谷歌量子計算對以太坊安全的影響

作者：登鏈社區

原文連結：

聲明：本文為轉載內容，讀者可通過原文連結獲得更多資訊。如作者對轉載形式有任何異議，請聯繫我們，我們將按照作者要求進行修改。轉載僅用於資訊分享，不構成任何投資建議，不代表吳說觀點與立場。

雖然量子計算目前仍帶有較強的炒作色彩，但隨著 Shor 算法效率的提升，以太坊帳戶安全、共識機制及 Layer 2 的證明系統確實面臨長期風險。在向 NIST 後量子標準遷移時，應防範潛在的密碼學後門。

背景 (Context)

來自谷歌、伯克利、史丹福和以太坊基金會的研究人員發表了一篇關於實質性量子算法優化及其對加密貨幣影響的論文。

這裡一些必要的背景是，量子計算在很大程度上是炒作。它通過炒作和投機來獲取關注，並因此獲得持續的資金。

這並不是說這不是一個實質性的優化——它確實是——但我們在閱讀有關量子密碼分析的內容時應該意識到這一背景。我們有時間進行分類處理和迭代，考慮到涉及 NSA（美國國家安全局）和 NIST（美國國家標準與技術研究院）的歷史，對於 NIST 推薦的晶格（Lattice）應當首先持懷疑態度。

我們在討論什麼 (What We’re Talking About)

該論文針對的是比特幣（推測是出於對 SECP256R1/P256 的懷疑）和許多其他鏈使用的 SECP256K1 (K256) 曲線。我們將在本次分析中重點關注以太坊網路，因為 Monero 使用不同的曲線，而比特幣在這一特定背景下既不提供隱私也不提供可編程性。

Monero 曲線 (ed25519) 並未被明確作為目標，儘管論文提到它被攻破的難度可能並不比 K256 曲線高出一個數量級。

在量子搜尋算法下，尋找哈希摘要（如 SHA256 或 KECCAK256）的原像（pre-image）確實會有微小的加速，但這種改進不是指數級的。它並不會對這些哈希算法構成合理的威脅，而且這篇論文也沒有改進攻擊它們的算法。

時間表 (Timelines)

NIST 通常負責處理美國政府的密碼學標準和安全公告。2024 年 11 月發布的 NIST 內部報告 8547 標誌著：使用 RSA 和橢圓曲線離散對數問題的密鑰交換和簽名協議將在 2030 年前棄用，並於 2035 年前禁止使用。這是由於 Shor 算法能夠針對離散對數問題提供指數級的加速。

該論文證明了一種優化方案，可以大幅減少實際攻擊 K256 所需的邏輯量子比特（logical qubits）和 Toffoli 門（這兩者都是 Shor 算法的瓶頸）。它建議儘早而非推遲棄用，儘管它沒有給出具體的日期。

雖然沒有對 BN254 或 BLS12-381 等其他橢圓曲線進行建模，但論文提到攻擊它們的難度不應顯著高於 K256。這使得雙線性配對（bilinear pairings）通常更容易受到攻擊，並可能允許恢復多項式承諾系統（如 zk-SNARK 設置中使用的 KZG）的“有毒廢料 (toxic waste)”。

以太坊面臨的風險 (Risks For Ethereum)

該論文確定了以太坊的五類漏洞：

帳戶 (Account)

管理 (Admin)

代碼 (Code)

共識 (Consensus)

資料可用性 (Data Availability)

帳戶和管理 (Account and Admin)

由於帳戶地址是 K256 公鑰的截斷哈希摘要，未發送過交易或未發布過簽名（如 permit 簽名）的帳戶不會暴露其公鑰。這意味著它們目前還不受威脅。

然而，一旦帳戶發布了簽名，公鑰就可以被恢復，從而使其面臨攻擊。

“管理”漏洞是指應用於特權地址的帳戶漏洞。M-of-N 多重簽名帳戶需要 M 個帳戶被攻破，但在其他方面則毫無防備。這意味著可配置的合約可以被操縱，可升級的代理智能合約可能會被替換為提取器（drainer）合約以竊取 Token。

代碼 (Code)

此漏洞是指依賴於使用非抗量子密碼原語的預編譯合約（precompiles）的合約。目前，這些包括：

K256 ECDSA

P256 ECDSA

KZG 多項式承諾證明

BN254 點運算和雙線性配對

BLS12-381 點運算和雙線性配對

P256 ECDSA 預編譯合約將帳戶問題擴展到了使用 P256 曲線的智能帳戶，例如由 iOS 和 Android 安全隔離區 (secure enclave) 簽名（臉部 ID、指紋）身份驗證的帳戶。

BN254 和 BLS 曲線用於隱私協議和 Layer 2 Rollups 中的 zk-SNARKs。從這些設置中恢復“有毒廢料 (toxic waste)”將允許攻擊者在任何依賴該承諾的系統上偽造證明。

共識 (Consensus)

以太坊在其共識算法中使用 BLS12-381 進行簽名聚合。其影響因網路受損部分的比例而異：

攻破驗證者： 可以強制進行權益罰沒 (slash)。

攻破超過 1/3： 可以拒絕終局性 (finality)。

攻破超過 1/2： 可以影響分叉選擇並強制進行深度重組 (reorganization)。

攻破超過 2/3： 災難性的；需要進行網路外恢復。

資料可用性 (Data Availability)

以太坊的 Blob 系統使用帶有 KZG 承諾證明的資料可用性抽樣。如果設置中的有毒廢料被恢復，就可以建立偽造的資料可用性證明，從而給依賴 Blob 存儲進行狀態轉換的 Layer 2 帶來問題。

後量子問題 (The Post Quantum Problem)

直接的解決方案是遷移到基於晶格 (Lattice) 或哈希的系統。NIST 已制定了以下標準：

(FIPS 203) 基於模組晶格的密鑰封裝機制

(FIPS 204) 基於模組晶格的數位簽名

(FIPS 205) 無狀態基於哈希的數位簽名

然而，由於 NSA 的介入，NIST 標準在歷史上一直備受質疑。歷史案例包括 EFF DES 破解器、NSA 在 Dual EC DRBG 上的後門，以及 NIST 在後量子密碼學中涉及 NSA 方面的透明度不足。

像 D.J. Bernstein 這樣的知名專家強調了基於晶格 (Lattice) 密碼學的巨大攻擊面，以及這些實現在針對新攻擊向量時仍在不斷演變的事實。

要點 (Takeaways)

我們還有幾年的時間。我們應該快速但謹慎地進行調整。理想情況下，我們應該使用模組化身份驗證系統，以方便未來進行更快的迭代。

我們必須認識到密碼學是瞬態的；它為數據在被解密前變得無操作價值爭取了時間。我們還需要意識到像 NSA 這樣的機構可能會如何嘗試在後量子套件中注入後門。