量子芯片 Willow 将颠覆区块链安全吗？

谷歌最新量子计算芯片「Willow」的推出在全球科技界引发了广泛关注。这一突破性进展不仅展示了量子计算领域的最新成果，还引发了人们对其可能影响区块链技术安全性的深入讨论。区块链技术的安全基础建立在复杂的密码学难题之上，而量子计算的发展可能会对这一基础构成挑战。本文将深入探讨谷歌量子芯片「Willow」对区块链安全可能产生怎样的影响。 初窥量子芯片「Willow」根据官方消息【1】，谷歌发布了最新的量子计算芯片「Willow」，并宣布取得了两项重大突破。 首先，「Willow」通过增加量子比特数量，实现了成倍降低错误率的技术突破。这一成就攻克了量子计算领域近 30 年来一直未能解决的量子纠错关键难题。 其次，「Willow」在不到五分钟内完成了一项标准基准计算。相比之下，当前全球最快的超级计算机之一需要耗时 1025 年才能完成同样的任务，这个时间跨度远远超过了宇宙的年龄。 让我们仔细分析这些成就。暂且不谈第一点「量子纠错技术」。单看第二点，「Willow」5 分钟内完成了超级计算机需要 1025 年的计算任务。为了对比，我们不妨考虑经典计算机暴力破解 RSA2048 需要多长时间。参考 John Preskill 教授【2】的估算，一台家用经典计算机破解 RSA2048 大约需要 1016 年。 从数量级上看，既然「Willow」能在五分钟内完成超级计算机 1025 年的任务，那么完成家用经典计算机 1016 年的任务似乎轻而易举。这是否意味着密码学难题中的大整数分解问题已经不再安全？按照类似的推理，椭圆曲线上的离散对数问题是否也已经被攻破？这些推论似乎暗示区块链的安全性可能在瞬间崩塌。 然而，事情的真相真的是这样吗？让我们进一步探讨这个问题。 破解区块链私钥需要怎样的量子计算机？量子计算机可以用于破解大整数分解问题和离散对数难题等经典密码学难题。可是对于具体的密码学问题，需要怎样性能的量子计算机来破解呢？接下来我们用以下问题来具体分析： 给定 RSA2048 的公钥，对其进行大整数分解；给定一个椭圆曲线 Secp256k1/ Secp256r1 / Ed25519 的公钥，计算其私钥。 对于经典计算机而言，以上两个问题都难以破解。考虑到具体安全参数，后者略难于前者。然而，Martin 等人的研究【3】揭示，对量子计算机来说，情况恰恰相反：前者略难于后者。为简化讨论，本文将这两个问题视为近似难度，认为破解它们的量子计算机性能基本等同。以下分析将以问题 2 为主。 Secp256k1、Secp256r1 和 Ed25519 是区块链广泛采用的椭圆曲线，这些椭圆曲线上的离散对数问题构成了包括比特币在内所有区块链资产安全的基石。若该问题被攻破，意味着攻击者可以随意伪造区块链上的交易。显然，此问题的破解与否直接关乎区块链安全的生死存亡。 Martin 等人的研究【3】指出，要破解定义在素数阶（阶的位宽为 n 比特）椭圆曲线上的离散对数难题，需要这样的量子计算机： 9n+2⌈log2(n)⌉+10 个量子比特，并使用 448n3log2(n)+4090n3 个 Toffoli 门的量子电路实现。例如，对于 NIST 标准化曲线 P-256 的点加法量子电路模拟，实现需要 2330 个逻辑量子比特，而在此曲线上完整实现 Shor 算法在约需 1.26⋅1011 个 Toffoli 门。 简而言之，仅需 2330 个高质量的逻辑量子比特和 1.26⋅1011 个 Toffoli 门组成的量子电路，这样的量子计算机就足以摧毁区块链安全的根基。 量子计算的关键——高质量的逻辑量子比特基于量子芯片的量子计算机之所以计算速度远超经典计算机，其核心优势在于量子计算不再依赖线性计算方式，而是利用量子叠加和量子并行性，通过量子比特（qubits）实现复杂计算。然而，量子比特的独特性同时带来了极大的挑战。量子比特极易受到环境噪声和外界干扰的影响，这使得它们的状态非常不稳定，容易失去量子特性（即退相干）。在实际操作中，几乎每个使用量子比特的环节都可能出现错误，包括初始化、状态维持、量子门操作执行以及结果读取。这些错误会导致量子算法产生错误的结果或失去有效性，因此，保持量子比特的稳定性和正确性，获取高质量的量子比特，成为量子计算机发展的核心挑战之一。 为应对这一挑战，一个关键方法是构造逻辑量子比特以降低错误率。逻辑量子比特由多个物理量子比特组合而成，通过量子纠错码（如表面码、笛卡尔码）实现错误检测和修复，从而提高系统的鲁棒性和可靠性。