十分鐘破解加密貨幣！谷歌在量子計算領域發現了什么？

編輯｜冷貓

如果有人告訴你，你的比特幣私鑰可能在十分鐘內被一臺計算機破解，你大概會一笑置之。

但谷歌沒有笑。這家搜索巨頭，在五天前把后量子密碼遷移的內部截止日期提前到了 2029 年

• 新聞鏈接：https://blog.google/innovation-and-ai/technology/safety-security/cryptography-migration-timeline/

上個月，谷歌呼吁在未來的量子計算機破解現有加密技術之前，搶先保障量子時代的安全。

這一全新的時間表反映了后量子密碼學時代的遷移需求，并綜合考量了量子計算硬件開發、量子糾錯以及量子分解資源評估方面的進展。

問題來了，為什么？

我們知道，谷歌一直是量子計算領域的先驅者之一。后量子密碼學時代的遷移時間愈發緊張，谷歌到底發現了什么？

兩篇論文，一個方向

不得不提那個自 1994 年以來就懸在所有公鑰密碼體系頭頂的「量子達摩克利斯之劍」，Shor 算法

Shor 算法的核心能力很簡單：它能在多項式時間內完成大整數分解（破解 RSA）和橢圓曲線離散對數求解（破解 ECC）。這兩類問題正是當今互聯網安全的根基 —— 銀行轉賬、HTTPS 加密、數字簽名、區塊鏈，無一不建立在其計算困難性之上。

過去二十多年里，學術界對「運行 Shor 算法需要多少資源」的估計一直在下降，但幅度是漸進的。直到這一次，兩篇論文從不同層面優化了 Shor 算法 ——

第一篇論文（白皮書）由Google Quantum AI發表。他們針對邏輯層面的 Shor 算法進行了優化，專門用于破解比特幣和以太坊的簽名。該算法在針對 256 位橢圓曲線 secp256k1 時，僅需約 1000 個邏輯量子比特即可運行。由于電路深度較低，一臺快速的超導量子計算機可以在幾分鐘內恢復私鑰。

• 博客鏈接：https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/

• 論文鏈接：https://quantumai.google/static/site-assets/downloads/cryptocurrency-whitepaper.pdf

第二篇論文來自一家名為Oratomic 的神秘初創公司，其成員包括前谷歌員工和加州理工學院的知名教授。他們的研究起點是谷歌對邏輯量子電路的改進，隨后在物理層應用了針對中性原子量子計算機的特殊技巧。結果評估顯示，26,000 個原子量子比特就足以破解 256 位橢圓曲線簽名。與之前的頂級技術相比，這在物理量子比特數量上實現了約 40 倍的優化

• 論文鏈接：https://arxiv.org/pdf/2603.28627

正如比特幣安全研究員 Justin Drake 在社交媒體上所總結的：「這兩項成果分別優化了量子堆棧的不同層，結果令人震驚。」

這兩篇論文共同指向一個令人不安的結論：量子計算機破解現有密碼體系所需資源，比任何人預想的都要少得多。

谷歌白皮書：加密貨幣警鐘

這篇白皮書標志著量子密碼分析與去中心化金融系統安全之間的一次「歷史性碰撞」。

隨著資源估算的斷崖式下降，量子計算機威脅不再是遙遠的理論設想，而是迫在眉睫的工程挑戰。

算法優化：Shor 算法的資源斷崖式下降

在過去，業內普遍認為破解現代公鑰加密需要數百萬到上千萬的物理量子比特。但該研究展示了驚人的算法優化：

• 核心資源數據：針對現代區塊鏈密碼學核心的 secp256k1 曲線，破解 256-bit 橢圓曲線離散對數問題 (ECDLP) 現僅需少于 1200 個邏輯量子比特與 9000 萬個 Toffoli 門，或者調整為少于 1450 個邏輯量子比特與 7000 萬個 Toffoli 門 。
• 物理層門檻：如果在具備平面連接性、物理錯誤率為 0.1% 的超導架構（采用表面碼糾錯）上運行，上述電路僅需不到 50 萬個物理量子比特即可在幾分鐘內執行完畢 。
• 「快時鐘」與「慢時鐘」的區別：該研究創造性地引入了硬件架構層面的分類。超導、硅自旋或光子架構等「快時鐘」 (Fast-clock) 設備擁有極短的糾錯周期，能在幾分鐘內破解私鑰 。而中性原子或離子阱等「慢時鐘」 (Slow-clock) 架構的基礎運算速度慢了兩到三個數量級 。

