量子破解比特币倒计时：2032年之前概率50%？

原文来自比特币安全研究员 Justin Drake

编译｜Odaily星球日报 秦晓峰（@QinXiaofeng 888 ）

编者按：今年 3 月，谷歌量子研究团队发布研究论文，直言未来量子计算机破解保护加密货币的椭圆曲线密码，所需资源远比此前认知中所需的更少，量子计算对于加密货币的威胁迅速成为外网讨论的焦点。有意思的是，谷歌的研究论文并没有完整公开底层电路细节，而是在与美国政府沟通后通过零知识证明（ZK）的方式证明了自己的估算结果。这也导致过去几个月，一众技术大神孜孜不倦地尝试试图破解谷歌原始论文细节。

6 月 2 日，谷歌量子论文合著者、比特币安全研究员 Justin Drake 发文称，到 2032 年发生 Q-Day 的概率为 50%。到 2030 年为 10%。（Odaily 注：Q-Day，即 Quantum Day（量子日），是指量子计算机强大到足以破解现行全球主流加密技术的那一天。）

以下为原文内容，由 Odaily星球日报 编译，Enjoy～

————————————

今天，疯狂的量子故事变得愈发离奇。

3 月 31 日，Google 量子人工智能团队发布了一项关于 Shor 算法在椭圆曲线密码学上应用的里程碑式成果。严格来说，这篇论文堪称重磅炸弹：性能比此前最先进水平大幅提升了 10 倍。作为一个噱头兼对区块链领域敲响的警钟，这些优化以 secp256k1 椭圆曲线为例进行了说明——这正是支撑比特币和以太坊签名的椭圆曲线。

但论文最引人注目之处或许不在技术，而在其社会影响。他们没有遵循标准学术流程，而是将这些优化保密，隐藏在一份零知识证明（ZK）背后。Google 的文章提到他们“与美国政府进行了接触”。这份 ZK 证明在展示算法改进的同时，不泄露任何细节。用零知识证明进行学术审查，这是史无前例的第一次！

作为 Google 这篇论文的共同作者，我亲眼见证了围绕这次审查的一些背景。老实说，背后有很多让我心感不安的要素。我固然相信公众有权了解更多，但我吹哨揭发的渠道有限。不过，有一点我要明确说清楚：Google 团队的专业精神堪称典范，他们只配得到赞美，别无其他。

审查往往适得其反。Streisand 效应，即试图掩盖某事反而令其更受关注，今天正在上演。首先，Google 的关键优化已被法国人重新发现。更令人兴奋的转折是，一个名为“Shor-at-home”（在家算 Shor）的协作挑战刚刚启动。该倡议的网址是 ecdsa[.]fail，启动后数小时内便刷新了 Shor 算法的世界纪录。

第一部分：性能提升 8.4%

先说说这次重新发现。就在 Google 论文发表仅两个月后，法国量子专家 André Schrottenloher 便破解了这项核心机密优化。他的论文《椭圆曲线离散对数的优化点加电路》今天上线了 arXiv。向 André表示热烈祝贺，他击败了其他几位同样被这个问题深深吸引、竞相角逐的专家。同样在今天发表的博文中，Shor 优化领域的世界权威 Craig Gidney 透露，由于审查压力，这项优化他本人已整整坐守了一年之久。

有趣的是，André遗漏了少量微优化，这些既包括 Google 最初公布中的，也包括之后发现的一些改进。Shor 算法上很可能还留有大量油水可榨，而这正是 ecdsa[.]fail 挑战的焦点所在。为 ZK 证明开发的那套验证程序发挥了双重作用，能自动筛选有效提交。数十个叠加的小型及微型优化正不断涌现。截至撰稿时，以逻辑量子比特数与 Toffoli 门数之积衡量，已有比谷歌电路提升 8.4%的成果。不错！

