撰文：jsai@金色财经

量子计算机真的要来了？

近日 Google 连发两篇博客文章预警量子时代即将到来，各行业要严肃应对量子威胁了。

Google 两篇公告要点

一、制定后量子密码学迁移时间表 目标是在 2029 年完成

谷歌官方于 2026 年 3 月 25 日在博客中宣布，将其内部后量子密码学（Post-Quantum Cryptography，PQC）迁移截止期限大幅提前到 2029 年年底。

至于提前原因，谷歌表示，基于自身量子计算进展（包括 Willow 105 量子位元芯片的量子纠错技术突破）、量子硬件快速发展、纠错算法优化，以及量子因数分解资源估算大幅降低（例如破解 2048 位 RSA 所需量子位元从之前估算的 2000 万降至约 100 万级别），认为量子 Q-Day 威胁比原预期来得更快。

Q-Day 指未来量子计算机能有效破解当前主流公钥加密系统（RSA 和椭圆曲线加密 ECC/ECDSA）的时刻。一旦发生，现有加密将面临“瞬间破解”风险，影响银行、政府、军方和互联网几乎所有机密数据。

谷歌表示，量子计算机将对当前的加密标准构成重大威胁，尤其是加密和数字签名。加密面临的威胁目前已显现，例如“先存储后解密”攻击；而数字签名则属于未来威胁，需要在部署到与密码学相关的量子计算机 (Cryptographically Relevant Quantum Computer，CRQC) 之前过渡到 PQC。因此，Google 调整了威胁模型，优先考虑身份验证服务的 PQC 迁移——这是网络安全和数字签名迁移的重要组成部分。

二、密码学相关量子计算机 (CRQC) 正逐渐接近现实

2026 年 3 月 31 日发布的博客文章及其配套白皮书指出，未来的量子计算机可能只需比以往更少的量子比特和量子门就能破解用于保护加密货币和其他系统的椭圆曲线密码学。

在白皮书中，Google 分享了破解 256 位椭圆曲线离散对数问题（ECDLP-256，椭圆曲线密码学的基础）所需的量子计算“资源”（即量子比特和量子门）的最新估算。Google 用逻辑量子比特（由数百个物理量子比特组成的纠错量子比特）和 Toffoli 门（对量子比特进行的昂贵基本操作，是许多算法执行时间的主要驱动因素）的数量来表示资源估算。具体来说，编写了两个实现 Shor 算法的量子电路（一系列量子门）来破解 ECDLP-256：一个电路使用少于 1200 个逻辑量子比特和 9000 万个托 Toffoli 门，另一个电路使用少于 1450 个逻辑量子比特和 7000 万个 Toffoli 门。Google 估计，在硬件性能符合谷歌部分旗舰量子处理器标准的假设下，这些电路可以在几分钟内，使用少于 50 万个物理量子比特的超导量子比特 CRQC 执行。这比解决 ECDLP-256 所需的物理量子比特数量减少了约 20 倍。

Google 表示，随着科学技术的不断进步，密码学相关的量子计算机 (CRQC) 正逐渐接近现实，这就需要向 PQC 过渡，这也是 Google 近期推出 2029 年迁移时间表的原因。

Google 两篇博文标志着科技巨头正式将量子威胁从“理论远景”拉到“近在眼前的现实工程任务”。

这对 BTC 和 ETH 意味着什么？

比特币和以太坊的核心签名算法都是 ECDSA（基于 secp256k1 椭圆曲线），公钥在交易 / 地址中通常暴露（尤其是传统地址、Taproot 部分场景）。

量子计算机一旦达到密码学相关量子计算机 (CRQC) ，就能从公钥反推私钥，实现资金盗取或伪造交易。这对“已暴露公钥”的地址构成直接威胁（“现在收割、以后解密”风险）。

造成的共同影响有：

1、资金安全风险：冷钱包 / 未花费 UTXO 若公钥未暴露相对安全，但大部分链上资产已暴露。Q-Day 后，未升级的地址可能被量子攻击窃取。

2、信任与采用冲击：机构投资者可能回避“量子不安全”的链，引发资本外流或价格波动。

3、“Harvest Now, Decrypt Later”：攻击者可现在收集加密数据 / 公钥，待量子计算机成熟后再破解。

尽管比特币和以太坊都面临着共同威胁，但是它们的应对缺差别甚大。其原因或许根植在它们社区文化之中。

BTC 的风险更高 应对缓慢

比特币社区更保守、去中心化强，升级需全网共识（软分叉 / 硬分叉），目前缺乏协调路线图。谷歌此举被视为“对比特币开发者敲警钟”，许多比特币社区成员仍认为 2029 年太激进、量子威胁被夸大，但谷歌的硬件进展已让部分人重新评估。

当前状态：无官方全网 PQC 迁移计划，进展缓慢。已有 BIP 360 等提案针对 Taproot 的关键路径花费提供部分量子防护，但完整升级仍需社区共识。

可能路径：通过软分叉引入新操作码 / 地址类型，支持 PQC 签名；或开发量子安全钱包 / 地址格式。部分开发者已在讨论，但去中心化特性导致协调难度大、时间紧迫。

挑战：比特币社区意见分歧大（许多人认为量子计算机短期内无法达到规模），若 2029 年前未行动，可能面临“存在性威胁”和机构信心流失。

ETH 相对更有准备 路线图已制定

以太坊已提前 8 年布局，以太坊基金会（EF）近期发布的 Post-Quantum Ethereum 路线图与 Google 2029 时间线高度对齐。

EF 认为量子“密码学相关”威胁可能在 8-12 年后，但“工作必须现在开始”。

路线图：EF 已推出专用网站（http://pq.ethereum.org）和“Strawmap”/ 四阶段（或七硬分叉）路线图，目标 2029 年前完成 Layer 1 协议级升级（包括验证者签名、账户、数据存储、证明系统）。后续执行层全面迁移可能再需几年。

具体措施：使用 STARK-based 或 PQC 签名；通过多个硬分叉（如“I”“J”等）逐步实现；已运行测试网。Vitalik Buterin 等已多次公开讨论量子防护。

优势：智能合约平台升级更灵活，已有明确时间表和资源，进展远超比特币。

结语

无论 BTC 还是 ETH，用户应尽早关注量子安全钱包（如支持 PQC 签名的硬件钱包），并在协议升级后迁移资产。