必立即上後量子簽名，但必須從現在開始規劃。
區塊鏈應借鑑互聯網 PKI 社區的穩健節奏，讓後量子簽名繼續成熟，給系統重構留時間，以適配更大簽名並發展更好的聚合技術。

對比特幣與其他 L1 來說：必須儘快確定遷移路徑與對棄置量子脆弱資金的政策，因為被動遷移不可能，而比特幣的困難更多來自慢治理與大量高價值潛在棄置地址，因此更需要現在就開始規劃。

同時也應給後量子 SNARK 與可聚合簽名的研究留出成熟時間（可能還需一兩年甚至更久）。過早遷移可能鎖死在次優方案，或在實現漏洞暴露後被迫二次遷移。

關於以太坊帳戶模型補充說明：以太坊有兩種帳戶類型，影響後量子遷移方式：外部帳戶（EOA），由 secp256k1 私鑰控制；智能合約錢包，可編程的授權邏輯。

在非緊急情況下，如果以太坊加入後量子簽名支持，可升級的合約錢包可通過升級切換驗證邏輯；EOA 則更可能需要把資產遷移到新的後量子安全地址（以太坊也可能提供專門機制）。在「量子緊急狀態」下，以太坊研究者提出過硬分叉凍結脆弱帳戶的方案，並讓用戶通過後量子安全的 SNARK 證明自己知道助記詞來恢復資金，該機制可同時適用於 EOA 和未升級的合約錢包。

對用戶而言：經過良好審計、可升級的合約錢包可能稍微更容易遷移，但差異有限，並伴隨對錢包提供方信任與升級治理的取捨。比起帳戶類型，更重要的是以太坊持續推進後量子原語研究與應急方案。

對開發者更普遍的設計啟示：許多鏈把帳戶身份與特定簽名原語緊耦合（如比特幣/以太坊綁定 secp256k1，其他鏈綁定 EdDSA）。後量子遷移突顯了「把帳戶身份從特定簽名方案中解耦」的價值。以太坊推進智能帳戶、其他鏈推進帳戶抽象，正體現了這種趨勢：允許帳戶升級認證邏輯，而不必棄舊接新並且保留鏈上歷史與狀態。它無法讓後量子遷移變得「容易」，但能顯著提高靈活性，同時還能支持代付、社交恢復、多簽等功能。

#4 對隱私鏈：儘早優先遷移（若性能可承受）。
隱私鏈的機密性會受到 HNDL 風險影響，且設計越能被公開帳本回溯去匿名，風險越緊迫。可考慮混合方案，或避免把可解密秘密寫入鏈上的架構調整。

#5 近期最該優先的是實現安全，而不是量子應對。
對 SNARK 與後量子簽名這種複雜原語而言，bugs、側信道與故障注入在未來很多年都會遠比 CRQC 更危險。應該立即投入審計、模糊測試、形式化驗證與縱深防禦，不要讓「量子焦慮」遮蔽更迫切的漏洞風險。

#6 資助量子計算發展。
如果主要對手先於美國實現 CRQC，將帶來嚴重國家安全風險。因此應持續投入量子計算研發與人才培養。

#7 對量子計算公告保持冷靜視角。
未來幾年會有大量硬件里程碑。某種意義上，頻繁里程碑恰恰說明我們離 CRQC 仍很遠：每個里程碑只是通往 CRQC 的眾多橋樑之一，都會引發一波標題黨與興奮。應把新聞稿當作「需要批判性評估的進展報告」，而不是「立刻全面行動的信號」。

當然，未來也可能出現意外創新讓時間線加速，也可能遭遇嚴重瓶頸導致延後。我不會說五年內出現 CRQC 在物理上完全不可能，只是概率很低。上述建議正是為了對這種不確定性保持魯棒性，同時避免更現實、更高概率的風險：實現漏洞、倉促部署，以及密碼遷移中常見的人為失誤。

[]

原文連結

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。