量子计算机破解关键加密所需资源远超此前预期
两份独立发布的白皮书得出结论:构建一台能够破解最关键的密码系统之一——椭圆曲线加密——的实用规模量子计算机,所需资源远低于一两年前的预期。其中一项研究中,研究人员展示了利用中性原子作为可重配置的量子比特,它们可以自由相互访问。他们进一步表明,这种方法能让量子计算机在10天内破解256位椭圆曲线加密,且开销比先前估计低100倍。在第二篇论文中,某机构的研究人员展示了如何在不到9分钟内破解保护比特币及其他加密货币的椭圆曲线加密区块链,同时实现了20倍的资源缩减。
这两篇论文共同表明,实用规模的密码学相关量子计算正取得实质性进展。这些进步主要得益于物理学家和计算机科学家开发的新型量子架构,旨在创建即使在量子比特与环境相互作用产生错误时仍能正确运行的量子计算机。另一个关键驱动因素是越来越高效的算法,用以增强Shor算法——该算法证明量子计算能够在多项式时间(特别是立方时间)内破解椭圆曲线加密和RSA加密系统,远快于当前经典计算机所需的指数时间。
这两篇论文均未经过同行评审。
将原子捕获在“光镊”中
最受关注的论文采用了一种相对较新的方法来构建容错量子计算,可将破解椭圆曲线加密所需的物理量子比特数量减少100倍。与基于超导的更常见方法不同,研究人员用中性原子构建物理量子比特。通过使用激光冷却原子,该过程将单个原子捕获到称为“光镊”的高度聚焦光束中。每个光镊抓住一个原子。利用光学复用技术,研究人员可以制造出这些捕获原子的大型阵列。
这种方法的好处在于所有物理量子比特都能与其他所有物理量子比特相互作用。这种“非局域”通信与超导方法中的量子比特交互大不相同,在超导方法中量子比特被布置在二维网格上,只能与四个紧邻的量子比特交互。量子比特能够与远处的量子比特交互,使得错误纠正效率显著提高,因为非局域通信允许大幅增加故障检查的数量和全面性。
因此,研究人员的论文——《使用最少10,000个可重构原子量子比特实现Shor算法成为可能》——指出,一台量子计算机在10天内破解ECC-256所需的物理量子比特少于30,000个,效率比先前估计高出多个数量级。另一个独立研究团队去年已经展示可以构建超过6,000个量子比特的中性原子捕获阵列。结合高保真度大规模量子操作的进展,中性原子具有运行容错量子计算的潜力。
“虽然需要大量工作将这些进展整合到完整的设备中并将系统规模扩大到所需水平,但我们的分析表明,经过适当设计的中性原子架构可以支持Shor算法的密码学相关实现,”研究人员写道。“这一发现强调了持续努力将广泛部署的密码系统迁移到旨在抵御量子攻击的后量子标准的重要性。”
某机构关注加密货币群体
某机构研究人员发布的另一篇论文也展示了使用Shor算法破解ECC-256的进展,特别是针对secp256k1——支撑比特币及其他区块链密码学的椭圆曲线。研究人员表示,他们已经对Shor算法进行了改进,使得能够在不到10分钟内破解比特币地址中的公钥,所用资源比2003年研究中实现的资源小20倍。
具体而言,某机构表示已编译出两个解决椭圆曲线离散对数问题的量子电路。一个需要少于1,200个逻辑量子比特和9,000万个Toffoli门,另一个需要少于1,450个逻辑量子比特和7,000万个Toffoli门。逻辑量子比特是一种容错量子比特,使用数百(或数千)个物理量子比特编码而成。研究人员估计他们的机器需要大约50万个物理量子比特,是同一团队去年6月估计破解2048位RSA所需数量的一半(RSA的密钥尺寸大得多)。Toffoli门是一种资源密集型操作,是完成算法所需时间的关键驱动因素。
在安全领域引起关注的一个举动是,某机构并未发布实现这一成就的算法改进细节。相反,研究人员发布了一个零知识证明,从数学上证明了算法增强的存在性,但未披露其具体内容。
“详细的密码分析蓝图可能被敌对行为者武器化的风险不断升级,这要求改变披露实践,”作者解释道。“因此,我们认为,现在是一个公共责任问题:在保留潜在攻击精确机制的同时,分享经过细化的资源估算。”研究人员表示他们在制定这一新政策时咨询了某国政府,并进一步指出“量子计算的进展已达到这样一个阶段:谨慎的做法是停止发布改进的量子密码分析细节,以避免滥用。”
这一举措——由有影响力的研究员Scott Aaronson最近提出——与某机构Project Zero二十年前开创的严格90天披露政策以及更早以来推动安全研究的公认规范完全背道而驰。其他研究人员已经在批评缺乏细节。
“声称一个需要不存在计算机的算法构成直接安全风险,我认为这是危言耸听,”约翰霍普金斯大学研究密码学的教授Matt Green说。“鉴于这里的风险如此之低(出于同样的原因),我将其归类为不那么有害,而更偏向炒作。我认为这更像是一种公关伎俩,而不是任何人的严重关切。”
某机构也因关注密码学相关量子计算对加密货币构成的危害——这是有影响力的声音和现任某国政府热衷的话题——而不是关注TLS实现、DocuSign签名、数字证书或任何其他影响更广泛人群的通用应用而面临审视。
“虽然密码学相关量子计算确实对基于经典椭圆曲线加密算法的区块链技术构成威胁,但它们只是我们现代世界中需要快速过渡到后量子密码学的众多系统之一,”LaMacchia说,他指的是后量子密码学。“特别是在阅读白皮书末尾的一些政策建议时,我感到困惑的是,某机构竟然专注于解决看似仅存在于加密货币领域问题的政策框架(例如,抢救数字资产),而不是密码学相关量子计算对我们所有使用公钥密码学的系统构成的普遍威胁。”FINISHED
