Google藏起来的Shor优化,被法国人两个月破解了!
量子破解倒计时:Google 10倍优化被保密,法国破解,业余选手刷新纪录,2029年迁移死线
一万个量子比特就够了:中性原子正在改写游戏规则
本文来自《Justin Drake 谈中性原子、量子密码分析、谷歌 2029,以及 ZKProof.org 密码学家》
Justin Drake 是以太坊基金会研究员,长期关注量子计算对密码学的实际威胁。他与Google Quantum AI团队合作的研究显示,破解比特币所用的椭圆曲线密码,可能只需要不到50万个物理量子比特。他判断2032年前出现可破解密码的量子计算机的概率至少10%,认为现在就该开始准备迁移。
本文基于Google 2026年3月的里程碑成果和Oratomic同期突破,分析Shor算法优化10倍、中性原子路线将物理量子比特需求压至一万的关键进展,结合Justin Drake在ZKProof.org的演讲,给出2032年q-day概率50%的判断,并介绍以太坊2029年迁移计划及两个百万美元悬赏。
真正让人后背发凉的,不是机器,是那个算法
很多人聊起量子计算,第一反应就是“算得快”。好像原来算一道题要一万年,现在只要一秒钟,那密码肯定就完蛋了。
但其实这事儿没那么简单。如果只是算得快,比如快一百倍、一千倍,甚至一万倍,那密码学家还能顶一顶。大不了把密码变长一点,原来1024位的,换成2048位,再不行就4096位。传统计算机算起来是指数级变难,你每加一位,它要付出的代价就往上涨一大截。
真正让整个密码学界从1994年开始就睡不着觉的,是一个叫Shor算法的东西。这个算法不是让电脑跑得更快,而是换了一种完全不同的思路去拆锁。原来的电脑拆RSA密码,就像拿一根牙签去挖一座山。理论上只要你有无限的时间和耐心,确实能把山挖平。但现实里没人有那个时间。
Shor算法干的事情,相当于直接在山底下埋了炸药,一按按钮,山就没了。它把那种“几乎不可能完成”的数学问题,硬生生变成了“只要机器够大就能搞定”的工程问题。这个转变太要命了。
换句话说,如果没有Shor算法,就算量子计算机再厉害,也就是个超级计算器,对密码基本没威胁。但有了这个算法,整个游戏规则就变了。密码学家面对的不再是一个“算得快”的对手,而是一个能把解题难度直接从指数级拽下来的降维打击工具。
最吓人的不是突破本身,而是突破的速度越来越快
很多人脑子里对量子计算的印象,还停留在“那得几十年以后吧”。这个想法本身没问题,问题在于,这几十年的距离正在被疯狂压缩。
大概十年前,有人算过一笔账,说想跑一次Shor算法去破解2048位的RSA密码,大概需要十亿个物理量子比特。十亿是什么概念?当时最先进的量子计算机,只有几十个比特,还经常出错。所以大家听完都很放心,该干嘛干嘛,觉得这事儿跟自己这辈子没关系。
后来又过了一阵,有人把数字改成了一千万。再后来变成了一百万。到了最近,一些最新的研究开始提出,也许只需要一万个某种特定类型的量子比特就够了。一万,跟十亿比起来,整整差了五个数量级。这相当于你本来以为要造一艘航空母舰才能过河,结果现在告诉你,其实一艘快艇就够了。
这里面最需要注意的不是那个具体数字,而是这个数字下降的速度。十四年时间,从十亿降到一万。如果把这个速度套到汽车上,就相当于一百年前你开车从北京到上海要一个月,现在只要一个小时。这种压缩太夸张了。
最危险的心态,就是还拿着十年前的数字来判断今天。很多人嘴上说“还早”,脑子里的那张地图已经过期很久了。而科技史上所有的颠覆,几乎都是在这种“大家觉得还早”的时候悄悄完成的。
就在最近,一个更炸裂的消息出来了。2026年3月31日,Google量子AI团队发表了一项关于Shor算法的重要成果。技术上说,这篇论文是一颗炸弹——它比之前的业界最好水平提升了整整10倍。而且为了让区块链圈子意识到问题的严重性,这些优化专门跑在了secp256k1这条椭圆曲线上,也就是比特币和以太坊签名用的那条曲线。
但最惊人的部分不是技术,而是社会学层面的。Google没有按标准学术流程公开这些优化,而是把它们藏了起来,用一个零知识证明来证明“我确实找到了更好的方法”,但具体怎么做,不告诉你。他们的官方博客提到,这件事“跟美国政府沟通过”。用零知识证明来做学术审查,历史第一次。
有意思的是,这种保密行为马上引发了“反效果”。法国量子专家André Schrottenloher在两个月后独立破解了那个核心优化,论文今天正式挂到了arXiv上。更巧的是,同一天Google发表论文的时候,一家叫Oratomic的初创公司也同步发表了一篇论文,宣称在Google逻辑优化的基础上,结合中性原子的物理优化,只需要一万个物理量子比特就能跑完secp256k1的Shor算法。那个数字低到让人头皮发麻。
