两个研究团队宣布,已显著降低破解主流互联网加密技术所需的量子比特数量与计算时间引言:悬顶30年的量子威胁,终于照进现实
大约30年前,数学家彼得·肖尔用一个算法,将量子力学这个小众物理课题变成了撼动全球数字安全的炸弹。
他证明,量子计算机能快速解决两个经典计算机需要数十亿年才能破解的数学难题——而这两个难题,恰恰是当时新兴数字世界的安全基石。如今,几乎所有网站、邮箱和银行账户的可信度,都建立在“这两个问题不可解”的假设之上。肖尔算法,彻底推翻了这个假设。
但在过去30年里,肖尔算法始终只是“理论上的威胁”。物理学家最初估算,运行该算法需要一台拥有数十亿个量子比特的巨型量子计算机;近年来这个数字虽降至百万级,但仍远超现有量子计算机的能力——目前主流设备仅拥有数百个量子比特。
然而,两个独立研究团队的最新成果,大幅缩小了理论与现实的差距:加州理工学院的顶尖量子物理学家团队公布了一项设计,仅需数万个量子比特就能破解主流加密,并已成立公司着手建造这台机器;谷歌研究团队则宣布,其优化后的肖尔算法实现效率,比此前最优方案提升了10倍。
尽管目前没有任何公司拥有能直接破解加密的硬件,但这些结果印证了许多量子物理学家的判断:强大的量子计算机可能只需数年就能问世,而非此前认为的数十年。“如果你关心隐私或有需要保密的信息,现在就该开始寻找替代方案了。”布里斯托尔大学数学物理学家尼古拉斯·布鲁克曼(未参与上述两项研究)表示。
这些成果不仅给负责守护数字基础设施的政策制定者和企业敲响了警钟,也标志着物理学家在探索量子世界的道路上迈出了关键一步。“我们真的能做到这件事。”加州理工物理学家、新成立公司Oratomic的首席执行官多列夫·布卢夫施泰因说。
两大技术趋势的碰撞:中性原子+新型纠错码
布卢夫施泰因和合作者玛德琳·凯恩去年夏天加入加州理工后,提出了一个简单的问题:能破解比特币钱包这类目标的最小量子计算机,需要多少量子比特?
要回答这个问题,他们必须预判量子计算领域两大核心趋势的交汇点。
趋势一:中性原子量子比特的崛起
过去十年,物理学家已能熟练地用激光束悬浮数十、数百乃至数千个中性原子,并任意排列它们的位置。
相比谷歌和IBM主推的超导电路量子比特(运算速度更快,但像传统晶体管一样固定在芯片上无法移动),中性原子量子比特拥有独一无二的优势:可自由移动。2023年,布卢夫施泰因和凯恩在哈佛大学物理学家米哈伊尔·卢金的实验室中,用280个中性原子运行了复杂的量子算法;不久后,加州理工的曼努埃尔·恩德雷斯团队创下了同时操控6100个中性原子的世界纪录。
趋势二:量子纠错码的效率革命
所有类型的量子比特都极易出错,可靠的量子计算必须依赖持续的纠错。长期以来,行业黄金标准是表面码:将量子比特排列成矩形网格,每个比特仅与相邻比特相连,用一整块物理量子比特存储1个“逻辑量子比特”(能稳定执行计算的虚拟量子比特)。
表面码可靠且技术成熟,但效率极低——生成1个逻辑量子比特需要数千个物理量子比特。
而近年来出现的量子低密度奇偶校验码(qLDPC),彻底改变了这一局面。这种纠错码的难点在于,需要让物理量子比特与阵列中远距离的比特相连,而非仅与邻居交互——而这恰好是中性原子量子比特的强项。作为交换,qLDPC码能在相同规模的物理比特阵列中,塞进多得多的逻辑量子比特。
于是,布卢夫施泰因和凯恩的问题变成了:如何将qLDPC码与中性原子技术完美结合,打造出最小的加密破解量子计算机?他们联合了qLDPC码专家徐谦、量子理论与机器学习专家罗伯特·黄,以及实验物理学家恩德雷斯,由量子纠错领域泰斗、加州理工资深理论物理学家约翰·普雷斯基尔担任顾问。
大突破:用4个原子造出1个逻辑量子比特
qLDPC码有多种形式,选择哪种通常需要权衡:有些码效率高(生成1个逻辑比特需要的物理比特少),有些码容错性强(能承受更多同时发生的错误)。
布鲁克曼将优化纠错码比作烹饪:“一点点恰到好处的调料,就能带来天翻地覆的变化。”团队知道,打造小型高性能量子计算机的关键,是找到同时兼顾效率与容错性的代码。徐谦锁定了一个极具潜力的基础方案,罗伯特·黄则负责进一步优化。
