我不確定大多數在隱私領域的人是否完全意識到「先收割後解密」攻擊。我們不斷說，距離第一台成熟的量子電腦運行 Shor 演算法的實際案例還有 n 年。 後量子安全性並不是未來的奢侈品，尤其對於隱私系統來說。威脅模型已經發生了變化：對手今天不需要量子電腦就能在明天破解你的數據。他們只需要收集數據。每一筆加密的交易、消息或證明，只要進入公共的記憶池或鏈上，就可以無限期地存檔。一旦出現足夠強大的量子機器，任何在經典橢圓曲線假設下加密的內容都會變成明文。這就是「先收割後解密」問題，它悄然摧毀了「今天加密意味著永遠私密」的保證。 隱私協議必須將此視為一個首要的設計約束。如果你的系統依賴於 ECDH、secp256k1 簽名來導出密鑰，或在你的隱私層內使用任何基於橢圓曲線的加密，你已經在將用戶暴露於延遲的違規中。我們喜歡認為隱私是一種瞬時的特性，但實際上它是一種持久的特性：它必須經得起時間、硬體的進步，以及擁有長期記憶和廉價存儲的對手。 這就是為什麼後量子安全性對隱私的重要性遠超過一般的身份驗證或共識。一個簽名可以被輪換。一個驗證者密鑰可以被遷移。但一旦發佈的密文就是永久的。而「解密」不是你可以修復的錯誤。 （視覺：彼得·肖爾）