量子計算がBTCを突破する日は?現実的には少なくとも2035年以降
- 核心となる見解:量子計算の理論上、楕円曲線暗号(ECC)を解読するために必要な量子ハードウェアの要件は劇的に低下した(3億1700万物理量子ビットから50万へ)ものの、現時点で実際にアルゴリズムを実行できる量子ビット数はわずか約105個に過ぎない。現実的な脅威となるには桁違いの進歩が必要であり、ビットコインやイーサリアムを実際に破る「Q-Day」は依然として不確実である。
- 主要な要素:
- 理論的進展は顕著:2026年の論文では、新しい回路設計により、ECC解読に必要な物理量子ビット数を2022年の3億1700万個から約50万個に削減。論理量子ビットの必要数は約1200個。
- ハードウェアの障害はスケール:現在、アルゴリズムを実行可能な最大のチップは約105個の物理量子ビット(Google Willow、2026年)であるのに対し、必要とされる規模は約50万個と、成長は緩やか。
- ビットコインのリスクは限定的だが緊急性あり:Shorアルゴリズムは公開鍵から秘密鍵を盗み出す可能性があるが、アドレスは公開鍵のハッシュ値である。過去の取引により公開鍵が露出した約670万BTCが、量子計算による盗難リスクにさらされている。
- イーサリアムのリスクはより大きい:イーサリアムのアカウントアドレスは再利用可能であり、一度でも取引を行ったウォレットは、公開鍵が露出すれば量子計算によって乗っ取られる可能性がある。コミュニティ全体で量子安全な鍵への移行が必要となる。
- 業界の予想スケジュール:専門家のジャスティン・ドレイク氏は、2030年までの確率を10%、2032年までの確率を50%と予測。米国国立標準技術研究所(NIST)および国家安全保障局(NSA)は、脆弱な暗号を2035年までに段階的に廃止する目標を掲げている。
原文作者:Derrick Cui
原文编译:深潮 TechFlow
深潮导读:尽管理论上的进步已将破解椭圆曲线密码所需的量子硬件需求从3.17亿个物理量子比特(2022年)降至50万个(2026年),但当前量子计算机能够实际运行算法的量子比特数仅为约105个,距离实用攻击仍有数个数量级的差距。本文将剖析破解ECC到底需要哪些条件,以及我们距离那一天还有多远。
核心要点
下表对比了2026年论文中理论上破解ECC(椭圆曲线密码,用于TLS、比特币和HTTPS)所需的条件与当前的实际进展。结论是:我们远未接近。
最大的进步来自理论层面,例如算法和纠错设计的改进使得所需的操作次数和量子比特数从约3.17亿个物理量子比特(2022年)降至50万以下(2026年)。硬件方面也有改进(双量子比特保真度从2005年的约90%提升至如今的99.9%以上,相干时间从约1微秒延长至约1毫秒)。但最关键的硬件指标——单台机器中可用的量子比特数——几乎没有增长:目前约105个量子比特能运行真实算法,而所需数量约为50万个。

Q日(量子计算破解密码之日)预估:
Justin Drake认为2030年前的概率为10%,2032年前的概率为50%
美国国家标准与技术研究院/国家安全局将淘汰易受攻击密码的目标定在2035年
量子计算没有摩尔定律的等价物。所需条件在四年内下降了约600倍,而机器规模在过去十年可能只增长了10倍。因此,无法知道真实的时间表是什么。
量子计算进展的当前前沿
定义:
物理量子比特:量子计算机中的量子比特总数
逻辑量子比特/纠错量子比特:纠错后实际可用的量子比特数(经典计算机的对应概念是信息比特与总比特数之比)。例如,量子计算中的distance-5码意味着用约49个物理量子比特存储1个量子比特的信息
非Clifford门:对量子比特执行的、经典机器难以模拟的计算。包括T门
T门:对单个量子比特施加45度相位旋转的操作。诱导T门取决于量子计算机的硬件;对于超导量子计算机,使用微波脉冲来诱导该效应
魔术态:预制的、一次性的量子比特,其中预先包含了非Clifford门。由于非Clifford门无法直接应用于纠错量子比特,你通过消耗魔术态来间接应用该门——通过纠缠+测量+纠正(一种称为门"隐形传态"的过程)
