量子破解比特幣倒數計時：2032年前機率50%？

原文來自比特幣安全研究員 Justin Drake

編譯｜Odaily星球日報 秦曉峰（@QinXiaofeng 888 ）

編者按：今年 3 月，谷歌量子研究團隊發布研究論文，直言未來量子電腦破解保護加密貨幣的橢圓曲線密碼，所需資源遠比此前認知中所需的更少，量子計算對於加密貨幣的威脅迅速成為外網討論的焦點。有意思的是，谷歌的研究論文並沒有完整公開底層電路細節，而是在與美國政府溝通後通過零知識證明（ZK）的方式證明了自己的估算結果。這也導致過去幾個月，一眾技術大神孜孜不倦地嘗試試圖破解谷歌原始論文細節。

6 月 2 日，谷歌量子論文合著者、比特幣安全研究員 Justin Drake 發文稱，到 2032 年發生 Q-Day 的機率為 50%。到 2030 年為 10%。（Odaily 註：Q-Day，即 Quantum Day（量子日），是指量子電腦強大到足以破解現行全球主流加密技術的那一天。）

以下為原文內容，由 Odaily星球日報 編譯，Enjoy～

————————————

今天，瘋狂的量子故事變得愈發離奇。

3 月 31 日，Google 量子人工智慧團隊發布了一項關於 Shor 演算法在橢圓曲線密碼學上應用的里程碑式成果。嚴格來說，這篇論文堪稱重磅炸彈：效能比此前最先進水平大幅提升了 10 倍。作為一個噱頭兼對區塊鏈領域敲響的警鐘，這些優化以 secp256k1 橢圓曲線為例進行了說明——這正是支撐比特幣和以太坊簽名的橢圓曲線。

但論文最引人注目之處或許不在技術，而在其社會影響。他們沒有遵循標準學術流程，而是將這些優化保密，隱藏在一份零知識證明（ZK）背後。Google 的文章提到他們「與美國政府進行了接觸」。這份 ZK 證明在展示演算法改進的同時，不洩露任何細節。用零知識證明進行學術審查，這是史無前例的第一次！

作為 Google 這篇論文的共同作者，我親眼見證了圍繞這次審查的一些背景。老實說，背後有很多讓我心感不安的要素。我固然相信公眾有權了解更多，但我吹哨揭發的渠道有限。不過，有一點我要明確說清楚：Google 團隊的專業精神堪稱典範，他們只配得到讚美，別無其他。

審查往往適得其反。Streisand 效應，即試圖掩蓋某事反而令其更受關注，今天正在上演。首先，Google 的關鍵優化已被法國人重新發現。更令人興奮的轉折是，一個名為「Shor-at-home」（在家算 Shor）的協作挑戰剛剛啟動。該倡議的網址是 ecdsa[.]fail，啟動後數小時內便刷新了 Shor 演算法的世界紀錄。

第一部分：效能提升 8.4%

先說說這次重新發現。就在 Google 論文發表僅兩個月後，法國量子專家 André Schrottenloher 便破解了這項核心機密優化。他的論文《橢圓曲線離散對數的優化點加電路》今天上線了 arXiv。向 André表示熱烈祝賀，他擊敗了其他幾位同樣被這個問題深深吸引、競相角逐的專家。同樣在今天發表的博文中，Shor 優化領域的世界權威 Craig Gidney 透露，由於審查壓力，這項優化他本人已整整坐守了一年之久。

有趣的是，André遺漏了少量微優化，這些既包括 Google 最初公佈中的，也包括之後發現的一些改進。Shor 演算法上很可能還留有大量油水可榨，而這正是 ecdsa[.]fail 挑戰的焦點所在。為 ZK 證明開發的那套驗證程式發揮了雙重作用，能自動篩選有效提交。數十個疊加的小型及微型優化正不斷湧現。截至撰稿時，以邏輯量子位元數與 Toffoli 閘數之積衡量，已有比谷歌電路提升 8.4%的成果。不錯！