这股“激将解题”的热潮比任何人预想的都要深。过去几周中，事情已经越过了 André 和其他量子专家这个圈子。在幕后，一支小小的业余爱好者军团悄然投入工作。受 Karpathy 式自主研究的启发，他们将 AI 用在了 Shor 算法上。具有讽刺意味的是，那份 ZK 证明的验证程序恰好成了 AI 绝佳的奖励函数。这种现代研究风格的门槛低得令人耳目一新，多位非专业人士，甚至一位青少年，都找到了不错的优化。如果你想加入一个与其他自主研究者一起的 Telegram 群组，欢迎联系我。

第二部分：中性原子与 Q-Day

故事并未止步于 Google。就在 Google 公布结果的同一天，一家名为 Oratomic 的隐秘初创公司同步发布了自己的 Shor 论文。这篇论文引起了轰动，最终成为 scirate[.]com（一个对 arXiv 论文进行排名的网站）上获投票最多的论文。

Oratomic 的主张非常惊人。他们以 Google 的逻辑优化为基础，并应用了针对中性原子量身定制的物理层优化，声称仅需 1 万个物理量子比特就足以在 secp256k1 上运行 Shor 算法。这个数字低得令人难以置信。

Oratomic 论文上线时，我对中性原子几乎一无所知，这勾起了我的兴趣，决定一探该技术究竟。我一头扎了进去，为此花了好几百个小时。我有些痴迷，看完了能找到的所有 YouTube 视频，并与许多专家进行了交流。

我的结论是：这项技术非常、非常实在。连 Google 最近都决定建立一个中性原子实验室，从专注超导量子比特显著转向。如果你关心 Q-Day（即量子计算机攻破首个实际运行中加密算法的那一天），中性原子值得你关注。我在 ZKProof 密码学会议的一场 30 分钟演讲中，分享了我对 Shor 和中性原子的部分了解，你可以在 YouTube 上搜索“zkproof neutral atom”找到它。

关于这两篇突破性论文，有个有趣的观察：无论是 Google 还是 Oratomic，都绝口不提自己的结果对 Q-Day 意味着什么。没有任何时间线——零——完全缄默。考虑到白帽量子密码分析的整个意义正是为 Q-Day 估计提供信息，并帮助公众做出好的决策，这一点尤其令人费解。

因此，请允许我试图部分填补这段沉默，就像 Scott Aaronson 在 4 月 29 日博文中所做的那样。基于我所知的一切，包括一些不能公开的可怕信息，我现在认为 2032 年之前出现 Q-Day 的概率是 50%，2030 年之前是 10%。

顺便提一件轶事：美国政府有自己的日期：2035 年。该日期源自美国国家安全局，后来被 NIST 采纳，届时美国政府各分支将不得使用量子脆弱的密码系统。说得直白一点：事后看来，那个日期就是个笑话，应当被完全忽略。我不认为 NIST 能避免被迫将其向前调整好几年。

第三部分：后量子密码学

今天有充分理由敲响警钟，但请不要恐慌。仓促且草率地奔向尚不成熟的后量子密码学，那是灾祸。依我之见，迁移的一个良好目标日期是 2029 年，大约还有三年半。2029 年恰好也是 Google、Cloudflare 和以太坊基金会选定的日期。

最近，我的大部分时间都致力于在“精益以太坊”这个更广阔的框架下，安全地将以太坊迁移到后量子密码学。要做的事情很多。我们需要在共识层移除并替换 BLS 签名，在数据层替换 KZG 承诺，在执行层替换 ECDSA 签名。

达成这一目标的计划令人振奋，它基于哈希密码学。在以太坊基金会内部，我们打造了一把名叫 leanVM（github[.]com/leanEthereum/leanVM）的瑞士军刀，由基于哈希的 SNARK 算法驱动。得益于 Emile、Thomas 等人真正卓越的工作，其性能风险已经消除。在安全性上，leanVM 是一颗珍宝，一个为端到端形式化验证和极致安全而打造的精简 zkVM。

想帮忙吗？有两个百万美元级别的倡议。第一，Proximity Prize（proximityprize[.]org）。解决编码理论中一个悬而未决的数学猜想，改进基于哈希的 SNARK，你就将成为百万富翁。第二，Poseidon Initiative（poseidon-initiative[.]info），悬赏 100 万美元征求攻破 Poseidon，这是一种对 SNARK 友好的哈希函数。