随着量子计算技术从实验室实验向实际应用迈进，加密货币行业面临一个迫在眉睫的问题：当量子计算机强大到足以破解保护比特币和其他数字资产的密码算法时会发生什么？Trezor Safe 7 是首款直接应对这一挑战的消费级硬件钱包，通过在传统安全措施的基础上实施后量子密码算法。本篇文章探讨了量子威胁的现状，解释了 Trezor 的量子准备架构如何运作，并讨论了这对您的加密货币长期安全意味着什么。

量子计算对加密货币的威胁

要理解量子计算为何对加密货币安全至关重要，首先需要了解当前密码系统的工作原理。比特币和几乎所有加密货币都依赖椭圆曲线密码学（ECC），特别是 ECDSA（椭圆曲线数字签名算法）和越来越多的 Schnorr 签名方案。这些算法的安全性来源于椭圆曲线离散对数问题（ECDLP）的数学难度，传统计算机几乎不可能在合理的时间内解决这一问题。

然而，量子计算机的运行原理与传统计算机完全不同。通过使用 Shor 算法，一台足够强大的量子计算机理论上可以高效解决 ECDLP，这意味着它可以从已知的公钥推导出私钥。如果这成为可能，攻击者可以从区块链上任何公钥已公开的地址窃取加密货币。虽然这在今天并不是一个直接威胁，因为当前的量子计算机远远没有足够稳定的量子比特来利用 Shor 算法攻击生产级密码密钥。然而，量子计算发展的速度正在加快，负责任的安全规划必须考虑未来的能力。

是什么让 Trezor 成为“量子准备”

Trezor Safe 7 的量子准备标志指的是其实施的 SLH-DSA-128（基于无状态哈希的数字签名算法，具有 128 位安全级别），这是美国国家标准与技术研究院（NIST）在其后量子密码标准化项目中标准化的后量子密码算法之一。与 ECDSA 和 Schnorr 签名不同，SLH-DSA 的安全性来源于哈希函数属性的研究难度，而不是量子计算机可能解决的离散对数问题。

SLH-DSA-128 的“无状态”特性对于硬件钱包的实现尤为重要。一些早期的后量子签名方案要求签名者在每次签名时维护和更新内部状态信息，如果状态丢失或损坏，可能会导致灾难性的密钥重用风险。SLH-DSA-128 完全消除了这一要求，使其非常适合资源受限的硬件钱包环境，在这种环境中，简洁性和可靠性至关重要。

SLH-DSA-128 的工作原理

SLH-DSA-128 基于一个哈希签名方案家族，这些方案已被密码学家研究了数十年。从高层次来看，该算法构建了一个虚拟树结构，其中根节点作为公钥，而单个签名则通过生成的方式完成。