十分鐘破解加密貨幣！谷歌在量子計算領(lǐng)域發(fā)現(xiàn)了什么？

編輯｜冷貓

如果有人告訴你，你的比特幣私鑰可能在十分鐘內(nèi)被一臺計算機破解，你大概會一笑置之。

但谷歌沒有笑。這家搜索巨頭，在五天前把后量子密碼遷移的內(nèi)部截止日期提前到了 2029 年

• 新聞鏈接：https://blog.google/innovation-and-ai/technology/safety-security/cryptography-migration-timeline/

上個月，谷歌呼吁在未來的量子計算機破解現(xiàn)有加密技術(shù)之前，搶先保障量子時代的安全。

這一全新的時間表反映了后量子密碼學時代的遷移需求，并綜合考量了量子計算硬件開發(fā)、量子糾錯以及量子分解資源評估方面的進展。

問題來了，為什么？

我們知道，谷歌一直是量子計算領(lǐng)域的先驅(qū)者之一。后量子密碼學時代的遷移時間愈發(fā)緊張，谷歌到底發(fā)現(xiàn)了什么？

兩篇論文，一個方向

不得不提那個自 1994 年以來就懸在所有公鑰密碼體系頭頂?shù)摹噶孔舆_摩克利斯之劍」，Shor 算法

Shor 算法的核心能力很簡單：它能在多項式時間內(nèi)完成大整數(shù)分解（破解 RSA）和橢圓曲線離散對數(shù)求解（破解 ECC）。這兩類問題正是當今互聯(lián)網(wǎng)安全的根基 —— 銀行轉(zhuǎn)賬、HTTPS 加密、數(shù)字簽名、區(qū)塊鏈，無一不建立在其計算困難性之上。

過去二十多年里，學術(shù)界對「運行 Shor 算法需要多少資源」的估計一直在下降，但幅度是漸進的。直到這一次，兩篇論文從不同層面優(yōu)化了 Shor 算法 ——

第一篇論文（白皮書）由Google Quantum AI發(fā)表。他們針對邏輯層面的 Shor 算法進行了優(yōu)化，專門用于破解比特幣和以太坊的簽名。該算法在針對 256 位橢圓曲線 secp256k1 時，僅需約 1000 個邏輯量子比特即可運行。由于電路深度較低，一臺快速的超導量子計算機可以在幾分鐘內(nèi)恢復私鑰。

• 博客鏈接：https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/

• 論文鏈接：https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf

第二篇論文來自一家名為Oratomic 的神秘初創(chuàng)公司，其成員包括前谷歌員工和加州理工學院的知名教授。他們的研究起點是谷歌對邏輯量子電路的改進，隨后在物理層應(yīng)用了針對中性原子量子計算機的特殊技巧。結(jié)果評估顯示，26,000 個原子量子比特就足以破解 256 位橢圓曲線簽名。與之前的頂級技術(shù)相比，這在物理量子比特數(shù)量上實現(xiàn)了約 40 倍的優(yōu)化

