量子末日警钟敲响：谷歌揭示破解主流加密货币的理论路径

2026年3月31日，谷歌发布了一份57页的白皮书，其中揭示了一个令人不安的事实：量子计算机在理论上已经具备了攻破当前主流加密货币（如比特币和以太坊）的潜力，且所需资源比此前的估算低了一个数量级——仅需约50万个物理量子比特，即可在几分钟内解决256位椭圆曲线离散对数问题。

这份研究并非天马行空的猜测，而是基于密码学和量子计算的深度融合。谷歌研究人员没有直接展示完整的攻击细节，而是采用了一种被称为‘零知识证明（Zero-Knowledge Proof，ZKP）’的方法，让外界可以在不暴露具体算法的前提下，验证其对量子计算资源消耗的估算。

研究人员使用了一个名为“Clow-qubit”的量子电路模型，表明他们拥有一种更高效的实现Shor算法的方式。这种基于数学和算法的证明，表明未来一旦量子计算机具备容错能力，破解现行加密体系可能远比想象中更加迅速。

零知识证明概念最早由Shafi Goldwasser、Silvio Micali和Charles Rackoff在1985年提出，后由Avi Wigderson与Oded Goldreich、Silvio Micali等人进一步发展。这一方法使得信息可以在不泄露秘密的前提下被确认，广泛应用于区块链、身份验证等安全领域。

简单来说，零知识证明是：你可以向别人证明你满足某个条件或掌握某个信息，但在证明过程中，你不会泄露任何具体的数据。比如，你可以向朋友证明你手中有两张不同颜色的球，但不需要告诉他哪一个是红色，哪一个是绿色。

这一方法的基石，是密码学中的概率与交互逻辑。通过多次重复的‘试验’，即便真正掌握了信息的人也只能通过真实参与者的行为来建立信任，而无法通过简单猜测完成。换句话说，它是一种让‘真相’在概率中显现的精妙技巧。

Google Research的研究人员发布的零知识证明。|图源：Google Research

虽然当前最强大的公开量子计算机所拥有的物理量子比特仍然远未达到破解需求的门槛，但科学研究早已表明，量子纠错能力是实现大规模破解的关键。根据部分研究估算，一旦量子计算机能够稳定分解32位整数，就将非常接近破解2048位的RSA或256位的ECC。

因此，谷歌建议，密码学界必须未雨绸缪，在2029年前全面向‘后量子密码学（PQC）’过渡。这意味着必须引入全新的数学基础，如格问题（Lattice problems）、哈希函数问题、多变量多项式问题等，以构建能够抵御量子攻击的加密协议。

从密码学角度而言，ECC当前依赖的是‘椭圆曲线离散对数问题’，即已知公钥P和基于有限域的基点G，要求解私钥k使得P = k·G。虽然目前最有效的攻击方式（如Pollard's rho算法）仍需一个非常可观的计算量——约2^128次操作，但量子计算机一旦实现容错架构，这一障碍将被迅速打破。

值得注意的是，当前密码学界仍在探索‘信息论安全（Information-Theoretic Security）’的加密方法，以确保即便量子计算机拥有无限算力，也无法破解加密系统。例如，基于纠错码的McEliece加密系统就具备这样的特性，但其缺点是公钥体积庞大，不太适合日常网络使用的高带宽依赖场景。

量子末日（Q-Day）不仅是一场科技危机，更是对全球数字安全体系的一次重大考验。即便我们尚未迎来这个时刻，也必须提前布局，以避免未来因技术变革而陷入突发性的安全漏洞。

当量子计算机能够分解一个32位整数时，它就非常非常接近于分解一个2048位整数了。|图源：Craig Gidney