數位資產託管中的抗量子密碼學
在數位資產託管中,抗量子密碼學指的是部署在量子計算攻擊威脅下仍能保持安全的密碼原語與協議,專為保護長期持有的數位資產免受未來量子計算進步的影響。與傳統公開金鑰密碼學(如橢圓曲線數位簽章演算法 ECDSA 或 Ed25519)不同,抗量子方案依賴於量子演算法(如 Shor 或 Grover)無法有效解決的數學假設(例如學習帶誤差問題的困難性、格中最短向量問題)。在託管情境下,這包括獨立的量子安全演算法以及在過渡期間保留既有方案的混合配置。
此術語不僅涵蓋密碼原語本身,亦包括將其整合至託管基礎設施的作業框架:安全的金鑰產生、門檻簽署以及金鑰輪換機制,即使部分元件遭到暴露仍能維持安全保證。因量子對手尚未大規模運作,採用主要受前瞻性風險管理、監管期待(例如 SEC 的後量子金融基礎設施框架)以及生態系統協調,以避免造成破壞性的遷移事件所驅動。
混合堆疊結合傳統與抗量子演算法,以確保連續性與韌性。例如,金鑰交換同時使用 NTRU Prime 與 X25519,必須同時被破解才會洩漏。此方式允許在不影響現有整合的情況下逐步遷移。
基於格的密碼學構成大多數 NIST 標準化後量子演算法的核心。像 CRYSTALS‑Kyber(金鑰封裝)與 CRYSTALS‑Dilithium(簽章)等方案,皆針對硬體安全模組與多方計算安全執行環境等受限環境設計,以兼顧效能與安全性。
量子抗性託管通常採用門檻或分散式金鑰生成(DKG)協議,以確保沒有單一方持有完整密鑰。結合量子安全原語後,這些協議即使在部分洩漏或未來量子解密攻擊下,也能維持機密性與可用性。
量子抗性託管基礎設施採用分層架構運作:密碼原語、協議組合與作業工作流程。原語層以格基方案為主,因為其已獲 NIST 標準化,且具備適合實務部署的效能特性。協議層在過渡期間同時支援混合式金鑰交換與簽章方案,與傳統演算法共存。工作流程層則設計安全的金鑰生成、門檻簽署與金鑰輪換,以提供長期安全保證。
量子抗性託管的金鑰生成遵循確定性、可重現的流程,以避免熵洩漏。私鑰由高熵種子透過量子安全的偽隨機函數衍生,並儲存在具實體防篡改功能的硬體安全模組(HSM)或受信執行環境(TEE)中。在多方情境下,金鑰分割透過量子安全的祕密分享產生,例如在有限域上使用 Shamir 方案,並加入格基承諾,以防止低於門檻的任意子集合重建完整金鑰。
門檻簽署協議允許預先設定數量的保管人共同授權交易,且不會洩露各自的私鑰。於量子抗性實作中,這些協議為每位參與者使用格基簽章(如 Dilithium)或雜湊基簽章(如 XMSS),並透過非交互式零知識證明進行聚合,以防止簽章可塑性。即使單一簽署裝置遭到入侵,整體系統仍能保持安全。
遷移路徑分為評估、平行運作與全面轉換三個階段。評估階段,保管人會盤點密碼依賴項,並依資產的風險敞口與使用壽命排序。平行運作階段同時執行傳統與量子安全方案,驗證雙方簽章。全面轉換於事先公告的「量子日」—全網切換點—之後實施,屆時僅接受量子抗性簽章。應變計畫包括緊急金鑰輪換與帳戶重新發行,以因應提前出現的量子突破。
多項實務案例已展示量子抗性託管的可行性。Silence Laboratories 推出首個量子安全多方計算(PQ-MPC)企業錢包基礎設施,使銀行、保管人與加密平台能以格基原語簽署交易,且不暴露私鑰。該系統支援混合式金鑰封裝與簽章方案,金鑰分割於安全護欄中處理,以防止側通道洩漏。
Project Eleven 作為後量子安全供應商,與 Ripple 及其他生態系合作夥伴共同開發遷移工具與託管原型。其框架支援驗證者測試、混合簽章驗證與自動金鑰輪換工作流程,著重於降低對現有基礎設施的衝擊。
