尊重地说，Saylor 在量子问题上是错误的。 具体来说，他在四个主张上是错误的（我只关注技术方面的）。让我逐一分析。 主张 1：网络安全社区的共识是，量子在未来 10 年内不是威胁，因此不需要立即采取行动。 并不存在这样的共识。相反，事实恰恰相反：世界上每个主要的国家安全和标准机构目前都在积极要求进行后量子迁移，因为迁移本身需要十年或更长时间。 NSA CNSA 2.0 要求所有新的国家安全系统在 2035 年之前必须是量子安全的，而大部分工作将在接下来的 5 年内完成。NIST 在 2024 年 8 月发布了最终的 PQC 标准（ML-KEM、ML-DSA、SLH-DSA），并发布了 IR 8547，设定了在 2030 年之后淘汰所有量子脆弱的公钥算法的目标，并在 2035 年之前完全禁止。英国 NCSC 为 2028 年、2031 年和 2035 年设定了迁移里程碑。 这些并不是对遥远假设的回应。这些是有合规截止日期的项目，因为设定这些项目的组织已经得出结论，认为现在开始几乎是早得足够。 历史上，从新算法标准化到完全整合到信息系统中需要很长时间。过去的加密迁移证实了这一点。SHA-1 的淘汰大约花费了 7 年。AES 的迁移大约花费了 5 年。尽管提供了明显的性能优势，TLS 1.3 的推出也花费了 3-5 年。NIST 已经得出结论，PQC 迁移在根本上比这些先例更复杂。 时间线论点完全忽视了“现在收割，稍后解密”。对手今天正在收集加密数据以便将来解密。美国联邦储备在 2025 年 9 月发布了对此的分析，以比特币为案例研究。威胁已经存在。 主张 2：当量子来临时，一切都会升级；银行、互联网、国防、比特币。 互联网已经在升级。到 2025 年 12 月，Cloudflare 上 52% 的人类网络流量使用了后量子密钥交换，几乎是年初 29% 的两倍。Chrome 为 TLS 提供了 ML-KEM。苹果在 iOS 26 中启用了 PQ TLS。OpenSSH 自 9.0 版本以来默认使用后量子密钥协议。Signal 具有后量子加密。AWS 和 Google Cloud 在其 KMS 产品中支持 PQC。苹果将 ML-DSA 和 ML-KEM 添加到 CryptoKit 作为生产 API。 银行和支付网络是集中式的。Visa 推送固件更新或 SWIFT 更改协议规范。TLS 升级对最终用户是不可见的（如果你使用 Chrome，你使用的 TLS 版本支持后量子，而你甚至不知道）。这些系统可以并且将会在客户不做任何事情的情况下迁移。 比特币无法做到这一点。比特币需要全球去中心化共识的分叉。PQC 签名迁移在根本上比以前的分叉更困难：ML-DSA-44 签名为 2,420 字节，而 Schnorr 为 64 字节，增加了 38 倍，这打破了比特币现有的 SegWit 权重经济、脚本堆栈限制（520 字节最大）和交易传播假设。单个 ML-DSA-44 签名加公钥的大小是今天典型单输入 P2WPKH 支出的几倍。BIP-360 和 QBIP 作为（很好的）提案存在。可悲的是，两者都没有激活时间表。 企业 PQC 迁移要容易得多。这些组织拥有执行权力来强制变更，专门的安全团队和既定的采购流程。比特币没有这些。区块链治理在结构上比集中治理更慢。 “所有东西一起升级”的框架也忽视了永久暴露密钥的问题。当银行升级 TLS 时，旧会话并不重要，它们是短暂的。当比特币升级时，约 690 万 BTC 的公钥已经在不可变的账本上暴露。你无法从区块链上撤回公钥。这些币需要其所有者主动转移到新的量子安全地址。大约 172 万 BTC 在 P2PK 地址中，包括中本聪估计的 110 万 BTC，可能永久暴露，因为私钥丢失。 没有银行等同于此。银行不会维护每个客户的身份验证密钥的公共、永久、不可变记录，追溯到 17 年前。 ...