与此同时,一个名叫ecdsa[.]fail的协作挑战赛火速上线,几个小时内就刷新了Shor的世界纪录。几十个微小的叠加优化正在不断涌现,到本文写作时,已经比Google的方案又优化了8.4%。更夸张的是,一群业余爱好者,甚至一个 teenager,靠着AI自动研究工具也在不断找到新优化。入门的门槛低得让人不敢相信。
量子圈开始出现一个熟悉的“安静”现象
以前搞量子计算的人,特别喜欢发论文。今天优化了一个纠错方法,明天发现了一个新的物理实现路径,恨不得全世界都知道。这很正常,学术界本来就是这样,谁先发出来谁就拿 credit。
但最近几年,情况变了。越来越多的关键优化和突破,根本不公开了。有些论文你看了等于没看,它告诉你“我确实找到了一种更好的方法”,但具体怎么做到的,不告诉你。还有一些更夸张的,直接用零知识证明来写论文。零知识证明这东西本来是用来保护隐私的,结果现在被用来保护技术机密,意思就是“我能证明我确实找到了方法,但我就是不说方法是什么”。
Google这次的操作就是一个活生生的例子。他们的优化方案被保密了,论文里只放了一个零知识证明。Google的团队在专业层面无可挑剔,但这种保密行为本身就说明了一件事:有人开始慌了。
更值得玩味的是,Google和Oratomic的论文里,一个字都没提这些成果对“q-day”(量子计算机第一次破解生产环境密码的那一天)意味着什么。没有时间线。零。什么都没有。这很奇怪,因为白帽量子密码分析的唯一意义,就是帮大家估算q-day,帮公众做正确决策。
Justin Drake(那篇Google论文的合作者之一)在ZKProof.org的密码学会议上做了一个30分钟的演讲,试图部分填补这个沉默。根据他掌握的所有信息,包括一些吓人的非公开信息,他现在判断:2032年前出现q-day的概率是50%。2030年前是10%。
美国政府的内部目标是2035年——这个日期来自NSA,后来被NIST采纳,意思是到了那一年,美国政府各部门将不被允许使用量子脆弱的密码。但Justin的看法是,回过头来看,这个日期就是个笑话,NIST迟早要被逼着往前挪好几年。
量子比特这个“熊孩子”,是所有人最头疼的问题
听到这里你可能会问,既然算法已经有了,数字也在往下掉,那为什么密码还没被破解?现实世界有一个特别烦人的问题,叫错误率。
量子比特这个东西,娇气到离谱。温度稍微变一点点,完蛋。震动稍微大一点点,完蛋。电磁干扰稍微强一点点,还是完蛋。普通电脑里一个比特错了就错了,没什么大不了的,大不了重新传一次。但在量子计算里,一个关键步骤出错,整个计算可能直接报废,前面算的全白费。
所以量子计算这个行业,过去十几年基本就干了一件事:纠错。纠错,还是纠错。就好像你造了一台发动机,但这台发动机每转三圈就自己卡住一次,你得在旁边不停拿锤子敲一下才能继续转。那你当然不是去研究怎么让发动机转得更快,而是先研究怎么让它别卡住。
过去大家连纠错的门槛都摸不到,因为错误率高得像一个漏水的筛子,你补了这个洞,那个洞又冒出来。但最近几年,一个非常重要的变化出现了。多个主流的技术路线都开始接近一个叫做“纠错阈值”的东西。什么意思呢?简单说,以前你是筛子,水漏得比接得快。现在你开始能补洞了,水漏的速度终于慢下来了。
一旦跨过这个门槛,后面的提升速度会远超很多人的想象。因为纠错问题一旦被解决,剩下的就是堆数量。而数量这个东西,在工程上是可以靠钱和时间砸出来的。
中性原子这条路,为什么突然从角落走到了舞台中央
过去十几年,量子计算的明星一直是超导路线。谷歌和IBM这些大公司基本都在押这个方向,投了很多钱,也出了很多成果。超导路线的优点是跟现有的芯片制造工艺比较兼容,缺点也很明显,就是量子比特的位置是焊死的。
焊死是什么意思呢?就是每一个量子比特只能跟它旁边的几个邻居聊天。你想让距离远的两个比特产生联系,就得通过中间一大堆比特做跳板,过程又慢又容易出错。这有点像你参加一个聚会,每个人都固定坐在自己的椅子上,你想跟对面的人说话,只能让旁边的人一个一个传过去。
最近越来越多人开始关注另一条路,叫中性原子路线。这条路最大的优点就两个字:灵活。中性原子量子比特不是焊死的,它们像一群自由活动的人,你想跟谁说话,直接把你的椅子挪过去就行了。这种自由度在纠错上带来了巨大的优势。
过去用超导路线做纠错,可能要用一千个物理量子比特才能换来一个可靠的逻辑量子比特。效率非常低。而中性原子路线,因为可以灵活重组,有机会把这个比例压缩到十比一甚至更低。一千比一和十比一,差了一百倍。这一百倍意味着什么?意味着别人需要一整个数据中心才能干的事,你可能一台机器就够了。别人需要几十台量子计算机联网才能跑的任务,你可能一个处理器就搞定了。