• 論文鏈接：https://arxiv.org/pdf/2603.28627

正如比特幣安全研究員 Justin Drake 在社交媒體上所總結(jié)的：「這兩項成果分別優(yōu)化了量子堆棧的不同層，結(jié)果令人震驚。」

這兩篇論文共同指向一個令人不安的結(jié)論：量子計算機破解現(xiàn)有密碼體系所需資源，比任何人預(yù)想的都要少得多。

谷歌白皮書：加密貨幣警鐘

這篇白皮書標志著量子密碼分析與去中心化金融系統(tǒng)安全之間的一次「歷史性碰撞」。

隨著資源估算的斷崖式下降，量子計算機威脅不再是遙遠的理論設(shè)想，而是迫在眉睫的工程挑戰(zhàn)。

算法優(yōu)化：Shor 算法的資源斷崖式下降

在過去，業(yè)內(nèi)普遍認為破解現(xiàn)代公鑰加密需要數(shù)百萬到上千萬的物理量子比特。但該研究展示了驚人的算法優(yōu)化：

• 核心資源數(shù)據(jù)：針對現(xiàn)代區(qū)塊鏈密碼學核心的 secp256k1 曲線，破解 256-bit 橢圓曲線離散對數(shù)問題 (ECDLP) 現(xiàn)僅需少于 1200 個邏輯量子比特與 9000 萬個 Toffoli 門，或者調(diào)整為少于 1450 個邏輯量子比特與 7000 萬個 Toffoli 門 。
• 物理層門檻：如果在具備平面連接性、物理錯誤率為 0.1% 的超導架構(gòu)（采用表面碼糾錯）上運行，上述電路僅需不到 50 萬個物理量子比特即可在幾分鐘內(nèi)執(zhí)行完畢 。
• 「快時鐘」與「慢時鐘」的區(qū)別：該研究創(chuàng)造性地引入了硬件架構(gòu)層面的分類。超導、硅自旋或光子架構(gòu)等「快時鐘」 (Fast-clock) 設(shè)備擁有極短的糾錯周期，能在幾分鐘內(nèi)破解私鑰 。而中性原子或離子阱等「慢時鐘」 (Slow-clock) 架構(gòu)的基礎(chǔ)運算速度慢了兩到三個數(shù)量級 。

硬件門檻的不同直接決定了量子計算機能對區(qū)塊鏈發(fā)動哪種級別的攻擊：

以太坊的系統(tǒng)性危機 vs. 比特幣的局部隱患

盡管比特幣和以太坊都使用 secp256k1 曲線，但以太坊的架構(gòu)設(shè)計使其面臨更廣闊的攻擊面：

以太坊的漏洞矩陣：

• 賬戶漏洞 (Account Vulnerability)：以太坊使用賬戶模型（而非比特幣的 UTXO），賬戶一旦發(fā)送過首筆交易，其 ECDSA 公鑰便會永遠暴露在鏈上，且無法輕易輪換密鑰 。
• 管理員漏洞 (Admin Vulnerability)：控制大量真實世界資產(chǎn) (RWA)、穩(wěn)定幣和跨鏈橋的智能合約往往依賴少數(shù)幾個高權(quán)限的管理員密鑰（多簽機制）。破解這些暴露的密鑰可導致全網(wǎng) DeFi 系統(tǒng)級清算和穩(wěn)定幣脫錨 。
• 共識漏洞 (Consensus Vulnerability)：以太坊 PoS 驗證者使用極易受量子攻擊的 BLS12-381 曲線進行簽名聚合 。若攻擊者掌控超過 1/3 的節(jié)點可中斷網(wǎng)絡(luò)確定性；掌控 2/3 以上則可執(zhí)行深度重組，重寫區(qū)塊鏈歷史。
• 數(shù)據(jù)可用性漏洞 (Data Availability Vulnerability)：支持 Layer 2 擴容的 DAS 機制依賴 KZG 多項式承諾 。其容易受到 On-Setup 攻擊，攻擊者可偽造證明，癱瘓 L2 排序器以實施勒索 。

比特幣的韌性與挑戰(zhàn)：

• 量子挖礦（利用 Grover 算法破解 PoW）在幾十甚至上百年內(nèi)都不具備現(xiàn)實威脅，因為其二次方加速能力完全被量子糾錯的巨大開銷所抵消 。
• 比特幣的危機集中在通過 P2PK 腳本鎖定的 170 萬枚早期比特幣（包含大量「中本聰時代」的挖礦獎勵），以及因地址重用暴露公鑰的現(xiàn)代地址 。

Oratomic：一萬量子比特就夠了

Oratomic 這篇論文給出的結(jié)論堪稱顛覆：

• 運行密碼學規(guī)模的 Shor 算法，僅需約 10,000 個物理量子比特
• 針對 ECC-256（比特幣使用的橢圓曲線標準），使用約 12,000 個量子比特可在約 10 天內(nèi)完成
• 針對 RSA-2048（廣泛用于銀行和政府），約 102,000 個量子比特可在約 97 天內(nèi)完成

