Zcash 与量子计算机

1. 引言Zcash 的协议设计者与密码学家对于量子计算机究竟会在“多快”成为现实威胁这一问题存在不同看法但普遍认同提前为其可能对用户隐私与安全造成的影响做好准备是至关重要的。这种谨慎态度从项目创立之初就已经存在Zcash团队始终预期未来会出现新的密码学突破——无论是量子方向还是其他方向——并努力将协议中依赖脆弱安全假设的部分进行隔离compartmentalize。作为重视细节的一个极端例子ZIP-212: Allow Recipient to Derive Ephemeral Secret from Note Plaintext 曾识别并修复了这样一个问题如果某个攻击者甚至可能是一个非量子攻击者能够攻破 zk-SNARK 的 soundness那么在某种较为特殊的人为场景下其将有能力破坏隐私。正如该 ZIP 中提到的“Zcash团队一直在努力避免协议中出现任何一种情况使隐私性即便是在交互式攻击下依赖于强密码学假设。”在整个项目历史中始终对这些威胁保持警觉。得益于这种谨慎的协议设计Zcash 的 shielded transactions 在许多常见场景下其实已经具备后量子隐私性。【除非量子攻击者同时掌握你的 payment address收款地址否则 Zcash 的 shielded transactions 在链上是完全不可区分completely indistinguishable的。】尤其值得注意的是量子攻击者完全无法破坏链上的匿名性anonymity。【在其他以隐私为重点的区块链中如 Monero所谓的 “key images” 并不具备后量子隐藏性post-quantum hiding。因此对于量子攻击者而言其交易图transaction graph将会变得完全透明。而 Zcash 的 nullifiers一个等价概念则是基于强密码学构造的如 keyed PRFs带密钥伪随机函数这类原语并不容易受到量子计算机攻击。】这一优势来源于 Zcash 对以下密码学技术的使用零知识证明zero-knowledge proofs完美隐藏的承诺方案perfectly hiding commitment schemes经过盲化blinded的签名密钥以及协议各部分所采用的强对称密码原语尽管如此Zcash团队从未宣称自己已经实现了“后量子隐私”因为这些安全保证成立的具体上下文对用户而言并不直观。更愿意等到整个情况被彻底完善之后再进行此类声明以避免误导用户。作为通过 Project Tachyon 持续扩展 Zcash 的工作之一计划从 Tachyon 交易中移除 in-band secret distribution从而在链上交易隐私方面全面抵御所有量子攻击。这是至关重要的一步因为对于区块链协议而言harvest now, decrypt later先收集、后解密威胁极其危险。2. Soundness健全性在Zcash协议的 shielded 组件中关于量子计算机所剩余的主要担忧来自于椭圆曲线密码学elliptic curve cryptography可能存在的脆弱性。这类密码学突破将会危及Zcash协议的soundness健全性它可能允许攻击者伪造资产counterfeiting或者某种意义上等价地窃取用户资金但未必会对用户隐私构成风险。目前Zcash的用户仍然受到与几乎所有其他加密货币相同的密码学安全假设保护。【Zcash 最新的 shielded 协议Orchard并未使用 pairing-friendly elliptic curves适用于配对的椭圆曲线。因此Zcash对于这类密码学突破的脆弱性更低。】尽管必须尽一切努力在面对量子攻击者时继续提升协议的隐私保证但相比之下soundness 被攻破的问题优先级要低一些因为Zcash仍然拥有适应并响应量子技术发展的能力。【量子导致的隐私性破坏privacy breaks通常是“可追溯到过去”的retroactive而 soundness 被攻破通常并非如此。】为了完全抵御未来量子计算机而修改协议本身会带来巨大的机会成本。【Zcash 所需要的后量子密码学——包括递归 zk-SNARKsrecursive zk-SNARKs签名方案以及可能更多组件——都会导致交易体积变大并且可能会对硬件钱包等生态造成破坏性变化。如果过早采用这些最前沿bleeding-edge的密码学技术可能会减缓 shielded transactions 的采用速度让Zcash项目偏离正在形成的行业标准使Zcash被锁定在未来几年内很可能过时的低效技术上或暴露于那些尚未被充分研究的密码学假设风险之下】对于Zcash项目生存而言还有许多更加迫在眉睫的风险。【Zcash协议需要用户可扩展性可持续开发与投资去中心化并且必须在当前监管环境仍然可接受的时候尽快实现这一切。】不过可以尽量降低尾部风险tail risk。在其他加密货币领域人们正在兴起一类关于“量子鲁棒性quantum robustness”技术的研究其核心思想是如果社区未来切换一个开关flip a switch将资金花费条件替换为、或增强为更严格的后量子验证机制那么资金便能够在合理假设下对量子攻击者保持免疫。【参见2025年论文The Post-Quantum Security of Bitcoin’s Taproot as a Commitment Scheme 以及相关讨论。】Electric Coin Company 的协议设计者在过去一年中也一直在为 Zcash 的 shielded transactions特别是 Orchard开发一种被称为quantum recoverability的机制。在钱包工作方式完成修改之后预计会在未来一年内集成如果量子计算机真的突然出现那么用户将能够通过一种特殊机制安全恢复自己的资金并阻止量子攻击者盗取这些资金。这一机制同时也能够保护用户隐私。此外还有其他改进正在推进中如Tachyon 的设计继承了许多理念而这些理念也正是上述恢复协议能够成立的基础。另外还在考虑一种通用的长期存储协议long-term storage protocol——它允许用户进一步加固自己的冷存储资金以应对量子计算机风险或更广义上的密码学实现 bug最后Zcash团队也一直在努力确保Zcash对“前量子时代密码学假设”的依赖被隔离在那些未来可以被后量子抗性技术替换的密码原语中。3. 当前最佳实践Today’s Best Practices保护你的 shielded 资金免受“量子末日”影响的最佳实践就是把你的币转入 shielded 状态并等待后续软件升级。即便完成了前文提到的那些改进之后量子计算机所带来的主要soundness威胁仍然是攻击者能够伪造 shielded coins。虽然 Zcash 的密码学家会持续领先于技术发展努力保护用户但最后一道防线仍然是 turnstiles。参考资料[1] Zcash团队2025年10月16日博客 Zcash and Quantum Computers