两篇新的研究论文——一篇来自谷歌,另一篇来自加州理工学院旗下的初创公司Oratomic的研究人员——重新引发了密码学领域一个长期存在的问题:当量子计算强大到足以破解现代密码学时,会发生什么?
本周,研究人员警告称,该领域的进展可能会比预期更快地威胁到支撑加密货币和其他数字基础设施的加密系统。研究表明,未来的机器或许能够用比之前认为的更少的量子比特和计算步骤破解椭圆曲线密码。加州理工学院估计,所需的量子比特数量仅为1万至2万个。
两篇论文都表明,实现这一目标所需的资源可能低于之前的估计,缩短了许多人认为还很遥远的时间表。
针对这些发现,比特币安全研究员贾斯汀·德雷克本周表示,到 2032 年,能够破解密码学的量子计算机至少有 10% 的可能性出现。
量子计算机的运行方式与经典计算机截然不同。它不使用只有0或1两种状态的比特,而是使用量子比特,量子比特可以同时存在于多种状态。这一特性使得量子计算机能够运行某些算法——最著名的是肖尔算法——理论上,这些算法可以比当今的计算机更高效地解决支撑现代加密的数学难题。
这些数学难题是比特币、以太坊以及互联网诸多应用的基础。基于椭圆曲线密码学的系统设计得易于验证,但极难逆向破解。然而,一台足够强大的量子计算机可能会改变这一现状,它能够从公钥推导出私钥,从而有可能泄露资金、身份信息和加密通信内容。
当这一切成为可能的时候,通常被称为 “Q日”。
目前,这一刻仍处于假设阶段。“如今并不存在这样的计算机,”Galaxy Digital公司研究主管Alex Thorn告诉Decrypt 。“谷歌的这项研究表明,从今天到最终的‘Q日’之间的距离可能比之前想象的要近。”
他指出,谷歌研究员克雷格·吉德尼 (Craig Gidney) 认为,到 2030 年,能够破解密码的量子机器有10% 的概率被制造出来——这一概率与德雷克的预测相似。
吉德尼补充道:“10%的风险在这里是无法接受的,所以我非常赞成在2029年之前过渡到量子安全密码学……是的,这意味着我有90%的把握在2030年被人嘲笑。唉。”
许多业内专家都在呼吁做好准备。索恩认为,量子计算机在未来五年内攻击比特币的概率“总体而言”很低,但他同时表示,“谷歌的研究显示出了真正的进展”。索恩补充道:“尽管如此,比特币开发者们仍在不断努力寻找缓解措施,并开发新的后量子时代加密货币集成方案。”
Dynamic 的联合创始人兼首席执行官 Itai Turbahn 表示,该行业“现在需要行动起来”,但他同时警告说,并非所有区块链都面临同样的风险。
他说:“如果地址不被重复使用,比特币的UTXO模型可以提供短期保护——以太坊的账户模型没有类似的替代方案。但每个进行过交易的账户的公钥都会永久保存在链上。”
他补充说:“各机构需要明白,这不是一种统一的风险,他们现在就需要为此做好准备。”
不同网络对这一挑战的评估各不相同, Decrypt采访的不同专家对具体项目的影响也持有不同意见。Sygnum 数字资产生态系统研究主管 Lucas Schweiger 表示,他认为以太坊“凭借账户抽象和对量子问题的认真对待,处于有利地位”,而“比特币的路径更多的是一个治理和协调问题,而非技术问题,但它是可以应对的。”
“过渡时期到来时,可能会缓慢而平静,”他补充道。
Boundless 首席执行官 Shiv Shankar 此前告诉Decrypt ,他不认为这是一个区块链特有的问题。“如果量子计算机真的在这个时间范围内恢复了一组私钥,那么整个互联网都将面临风险,这意味着更大的问题岌岌可危,”他说。“我认为这其实非常令人兴奋,”Shankar 补充道,并指出,“这也意味着我们所知的整个互联网都将得到升级,从而使零知识成为讨论的核心。”
Decrypt已联系以太坊基金会和比特币开发社区 Bitcoin Core 征求意见。
施韦格尔表示,对机构投资者而言,更有用的框架是排序。“如果真的出现了具有密码学意义的量子计算机,那么对手的经济动机首先会指向传统的金融基础设施——银行、托管机构和支付网络,它们在全球范围内保障着约154万亿美元的固定收益资产和128万亿美元的股票资产,”他说道。
“相比之下,加密货币的影响微不足道,而且在成为主要目标之前,加密货币生态系统会收到大量的预警信号。”
那么,量子风险究竟是近期工程问题还是长期生存威胁?“这两种说法都不能完全概括它,”施韦格尔说。
他说:“量子计算目前不会对现有的区块链或公钥密码构成威胁,而且在量子计算机强大到足以破解它们之前,目前使用的签名方案几乎肯定会被取代。”
施韦格表示,虽然这使其成为一项“长期的工程挑战”,但并非生死攸关的问题。他解释说:“密码学界——包括美国国家标准与技术研究院的后量子标准——以及区块链项目,已经在着手采取预防措施并测试迁移路径。”