硬件門檻的不同直接決定了量子計算機能對區塊鏈發動哪種級別的攻擊：

以太坊的系統性危機 vs. 比特幣的局部隱患

盡管比特幣和以太坊都使用 secp256k1 曲線，但以太坊的架構設計使其面臨更廣闊的攻擊面：

以太坊的漏洞矩陣：

• 賬戶漏洞 (Account Vulnerability)：以太坊使用賬戶模型（而非比特幣的 UTXO），賬戶一旦發送過首筆交易，其 ECDSA 公鑰便會永遠暴露在鏈上，且無法輕易輪換密鑰 。
• 管理員漏洞 (Admin Vulnerability)：控制大量真實世界資產 (RWA)、穩定幣和跨鏈橋的智能合約往往依賴少數幾個高權限的管理員密鑰（多簽機制）。破解這些暴露的密鑰可導致全網 DeFi 系統級清算和穩定幣脫錨 。
• 共識漏洞 (Consensus Vulnerability)：以太坊 PoS 驗證者使用極易受量子攻擊的 BLS12-381 曲線進行簽名聚合 。若攻擊者掌控超過 1/3 的節點可中斷網絡確定性；掌控 2/3 以上則可執行深度重組，重寫區塊鏈歷史。
• 數據可用性漏洞 (Data Availability Vulnerability)：支持 Layer 2 擴容的 DAS 機制依賴 KZG 多項式承諾 。其容易受到 On-Setup 攻擊，攻擊者可偽造證明，癱瘓 L2 排序器以實施勒索 。

比特幣的韌性與挑戰：

• 量子挖礦（利用 Grover 算法破解 PoW）在幾十甚至上百年內都不具備現實威脅，因為其二次方加速能力完全被量子糾錯的巨大開銷所抵消 。
• 比特幣的危機集中在通過 P2PK 腳本鎖定的 170 萬枚早期比特幣（包含大量「中本聰時代」的挖礦獎勵），以及因地址重用暴露公鑰的現代地址 。

Oratomic：一萬量子比特就夠了

Oratomic 這篇論文給出的結論堪稱顛覆：

• 運行密碼學規模的 Shor 算法，僅需約 10,000 個物理量子比特
• 針對 ECC-256（比特幣使用的橢圓曲線標準），使用約 12,000 個量子比特可在約 10 天內完成
• 針對 RSA-2048（廣泛用于銀行和政府），約 102,000 個量子比特可在約 97 天內完成

這是什么概念？就在幾年前，主流估算還認為需要 100 萬個量子比特。短短幾年間，需求量級縮水了兩個數量級

論文采用的量子低密度校驗碼（Quantum LDPC Codes）是一種完全不同的糾錯碼族。其關鍵特性是利用非局域連接（Nonlocal Connectivity）來大幅提升編碼率。具體來說，論文使用的是準循環提升積碼（Quasi-Cyclic Lifted-Product Codes）

對比一下：

• 表面碼編碼率：~1%
• 小規模準局域 LDPC 碼：~4%
• 本文高碼率 LP 碼：~28%

這意味著在相同的物理資源下，高碼率 LP 碼可以承載約30 倍的邏輯信息量。或者反過來說，達到同樣的邏輯容量，所需的物理量子比特數減少了一個數量級以上。

論文還指出，在物理錯誤率 p=0.1% 的條件下，每執行 10^11 個周期（約 3 年，假設 1ms / 周期），才預期出現一次不可糾正的錯誤。對于運行時間以天計的 Shor 算法來說，這已經足夠可靠。

有了好碼，還需要能跑這種碼的硬件。量子計算的硬件路線之爭由來已久。超導量子比特（谷歌、IBM 的主攻方向）速度快但相干時間短，且需要極端低溫；離子阱保真度高但擴展困難。Oratomic 選擇了一條不同的路：可重配置中性原子陣列（Reconfigurable Neutral-Atom Arrays）

傳統超導芯片中，量子比特之間的連接是固定的 —— 設計好電路時物理耦合關系就確定了，無法在運行中改變。而中性原子方案中，每個量子比特是一個被光學鑷子囚禁的單個原子，鑷子可以在三維空間中自由移動。這意味著：

• 計算過程中可以隨時重新排列量子比特的空間位置
• 任意兩個原子都可以被拉到一起執行高保真糾纏門操作
• 天然支持大規模非局域連接 —— 這正是高碼率 LDPC 碼所需要的

基于上述硬件特性，論文提出了一套完整的容錯量子計算機架構，將整個系統劃分為四個功能區域：存儲區（Memory Zone）、處理區（Processor Zone）、操作區（Operation Zone）和資源區（Resource Zone）。

邏輯碼性能與架構

好碼 + 好硬件還不夠 —— 還需要一種高效的編譯方法把 Shor 算法映射上去。論文提出了一套基于 Pauli 基計算（Pauli-Based Computation）和代碼手術（Code Surgery）的完整編譯流程

