谷歌不再将量子计算视为未来的问题。周二,该公司正式发布时间表,计划在2029年前将其所有基础设施过渡到后量子密码学(PQC)——称此举刻不容缓,并表示量子前沿“可能比看起来更近”。
“作为量子计算和预量子计算领域的先驱,我们有责任以身作则,并公布一个雄心勃勃的时间表,”博客文章写道。“量子计算机将对当前的密码学标准构成重大威胁,特别是对加密和数字签名。”
该公告由谷歌安全工程副总裁 Heather Adkins 和高级密码工程师 Sophie Schmieg 签署,其中将 2029 年的目标描述为对量子硬件、纠错和因式分解资源估算方面快速进步的回应。
简单来说:理论上能够破解当今加密技术的机器正在以比预期更快的速度成为现实。
谷歌的警告基于两大威胁。第一大威胁已经出现。所谓的“ 先收获后Decrypt”攻击使得不法分子能够窃取加密数据并长期保存,他们笃定一旦量子计算机足够强大,就能将其解密。这种威胁迫在眉睫。第二大威胁则面向未来:作为互联网身份验证基础的数字签名,在真正具备密码学意义的量子计算机(CRQC)问世之前,必须被新的技术所取代。
为了树立榜样,谷歌宣布 Android 17 将集成后量子数字签名保护技术,该技术采用ML-DSA 算法,该算法最近由美国国家标准与技术研究院 (NIST) 标准化。该公司还在 Google Cloud 和内部通信系统中推广后量子计算 (PQC)。
2029年的最后期限并非随意设定。IBM也有自己的路线图,目标是在同一年实现容错量子系统。两家公司都在竞相迈向这一Threshold,而2025年标志着该领域的一个转折点——纠错技术的突破、新型处理器架构的出现,以及加州理工学院一次性捕获超过6000个原子量子比特的成果,使得人们的讨论焦点从“是否能够实现”转变为“何时能够实现”。
比特币运行在椭圆曲线密码学(或称ECDSA签名)之上,而量子计算机——运行着所谓的Shor算法——最终有可能逆向工程破解这种数学原理。这意味着:给定你的公钥,一台足够强大的量子计算机就能推导出你的私钥。
普通计算机需要几个世纪才能破解这类难题。量子计算机或许能将这个问题转化为可以在实际时间内解决的问题。
实际风险比大多数人意识到的要大得多。据专注于网络安全和加密货币的初创公司Project Eleven称,超过 680 万枚比特币(价值超过 4700 亿美元)存储在易受量子攻击的地址中,其中包括比特币早期发行的代币。Project Eleven 致力于保护加密货币免受未来量子计算机攻击。Ark Invest 和 Unchained的另一项估计显示,大约 35% 的比特币总供应量位于理论上易受未来量子攻击的地址类型中。
谷歌的研究人员最近发现, 破解RSA加密所需的量子资源可能比之前估计的要少20倍——这一发现大大缩短了所有依赖类似数学结构的系统(包括比特币)的安全保障时间表。此前的估计认为,破解比特币所需的量子比特数量约为2000万。而Iceberg Quantum的研究人员现在认为,这个数字可能降至约10万。
量子计算机在过去五年中性能增长了近 10 倍。
所以,我们都应该恐慌抛售加密货币吗?其实不必——但我们应该密切关注。
首先,谷歌并没有说量子计算机将在2029年之前破解密码学。它只是说它计划在密码学破解之前做好准备。
此外,比特币开发者们也并非无所事事。BIP 360提案最近被合并到比特币的正式改进库中,该提案引入了一种名为“支付给默克尔根”(Pay-to-Merkle-Root)的抗量子地址格式。它本身并不会立即生效,但却启动了一项意义重大的改革。
比特币托管公司 Casa 的联合创始人 Jameson Lopp 认为,即使量子计算机距离构成真正的威胁还有数年时间,但升级比特币协议和迁移数十亿美元的用户资金本身也可能需要 5 到 10 年的时间。
“就我们目前所知,我们距离拥有一台具有密码学意义的量子计算机还有几个数量级的差距,”Loop 今年早些时候告诉Decrypt 。“如果量子计算领域的创新继续以类似的、相当线性的速度发展,那么我们需要很多年——可能超过十年,甚至几十年——才能达到那个目标。”
比特币的去中心化治理意味着没有任何一个团队能够单独完成切换。矿工、钱包开发者、交易所和数百万个人用户都需要同时采取行动。
谷歌之所以能设定2029年的最后期限,是因为它掌控着自己的基础设施。比特币则不然。正是这种不对称性使得谷歌的声明对加密货币意义重大——并非是判了加密货币死刑,而是给加密货币网络设定了一个无法忽视的最后期限,而这个期限并非比特币自身设定,也绝不能忽视。
