为何在未完全验证前推动后量子签名升级？

尽管尚未有任一后量子签名机制被彻底证实具备抵御未来量子攻击的能力，全球主要区块链项目已启动相关技术演进。这一决策基于对量子计算威胁的现实评估——专家普遍认为，具备破解现有加密体系能力的量子计算机可能在未来五至十年内出现。

标准机构推荐方案仍存未知风险

美国国家标准与技术研究院（NIST）从69项候选算法中筛选出三种数字签名方案作为推荐方向：基于格结构的CRYSTALS-Dilithium（ML-DSA）、适用于小签名场景的Falcon（FN-DSA），以及作为最终候选的基于哈希的SPHINCS+（SLH-DSA）。然而，其中两项——Rainbow与SIKE——已在经典计算机环境下被成功攻破，凸显当前选择仍处于高度不确定状态。

后量子技术公司BOLTS的首席科学家Yoon Auh指出，现有主流加密体系如RSA、ECC和AES的安全性依赖时间考验而非数学证明。他强调：“整个现代密码学史上，唯一被数学严格证明安全的只有一次性密码本，而它在实际应用中几乎无用。”因此，所有现行及新兴方案的安全性都只能通过持续的学术攻击来检验。

升级迫在眉睫，但存在路径争议

部分持币者认为，在底层密码学未获充分验证前进行系统性改造风险过高。Coinshares分析师Christopher Bendiksen批评像BIP-360这样的抗量子地址升级缺乏必要基础，称其“在尚未理解其原理之前就引入新格式，极不审慎”。他警告，此举可能导致资源浪费，甚至催生快速过时的技术架构。

然而，时间窗口极为有限。量子计算研究机构PsiQuantum已在芝加哥动工建设拥有百万级量子比特的阵列，预示着潜在威胁并非遥远幻想。为应对不确定性，以太坊与比特币社区正探索可扩展的多签名共存机制。

以太坊三层次需同步演进抗量子能力

以太坊计划从三个核心层面实现后量子转型：执行层采用secp256k1椭圆曲线签名、共识层使用BLS验证者签名，以及数据可用性层依赖KZG承诺机制。借助账户抽象技术，执行层将支持多种签名类型并行运行，允许用户根据需求选择基于格或基于哈希的方案，实现灵活切换。

以太坊后量子团队负责人Antonio Sanso表示，智能合约的高灵活性使签名方案更换成为可能。知名研究员Justin Drake进一步解释，一旦发现某方案存在漏洞，可通过智能合约内部逻辑即时切换至替代方案，用户无需迁移地址或更改行为。

共识层转向保守且经久考验的哈希技术

为保障共识层稳定性，以太坊正考虑采用对零知识友好且抗量子性强的哈希类方案。名为LeanSig的协议由Blockstream密码学家Mikhail Kudinov主导开发，其核心思想是回归最保守的假设——仅依赖成熟的哈希函数。该团队坚信，若量子计算机能破解哈希，那么整个密码学体系将全面崩塌。

为提升效率，以太坊还计划将大量签名聚合压缩成零知识证明，并选用经过长期分析的Poseidon2哈希函数。该项目已设立百万美元悬赏，旨在激励外界尝试攻破该算法。据Drake透露，预计明年启动集成工作，届时该哈希函数将历经八年公开验证周期，符合“烘焙时间”原则。

比特币方案预留未来演进空间

BIP-360的设计初衷并非立即部署某种特定后量子签名，而是构建一个可扩展的脚本框架，允许未来通过新增操作码引入新算法。其合著者Ethan Heilman指出，这种机制可有效规避单一方案失效带来的系统性风险。

该提案支持同时启用两种不同类型的签名：一种是成熟但体积较大的基于哈希方案（如SLH-DSA），另一种则是更轻量但尚处实验阶段的格基方案（如ML-DSA）。一旦后者被攻破，系统可无缝切换至前者，确保安全性延续。

此外，团队也探讨保留传统Schnorr签名，并在接近“Q日”时激活备用的哈希签名路径。更前沿的SHRINCS签名方案也被提及，其签名大小仅为SLH-DSA的十分之一，由Blockstream Research于2025年底提出，专为比特币优化设计，兼具高效与稳健特性。