這股「激將解題」的熱潮比任何人預想的都要深。過去幾週中，事情已經越過了 André 和其他量子專家這個圈子。在幕後，一支小小的業餘愛好者軍團悄然投入工作。受 Karpathy 式自主研究的啟發，他們將 AI 用在了 Shor 演算法上。具有諷刺意味的是，那份 ZK 證明的驗證程式恰好成了 AI 絕佳的獎勵函數。這種現代研究風格的門檻低得令人耳目一新，多位非專業人士，甚至一位青少年，都找到了不錯的優化。如果你想加入一個與其他自主研究者一起的 Telegram 群組，歡迎聯繫我。

第二部分：中性原子與 Q-Day

故事並未止步於 Google。就在 Google 公佈結果的同一天，一家名為 Oratomic 的隱秘初創公司同步發布了自己的 Shor 論文。這篇論文引起了轟動，最終成為 scirate[.]com（一個對 arXiv 論文進行排名的網站）上獲投票最多的論文。

Oratomic 的主張非常驚人。他們以 Google 的邏輯優化為基礎，並應用了針對中性原子量身定製的物理層優化，聲稱僅需 1 萬個物理量子位元就足以在 secp256k1 上運行 Shor 演算法。這個數字低得令人難以置信。

Oratomic 論文上線時，我對中性原子幾乎一無所知，這勾起了我的興趣，決定一探該技術究竟。我一頭扎了進去，為此花了好幾百個小時。我有點癡迷，看完了能找到的所有 YouTube 影片，並與許多專家進行了交流。

我的結論是：這項技術非常、非常實在。連 Google 最近都決定建立一個中性原子實驗室，從專注超導量子位元顯著轉向。如果你關心 Q-Day（即量子電腦攻破首個實際運行中加密演算法的那一天），中性原子值得你關注。我在 ZKProof 密碼學會議的一場 30 分鐘演講中，分享了我對 Shor 和中性原子的部分了解，你可以在 YouTube 上搜尋「zkproof neutral atom」找到它。

關於這兩篇突破性論文，有個有趣的觀察：無論是 Google 還是 Oratomic，都絕口不提自己的結果對 Q-Day 意味著什麼。沒有任何時間線——零——完全緘默。考慮到白帽量子密碼分析的整個意義正是為 Q-Day 估計提供資訊，並幫助公眾做出好的決策，這一點尤其令人費解。

因此，請允許我試圖部分填補這段沉默，就像 Scott Aaronson 在 4 月 29 日博文中所做的那樣。基於我所知的一切，包括一些不能公開的可怕資訊，我現在認為 2032 年之前出現 Q-Day 的機率是 50%。2030 年之前是 10%。

順便提一件軼事：美國政府有自己的日期：2035 年。該日期源自美國國家安全局，後來被 NIST 採納，屆時美國政府各分支將不得使用量子脆弱的密碼系統。說得直白一點：事後看來，那個日期就是個笑話，應當被完全忽略。我不認為 NIST 能避免被迫將其向前調整好幾年。

第三部分：後量子密碼學

今天有充分理由敲響警鐘，但請不要恐慌。倉促且草率地奔向尚不成熟的後量子密碼學，那是災禍。依我之見，遷移的一個良好目標日期是 2029 年，大約還有三年半。2029 年恰好也是 Google、Cloudflare 和以太坊基金會選定的日期。

最近，我的大部分時間都致力於在「精益以太坊」這個更廣闊的框架下，安全地將以太坊遷移到後量子密碼學。要做的事情很多。我們需要在共識層移除並取代 BLS 簽名，在數據層取代 KZG 承諾，在執行層取代 ECDSA 簽名。

達成這一目標的計劃令人振奮，它基於哈希密碼學。在以太坊基金會內部，我們打造了一把名叫 leanVM（github[.]com/leanEthereum/leanVM）的瑞士軍刀，由基於哈希的 SNARK 演算法驅動。得益於 Emile、Thomas 等人真正卓越的工作，其效能風險已經消除。在安全性上，leanVM 是一顆珍寶，一個為端到端形式化驗證和極致安全而打造的精簡 zkVM。

想幫忙嗎？有兩個百萬美元級別的倡議。第一，Proximity Prize（proximityprize[.]org）。解決編碼理論中一個懸而未決的數學猜想，改進基於哈希的 SNARK，你就將成為百萬富翁。第二，Poseidon Initiative（poseidon-initiative[.]info），懸賞 100 萬美元徵求攻破 Poseidon，這是一種對 SNARK 友好的哈希函數。