這是什么概念？就在幾年前，主流估算還認為需要 100 萬個量子比特。短短幾年間，需求量級縮水了兩個數(shù)量級

論文采用的量子低密度校驗碼（Quantum LDPC Codes）是一種完全不同的糾錯碼族。其關(guān)鍵特性是利用非局域連接（Nonlocal Connectivity）來大幅提升編碼率。具體來說，論文使用的是準循環(huán)提升積碼（Quasi-Cyclic Lifted-Product Codes）

對比一下：

• 表面碼編碼率：~1%
• 小規(guī)模準局域 LDPC 碼：~4%
• 本文高碼率 LP 碼：~28%

這意味著在相同的物理資源下，高碼率 LP 碼可以承載約30 倍的邏輯信息量。或者反過來說，達到同樣的邏輯容量，所需的物理量子比特數(shù)減少了一個數(shù)量級以上。

論文還指出，在物理錯誤率 p=0.1% 的條件下，每執(zhí)行 10^11 個周期（約 3 年，假設(shè) 1ms / 周期），才預(yù)期出現(xiàn)一次不可糾正的錯誤。對于運行時間以天計的 Shor 算法來說，這已經(jīng)足夠可靠。

有了好碼，還需要能跑這種碼的硬件。量子計算的硬件路線之爭由來已久。超導量子比特（谷歌、IBM 的主攻方向）速度快但相干時間短，且需要極端低溫；離子阱保真度高但擴展困難。Oratomic 選擇了一條不同的路：可重配置中性原子陣列（Reconfigurable Neutral-Atom Arrays）

傳統(tǒng)超導芯片中，量子比特之間的連接是固定的 —— 設(shè)計好電路時物理耦合關(guān)系就確定了，無法在運行中改變。而中性原子方案中，每個量子比特是一個被光學鑷子囚禁的單個原子，鑷子可以在三維空間中自由移動。這意味著：

• 計算過程中可以隨時重新排列量子比特的空間位置
• 任意兩個原子都可以被拉到一起執(zhí)行高保真糾纏門操作
• 天然支持大規(guī)模非局域連接 —— 這正是高碼率 LDPC 碼所需要的

基于上述硬件特性，論文提出了一套完整的容錯量子計算機架構(gòu)，將整個系統(tǒng)劃分為四個功能區(qū)域：存儲區(qū)（Memory Zone）、處理區(qū)（Processor Zone）、操作區(qū)（Operation Zone）和資源區(qū)（Resource Zone）。

邏輯碼性能與架構(gòu)

好碼 + 好硬件還不夠 —— 還需要一種高效的編譯方法把 Shor 算法映射上去。論文提出了一套基于 Pauli 基計算（Pauli-Based Computation）和代碼手術(shù)（Code Surgery）的完整編譯流程

論文描述的編譯策略如下：

1. 電路分解：將完整的 Shor 算法電路拆分為多個子電路 {Ci}，每個子電路包含若干 Toffoli 門、Clifford 門和中途 Pauli 測量，確保能裝入處理區(qū)

2. 傳送至處理區(qū)：通過 2m 個 Pauli 乘積測量（PPM），將 m 個邏輯量子比特從存儲區(qū)隱形傳態(tài)到處理區(qū)

3. Pauli 基計算：在處理區(qū)上執(zhí)行實際計算，Clifford 門被吸收進 PPM 操作，Toffoli 門通過 teleportation 注入 CCZ 魔術(shù)態(tài)

4. 傳回存儲區(qū)：再通過 2m 個 PPM 將結(jié)果傳回存儲區(qū)

論文背后是一家名為 Oratomic 的量子計算公司。這家總部位于加州帕薩迪納的團隊 —— 與加州理工學院深度合作 —— 正專注于一個明確目標：打造世界上第一臺容錯量子計算機

論文第一作者 Madelyn Cain 和共同一作 Qian Xu 均來自 Oratomic，合作者包括加州理工學院的著名量子計算學者 John Preskill（量子優(yōu)越性概念的提出者之一）、Manuel Endres（中性原子量子計算領(lǐng)域的領(lǐng)軍人物）、以及 Hsin-Yuan (Robert) Huang（量子機器學習與量子算法專家）。通訊作者 Dolev Bluvstein 則是 Oratomic 的聯(lián)合創(chuàng)始人，此前在哈佛大學 Mikhail Lukin 實驗室做出了多項中性原子量子計算的開創(chuàng)性工作。

