量子计算突破或提前终结加密安全时代

突发新闻：量子计算

大约 30 年前，数学家彼得·秀尔（Peter Shor）接手了一个冷门的物理项目——建造一台基于反直觉的量子力学规则的计算机的梦想——并由此震惊了世界。

秀尔研究出一种方法，让量子计算机能够迅速解决几个数学难题，而经典计算机需要数十亿年才能完成这些难题。这二个数学问题恰好是当时新兴数字世界的安全基石。几乎所有网站、收件箱和银行账户的可信度都建立在这样一个假设之上：这两个问题是不可能被解决的。秀尔算法证明了这个假设是错误的。

30 年来，秀尔算法在理论上一直是一个安全威胁。物理学家最初估计，他们需要一台拥有数十亿个量子比特（量子计算中使用的元件）的庞大量子机器才能运行它。多年来，这一估计大幅下降，最近降至 100 万个量子比特。但它仍然远超现有量子计算机的平庸能力，后者通常只有数百个量子比特。

然而，两组不同的研究人员刚刚宣布了重大进展，显著缩小了理论估算与实际机器之间的差距。加州理工学院的一个由量子物理学家组成的明星团队公布了一项量子计算机设计方案，该方案仅需数万个量子比特就能破解加密，并表示已经成立了一家公司来制造这台机器。与此同时，谷歌的研究人员宣布，他们开发了一种秀尔算法的实现方案，其效率比之前的最佳方法提高了十倍。

目前，这两家公司都没有能够破解加密的硬件。但这些结果强调了一些量子物理学家已经开始怀疑的事情：强大的量子计算机可能只需几年，而非几十年就能问世。布里斯托大学的数学物理学家尼古拉斯·布鲁克曼（Nikolas Breuckmann）表示：“如果你关心隐私或拥有秘密，那么你最好开始寻找替代方案。”他并未参与这两篇论文的研究。

虽然这些新结果可能会给保护数字基础设施的政策制定者和企业带来震撼，但它们也标志着物理学家在建造能让他们更深入探索量子世界的机器方面取得了飞速进展。

“我们真的要做到这一点了，”加州理工学院物理学家、新公司 Oratomic 的首席执行官 多列夫·布鲁夫斯坦（Dolev Bluvstein）说道。

碰撞之路

布鲁夫斯坦和他的合作者玛德琳·凯恩（Madelyn Cain）去年夏天来到加州理工学院，带着一个简单的问题：人们能想象出的、拥有足够性能（比如黑掉比特币钱包）的最小量子计算机是什么样的？要找到答案，需要他们和新同事们预测量子计算领域的两大趋势将在何处交汇。

玛德琳·凯恩（左）和多列夫·布鲁夫斯坦自问：人们能想象出的、可以破解比特币钱包之类东西的最小量子计算机是什么样的？Mude Gull; Dolev Bluvstein

第一个趋势是一种灵活的新型量子比特的兴起：中性原子。

在过去的十年里，物理学家已经完善了在激光束中悬浮数十个、数百个以及最近数千个中性原子，并根据需要排列它们的能力。其他量子比特，如谷歌和 IBM 倡导的超导电路，运行速度要快得多，但被锁定在原地，就像传统的晶体管一样。

布鲁夫斯坦和凯恩一直在哈佛大学物理学家米哈伊尔·卢金（Mikhail Lukin）的实验室工作，在那里，他们在 2023 年安排了 280 个中性原子来运行复杂的量子算法。不久之后，由加州理工学院的 曼努埃尔·恩德雷斯（Manuel Endres）领导的一个小组创下了记录，演示了同时操纵 6100 个中性原子的能力，尽管它并没有用它们进行任何计算。

第二个量子趋势是纠错码效力的提升。

任何形式的量子比特都极其容易出错，使用它们进行计算需要时刻保持警惕。纠错的“金标准”协议被称为表面码（surface code）。你将量子比特排列在一个矩形网格中，每个量子比特都与其邻居相连，并使用整个区块来存储一个“逻辑量子比特”（virtual qubit，亦称虚拟量子比特）的信息。这样，当一些物理量子比特出故障时，逻辑量子比特仍能受到保护，直到你找到并修复那些出问题的量子比特。表面码完全可靠且已被彻底理解，但创建一个可靠的逻辑量子比特需要数千个物理量子比特。而只有逻辑量子比特才能执行精确的计算。

米哈伊尔·卢金的实验室在 2023 年安排了 280 个中性原子运行复杂的量子算法。从左至右：Simon Evered, Sophie Li, Alexandra Geim, Mikhail Lukin, Dolev Bluvstein 和 Markus Greiner。

但在过去的几年里，物理学家发现了一种利用量子“低密度奇偶校验”（qLDPC）码大幅减少创建逻辑量子比特所需的物理量子比特数量的方法。这种编码很棘手，因为它们要求将物理量子比特与阵列中较远的其他物理量子比特连接起来，而不仅仅是与邻居连接。但作为回报，它们能让你在给定规模的阵列中封装更多的逻辑量子比特。中性原子非常适合这些编码，因为物理学家可以自由地将一个原子移动到阵列各处，与远处的原子相遇。

布鲁夫斯坦和凯恩关于“最简单的破解密码的量子计算机”的问题变成了一项挑战：加州理工学院的物理学家能将 qLDPC 码与中性原子技术契合到什么程度？他们开始与该领域的专家合作：qLDPC 码专家 徐骞（Qian Xu）；量子理论和机器学习专家 黄信元（Robert Huang）；以及提供实验反馈的恩德雷斯。在量子纠错领域拥有深厚背景的高级理论物理学家 约翰·普雷斯基尔（John Preskill）担任了该小组的顾问。