实际上，每个逻辑比特通常需要数十到数千个物理比特来支持。尽管逻辑量子比特的实现显著提高了量子计算机的容错能力，但代价是需要大量的物理比特和复杂的纠错算法。 量子纠错的发展还遇到了一个令人崩溃的问题。研究人员原本希望牺牲额外的物理量子比特来提高逻辑量子比特的正确性，但现实却与之相悖。由于物理量子比特自身极高的错误率（ 10−1 ~ 10−3 ），在此前的研究中，牺牲掉额外的物理量子比特以后，不仅没有降低逻辑量子比特的错误率，反而使其比物理量子比特的错误率还高。这种情况可以形象地比喻为「能力不足反而帮倒忙，人越多，越是添乱」。在量子纠错场景中，这意味着由于物理量子比特的高错误率，导致越纠越错。 那么，没有高质量的逻辑量子比特，就无法构建实用的量子计算机。 再看量子芯片「Willow」现在我们已经掌握了足够的背景知识，让我们重新审视「Willow」的成果。 首先，「Willow」芯片通过增加量子比特数量，运用表面码【4】【5】技术，在量子纠错领域实现了历史性的「扭亏为盈」。这意味着，通过投入多个物理量子比特，研究人员成功获得了一个错误率更低的逻辑量子比特。具体而言，在「Willow」中，随着量子比特阵列从 3×3 的表面码扩展到 5×5、7×7，编码错误率每次降低了 2.14 倍，实现了误差率的指数级下降，如下图所示。这一突破性进展首次让人类在构建高质量逻辑量子比特的道路上看到了希望之光，堪称一项重大成就。 表面码效能 其次，「Willow」芯片在不到五分钟内完成了随机电路采样（Random Circuit Sampling，简称 RCS）这一标准基准计算。RCS 测试是一种广泛用于评估量子计算机性能的方法。然而，需要特别指出的是，这项测试中与超级计算机之间令人惊叹的性能差距，部分源于量子计算机和经典计算机的区别。为了更好地理解这一点，我们可以做一个不完全恰当的类比：「太空中的卫星」和「地面上的汽车」在比较运动速度。此外，RCS 目前也还没有实际的应用场景。 「Willow」 何时能够攻破经典密码学难题？ 谷歌量子计算 Roadmap 上图为谷歌量子计算发展蓝图的六个阶段【7】，展示了从实验突破到大规模实用化的关键路径。 第一阶段（2019 年）：通过 Sycamore 处理器，团队展示了量子计算超越传统计算的能力，用 200 秒完成了传统超级计算机需 1 万年才能完成的任务，奠定了量子优越性的基础。此阶段目标已达成，该量子计算机拥有 54 个物理量子比特。 第二阶段（2024 年）：通过「Willow」芯片首次演示了逻辑量子比特原型，证明量子纠错能够降低错误率。这一突破为构建大规模实用量子计算机铺平了道路，并为近似量子应用（NISQ）提供了可能。该阶段目标也已实现，量子计算机具备 105 个物理量子比特，逻辑量子比特错误率为 10−3 。 第三阶段：目标是构建长寿命逻辑比特，实现百万次运算中错误率低于一次。这需要更强大的量子纠错技术和可扩展的硬件架构。预计此阶段量子计算机将拥有 103 个物理量子比特，逻辑量子比特错误率降至 10−6 。 第四阶段：聚焦于实现低错误的逻辑量子门操作，开启真正意义上的量子纠错应用。预期此阶段量子计算机的物理量子比特将达到 104 个，逻辑量子比特错误率维持在 10−6 。 第五阶段：系统规模扩大至 100 个逻辑比特，并实现高精度门操作，预计将解锁三种以上的纠错量子应用。此阶段量子计算机预计拥有 105 个物理量子比特，逻辑量子比特错误率保持在 10−6 。 第六阶段：最终目标是控制并连接 100 万个量子比特，构建大规模纠错量子计算机，广泛应用于医学、可持续技术等领域，开发超过10种应用，改变多个行业。预计此阶段量子计算机将具备 106 个物理量子比特，逻辑量子比特错误率降至 10−13 。 就如本文前面所述，目前，破解区块链中常见的椭圆曲线离散对数问题需要约 2330 个高质量逻辑量子比特和 1.26⋅1011 个 Toffoli 门组成的量子电路。由于逻辑量子比特需通过量子纠错技术实现，每个逻辑量子比特通常需要多个物理量子比特支撑。以「Willow」芯片为例，其编码距离为 7，每个逻辑量子比特需 72=49 个物理量子比特，总计约 114170 个物理比特。然而，这一估算过于乐观。随着量子运算规模和电路深度的增加，逻辑量子比特的错误率要求将更加苛刻。实际上，「Willow」芯片当前的逻辑量子比特错误率约为 10−3 ，远未达到破解此类问题所需的水平。