今年3月的最后一天,谷歌發(fā)布白皮書,給出一組令人不安的新估算:一臺足夠強大的量子計算機,理論上破解加密貨幣常用的256位橢圓曲線離散對數(shù)問題所需的資源,僅為此前估計的1/20,破解所需時間甚至可以縮短至9分鐘。
更不尋常的是,為了不給攻擊者遞上“操作手冊”,谷歌選擇用“零知識證明”向外界披露了這一點。(當然,谷歌在這方面的炒作前科累累。)
面對可能重創(chuàng)全球金融系統(tǒng)的“量子末日”,密碼學家們早已未雨綢繆。你或許很難相信,人類目前構想出的終極防御武器,其核心思想用最簡單的紙牌游戲就能模擬。
2026 年 3 月 31 日,谷歌發(fā)布白皮書,這份57頁的文件證明,量子計算機攻破守護著比特幣、以太坊乃至幾乎所有主流加密貨幣的橢圓曲線密碼,所需資源比過去估計的低了大約一個數(shù)量級——用大約50萬個物理量子比特,就能在幾分鐘內破解256位橢圓曲線離散對數(shù)問題。
量子計算機一旦成熟,最直接的一個后果就是現(xiàn)有公鑰密碼學體系將面臨毀滅性打擊。RSA、橢圓曲線密碼(Elliptic Curve Cryptography, ECC)等公鑰算法,其安全性依賴于大整數(shù)分解和離散對數(shù)的計算難度,而這道防線在量子算法(如Shor算法)面前將不堪一擊。那一天,所有依賴這些算法的數(shù)字安全基礎設施——從互聯(lián)網(wǎng)通信到金融交易——都可能瞬間失效。這被稱為“量子末日(Q-Day)”。
谷歌甚至重新規(guī)劃了量子末日到來的時間表,推測人類社會需要在2029年左右實現(xiàn)后量子密碼時代轉型。
研究人員認為自己的發(fā)現(xiàn)可能引發(fā)非常嚴重的后果,所以沒有展示具體算法和量子電路設計。他們決定發(fā)布一份零知識證明(Zero-Knowledge Proof, ZKP)。這很不尋常,谷歌真的認為自己的發(fā)現(xiàn)非同小可。
![]()
Google Research的研究人員發(fā)布的零知識證明。圖源:Google Research
可能有讀者會問,打著“防止濫用”的旗號,谷歌沒有公開任何攻擊細節(jié),那我們憑什么相信它?有沒有可能是虛張聲勢?
要理解這個問題,得從谷歌使用的“零知識證明”說起。
什么是零知識證明?
它是密碼學中一個極其精妙且反直覺的概念。如今又和量子計算與計算復雜性學科相關。
簡單來說,零知識證明的核心定義是:你可以向別人證明你滿足某個條件,或掌握某個信息,但在證明的過程中,你絕對不會向對方泄露任何額外的具體數(shù)據(jù)。
1985 年,Shafi Goldwasser、Silvio Micali 和 Charles Rackoff 首次提出零知識交互式證明的概念。Avi Wigderson與 Oded Goldreich、Silvio Micali 等人進一步發(fā)展,證明了一個重要結論:
如果一個陳述的正確性可以被有效驗證(即屬于 NP 問題),那么它就可以有零知識證明(在適當?shù)拿艽a學假設下)。
Avi Wigderson因這一成就和在計算中的引入隨機性作用方面的開創(chuàng)性貢獻,成為迄今唯一一位阿貝爾獎(數(shù)學界的終身成就獎)和圖靈獎雙料得主。
下面用一個簡單例子來說明零知識證明。
設想這樣一個場景:你有一個朋友是紅綠色盲。你手里有兩個球,除了一個是紅色、一個是綠色之外,重量、大小、手感等性質一模一樣。
你想向朋友證明這兩個球的顏色是不同的。但朋友非常固執(zhí),他堅稱:“在我看來這倆球一模一樣,除非你能證明給我看,但你不能告訴我哪個是紅,哪個是綠!”
怎么證明呢?