Toffoli门:作用于3个量子比特(2个控制比特、1个目标比特),仅当两个控制比特都为1时才翻转目标比特。它由约7个T门(优化后为4个)加Clifford门构建。在纠错量子比特上,应用一个Toffoli门的唯一方法是消耗一个魔术态
Shor算法:1994年发明,作为量子计算机破解RSA和ECC的方法(通过解决周期查找问题)
校验子:用于检测数据量子比特是否发生错误的量子比特("检查量子比特")产生的结果流
提纯:将许多噪声魔术态组合的过程,消耗15个噪声态以输出一个干净得多的态
用Shor算法破解ECC:
2026年,一篇论文引入了新的电路设计和Shor算法的"预处理",需要更少的计算来破解ECC(这会破解比特币、以太坊、SSH、TLS、HTTPS)
该论文理论上认为,在一台超导量子计算机上破解ECC是可能的,需要约1,200个逻辑量子比特无错误地链接约9,000万个Toffoli门。按目前的纠错水平,这意味着约50万个物理量子比特和数分钟的运行时间
计算管线
大致流程:将物理量子比特放在芯片上 → 将许多物理量子比特捆绑成每个纠错逻辑量子比特 → 在逻辑量子比特上运行算法的门,为困难的(非Clifford)门消耗魔术态 → 测量并在经典计算机上后处理。
从噪声物理量子比特开始
挑战:将足够多的量子比特物理地放入一台机器(控制线路、解码芯片、激光束、布线等)
进展:算法设计的改进已将需求从约3.17亿个量子比特(2022年)降至约900万个(Litinski 2023年)再降至50万个(2026年)。加州理工在2025年用光镊固定了6,100个量子比特(固定它们,而非计算)。IBM的Condor芯片可容纳1,121个量子比特,但噪声太大无法运行真实算法。运行过实际算法的最大芯片约105个(谷歌Willow,2026年3月)
通过纠错将它们捆绑成可靠的逻辑量子比特
挑战:2026年论文需要约9,000万个Toffoli门依次链接,且每个都必须成功,每次操作的逻辑错误率必须低于约1/90,000,000。实际上目标("北极星")是逻辑错误率约为10⁻⁹或更低
进展:2024年,谷歌展示了由101个物理量子比特构成的1个逻辑量子比特(distance-7)的错误率比49个物理量子比特的(distance-5)低2.14倍,后者又比17个物理量子比特的(distance-3)低2.14倍。这篇论文证明了随着物理量子比特增加,错误持续下降。101量子比特(distance-7)的错误率为每周期1.4×10⁻³;大约高出一百万倍
保持纠错运行以维持它们存活
挑战:解码随着量子比特数量增加变得更难。超导量子计算机每约1微秒发出一轮校验子数据,经典解码器必须在不到约1微秒内完全处理每一轮,并持续进行。解码必须跟上添加到计算机的量子比特数量
进展:Riverlane的局部聚类解码器(《自然通讯》,2025年12月)是第一个达到每轮1微秒以下且具有自适应性的硬件(FPGA)解码器。谷歌的AlphaQubit 2(2026年3月)以每周期1微秒以下进行实时神经解码至distance 11;模拟表明一个TPU可达distance 25。距离50万量子比特规模还差得远
消耗魔术态来执行困难的门
挑战:每个困难的门(Toffoli)消耗一个魔术态,而ECC需要约9,000万个。足够快地制造和纯化魔术态是一个主要的吞吐量瓶颈。提纯工厂是一块逻辑量子比特块加路由通道,在计算时处于闲置状态。在规模化时,工厂通常占总物理量子比特的约2-10%以上
进展:魔术态培养(2024年)使每个魔术态的成本大幅降低。QuEra在2024年仅用5个逻辑量子比特展示了逻辑级提纯
测量 → 经典计算机完成数学运算
不是瓶颈。测量逻辑量子比特并运行经典后处理(测量结果 → 周期 → 私钥)已被充分理解且成本低廉。
我未讨论的一些研究前沿:
快时钟与慢时钟架构
模块化/多芯片架构
阈值以下纠错码
表面码与qLDPC码:我没有讨论IBM在qLDPC方面的进展,因为他们迄今只展示了存储量子比特(存储器),而非在其上进行计算
魔术态成本
魔术态路由/编译
相干时间
在量子比特上运行存储与计算
低温控制电子设备
泄漏和相关错误
比特币风险
关于比特币使用ECC会被破解的恐慌言论很多。破解ECC对比特币到底意味着什么?
