量子计算对加密技术来说,就像薛定谔的猫——它既是迫在眉睫的威胁,又是"关我什么事"的遥远概念。但现在,有人准备用真金白银赌这只猫什么时候跳出来。
5000美元的赌局,赌的是2035年前会不会出现能破解现有加密体系的量子计算机。下注双方都不是无名之辈:一位是约翰霍普金斯大学计算机科学副教授马修·格林(Matthew Green),另一位是前谷歌密码学工程师菲利波·瓦尔索达(Filippo Valsorda)。
这场赌局的导火索,是谷歌上周扔下的一枚技术炸弹。
谷歌把资源需求砍了20倍
谷歌研究人员声称,他们重新估算了运行肖尔算法(Shor's algorithm)所需的量子比特数量。这个算法是量子计算机破解椭圆曲线加密(ECC)的数学基础。新估算结果是:比之前的估计少了约20倍。
别急着换密码。20倍的缩减不等于明天就能破解你的银行账号。椭圆曲线加密的私钥默认长度是256位,而量子计算机至今没能成功分解数字35——没错,就是小学乘法表里的那个35,只占6位。
但方向比绝对值更重要。新西兰奥克兰大学计算机科学教授彼得·古特曼(Peter Gutmann)去年还在嘲讽后量子密码学(PQC)是杞人忧天,他的论据正是量子计算机连35都搞不定。谷歌的新数据没有直接反驳这一点,但把"远在天边"的时间线往现在拉近了一大截。
美国国家标准与技术研究院(NIST)推动PQC标准化已经整整十年。他们的目标很明确:2035年前淘汰所有易受量子攻击的算法。安全厂商们天天喊"狼来了",但没人说得准这匹狼到底哪年下山。
瓦尔索达在博客文章里引用了得克萨斯大学奥斯汀分校计算机科学系主任斯科特·阿伦森(Scott Aaronson)的观点——后者是量子计算领域的顶尖专家之一。瓦尔索达的结论很直白:"十年后预测可能被证明是错的,但现在它们也可能很快成真,这个风险已经不可接受了。"
格林在Bluesky上的回复更刺激:"我认为这是个不错的预防性分析,但我愿意赌一大笔钱,2029年甚至2035年前不会出现有实际威胁的量子计算机。"
于是两人把"一大笔钱"具象化了:5000美元,输家捐给赢家指定的慈善机构。
赌局背后:两种世界观的碰撞
格林和瓦尔索达的分歧,本质上是对"不确定性"该怎么算账。
格林代表的是技术乐观主义——或者说,技术审慎主义。他看的是工程现实:量子纠错至今是个未解难题,物理量子比特的噪音和错误率让大规模计算举步维艰。从6位到256位,中间隔着几个数量级的鸿沟,不是"20倍优化"能填平的。
瓦尔索达代表的是风险厌恶型思维。他的逻辑是:当灾难性后果("现在截获、未来解密"的加密数据被批量破解)遇上不确定的时间线,保守策略的代价远低于冒险策略。用他的话讽刺古特曼的观点:"认为量子计算威胁被夸大,这种看法本身就很肤浅。"
两人都没有否认对方的事实基础。格林没说量子计算机永远造不出来,瓦尔索达也没说2035年一定完蛋。分歧在于概率权重怎么分配——以及,当概率无法精确计算时,我们该往哪个方向偏。
这种分歧在密码学界并不新鲜。2015年NIST启动PQC标准化时,就有声音质疑这是在为"可能永远不会发生的攻击"浪费资源。十年过去,质疑者依然存在,但标准已经出炉,迁移指南正在编写,政府合同开始要求PQC合规。
苏黎世联邦理工学院(ETH Zurich)周四发表的最新量子研究,又给这场争论添了把柴。具体细节尚未完全公开,但方向与谷歌一致:量子计算的工程障碍正在被逐个击破,只是速度难以预测。
迁移成本:被低估的冰山
真正让这场赌局有意思的,不是技术可行性,而是迁移的现实困境。
全球互联网基础设施建立在RSA和椭圆曲线加密之上。从浏览器到银行系统,从物联网设备到卫星通信,这些算法像血管一样遍布数字经济的每个角落。替换它们不是"升级软件"那么简单——很多嵌入式设备的固件更新机制本身就不存在,或者存在但没人敢用。
