2025年10月16日，肖恩·鲍伊

Zcash 的协议设计者和密码学家对于量子计算机 何时 会构成真正的威胁存在分歧，但我们普遍认为，为应对量子计算机可能对用户隐私和安全造成的影响做好准备至关重要。这种谨慎的态度自项目启动以来就一直存在：我们始终预见未来密码学的突破——无论是量子技术还是其他技术——并致力于将协议中依赖于易受攻击假设的部分进行隔离。为了体现我们对细节的关注， ZIP 212 识别并修复了一个问题：在某种人为设定的情境下，即使攻击者 并非 量子计算机，只要能够破解 zk-SNARK 的可靠性，就有可能泄露用户隐私。正如 ZIP 中所述， “我们力求避免协议中出现任何隐私（即使是抵御交互式攻击）依赖于强密码学假设的情况” ，并且在项目发展历程中，我们始终关注着这些威胁。

得益于精心设计的协议，Zcash 的屏蔽交易在许多常见情况下已经实现了后量子隐私。¹ 值得注意的 #paymentaddr">是 #anonymity">， 量子攻击者完全无法破坏链上 匿名性 。² 这一优势源于 Zcash 使用的零知识证明、（完美）隐藏的承诺方案、盲签名密钥以及在密码学各个部分中使用的强大对称原语。 尽管如此，我们从未声称拥有后量子隐私，因为这些保证成立的场景对用户来说并不直观。 我们宁愿等到情况完善后再做宣传，以免误导用户。

作为我们持续推进 Zcash 与 Project Tachyon 合作扩展工作的一部分，我们计划从 Tachyon 交易中移除 #shielded-notes-and-commitments">带内秘密分发机制 ，以 全面防御所有针对链上交易隐私的量子攻击 。这一步骤至关重要，因为 “先收集后解密”的 威胁对区块链协议构成严重威胁。

健全性

我们协议屏蔽组件中量子计算机的剩余担忧源于 椭圆曲线密码学 的潜在漏洞。这些密码学突破将危及我们协议的 可靠性 ，可能导致伪造或（在某种程度上等同于）用户资金被盗，尽管不一定会对用户隐私构成风险。 #pairings">目前 ，我们的用户受到的保护与几乎所有其他加密货币所依赖的相同密码学假设相一致。

尽管面对量子攻击，我们必须尽一切努力提升协议的 隐私 保障， #priorities">但 由于我们有能力适应和应对量子技术的发展，因此健全性问题并非首要任务。4 修改协议以 完全 防御未来的量子计算机，其机会成本巨大 #opportunity_cost">。5 我认为，我们项目生存面临着许多更为紧迫的风险 #other_risks">。6

然而，我们 可以 将尾部风险降至最低。 在其他加密货币领域，量子鲁棒性技术的研究正在蓬勃发展，如果社区能够通过更严格的后量子测试来替换或增强支出条件，那么在合理的假设下，这些技术将使资金免受量子攻击者的侵害。过去一年 ，Electric Coin Company 的 #pqb">七位 协议设计师花费了大量时间，在 Zcash 的屏蔽交易（特别是 Orchard 版本）中开发所谓的 量子可恢复性 技术。 在钱包工作方式发生改变之后（预计在未来一年内完成整合），如果量子计算机 真的 突然出现，用户可以通过一种特殊的机制安全地恢复资金，该机制可以防止量子攻击者窃取资金。 这种机制还能保护用户隐私。

还有其他改进措施正在筹备中。首先，Tachyon 的设计继承了许多使这项拟议恢复协议成为可能的理念。此外，我们正在考虑开发一种通用 的长期存储协议 ，允许用户加强其（冷存储）资金的安全，以满足那些担忧量子计算机或更广泛意义上的密码学漏洞的用户的需求。最后，我们已努力确保我们对量子时代之前的密码学假设的依赖仅限于未来 可 被抗量子技术替代的基本组件。

今日最佳实践

保护您的加密资金免受量子末日威胁的最佳做法是，只需加密您的代币并等待软件的后续改进即可。 即使在上述改进之后，量子计算机带来的主要 安全 威胁仍然是攻击者伪造加密代币的能力。虽然 Zcash 的密码学家会持续关注技术发展以保护用户，但 最终的防线仍然是 电子支付系统。

1 除非量子攻击者也掌握了你的支付地址，否则 Zcash 的屏蔽交易在链上是完全无法区分的 。

2 在其他注重隐私的区块链（例如门罗币）中，所谓的“密钥映像”并非后量子隐藏，因此交易图对量子攻击者完全透明 。Zcash 的无效化器（一个类似的概念）使用强大的密码学技术构建，例如带密钥的伪随机函数， 因此不易被量子计算机破解。

3 Zcash 最新的屏蔽协议（Orchard）没有使用对配对友好的椭圆曲线，因此我们不太容易受到此类密码学突破的影响。

4 量子隐私破坏通常具有追溯效力，而可靠性破坏通常不具有追溯效力。

5 Zcash 需要的后量子密码技术——递归 zk-SNARKs、签名方案以及其他可能的技术——将导致大额交易，并可能对硬件钱包等领域造成颠覆性变革。过早采用这种前沿密码技术可能会减缓加密交易的普及，使我们的项目与新兴标准相悖，使我们陷入效率低下且可能在未来几年内过时的技术陷阱，或者使我们面临因密码学假设研究不足而产生的风险。

6 我们的协议需要用户，需要扩展，需要可持续发展和投资，需要去中心化，而且必须在监管环境尚可接受的情况下尽快实现所有这些目标。

7 请参阅 eprint.iacr.org/2025/1307 及相关讨论。

#Zcash #量子计算机 #隐私币 #quantum