首先,朋友把兩個球拿到自己身后。他可以選擇偷偷把兩個球互換位置,或者不互換。朋友把兩個球重新拿出來,問你:“我剛才換了沒有?”因為能分辨顏色,你一眼就看出紅綠球的位置是否變了,能準確回答:“換了(或沒換)。”
朋友可能會想:“你是不是運氣好,瞎蒙的?蒙對的概率有50%呢。”你說沒關系,我們再來一次——于是重復這個過程20次。
在朋友眼中,“奇跡”出現(xiàn)了:你20次全對。此時,他必須從邏輯上承認這兩只球確實是不同的。因為如果你在撒謊,每次都靠瞎猜,連續(xù)猜對20次的概率是 0.5 20 ,大約是一百萬分之一!只要重復的次數(shù)足夠多,你是瞎蒙的概率就會無限趨近于零。
整個測試結束后,朋友依然不知道到底哪個球是紅的,哪個球是綠的。你沒有泄露任何關于具體顏色的“知識”。
這就是零知識證明的核心——通過概率和交互邏輯構建信任,同時隔絕信息泄露。它有三個特性:
1. 完備性:如果你真的知道秘密,你一定能說服對方。
2. 可靠性:如果你不知道秘密,你(幾乎)不可能騙過對方。
3. 零知識性:對方除了知道“你確實掌握秘密”之外,得不到任何其他信息。
零知識證明還有一個類似的經(jīng)典解讀,就是大名鼎鼎的“阿里巴巴的魔法洞穴”。下圖展示了“證明”過程,支撐證明的核心邏輯同樣是概率:如果Alice每次都從正確的一側走出來,那么她不可能是完全憑運氣瞎蒙。當重復實驗足夠多次,我們就可以確認Alice確實知道咒語。
![]()
圖源:ChatGPT Images 2.0
這種詮釋方法由密碼學家 Jean-Jacques Quisquater 在 1989 年提出,被譽為密碼學史上最精妙的比喻。
谷歌做了什么?
谷歌沒有公開完整攻擊細節(jié),而是用零知識證明讓外界驗證其資源估算。具體點說,論文發(fā)布者聲稱他們擁有一個名為Clow-qubit的量子電路,在這個電路上可以使用更少的資源來實現(xiàn)Shor算法。
需要強調的是,谷歌的零知識證明僅僅在數(shù)學和理論算法層面證明他們優(yōu)化了電路設計,離工程物理上可行還很遙遠。
幾乎同時,加州理工學院的團隊用更高效的中性原子容錯架構,給出了另一組更激進的估算:僅需2.5萬量級的物理量子比特即可破解比特幣簽名,而此前不少估算還在數(shù)百萬量級。
在經(jīng)典計算機中,如果要尋找一個問題的解,就像是探索迷宮。經(jīng)典邏輯必須一條路一條路地試。但在量子計算的視角下,情況完全不同:它不再是單線的窮舉,而是利用量子疊加和多比特糾纏,在一個超高維的計算空間(希爾伯特空間)中并行演化。
需要澄清的是,這并不意味著量子計算機能“瞬間試遍所有答案”并直接挑出正確的那個。如果只是簡單地攤開所有可能性,最終觀測時,你依然只會隨機得到一個毫無意義的候選結果。量子加速的真正靈魂在于精心設計的干涉。通過相消干涉(Destructive Interference),大多數(shù)錯誤路徑的相位會互相抵消,導致終點處的概率幅幾乎為零;通過相長干涉(Constructive Interference),那些靠近“正確答案”的路徑則會互相加強(借用路徑積分的說法,這相當于滿足“平穩(wěn)相位”的經(jīng)典路徑會脫穎而出),從而大幅提升最終觀測到正確結果的概率。
而量子計算機這個概念的早期倡導者,正是發(fā)明了路徑積分的物理學家理查德·費曼。