瓦尔索达在谷歌工作期间参与过多个加密项目,他太清楚"技术债务"长什么样。TLS 1.3标准化花了八年,OpenSSL的心脏出血漏洞(Heartbleed)暴露后,仍有大量服务器数年未打补丁。PQC迁移的规模是前者的十倍不止,时间窗口却可能更短。
NIST的2035年 deadline 听起来遥远,但企业级系统的规划周期往往以十年计。银行核心系统的加密模块更换,可能需要先完成三年的合规审查、五年的供应商谈判、再加两年的并行运行验证。2035年不是起点,是终点。
格林的赌注里隐含着一个判断:即使量子计算机真的在2035年前出现,"有实际威胁"和"能大规模破解"之间还有距离。第一台能跑肖尔算法的机器,大概率是国家级实验室的镇馆之宝,不是用来批量解密HTTPS流量的。
这个判断有道理,但有个漏洞:加密数据的"保质期"问题。
情报机构几十年前就开始批量存储加密通信,赌的就是未来能解密。今天的商业机密、医疗记录、政府文件,如果被"现在截获、未来解密"的攻击模式盯上,2035年的量子计算机就能读取2025年的数据。这种"回溯性威胁"让迁移时间表变得紧迫——不是等到量子计算机出现才行动,而是要在那之前完成所有敏感数据的"量子安全"升级。
5000美元能买什么
回到赌局本身。5000美元对两位学者都不是小数目,但也不算伤筋动骨。这笔钱的真正价值,是作为"认知校准工具"——当观点差异被转化为可量化的承诺,人会更诚实地面对自己的置信度。
格林敢下注,说明他对"2035年前无威胁"的信心超过50%——但也没高到敢赌10万美元。瓦尔索达接受对赌,说明他认为风险足够真实,愿意用真金白银捍卫自己的判断。两人都没把话说死,这是科学家的体面,也是不确定性的诚实。
赌局的慈善捐赠条款是个有趣的设计。赢家指定的慈善机构会公开,这意味着输家的"错误"将以公益形式被记录。没有羞辱,但有痕迹。
密码学史上不乏类似的公开赌局。1999年,RSA安全公司悬赏破解DES加密,加拿大团队用了22小时15分钟拿走1万美元。2007年,密码学家丹尼尔·J·伯恩斯坦(Daniel J. Bernstein)与NIST就哈希函数安全性打赌,最终以技术演进超出双方预期而不了了之。
格林与瓦尔索达的赌局不同之处在于:它没有可验证的"破解事件"作为终点。2035年到了,如果量子计算机还没影,格林赢;如果出现了但没能实际破解ECC,谁赢?如果破解了但只限于实验室环境呢?
两人正在协商具体的判定标准。这个过程本身,可能比赌局结果更有价值——它迫使双方把模糊的"威胁"拆解成可测量的技术指标。
阿伦森在评论这场赌局时说,他倾向于瓦尔索达的立场,但不会参与下注——"因为我已经够忙了,不想还要监督一个为期十年的赌局执行"。这个回应很阿伦森:认同紧迫性,但拒绝被具体承诺绑架。
古特曼至今未对赌局表态。他的"35论"正在成为某种试金石:如果量子计算机在未来五年内分解了一个有意义的数字(比如100位以上),他的观点将被实质性削弱;如果十年内仍卡在低位数,瓦尔索达一方的压力会增大。
谷歌的20倍优化是第一步。ETH Zurich的后续研究会提供更多数据点。赌局的真正裁判不是格林或瓦尔索达,而是每年发表的量子计算论文、每代新量子处理器的比特数和纠错率、每个试图用肖尔算法分解更大数字的实验。
5000美元买不了量子计算机的一分钟机时,但可能买到了密码学界对"不确定性"的一次集体审视。当2035年到来时,无论谁赢,这笔钱都会流向慈善机构——而全球互联网的安全架构,将在这场争论的推动下,缓慢但确定地转向后量子时代。
你的加密数据,愿意押注在哪一边?
热门跟贴