以太坊如何为量子计算机时代准备ECDSA及其他密码系统：2026–2030年路线图

Vitalik Buterin正式提出了全面的以太坊抗量子威胁的保护策略。问题在于，网络中的四个关键密码学组件——包括账户级别的ECDSA——都基于椭圆曲线和离散对数难题的假设，而这些假设在Shor算法面前变得脆弱。当量子计算机达到足够的算力时，这些系统可能会被攻破。开发者已开始逐步过渡到后量子密码学，预计从2026年开始。

四个主要系统面临量子攻击威胁

第一个风险涉及共识层的BLS签名——用于验证以太坊区块的算法。第二个是账户的ECDSA签名，保障用户交易的安全。第三个是负责网络数据可用性的KZG承诺。第四个是零知识证明，用于在不泄露敏感信息的情况下验证计算。

这些密码系统都依赖于椭圆曲线密码学或离散对数难题。当Shor算法在强大的量子计算机上运行时，它能以指数级速度解决这些难题，远快于最优的经典算法。平台Metaculus估计，到2030年前出现此类机器的概率为20%，但一些专家认为时间表可能更短。

为应对这一挑战，以太坊基金会于2026年1月正式成立了专门的后量子安全团队，负责应对持续的量子威胁。该团队由Thomas Koratger领导，预算为200万美元，用于研究奖励。在布宜诺斯艾利斯的Devconnect会议上，Buterin警告称，椭圆曲线密码学可能在2028年美国总统选举前就面临严重脆弱性。

ETH2030：完整的后量子密码架构

以太坊的防护基础是ETH2030项目，它实现了完整的后量子密码学技术栈。该系统由46个源代码文件组成，分布在七个主要包中。开发者集成了六种抗量子签名算法，作为ECDSA和BLS的替代方案。

在测试阶段，密码栈已在48组数据上验证，成功通过了超过20900个测试。然而，采用抗量子签名会显著增加计算成本。传统ECDSA签名验证大约需要3000个Gas，而后量子方案可能需要高达200000个Gas，这在网络中是无法接受的负担。

为解决这一问题，路线图依赖于根据EIP-8141提出的递归STARK聚合机制。该机制允许将大量数字签名压缩成一个单一的密码学证明，大幅降低链上验证成本。此外，ETH2030还增加了13个专用的EVM预处理步骤，包括0x15地址的格点密码学重编译和STARK证明验证加速器。

共识层同步与过渡机制

在共识层，Ethereum引入了双签名认证——一种混合验证方式，每个操作同时用传统密码学和后量子方案验证。这使得验证者可以平滑过渡，不中断网络运行。

剩余确认系统通过支持后量子安全验证的专用适配器进行调整。同时，为确保数据可用性，KZG承诺被替换为基于Merkle树和格点密码学的替代方案。这些新方案依赖哈希安全和Module-LWE假设，避免了对椭圆曲线的依赖。

所有后量子密码功能将在I+分叉时同时激活。2026年2月初，开发者在Kurtosis测试网成功测试了系统，创建了功能性区块并验证了所有新预处理流程。这一里程碑展示了技术栈已准备好进入下一阶段部署。

三阶段激活计划与网络安全

最终部署采用逐步激活的方式，最大限度减少系统中断风险。第一阶段，验证者逐步升级软件以支持新型后量子算法。第二阶段，启动双签名模式，每个操作由两种验证方式共同验证。第三阶段，几乎所有节点切换到新系统后，关闭旧的密码方案，包括ECDSA。

这一渐进式迁移与Ethereum基金会关于速度的强烈建议形成对比。当强大的量子计算机成为潜在威胁时，网络将提前部署好应对机制，随时准备快速切换。Buterin强调，过渡期至关重要——延迟采用后量子标准存在风险，但盲目赶进度、未充分测试也不明智。