面向未来，抵御量子计算机

你也许听说过，量子计算机有朝一日可能攻破我们今天所依赖的某些加密。这份担忧确有其事，但它的范围其实比听上去要窄，而且 Label 309 早已为它备好了一套切实可用的对策，还是默认开启。

先说普通证明这边的好消息。一份普通的 Label 309 记录，不过是你内容的指纹加上一个时间戳，既没有可供窃取的秘密，也没有任何藏起来的东西。量子计算机在这里什么也改变不了：指纹照样无法逆推，区块链上的时间戳照样是永久的。普通的存在性证明从来就不在风险之列，如今依然如此。

只有当一份记录被密封时，这个问题才真正要紧，也就是内容被锁起来、只有选定的读者才能打开的情形。

为什么密封内容不一样

一份密封记录，可能需要在很长一段时间里保持私密。想想一项被禁止披露好几年的科研发现，或者一项必须保密十年乃至更久的商业机密，比如一份食谱、一道配方。

让人不安的地方就在这里。区块链是公开而永久的。攻击者今天就能悄悄把这份上了锁的记录复制下来，先攥在手里，慢慢等。等到十五年后出现一台强大的量子计算机，能够撬开今天的锁，攻击者只需打开他很久以前存下的那份副本。业内人士把这叫作「先收割，后解密」。危险不在于你的内容今天被打开，而在于它终有一天会被打开。

所以对密封内容来说，「眼下安全」远远不够。它必须在一个我们无法完全看清的未来里，一直安全下去。

同一扇门上的两把锁

Label 309 的对策，是同时用上两把锁，而对于密封文件，这就是默认做法。

设想一扇门上拴着两把截然不同的锁，二者之间毫无关联。一把是当今久经检验的方法：标准采用 X25519，这是一种多年来守护秘密、深受专家信赖的密钥交换。另一把是专为抵御量子计算机而打造的全新方法：ML-KEM-768，它是 NIST 近期标准化的后量子方案之一。

要穿过这扇门，攻击者必须把两把锁都撬开。只撬开其中一把，等于寸步未进。

整个思路就在于此。也许那个新的抗量子方法藏着某个还没人发现的缺陷，门依然守得住，因为那把久经检验的锁丝毫未动；又或者将来某台量子计算机攻破了今天这个久经检验的方法，门也依然守得住，因为那把抗量子的锁丝毫未动。只要两把锁里还有一把扛得住，内容就保持私密。你得让两把锁同时失效才行，而这要押起注来，难度高出太多。

这种组合做法有个朴素的名字：混合加密锁。Label 309 用的是名为 X-Wing 的方案，它把 ML-KEM-768 和 X25519 拧成单独一个共享密钥。从你密封一份记录的那一刻起，它就是默认选项，你无需特意去要，而想用它的接收方只要发布一个后量子地址（以 age1pqc… 开头的那种）即可。

今天就能用，不是哪天才有

最要紧的一点是：这并非一句留待将来的承诺。这把混合加密锁，不是某个等着标准出新版本才会到来的未来升级。Label 309 从第一天起就把它注册了进来，与经典选项并排，并定为推荐的默认选项。今天任何密封内容的人，都已经自动拿到了这两把锁。

这一点之所以重要，正是因为上面说的那个时间问题。副本一旦被收割走，你就没法回头给它重新上锁了。保护必须在你发布的那一刻就已就位，而在 Label 309 里，它确实就位了。