作者：Ryan Babbush & Hartmut Neven， Google Quantum AI

编译：深潮 TechFlow

深潮导读：这是今日量子威胁讨论的第一手来源，不是媒体转述，是 Google 量子 AI 研究总监和 VP Engineering 联署发布的官方技术博客。

核心结论只有一个：此前估算破解比特币椭圆曲线加密所需的物理量子比特数量，现在缩减了约 20 倍。Google 同时以"零知识证明"的方式发布了验证材料，允许第三方核实结论而无需泄露攻击细节——这种披露方式本身也值得关注。

全文如下：

2026 年 3 月 31 日

Ryan Babbush，Google 量子 AI 量子算法研究总监；Hartmut Neven，Google Quantum AI、Google Research 工程副总裁

我们正在探索一种新的模式，来阐明未来量子计算机的密码破解能力，并概述应采取哪些步骤来降低其影响。

量子资源估算

量子计算机有望解决此前无法解决的问题，包括化学、药物发现和能源领域的应用。然而，大规模的密码学相关量子计算机（CRQC）同样能够破解目前广泛使用的公钥密码学，这类密码学保护着人们的机密信息等各类系统。包括 Google 在内的各国政府和机构，多年来一直在应对这一安全挑战。随着科学和技术的持续进步，CRQC 正在逐步成为现实，这要求向后量子密码学（PQC）过渡——这也是我们近期提出 2029 年迁移时间表的原因。

在我们的白皮书中，我们分享了破解椭圆曲线密码学所基于的 256 位椭圆曲线离散对数问题（ECDLP-256）所需量子计算"资源"（即量子比特和量子门）的最新估算。我们以逻辑量子比特（由数百个物理量子比特组成的纠错量子比特）和 Toffoli 门（量子比特上代价高昂的基本运算，是决定许多算法执行时间的主要因素）的数量来表达资源估算。

具体而言，我们编译了两个量子电路（量子门的序列），用于实现针对 ECDLP-256 的 Shor 算法：一个使用不到 1200 个逻辑量子比特和 9000 万个 Toffoli 门，另一个使用不到 1450 个逻辑量子比特和 7000 万个 Toffoli 门。我们估计，在与 Google 部分旗舰量子处理器一致的标准硬件能力假设下，这些电路可以在不到 50 万个物理量子比特的超导量子比特 CRQC 上，在几分钟内完成执行。

这是破解 ECDLP-256 所需物理量子比特数量的约 20 倍降幅，也是量子算法编译为容错电路这一漫长优化历程的延续。

用后量子密码学保护加密货币

大多数区块链技术和加密货币目前依赖 ECDLP-256 来保障其安全性的关键方面。正如我们在论文中所论述的，PQC 是实现后量子区块链安全性的成熟路径，能够在存在 CRQC 的世界中为加密货币和数字经济的长期可行性提供保障。

我们列举了后量子区块链的实例，以及在原本存在量子漏洞的区块链上实验性部署 PQC 的案例。我们指出，尽管 PQC 等可行方案已经存在，但实施仍需时间，这使得采取行动的紧迫性与日俱增。

我们还为加密货币社区提出了更多建议，以在短期和长期内改善安全性和稳定性，包括：避免暴露或重复使用存在漏洞的钱包地址，以及针对废弃加密币问题的潜在政策选项。

我们的漏洞披露方式

安全漏洞的披露是一个存在争议的话题。一方面，"不披露"立场认为，公开漏洞等于为攻击者提供了操作手册。另一方面，"完全披露"运动认为，让公众知晓安全漏洞，既能使其保持警惕并采取自我保护措施，也能激励安全修复工作。在计算机安全领域，这场争论已经收敛为一组折中方案，称为"负责任披露"和"协调式漏洞披露"。两者都主张在设定禁运期的情况下披露漏洞，给受影响系统留出时间推出安全修复。卡内基梅隆大学 CERT/CC 和 Google 的 Project Zero 等顶级安全研究机构已采用带有严格截止日期的负责任披露变体，这一做法也已被采纳为国际标准 ISO/IEC 29147:2018。

区块链技术中安全漏洞的披露还因一个特殊因素而更加复杂：加密货币不仅仅是去中心化的数据处理系统。其数字资产的价值，既来自网络的数字安全性，也来自公众对系统的信心。在数字安全层面可能受到 CRQC 攻击的同时，公众信心也可能被恐惧、不确定性和疑虑（FUD）技术所侵蚀。因此，针对破解 ECDLP-256 的量子算法的非科学、无根据的资源估算，本身也可能构成对系统的一种攻击。

这些考量指导着我们对基于椭圆曲线密码学的区块链技术量子攻击资源估算的审慎披露方式。首先，我们通过明确区块链对量子攻击免疫的领域，并着重介绍后量子区块链安全性已取得的进展，来降低我们讨论的 FUD 风险。其次，我们在不分享底层量子电路的情况下，通过发布一种名为"零知识证明"的最先进密码学构造来佐证我们的资源估算，允许第三方在我们不泄露敏感攻击细节的情况下验证我们的主张。

我们欢迎与量子、安全、加密货币和政策社区进一步讨论，以就未来负责任的披露规范达成共识。

通过这项工作，我们的目标是支持加密货币生态系统和区块链技术的长期健康发展，它们在数字经济中正占据越来越重要的地位。展望未来，我们希望我们的负责任披露方式能够在量子计算研究人员和更广泛的公众之间引发一场重要对话，并为量子密码分析研究领域提供可借鉴的模式。