1994 年,數(shù)學家彼得·肖爾(Peter Shor)找到了這樣一種能發(fā)揮干涉特性的算法(Shor 算法)。理論上,這個算法能讓量子計算機在多項式時間內高效分解大整數(shù)和求解離散對數(shù),而它們正是RSA系統(tǒng)和橢圓曲線密碼系統(tǒng)賴以構建安全防線的數(shù)學基石。
大名鼎鼎的比特幣,所使用的就是橢圓曲線數(shù)字簽名算法(ECDSA)。或者更具體點說,該算法依賴于下面這個看起來平平無奇、簡簡單單的三次代數(shù)方程所定義的曲線:
y 2 = x 3 + 7
在密碼學標準中,這條曲線被稱為secp256k1。
我們也不是在連續(xù)的實數(shù)域上研究這條曲線,而是在一個有限域(finite field)上運算,具體來說,是對一個極大的素數(shù)取模(modulo):
=2256-232?977。
雖然在傳統(tǒng)的幾何圖像中,橢圓曲線上點之間的加法通常可以通過直觀的“畫切線找交點”來解釋,但在密碼學使用的有限域里,圖形失去了連續(xù)性,因此我們必須依靠代數(shù)公式來重新定義加法規(guī)則。
有限域上的這些點與這套代數(shù)加法規(guī)則,共同構成了一個阿貝爾群(Abelian Group),為后續(xù)加密運算提供了數(shù)學基礎。
Secp256k1標準指定一個基點(Base Point) G 。私鑰是一個整數(shù),公鑰是點? G ,即將基點自己加自己次。
因為這里是加法群,所以所謂“乘法”,其實是群元素重復相加的意思。不致混淆的情況下,也可以表示成 G ○ G ○ G ○ G ○ G ……○ G = G 。這樣仿指數(shù)的表示,就有了離散對數(shù)的概念。
已知公鑰P和基點 G ,要求解使得P = ? G 。這就是橢圓曲線密碼,尤其是ECDSA簽名方案的安全基礎:橢圓曲線離散對數(shù)問題(Elliptic Curve Discrete Logarithm Problem)。
目前最有效的攻擊方法(如Pollard's rho算法)的復雜度大約是![]()
(這里n是加法群的階,其數(shù)值與有限域的大素數(shù)非常接近)。對secp256k1,這意味著需要約√2256=2128次運算。即使動用全球的算力,在宇宙毀滅前也幾乎無法解出這個。
所以稱secp256k1具有128位安全性。這里的“xx位安全性”是密碼學中的一個衡量標準,用來描述破解某個加密系統(tǒng)所需的計算強度。它并不是指密鑰長度本身,而是指攻擊者需要嘗試的可能性數(shù)量級。
![]()
OpenAI前段時間推出了ChatGPT Images 2.0,宣稱它是具備思考能力的圖像模型,可以理解人類的需求。筆者試用它生成講解secp256k1的圖片。整體上不錯,但第2部分把R和-R標反了;第6部分把P+Q=(215,68)錯算成(60,139),最后還有一個莫名其妙的二維碼(編者替你們試過了,掃不開)。
我們離“量子末日”有多遠?
需要注意的是,上面所有的討論都還停留在理論上。實際上,現(xiàn)在公開披露的最強量子計算機所擁有的物理量子比特的數(shù)目,還沒有過萬(邏輯量子比特和物理量子比特之間有很大的區(qū)別,但因為和本文主旨關系不大,按下不表)。也就是說,現(xiàn)在根本制造不出能夠破解離散對數(shù)加密方法的量子電路。
或許有讀者會認為,既然八字還沒一撇,那擔心量子末日不就是杞人憂天嗎?“量子計算威脅動輒2048位的RSA密碼體系?現(xiàn)在它連32位小整數(shù)都分解不了!”