論文描述的編譯策略如下：

1. 電路分解：將完整的 Shor 算法電路拆分為多個子電路 {Ci}，每個子電路包含若干 Toffoli 門、Clifford 門和中途 Pauli 測量，確保能裝入處理區

2. 傳送至處理區：通過 2m 個 Pauli 乘積測量（PPM），將 m 個邏輯量子比特從存儲區隱形傳態到處理區

3. Pauli 基計算：在處理區上執行實際計算，Clifford 門被吸收進 PPM 操作，Toffoli 門通過 teleportation 注入 CCZ 魔術態

4. 傳回存儲區：再通過 2m 個 PPM 將結果傳回存儲區

論文背后是一家名為 Oratomic 的量子計算公司。這家總部位于加州帕薩迪納的團隊 —— 與加州理工學院深度合作 —— 正專注于一個明確目標：打造世界上第一臺容錯量子計算機

論文第一作者 Madelyn Cain 和共同一作 Qian Xu 均來自 Oratomic，合作者包括加州理工學院的著名量子計算學者 John Preskill（量子優越性概念的提出者之一）、Manuel Endres（中性原子量子計算領域的領軍人物）、以及 Hsin-Yuan (Robert) Huang（量子機器學習與量子算法專家）。通訊作者 Dolev Bluvstein 則是 Oratomic 的聯合創始人，此前在哈佛大學 Mikhail Lukin 實驗室做出了多項中性原子量子計算的開創性工作。

他們的官方定位是：「整合量子糾錯、中性原子系統、人工智能和光學工程領域的世界級專業知識，共同使容錯量子計算成為現實。」

從實驗到理論的距離，正在以前所未有的速度縮短。

谷歌為什么急了？

在網絡安全領域，存在一個幽靈般的術語 ——「Q-Day」。它指代量子計算機強大到足以瓦解現行互聯網加密體系的那一天。為了規范，行業內已經在進行一些相關工作：

• NIST 標準化進程：美國國家標準與技術研究院（NIST）經過多年篩選，已于 2024 年正式發布首批后量子密碼標準（FIPS 203/204/205），包括基于格密碼的 ML-KEM 和 ML-DSA 等
• 行業遷移周期：從舊密碼體系切換到新體系不是簡單的軟件更新 —— 涉及協議重設計、硬件兼容性、互操作性測試、合規審計，大型機構的遷移周期通常以年計
• 「先 harvest 后 decrypt」攻擊：即使量子計算機尚未成熟，攻擊者現在就可以開始截獲并存儲加密通信，等到未來量子算力足夠時再解密 —— 這意味著遷移必須在量子計算機實用化之前完成

谷歌作為全球最大的互聯網服務提供商之一，掌握著海量用戶數據和核心基礎設施。它選擇 2029 年作為內部截止日期，意味著其內部的威脅評估模型已經將量子破解風險的時間窗口收斂到了這個范圍。

事實上，谷歌在后量子密碼領域一直是積極的推動者：

• 自 2023 年起，Chrome 瀏覽器開始實驗性集成 X25519Kyber768 混合密鑰交換
• 谷歌云平臺率先支持后量子 TLS 連接
• 谷歌內部安全團隊持續發布 PQC 遷移指南

但當一家公司的內部截止日期從「待定」變成一個具體的年份時，性質就變了。

回顧 Shor 算法資源估計的歷史，可以看到一條清晰的下降曲線：

驅動這一趨勢的是多重因素的共振：

• 量子糾錯理論的突破：從表面碼到 LDPC 碼，編碼效率的提升是最直接的驅動力。高碼率碼利用非局域連接特性，在單個碼塊中密集打包大量邏輯量子比特，從根本上改變了資源計算的公式。
• 新型硬件平臺的成熟：中性原子、離子阱、超導等不同技術路線各有優勢。中性原子陣列的可重配置性使其天然適合實現高碼率碼所需的非局域連接，形成了「硬件 - 編碼」協同優化的良性循環。
• 算法和編譯技術的進步：更低深度的量子電路、更高效的算術模塊（如并行進位加法器替代行波進位加法器）、魔術態蒸餾流水線的優化 —— 每一層都在削減最終的資源需求。

關鍵問題是，這條曲線還會繼續下降。

1994 年 Peter Shor 發表他的算法時，量子計算機還只是一個理論玩具。32 年后，我們正在認真討論用一萬臺量子設備在幾分鐘內破解世界上最廣泛使用的密碼系統。

科技發展的非線性特征在這里體現得淋漓盡致：漫長的積累期之后，突破往往接踵而至。

量子計算不會等我們準備好。但現在至少我們知道，它離我們有多近了。