Shor算法允许攻击者在拥有你的公钥Q的情况下恢复你的私钥k。一旦他们做到这一点,他们就变成了你。他们可以签署一笔将你的币转移到自己手中的交易,而这是一笔完全有效的交易。
然而,比特币地址不是你的公钥,而是你公钥的哈希值(公钥先经过SHA-256再经过RIPEMD-160)。哈希是一种不同的数学运算,Shor算法无法破解它。
但是,要授权一笔交易,你必须公开公钥Q,它会永久留在链上。因此,任何向另一个地址发送过比特币的地址都可能被攻破。现代钱包每次发送比特币时都会将全部余额转移到一个新地址,这样可以保护用户。
大约有670万枚BTC已经暴露,可能会通过量子计算被盗。
Justin Drake还写到了在10分钟比特币区块时间内私钥被窃取的风险。他列出的论文显示这可能在9分钟内完成。这个问题远不如丢失已经暴露的670万枚BTC严重。
真正解决这个问题的唯一方法是让所有人都切换到量子安全密钥(技术已经存在),并且在一段时间后销毁未转移的比特币。让比特币社区同意这样做将是一项艰巨的任务。
以太坊风险
以太坊使用与比特币相同的曲线(secp256k1)和相同的签名方案(ECDSA),所以底层的破解方式是相同的:给定公钥,Shor算法恢复私钥,私钥持有者就是账户所有者。
以太坊有持久账户,意味着地址会被重复使用。这意味着如果量子计算今天能用,每个发送过交易的钱包都可能被接管。
替换ECDSA很简单。问题在于后量子签名比ECDSA大得多,意味着节点必须存储更多内存。这也是以太坊在改变签名方案的同时转向zk的原因。
它还要求每个用户主动从旧密钥迁移到新密钥。人们没有转移的账户必须被销毁,这样黑客就无法控制它们。
技术解释
公钥密码学允许两个人在不可信的网络(比如公共互联网)上安全通信,而不需要事先共享秘密。
有很多不同的协议(你可以把它们看作适合特定用例的最终用途工具)。比如Diffie-Hellman密钥交换、ECDSA签名、RSA加密。它们的底层难题分别是离散对数、EC离散对数和因式分解。经典计算机很难解决的核心数学瓶颈是周期性。
量子计算机能够做的实际数学运算是寻找周期。
什么是ECC
ECC(用于TLS、比特币和HTTPS)建立在单向街道上。从曲线上的公共点G开始,"跳跃"k次到达新点Q。向前跳跃很快。但如果有人向你展示起点(G)和终点(Q),找出跳了多少次实际上是不可能的。
跳跃次数k是你的私钥;终点Q是你的公钥。每个人都能看到你的起点和终点,但只有你知道它们之间的步数。
数学解释是:
椭圆曲线只是满足方程y² = x³ + ax + b的有限域上的点集
G是基点(公开的,由标准固定)。对于私钥k,公钥是点Q = kG
通过倍加法从k计算Q需要O(log k)次群运算
从(G, Q)恢复k是ECDLP(椭圆曲线离散对数问题),经典方法是试错,所以非常慢
Shor算法在多项式时间内解决ECDLP,将其归结为在G生成的群上寻找周期

这是一条椭圆曲线。
展示y² ≡ x³ + 7 (mod 17)上EC点乘法的图表。曲线和基点G是公开的,终点Q也是公开的。秘密是k = 6,从G到Q的跳跃次数。向前计算(计算Q = kG)很快;从G和Q恢复k没有已知的经典捷径。这个例子使用mod 17,你可以数跳跃次数——真实的ECC使用约2²⁵⁶的模空间
Shor算法如何破解ECC
破解ECC归结为一个看似简单的函数:f(x, y) = xG + yQ,其中G是公共生成器,Q是你要攻击的公钥。由于Q = kG,这实际上是f(x, y) = (x + ky)G。
这带来一个后果:将输入步进(k, −1)永远不会改变输出,因为(x + k) + k(y − 1) = x + ky。所以f沿着通过(x, y)网格的平行对角线重复,这些对角线的方向编码了k(私钥)。
找到这个方向需要两个不同的(x, y)对产生相同的输出。经典方法必须通过暴力搜索这样的碰撞。
量子计算机让你能够:
在叠加态中一次性评估所有(x, y)对的f,所以整个条纹网格同时存在于机器中
但你仍然无法观察——测量会坍缩到一个随机点,这什么也告诉不了你
傅里叶变换使除了重复方向之外的所有东西都相互抵消,产生一个频率峰值,通过一些经典数学运算可以得到k

每个金色单元格是一个输入对(x, y),产生相同的输出点。它们以固定步长重复——向右k,向下1——所以私钥编码在对角线的方向上。(玩具示例:k = 2, n = 13。在真实规模下,网格有2²⁵⁶列,你一次只能检查一个单元格,这就是为什么这个模式在经典情况下不可见。)
来看一个例子:取整数mod 17上的曲线y² = x³ + 2x + 2。(这个问题很简单因为它是在mod 17下。通常是在mod 2²⁵⁶下。)它恰好有n = 19个点,G = (5, 1)生成所有点。假设我的公钥是Q = (0, 6)。你的任务:找到k使得Q = kG。(答案是k = 7,因为G, 2G, 3G, ...依次走过(5,1), (6,3), (10,6), (3,1), (9,16), (16,13),在第7步到达(0,6)。)
设置。两个