這種批評忽略了量子計算的核心難點——量子糾錯。量子計算機在實際運行時需要大量的冗余資源來進行糾錯,這使得目前的實驗機無法直接展示大規(guī)模分解。
換句話說,小整數(shù)分解紀錄本身并不是判斷風險的可靠指標。真正關鍵的是量子糾錯、邏輯門保真度和可擴展架構;一旦這些條件成熟,從“玩具”規(guī)模走向密碼學規(guī)模的距離會比直覺上更短。實際上,根據(jù)一些研究估算(下圖),一旦量子計算機能真正基于容錯架構分解 32 位整數(shù),我們就已經(jīng)非常接近量子末日了。
所以必須未雨綢繆,不能等到量子計算機達成“大整數(shù)分解紀錄”才警覺,那時已經(jīng)太晚。
![]()
當量子計算機能夠分解一個32位整數(shù)時,它就非常非常接近于分解一個 2048 位整數(shù)了。| 圖源:Craig Gidney
谷歌建議,業(yè)界需要在2029年前就做好應對量子末日的準備,全面向后量子密碼學(PQC)過渡。這意味著需要引入格問題(Lattice problems)、哈希函數(shù)問題、多變量多項式等全新的數(shù)學基礎,構建出足以抵御量子攻擊的密碼協(xié)議。
用紙牌游戲抵御量子攻擊
眼下,我們甚至可以借助一個非常簡單的紙牌游戲,來“抵御”量子攻擊。
設想有三位玩家:小明、小紅、一個高度理性的竊聽者。有一副包含7張不同紙牌(例如編號為0到6)的牌組。牌被隨機分發(fā)給三人,小明和小紅各拿到3張牌,竊聽者拿到1張牌。
現(xiàn)在,小明和小紅只能“公開交流”,竊聽者能聽到他們說的每一句話。游戲目標是,交流結束后小明和小紅必須完全知道對方手里拿的是哪3張牌;與此同時,竊聽者除了自己那張牌之外,不能確切知道任何一張?zhí)囟埮凭烤故窃谛∶鬟€是小紅手里。
乍一看,這似乎是個悖論:你要在一個竊聽者全程監(jiān)聽的房間里,把你的秘密告訴同伴,并且不能使用預先商定好的密碼。
如果小明說得太具體(例如:“我的牌是0, 1, 3”),小紅確實知道了,但竊聽者也知道了,保密性失敗。
如果小明說得太模糊(例如:“我的牌里沒有6”),竊聽者猜不透,但小紅也無法確切推斷出小明的完整手牌,有效性失敗。
感興趣的朋友可以自己思考一下小明的必勝策略。
解決這個問題的最經(jīng)典方法是利用組合數(shù)學中的法諾平面(Fano Plane)。
假設小明的真實手牌是 {0, 1, 3},小紅的手牌是 {2, 5, 6},竊聽者的手牌是{4}。
小明的解法是:不直接報出自己的牌,而是公開大聲宣布7種可能的手牌組合:{0, 1, 3}、{1, 2, 4}、{2, 3, 5}、{3, 4, 6}、{4, 5, 0}、{5, 6, 1}、{6, 0, 2},并聲明:“我的真實手牌是這7個組合中的一個。”
這7個組合是按照特定數(shù)學規(guī)律生成的,正好構成了法諾平面的7條線,它們有一個奇妙的性質:任意兩個集合之間恰好有1個數(shù)字相同。
![]()
法諾平面,圖上的每個點代表1張牌,每條經(jīng)過3個點的線(含中間的圓圈)代表小明報出的1個組合。 | Wikipedia
讀者可以再思考一下小紅為何能從中推斷出小明的牌,以及竊聽者為什么就不行。
小紅聽到這7個組合后,看一眼自己的手牌 {2, 5, 6},知道小明手里絕對不可能有 2、5 或 6。于是她開始排除列表中的假組合:
{1, 2, 4} 包含2,排除;
{2, 3, 5} 包含2和5,排除;
{3, 4, 6} 包含6,排除;
{4, 5, 0} 包含5,排除;
{5, 6, 1} 包含5和6,排除;
{6, 0, 2} 包含6和2,排除。
小紅成功排除了6個錯誤答案,唯一剩下的就是 {0, 1, 3}。她完美知道了小明手中的牌!
從竊聽者的角度看,他手里只有一張牌 {4},只能排除那些包含4的組合。
{1, 2, 4} 包含4,排除;
{3, 4, 6} 包含4,排除;
{4, 5, 0} 包含4,排除。
還剩下 4 種可能性:{0, 1, 3}、{2, 3, 5}、{5, 6, 1}、{6, 0, 2}。
對竊聽者來說,這4個組合每一個都有可能是小明真實的牌。更絕的是,如果隨便挑一張不是4的牌(比如1),竊聽者會發(fā)現(xiàn):這張牌在其中2個組合里出現(xiàn),而在另外2個組合里沒出現(xiàn)。
這意味著,在竊聽者看來,牌1有50%的概率在小明手里,有50%的概率在小紅手里。他無法確定任何一張牌的確切歸屬!
在推斷出小明手牌后,小紅怎么做才能在不暴露秘密的前提下,讓小明也知道自己手里的牌?這個問題留給讀者思考。
那這個游戲有什么特殊意義嗎?