令人意外的是,黄和他的学生们借助了一款由数学家设计的大语言模型(LLM)来辅助开发。他们向模型输入qLDPC码的数学描述,让其自动生成优化方案。最终,LLM给出的代码实现了惊人的性能:
仅需4个物理原子就能生成1个逻辑量子比特(此前最优的qLDPC码需要12个)
能承受20-24次灾难性错误(此前最优方案仅能承受12次)
同时生成了高效的解码器(用于识别错误类型并制定纠错方案)
有了这套顶级的代码和解码器,团队进一步设计了完整的量子比特操控协议,并通过模拟验证了其运行肖尔算法的能力。“我们整合了许多技术,当所有环节都做对时,结果好得令人惊讶。”普雷斯基尔说。
模拟结果显示:
破解主流RSA加密:1万个原子需要约100年,10万个原子仅需3个月
破解应用更广泛的椭圆曲线加密(ECC):1万个原子需要约3年,2.6万个原子仅需几天
谷歌同步发力:算法效率再提10倍
就在加州理工团队发布论文的同一天,谷歌的克雷格·吉德尼团队也公布了一项重磅成果。
吉德尼团队多年来一直致力于优化肖尔算法的实现方式:2019年,他们证明用2000万个量子比特能在8小时内破解RSA;2025年,他们将所需量子比特数降至百万以内。
此次,他们专门针对ECC加密开发了全新的量子程序,效率比此前最优方案提升了至少10倍。据估算,一台拥有不到50万个量子比特的机器,就能在几分钟内破解绝大多数加密货币。
“椭圆曲线破解的时空成本降低10倍,意义极其重大。”普林斯顿物理学家、中性原子初创公司Logiqal首席执行官杰夫·汤普森说。
值得注意的是,这两项成果标志着量子计算研究进入了新阶段:谷歌首次使用零知识证明技术发布成果——只证明程序有效,不透露具体实现细节,防止竞争对手或恶意分子利用。
加密危机提前:量子安全迁移刻不容缓
量子计算的快速进展,让全球数字安全的迁移时间表大幅提前。
美国国家标准与技术研究院(NIST)已于2024年发布了能同时抵御经典和量子计算机攻击的新型加密标准,并计划在2035年前完成全国范围内的全面迁移。但许多研究者认为,这个时间表已经过于保守——谷歌近期宣布,目标在2029年前全面停止使用RSA和ECC加密。
“如果你还在犹豫何时启动后量子加密迁移,现在已经不能再等了。”汤普森强调,“就是现在。”
争议与展望:从NISQ时代到容错量子计算
对于Oratomic能否造出论文中描述的量子计算机,业内看法不一。
哈佛大学的卢金(中性原子初创公司QuEra的创始人)认为,加州理工团队的预测与行业普遍预期基本一致,但“资源估算中细节至关重要,必须仔细验证”。
也有研究者对团队的部分工程假设提出质疑。汤普森指出,加州理工团队对运算速度的假设“非常激进”:他们声称机器能每毫秒完成一次完整的纠错循环(包括检测错误、解读错误、修复错误、替换丢失的原子并准备下一轮),且需要连续保持这个速度数天甚至数周——这是目前任何团队都未实现的壮举。
“我希望先看到小规模的演示,比如用100或1000个量子比特,完成100万轮纠错。”威斯康星大学麦迪逊分校物理学家、Infleqtion公司首席科学家马克·萨夫曼说。
加州理工团队承认,他们的计划极具野心,整合所有技术需要巨大的工程努力,但他们不认为存在不可逾越的障碍。“我们只需要造出这些机器,看看它们是否真的能工作。”普雷斯基尔说。
如果任何团队成功实现了可运行肖尔算法的容错量子计算机,都将标志着含噪声中等规模量子(NISQ)时代的终结(该概念由普雷斯基尔于2018年提出)。
对于容错量子时代的首个应用,研究者们各有想法:黄希望先运行肖尔算法证明设备有效,然后用它加速机器学习;而大多数物理学家更感兴趣的是探索量子世界本身——模拟室温超导体、研究时空的量子本质等。
“和朋友们一起造出世界上第一台真正的量子计算机,还有比这更酷的人生目标吗?”论文发布前夕,兴奋的布卢夫施泰因在电话中说完这句话,便匆匆赶去庆祝了。
热门跟贴