Google把时间表往前挪了
Google昨天发布的一份白皮书,给比特币和其他加密货币的未来又添了一点不太令人安心的热闹。Google Quantum AI研究人员认为,要破解保护比特币、以太坊等主流加密资产的密码学,所需的量子计算机可能不到50万枚物理量子比特。这个数字比先前估算低了大约20倍,着实让人怀疑以前的乐观是不是有点过头。
据 Forbes 报道,这一结论意味着,量子计算机击穿现代数字安全底层的时间,可能比很多人原先想的更近。
“Q-Day”可能没那么遥远
白皮书合著者之一 Justin Drake 也顺势把讨论推进了一步。他表示,自己对2032年前出现“Q-Day”的信心明显上升。
他在 X 上写道:
今天对量子计算和密码学来说是里程碑式的一天。两篇突破性论文刚刚发布。两者都改进了 Shor 算法,这个算法以破解 RSA 和椭圆曲线密码学而臭名昭著。两项结果相互叠加,分别优化了不同层面……
Drake 还说,自己认为“到2032年,至少有10%的概率,量子计算机会从一个暴露的公钥中恢复出 secp256k1 ECDSA 私钥”。
换句话说,过去那种“也许很久以后才会发生”的说法,现在被改写成了“也许没几年了”。科技行业对时间的理解,向来很有弹性,只是在这里弹得有点过分认真。
为什么光看“量子比特数量”不够
为了给这个说法找一点现实坐标,可以看看现有硬件。
Google 目前最强的量子设备是 Willow 芯片,只有105个量子比特。IBM 的 Condor 处理器则是首个超过1000个超导量子比特的系统,达到1121个。
但量子计算并不是简单比谁的数字更大。Google 指出,只有105个量子比特的 Willow,在很多方面比拥有更多量子比特的系统更强,因为它的整体可靠性更高:
- 单量子比特门保真度达到99.97%
- 纠缠门保真度达到99.88%
- 读出保真度达到99.5%
按照 Google 的说法,100个高可靠量子比特,可能胜过1000个低质量、错误频出的量子比特。因此,量子计算行业现在更看重“逻辑量子比特”或经过纠错封装后的物理量子比特组合,而不是单纯盯着总数看。
Q-Day 不是“所有加密立即完蛋”
这里还有一个常被混在一起的误解。Q-Day 并不意味着所有数字安全瞬间崩盘。
大致来说,密码学分两类:
- 公钥密码学,依赖大整数分解、离散对数等数学难题,量子计算机可以通过 Shor 算法攻破。这才是 Q-Day 真正指向的部分。
- 对称加密和哈希,包括 AES 和 SHA-2,主要受 Grover 算法影响,安全强度会被削弱,但不会被直接拆掉。比如 AES-256 在这种情况下大致会降到 AES-128 的安全水平。继续用更长密钥,仍然能把防护拉回来。
所以,更准确地说,Q-Day 不是“所有加密当场报废”,而是公钥密码学先出局,其他算法则变得更脆弱,需要一次相当痛苦但并非不可能的密钥升级迁移。
为什么加密货币尤其脆弱
Google 的白皮书特别强调,加密货币在这类风险面前格外暴露。Forbes 引述白皮书称,区块链使用的椭圆曲线密钥,在与 RSA 相近的安全等级下尺寸更小,这意味着更小的量子计算机就可能把它们攻破。
而且,和传统金融不同,区块链几乎没有补救空间。传统金融系统通常还有多层风控、撤销、仲裁和人工介入,区块链可没有这些安慰奖。一次伪造签名,就可能意味着不可逆的资产盗取。
Google 新论文的标题是《Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities》,也因此给公司此前那种“正在为量子灾难做准备”的说法换了个更具体的背景。Google 近期曾表示,自己实际上已经在为“量子末日”做准备,并计划在2029年前转向后量子安全措施。
现在还不是终局,但警报声更大了
当然,目前这仍然只是预测。到现在为止,没有任何量子机器接近达到 Google 这篇论文中提到的、已经大幅下调的门槛。
但 Q-Day 的叙事和很多未来技术不太一样。它不像聚变能源或者治愈癌症那样,总是稳定地“还差几十年”。相反,它看起来正在朝我们逼近,而且速度还不算慢。
如果这次判断是对的,那么比特币和更广泛的公钥密码体系,可能都得开始认真考虑一个现实问题:不是“会不会变”,而是“什么时候必须变”。