他們的官方定位是：「整合量子糾錯、中性原子系統(tǒng)、人工智能和光學工程領(lǐng)域的世界級專業(yè)知識，共同使容錯量子計算成為現(xiàn)實。」

從實驗到理論的距離，正在以前所未有的速度縮短。

谷歌為什么急了？

在網(wǎng)絡(luò)安全領(lǐng)域，存在一個幽靈般的術(shù)語 ——「Q-Day」。它指代量子計算機強大到足以瓦解現(xiàn)行互聯(lián)網(wǎng)加密體系的那一天。為了規(guī)范，行業(yè)內(nèi)已經(jīng)在進行一些相關(guān)工作：

• NIST 標準化進程：美國國家標準與技術(shù)研究院（NIST）經(jīng)過多年篩選，已于 2024 年正式發(fā)布首批后量子密碼標準（FIPS 203/204/205），包括基于格密碼的 ML-KEM 和 ML-DSA 等
• 行業(yè)遷移周期：從舊密碼體系切換到新體系不是簡單的軟件更新 —— 涉及協(xié)議重設(shè)計、硬件兼容性、互操作性測試、合規(guī)審計，大型機構(gòu)的遷移周期通常以年計
• 「先 harvest 后 decrypt」攻擊：即使量子計算機尚未成熟，攻擊者現(xiàn)在就可以開始截獲并存儲加密通信，等到未來量子算力足夠時再解密 —— 這意味著遷移必須在量子計算機實用化之前完成

谷歌作為全球最大的互聯(lián)網(wǎng)服務(wù)提供商之一，掌握著海量用戶數(shù)據(jù)和核心基礎(chǔ)設(shè)施。它選擇 2029 年作為內(nèi)部截止日期，意味著其內(nèi)部的威脅評估模型已經(jīng)將量子破解風險的時間窗口收斂到了這個范圍。

事實上，谷歌在后量子密碼領(lǐng)域一直是積極的推動者：

• 自 2023 年起，Chrome 瀏覽器開始實驗性集成 X25519Kyber768 混合密鑰交換
• 谷歌云平臺率先支持后量子 TLS 連接
• 谷歌內(nèi)部安全團隊持續(xù)發(fā)布 PQC 遷移指南

但當一家公司的內(nèi)部截止日期從「待定」變成一個具體的年份時，性質(zhì)就變了。

回顧 Shor 算法資源估計的歷史，可以看到一條清晰的下降曲線：

驅(qū)動這一趨勢的是多重因素的共振：

• 量子糾錯理論的突破：從表面碼到 LDPC 碼，編碼效率的提升是最直接的驅(qū)動力。高碼率碼利用非局域連接特性，在單個碼塊中密集打包大量邏輯量子比特，從根本上改變了資源計算的公式。
• 新型硬件平臺的成熟：中性原子、離子阱、超導等不同技術(shù)路線各有優(yōu)勢。中性原子陣列的可重配置性使其天然適合實現(xiàn)高碼率碼所需的非局域連接，形成了「硬件 - 編碼」協(xié)同優(yōu)化的良性循環(huán)。
• 算法和編譯技術(shù)的進步：更低深度的量子電路、更高效的算術(shù)模塊（如并行進位加法器替代行波進位加法器）、魔術(shù)態(tài)蒸餾流水線的優(yōu)化 —— 每一層都在削減最終的資源需求。

關(guān)鍵問題是，這條曲線還會繼續(xù)下降。

1994 年 Peter Shor 發(fā)表他的算法時，量子計算機還只是一個理論玩具。32 年后，我們正在認真討論用一萬臺量子設(shè)備在幾分鐘內(nèi)破解世界上最廣泛使用的密碼系統(tǒng)。

科技發(fā)展的非線性特征在這里體現(xiàn)得淋漓盡致：漫長的積累期之后，突破往往接踵而至。

量子計算不會等我們準備好。但現(xiàn)在至少我們知道，它離我們有多近了。