Bearby Wallet 為非託管錢包,將 NTRU Prime(格基加密標準)整合至金鑰生成與簽署邏輯。金鑰於裝置端以量子抗性演算法產生,完全不依賴外部伺服器或集中式金鑰儲存。此設計確保即使裝置遺失,使用者仍可透過同一量子安全熵源衍生的復原詞彙保持控制權。
美國國家標準與技術研究院(NIST)已將 CRYSTALS‑Kyber 標準化為金鑰封裝演算法,CRYSTALS‑Dilithium 為數位簽章演算法,並提供 Falcon 與 SPHINCS+ 作為特定情境的替代方案。遵循 NIST 標準的託管服務商可在錢包、交易所與機構系統之間取得互通性。互通性測試透過產業聯盟與測試網協調執行,確保量子抗性簽章與金鑰交換在異質平台上皆能正確運作。
量子抗性方案的金鑰與簽章尺寸通常較傳統方案大。例如 Dilithium 簽章約 2‑3 KB,而 Ed25519 僅約 64‑96 位元組。此會提升儲存與頻寬需求,尤其在高吞吐量的託管系統中更為顯著。然而,格基方案的簽署與驗證速度快於雜湊基替代方案,因而適合即時交易處理。保管人可透過壓縮、批次處理與鏈下簽章聚合來降低尺寸開銷。
儘管理論基礎堅實,數位資產託管的量子抗性密碼學仍面臨多項實務風險與限制。演算法的不確定性仍存:雖然格基方案目前被視為安全,但密碼分析的突破可能削弱其假設。此外,實作缺陷——如時序側通道或隨機性不足——即使使用可靠的原語,也可能危及安全性。
雖然 NIST 已完成首批後量子標準的制定,但在區塊鏈生態系的採用仍呈碎片化。部分協議尚未整合量子安全原語,導致互通性缺口。支援多條鏈的保管人必須同時管理多條遷移時程與密碼堆疊,進一步提升作業複雜度。
抗量子方案並未消除金鑰輪換的必要性;它們僅僅延長了必須輪換的時間窗口。然而,在分散式網路中撤銷與更換金鑰——尤其是針對長期資產——需要協調升級與使用者教育。若在量子威脅實際出現前未及時輪換金鑰,可能導致資產不可逆的損失。
後量子安全的監管框架仍在持續演變。儘管 SEC 與 CFTC 已承認量子就緒的必要性,但針對保管機構的具體合規要求尚未成文。這使得機構在努力符合新興標準時,面臨是否過度投資於尚未驗證技術的困惑。
量子抗性保管的未來方向包括結合零知識證明以實現隱私保護驗證、量子安全硬體驗證以及跨鏈金鑰協調協議。目前亦有研究針對具次線性通訊複雜度的後量子門檻簽章,以降低大型保管網路中多方簽署的開銷。
Ripple 的路線圖目標是在 2028 年前於 XRP Ledger 完成全面量子就緒,並在 2026 年上半年設定驗證節點測試與早期保管原型的里程碑。此分階段策略強調生態系統協調,確保錢包、交易所與機構保管人能同步遷移時程,且不影響網路穩定性。
此外,產業聯盟正制定後量子認證框架,以驗證實作品質與互通性。這些框架將協助保管機構評估供應商方案,並確保符合不斷演變的監管期待。
參考文獻
什麼是抗量子密碼學?
抗量子密碼學(亦稱後量子密碼學)指的是設計用以在傳統電腦與量子電腦的攻擊下仍保持安全的密碼演算法,採用即使對量子對手亦難以破解的數學問題。
為何在數位資產託管中需要它?
數位資產託管依賴公開金鑰密碼學(例如 ECDSA、Ed25519)來保護私鑰並授權交易;量子電腦若執行 Shor 演算法,可能從公開金鑰推算出私鑰,危及資產完整性——抗量子密碼學可降低此風險。
在託管基礎設施中如何實作?
實作包括混合密碼堆疊(傳統 + 抗量子方案)、基於格的金鑰交換/簽章方案(例如 CRYSTALS‑Kyber、CRYSTALS‑Dilithium),以及量子安全的多方計算(PQ‑MPC)用於分散式金鑰管理與交易簽署。