谷歌发布警告：量子计算或将在2029前破解比特币加密

谷歌研究人员指出，到2029年，量子计算机或将攻破主流区块链安全体系。现有多达690万枚比特币因公钥已暴露在外，随时可能遭到量子算力破解。

投资量子计算普遍被认为是在押注未来。预计在未来几年内，大规模、高性能的量子系统将会问世，它们既会带来颠覆性的潜力，同时也伴随新的风险。谷歌表示，别太早安逸下来。

这家Alphabet旗下的子公司正致力于推进其自身的量子计算雄心。其威洛（Willow）芯片被认为引发了2024年底掀起全球量子热潮，让这项新兴技术彻底站上风口。

如今，谷歌研究人员发布了一份白皮书，指出“Q-Day”（即量子计算机能够破解保护全球大量数据的加密技术的那个时刻）并非遥远的威胁。而且公司还明确指出了一个具体年份，呼吁公众在该年之前为这一事件做好准备。

这篇论文本周上传到了康奈尔大学的arXiv平台，专门聚焦于加密货币。加密货币交易依赖两把密钥：一把私钥，一把公钥。私钥是一个超大、随机且保密的数字，它让你能够管理并访问自己的资金。与之相对应的公钥则会公开分享，用于接收加密货币。

比特币等一众加密货币的安全性依赖一种称为椭圆曲线密码学的技术。其基本假设是：现有计算机无法从公钥反向推导出私钥。这话不无道理——用传统计算机确实无法在可行的时间内做到这一点。

然而，量子计算机不一样。正如Barron’s此前报道，未来的机器或许能够运行一种叫作“Shor 算法”（肖尔算法）的量子算法，该算法能够将大数分解为其质因数。

论文强调了Shor算法的一个特定用例，称为“即时消费攻击”（on-spend attack）。当你发送比特币时，在交易进入内存池、等待确认期间，你的公钥会短暂地向网络公开。这个过程大约需要10分钟。

研究人员发现，在一台“快速时钟”量子计算机（或使用某种特定量子架构的计算机）上运行优化后的Shor算法，可以在短短9到12分钟内从该公钥推导出私钥。

关键在于，研究人员估计，在一台超导量子计算机上，破解保护比特币以及大多数主流加密货币的椭圆曲线密码学，所需的物理量子比特可能不到50万个。这比早先的估算大约减少了20倍。

研究人员指出，高达690万个比特币被存放在公钥已暴露的地址中。由于这些密钥已是公开的，量子系统将不受10分钟窗口期的限制，它可以随时使用Shor算法侵入这些钱包。

该论文的共同作者之一Justin Drake在社交媒体上表示，他对“Q日”在2032年前到来的信心“显著飙升”。Drake 预计，到那一年，量子系统从已暴露的公钥中恢复出私钥的概率至少达10%。

“我预计相关叙事会发生转向，并进一步推动后量子密码学的研发投入，”Drake写道。尽管他承认自己并非“量子专家”，而且这些尚未经过同行评审的结果还需要时间“进行适当验证”，但他基于与研究团队的交流认为，谷歌的估算偏保守。

业界共识普遍认为，这一事件大概率会发生在2030年代的某个时候，但谷歌预计“Q日”会更早到来。在该公司看来，一台具有密码学相关实际能力的量子计算机，可能在2029年前后就足以攻破大多数主流区块链。

巧合的是，这一时间点与多数量子研发团队为大规模、商业级量子计算机问世所设定的目标时间相吻合。国际商业机器公司（IBM）通常被视为谷歌在量子领域的竞争对手，其目标也是在那之前部署一台具备容错能力的超级计算机。

谷歌在上周的一篇博客文章中敦促企业加强网络安全措施，以免被时代甩在后面。该公司写道：“加密技术面临的威胁在当下就已存在，因为存在‘先存储、后解密’的攻击。而对数字签名的威胁则是未来的风险。”

谷歌尤其在推动向“后量子密码学”的过渡，也就是采用新的、抗量子算法来保护数据，以抵御未来的攻击。