根据 Craig 等人【6】的研究，为解决与椭圆曲线离散对数问题难度相近的 RSA 2048 问题，逻辑量子比特的错误率需降至 10−15 ，对应码距至少需 27。这意味着每个逻辑量子比特需 272=729 个物理量子比特支持，总计超过 1698570 个物理量子比特。此外，逻辑量子比特错误率需达到 10−15 ，不仅显著低于「Willow」芯片的 10−3 ，甚至比谷歌规划蓝图第六阶段量子计算机预计的逻辑量子比特错误率还低两个数量级。 综上所述，根据谷歌的发展规划，只有在量子计算技术发展到第六阶段后，才可能具备破解椭圆曲线离散对数问题的能力。这一目标的实现需要显著提升逻辑量子比特的质量，同时解决海量物理量子比特的高效操控和纠错问题。 若以第一阶段与第二阶段间隔 5 年来估算，匀速发展下，预计需 15 至 20 年后，「Willow」的能力方能攻破经典密码学难题。即便乐观估计，至少也需 10 年才可能达到相应水平。 未来的区块链安全量子计算机一旦达到足够的计算能力，便能利用不对称优势，迅速破解加密货币的核心安全机制，窃取用户私钥并控制其资产。这种情况下，现有加密货币网络将面临系统性崩溃的风险，用户资产的安全将无法得到保障。 而且，谷歌的「Willow」量子芯片目前仍处于量子计算研究的初期阶段，无法解决大整数分解和椭圆曲线离散对数等密码学难题，因此尚不对区块链安全构成实质性威胁。事实上，开发出真正实用的量子计算机仍面临诸多技术挑战，这注定是一条需要长期努力的艰巨道路。 尽管当前量子计算技术尚未对加密资产构成直接威胁，但其发展势头不容忽视。根据技术进步趋势预测，未来 10 年内，量子计算机有望突破多个关键技术瓶颈，逐步接近威胁传统密码学的临界点。面对这一潜在挑战，区块链社区需要未雨绸缪，制定长远规划，为应对量子时代可能带来的技术冲击做好准备。为确保区块链的长期安全性和稳定性，以下三项措施尤为重要： 第一，加速抗量子算法的研究与标准化。积极推进基于抗量子密码学（如格理论）的算法研究，并致力于促进其在全球范围内的标准化应用。这是应对量子威胁的首要任务，对于未来区块链安全至关重要。 第二，积极部署抗量子密码学技术。着手建立健全的抗量子密码学基础设施，为区块链网络的长期安全奠定坚实的技术基石。这将确保系统在面对潜在的量子威胁时能够从容应对，保持稳定运行。 第三，深入探索量子计算的创新潜力。挖掘量子计算在链上计算优化、资源调度效率提升和隐私保护增强等领域的应用价值，为区块链技术注入新的增长动力。 量子计算机的全面应用虽然尚未实现，但其到来已是大势所趋。在这一背景下，基于传统密码学的区块链安全框架将逐渐被基于抗量子密码学的安全保障所取代。Safeheron 已经与高校展开合作，积极布局抗量子算法研究，为数字资产安全的技术演进做好充分准备。另外，区块链生态中已经出现了引入抗量子攻击算法的公链，这种与时俱进的发展趋势让我们无需过度忧虑。 量子计算的发展不仅为区块链技术带来了潜在的安全挑战，也为其提供了技术进步与效率提升的新机遇。只有主动应对、拥抱变革，区块链技术才能在未来的科技浪潮中蓬勃发展，实现更高水平的成熟与创新。 参考文献【1】Meet Willow, our state-of-the-art quantum chip【2】John Preskill – Introduction to Quantum Information (Part 1) – CSSQI 2012 【3】Quantum Resource Estimates for Computing Elliptic Curve Discrete Logarithms 【4】Suppressing quantum errors by scaling a surface code logical qubit 【5】Quantum error correction below the surface code threshold 【6】How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits 【7】Google’s quantum computing roadmap 声明： 本文转载自【Safeheron】，著作权归属原作者【Max He】，如对转载有异议，请联系 Gate Learn 团队，团队会根据相关流程尽速处理。免责声明：本文所表达的观点和意见仅代表作者个人观点，不构成任何投资建议。文章其他语言版本由 Gate Learn 团队翻译， 除非另有说明，否则不得复制、传播或抄袭经翻译文章。