它最初來源于2000年莫斯科數(shù)學奧林匹克競賽的一道題目,后來被密碼學家和邏輯學家廣泛研究,因為它用一種極簡的方式揭示了,如何在沒有預先共享密鑰的情況下,通過公開信道實現(xiàn)絕對安全的信息交換。
由于雙方?jīng)]有事先約定任何密碼暗號,且交流過程中的每一句話都是完全公開的,這里的3+3+1(張牌)型游戲提供了一個安全通信協(xié)議的簡潔模型。
在密碼學界,這個模型的一般形式a+b+c有一個非常著名的專業(yè)名稱——俄羅斯紙牌問題(Russian Cards Problem)。它屬于安全多方計算(SMPC)和無條件安全密鑰協(xié)商(Secret Key Agreement)的范疇。利用有限幾何(如法諾平面)來設計這種協(xié)議,是現(xiàn)代密碼學極其優(yōu)美的一個分支。在3+3+1的情形下,此時的有限射影平面恰好是最基本的法諾平面。
這個模型最為強大的一點是,它對Shor算法絕對免疫!甚至這種免疫的本質,和我們之前提及的PQC也有所不同。
Shor算法破解的是“計算復雜性”,像 RSA 和 ECC,它們把秘密藏在一個極難的數(shù)學問題里。只要算力足夠大(比如使用經(jīng)典計算機進行暴力窮舉),或者找到了巧妙的算法(Shor算法),密碼防線就會徹底瓦解。
但是俄羅斯紙牌則具備“信息論安全(Information-Theoretic Security)”,或所謂的香農(nóng)安全。在游戲中,竊聽者解不出答案,不是因為他的算力不夠,而是因為缺少推導答案所需的信息。對竊聽者而言,所有可能情況的概率完全一致。這就好比我扔了一個硬幣捂住,你就是用全宇宙的量子計算機算,也算不出是正是反。
信息論安全意味著,攻擊者即便擁有無限的計算能力,也無法獲得足夠的信息來破解加密。
當然,一個如此強大的模型至今未得到實際應用,也說明它本身存在很大的缺陷。如果要把它變成日常上網(wǎng)用的“公鑰加密方案”,會遇到一個現(xiàn)實阻礙:它需要預先分配相關的物理實體(如游戲里的紙牌)。
要想在開放網(wǎng)絡中隨時隨地分發(fā)公鑰,密碼學家們依然得回到“計算復雜性”的思路上,去尋找那些連量子計算機也難以攻破的數(shù)學難題。
在這個領域,基于糾錯碼的 McEliece 加密系統(tǒng)是一個極具代表性的先驅。它的核心思想是利用復雜的“糾錯碼”,在信息中混入隨機“噪音”。對于沒有私鑰的攻擊者,要在這種特定的數(shù)學結構中剔除噪音、還原信息,即使是擁有 Shor 算法的量子計算機也會陷入泥潭。
McEliece 系統(tǒng)自 1978 年提出以來,歷經(jīng)四十多年的檢驗依然堅不可摧。但它仍有一個顯著缺點:公鑰開銷太大了。相比只要幾十字節(jié)的橢圓曲線密碼,McEliece 的公鑰動輒高達數(shù)百 KB 甚至上 MB,是網(wǎng)絡帶寬難以承受之重。
這也是為什么在“量子末日”倒計時的滴答聲中,標準博弈與工程優(yōu)化從未停歇。密碼學的世界里,安全與效率始終是一對艱難的權衡。
參考來源
[1] Safeguarding cryptocurrency by disclosing quantum vulnerabilities responsibly, https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/
[2] Securing Elliptic Curve Cryptocurrencies against Quantum Vulnerabilities: Resource Estimates and Mitigations
[3] Craig Gidney’s Why haven’t quantum computers factored 21 yet?https://algassert.com/post/2500
[4] Slide 19 of Adam Zalcman’s RWPQC 2026 talkhttps://westerbaan.name/~bas/rwpqc2026/adam.pdf
[5] Sam Jaques’ PQCrypto 2025 talkhttps://www.youtube.com/watch?v=nJxENYdsB6c
[6] A colouring protocol for the generalized Russian cards problem,https://arxiv.org/abs/1207.5216
來源:返樸
編輯:LYang
轉載內容僅代表作者觀點
不代表中科院物理所立場
如需轉載請聯(lián)系原公眾號
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.