工程难度下降一个维度,时间表就会往前猛跳一大截。这就是为什么最近这个方向突然变得这么热。Oratomic的那篇论文虽然听起来疯狂,但Justin Drake花了几百个小时深入研究了中性原子技术,看了所有能找到的YouTube视频,跟一堆专家聊过之后,得出的结论是:这项技术是真的,非常真。连Google最近都决定开始搞中性原子实验室了,这对一直只押注超导路线的他们来说,是一个明显的转向。如果你关心q-day,中性原子是你必须关注的方向。
谷歌的一个动作,暴露了行业内真正的焦虑
如果要选一个最了解超导路线的公司,那一定是谷歌。谷歌在这个方向上的投入和技术积累,说是全球第一梯队绝不为过。所以当谷歌开始建立中性原子团队的时候,整个行业都注意到了。
很多人第一反应是,谷歌是不是要放弃超导了?其实不是。真正的信号是,连最懂超导的一群人,也开始认真研究另一条路了。这意味着什么?意味着第二条路已经成长到了一个无法忽视的程度。
科技史上有一个规律。当一个行业的龙头公司开始同时下注两条甚至三条技术路线的时候,往往不是因为钱太多了没处花,而是因为单一路线的风险已经开始变大。你赌一条路,万一这条路走到一半发现墙太高翻不过去,那整个公司就可能被甩在后面。大公司最大的优势从来不是判断未来,而是避免错过未来。
谷歌这种体量的公司,养着几十个团队同时做不同方向的探索是常态。但当它开始在一个原本不是主赛道的方向上,专门成立一个团队,投入正规资源的时候,这个动作本身就说明了问题。你可以不相信某个专家的预测,但你不能忽视一家每年烧几百亿做研发的公司,在用真金白银投票。
日历上那几年,为什么反复出现
以前聊量子计算,大家喜欢说“几十年后”。这个说法特别安全,因为几十年后谁都说不准,说了等于没说。但最近越来越多机构开始给出具体的年份,2029、2032,这些数字反复出现在各种报告和路线图里。
更值得注意的是,一些动作已经在提前做了。谷歌在推后量子密码的迁移,Cloudflare也在做同样的事,连区块链行业都开始讨论后量子升级。这些组织有一个共同的特点,它们不需要等到量子计算机真正造出来,只需要认为成功的概率已经足够高,就必须提前动起来。
这有点像海啸预警。预警不是等你看到海浪了才开始跑,而是在地震发生的那一刻就立刻往高处走。密码迁移本身就是一个巨大的工程,全球所有使用RSA和椭圆曲线的系统,从网站到银行到军事通信,全部要换掉。这个工程做下来,少说也要五到十年。如果等到量子计算机已经摆在实验室里了才开始准备,那黄花菜都凉了。
所以那些日历上的年份,不是量子计算机诞生的年份,而是这些组织给自己定下的死线。
Justin Drake认为比较合理的迁移目标是2029年,大概三年半以后。
巧合的是,2029正好是Google、Cloudflare和以太坊基金会选定的年份。他现在大部分时间都花在帮以太坊往后量子密码迁移上,这是一个叫“lean Ethereum”的大工程的一部分。共识层的BLS签名、数据层的KZG承诺、执行层的ECDSA签名,全要拆掉换掉。方案是基于哈希的密码学,具体工具叫leanVM,一个极小化的zkVM,专门为了端到端形式化验证和最大安全性而设计的。
如果你也想帮忙,有两个百万美元的悬赏。第一个叫Proximity Prize,解决编码理论里一个长期悬而未决的数学猜想,改进哈希类SNARKs,就能拿走一百万。第二个叫Poseidon Initiative,悬赏一百万美金,只要能破解Poseidon这个SNARK友好型哈希函数就行。
最终结论
整个故事最核心的一点,其实简单到离谱。过去大家讨论量子计算,争论的是“它会不会成功”。现在越来越多的人开始讨论“它什么时候成功”。看起来只是换了一个问题,但这两个问题的含义完全不一样。前一个问题讨论的是可能性,后一个问题讨论的是时间表。当一个行业开始从“会不会”转向“何时”,往往意味着事情已经离实验室越来越远,离现实越来越近。
量子计算距离真正破解现代密码体系,当然还有很多工程难题要解决。这一点没人否认。但过去短短几个月里,我们看到了Google的10倍优化被零知识证明藏起来,法国专家两个月后独立破解,一群业余爱好者甚至一个teenager用AI找到了更多优化,Oratomic提出了一万个物理量子比特就能搞定secp256k1的激进方案,ecdsa[.]fail挑战赛几个小时就刷新了世界纪录。所有这些事不是未来才会发生,它们已经发生了。
不用恐慌,但也不要再睡了。2029年,三年半以后,可能就是那条线。至于更晚还是更早,没人知道。唯一可以确定的是,继续把量子威胁当成科幻小说的人,正在用昨天的地图寻找明天的世界。