量子计算机需要的资源远低于预期，以破解关键加密

Source: Ars Technica

概览

构建一台能够破解最关键密码系统之一——椭圆曲线密码学（ECC）的实用规模量子计算机，并不需要比一两年前预期的资源多得多，这一点在两篇独立撰写的白皮书中得到了证明。

• 论文 1 – 研究人员展示了使用中性原子作为可重构量子比特（qubit），这些量子比特可以自由相互访问。他们的结果表明，量子计算机可以在 10 天 内破解 256 位 ECC，同时使用的 资源比先前估计少 100 倍。
• 论文 2 – Google 的研究人员展示了在 不到九分钟 的时间内破解用于区块链（如比特币和其他加密货币）的 ECC，实现了 资源降低 20 倍。

综合来看，这两篇论文是 实用规模密码学相关量子计算（CRQC） 正在取得实质性进展的最新标志。进展的驱动因素包括：

1. 新型量子架构——由物理学家和计算机科学家共同开发，旨在构建即使在量子比特与环境相互作用导致错误的情况下仍能正确运行的机器。
2. 更高效的算法——为 Shor 算法注入强大动力。该算法是 1994 年的突破，证明量子计算机可以在多项式时间（具体为 立方时间）内破解 ECC 和 RSA，远快于经典计算机所需的指数时间。

“研究社区在实现高效且实用的 CRQC 所需的物理量子比特和量子算法方面持续取得稳步进展，” Brian LaMacchia 说，他是一名密码学工程师，曾负责 2015 至 2022 年期间微软的后量子转型，现任职于 Farcaster Consulting Group。“我认为这两篇论文都没有给出我们何时会拥有实用 CRQC（当然我们从未拥有过）的新硬性日期，但它们都提供了证据，表明我们正继续向可实现的 CRQC 前进，而向该目标的进展并未放慢。”

两篇论文均未经过同行评审。

Source: …

用“光镊”捕获原子

这篇受到最多关注的论文采用了一种相对新颖的方法来构建 容错量子计算 (FTQC)，可以将实现 ECC 所需的物理量子比特数量降低 100 倍。与更常见的超导方案不同，研究人员使用 中性原子 来构建物理量子比特。通过激光冷却原子，他们在紧聚焦的光束（即 光镊）中捕获单个原子——每个光镊捕获一个原子。借助光学复用，可以组装出大规模的这些被捕获原子阵列。

为什么光镊量子比特重要

• 全连接性 – 每个物理量子比特都可以与任意其他量子比特相互作用。这种“非局部”通信与超导量子比特形成鲜明对比，后者排列在二维网格上，只能与四个最近邻进行交互。
• 更高效的错误校正 – 非局部相互作用允许进行更彻底的容错检查，显著提升错误校正协议的效率。

关键结果

• 研究人员的论文 《Shor’s algorithm is possible with as few as 10,000 reconfigurable atomic qubits》（arXiv: 2603.28627）声称，量子计算机只需 不足 30 000 个物理量子比特 即可在 10 天内破解 ECC‑256——比之前的估计少了数量级。
• 另一团队（Nature，2025）展示了超过 6 000 个量子比特 的中性原子捕获阵列。结合大规模、高保真度量子操作的进展，中性原子有望实现 FTQC。

“虽然仍需大量工作将这些进展整合成完整装置并将系统规模扩展到所需水平，但我们的分析表明，适当设计的中性原子架构能够支持对密码学上相关的 Shor 算法实现。”研究人员写道。
“这一发现凸显了将广泛部署的密码系统转向针对量子攻击安全的后量子标准的持续努力的重要性。”

逻辑码性能与架构

图：多个提升乘积码和表面码的每周期块错误率（蓝色拟合：(y = a x^{b})，(a = 14.6 \pm 0.7)，(b = 7.1 \pm 0.4)）。布局展示了存储块、向处理器的瞬移、用于中电路测量的顺序 PPM，以及魔术态的门瞬移。（来源：Cain 等）

参考文献

1. Shor’s algorithm is possible with as few as 10,000 reconfigurable atomic qubits – arXiv: 2603.28627.
2. Large‑scale neutral‑atom arrays – Nature, 2025. DOI: 10.1038/s41586-025-09641-4.
3. Cain, et al., Logical code performance and architecture, 2026. (图片来源)

谷歌正在为加密兄弟们保驾护航

一篇由谷歌研究人员发布的单独论文展示了在使用 Shor 算法破解 ECC‑256（特别是支撑比特币及其他区块链密码学的椭圆曲线 secp256k1）方面的进展。研究人员声称他们对 Shor 算法进行了改进，使得在 10 分钟 内即可破解比特币地址的公钥，所需资源仅为 2003 年研究（此处）所需的 20 倍 更小。

技术细节

• 谷歌编译了两个量子电路来求解椭圆曲线离散对数问题。

• 作者写道：

  “详细的密码分析蓝图可能被对手利用的风险日益上升，这需要我们在披露实践上进行转变。”
  “因此，我们认为现在有公共责任在共享精炼资源估算的同时，保留底层攻击的具体机制。”
  与美国政府协商制定新政策的研究人员补充说：“量子计算的进展已达到一个阶段，谨慎起见应停止发布改进的量子密码分析细节，以避免被滥用。”

此举最近得到了有影响力的研究员 Scott Aaronson 的倡导，标志着与谷歌二十年前 Project Zero 所开创的严格 90 天披露政策的明显逆转。其他专家已经批评了细节缺失。

“声称一种需要不存在的计算机的算法会立即构成安全风险，这种说法是危言耸听，”约翰斯·霍普金斯大学的密码学教授 Matt Green 说。“鉴于风险本身就很低（出于同样的原因），我更倾向于把它归类为夸大其词，而不是严肃的担忧。我认为这更像是一次公关手段，而非真正的危机。”

谷歌还因将注意力集中在 CRQC（具备密码学能力的量子计算机）对加密货币的威胁——这一议题受到活跃的意见领袖和现任白宫的推动——而非更广泛的应用（如 TLS 实现、DocuSign 签名、数字证书或其他影响更大人群的系统）而受到审视。

“虽然 CRQC 确实对依赖经典 ECC 算法的区块链技术构成威胁，但它们只是需要快速转向后量子密码学（PQC）的众多系统之一，” LaMacchia 说。“我对谷歌将政策框架聚焦于看似仅限于加密货币领域（例如被拯救的数字资产）的问题感到震惊，而不是关注 CRQC 对我们所有公钥密码学的普遍威胁。”

关于作者

丹·古丁 是 Ars Technica 的高级安全编辑，负责报道恶意软件、计算机间谍、僵尸网络、硬件破解、加密和密码等内容。业余时间他喜欢园艺、烹饪和关注独立音乐场景。他居住在旧金山。可在 Mastodon 上这里以及 Bluesky 上这里关注他。通过 Signal 联系他，用户名为 DanArs.82。

24 条评论