烹饪编码

这些新奇的 qLDPC 码形式多样，选择使用哪一种通常涉及权衡。有些是“高效”的，即每个逻辑量子比特不需要太多的物理量子比特；有些则是“有效”的，即它们可以抵御多次同时发生的错误。

但微小的调整可能会导致性能的巨大变化。在 qLDPC 码方面做出了开拓性工作的布鲁克曼将其比作烹饪：有时只需加入一小撮正确的配料就能起到很大作用。团队知道，建造一台更小、更强大的量子计算机的关键是找到一种能平衡这两个优点的编码。徐骞确定了一个非常有前景的“配方”，黄信元则开始完善它。

黄信元和他的学生们征调了一个由数学家设计的大语言模型（LLM）来帮忙。他们向它提供了 qLDPC 码的数学描述并让它自由发挥。最终，它回馈了一种高效到仅用四个原子就能制造一个逻辑量子比特，且有效到足以抵御 20 到 24 个灾难性错误的编码。（相比之下，早期的商性能 qLDPC 码每个逻辑量子比特需要 12 个物理量子比特，且只能处理最多 12 个灾难性错误。）该 LLM 还发现了一个高效的解码器，这是一种用于找出发生了何种错误并制定修复计划的算法。

2018 年，巴黎的研究人员通过将一群中性原子排列成埃菲尔铁塔的形状，展示了他们操纵原子的能力。Thierry Lahaye/CNRS

有了优越的编码和解码器，凯恩、徐骞和黄信元开发出了实现计算所需的、对物理量子比特进行复杂操作的方法，同时保持它们处于受保护状态。团队组建了一系列协议，并对其执行速度做了最佳估计。最后，研究人员模拟了他们的设计，看看它运行秀尔算法的效果如何。

“我们把很多东西整合在了一起，”普雷斯基尔说。“当你做对了，答案就会变得出人意料地令人振奋。”

团队模拟了不同的原子阵列，以了解每种规模破解两种主要加密方案（RSA 加密和椭圆曲线加密 ECC）的速度。他们的结论是，使用 1 万个原子，大约一个世纪就能破解常见形式的 RSA。然而，如果使用 10 万个原子，只需要三个月。团队发现，同样广泛使用的、更易破解的 ECC 加密，使用 1 万个原子的阵列大约三年就能攻克，而使用 2.6 万个原子只需几天。

就在加州理工团队设计他们的理想机器时，由 克雷格·吉德尼（Craig Gidney）领导的谷歌研究人员也在继续他们多年来的工作，寻找执行秀尔算法更高效的方法。2019 年，吉德尼和一位合作者详述了一个量子程序，可以使用 2000 万个量子比特 在八小时内破解 RSA 加密。去年，他想出了一种用 不到 100 万个量子比特 实现的方法。

在哈佛大学米哈伊尔·卢金的实验室里，物理学家用精确控制的激光束操纵由原子构成的量子比特。

在与加州理工学院论文同一天发布的白皮书中，吉德尼及其合作者宣布，他们专门针对破解 ECC 开发了一种新的量子程序，其效率比之前的程序至少高出 10 倍。他们估计，对于拥有不到 50 万个量子比特的机器，大多数加密货币在几分钟内就会缴械投降。

“椭圆曲线破解在实际时空成本上的十倍削减具有极其重大的意义，”普林斯顿大学物理学家、中性原子初创公司 Logiqal 首席执行官 杰夫·汤普森（Jeff Thompson）评价道。

谷歌对秀尔算法的高效实现和加州理工学院的新协议表明，更小的量子计算机将能够完成比许多研究人员意识到的大得多的壮举。它们还标志着一个转折点，即研究人员开始隐去竞争对手或恶意行为者可能觉得有用的关键细节。谷歌首次使用“零知识证明”描述了他们的工作，这是一种在不透露程序具体工作原理的情况下，证明程序有效性的技术。

黄信元使用大语言模型创建了一种 qLDPC 码，其效率高到仅用四个原子就能制造一个逻辑量子比特。IQIM, Caltech

鉴于量子计算的飞速进展，物理学家表示，将 RSA 和 ECC 切换为量子计算机无法破解的新加密方案至关重要。2024 年，美国国家标准与技术研究院（NIST）发布了能够确保秘密不受经典和量子计算机侵害的新代码。美国政府也制定了到 2035 年完全转向这些新代码的计划。但一些研究人员认为，关键参与者可能需要更快采取行动。例如，谷歌最近宣布其目标是到 2029 年停止依赖 RSA 和 ECC。

“如果你正在考虑什么时候进行后量子加密转型，你不应该再等了，”汤普森说。“现在就是时候。”

量子梦想 vs. 现实

关于 Oratomic 公司能否建造出一台像物理学家在论文中描述的那样强大的量子计算机，人们的看法各不相同。对于中性原子计算领域的一位领导者来说，加州理工团队的预测并不特别令人惊讶。“它们与我们和其他人估计的大体一致，”哈佛大学的卢金说道，他也是中性原子初创公司 QuEra Computing 的创始人。“但在这些资源估算中，细节决定成败，仔细研究它们非常重要。”

而且一些关键细节仍然含糊不清——尤其是对加州理工团队最乐观预测至关重要的纠错步骤——这使得外部研究人员很难全面评估他们的说法。

其他研究人员则对该团队的一些机械预期表示怀疑。例如，加州理工小组对“他们能实现的操作速度做了激进的假设，”汤普森说。该小组在论文中声称，这台机器最终将能够每一毫秒执行一次完整的纠错过程：检查错误、解释发现、修复错误、替换任何跑偏的原子，并准备重新开始。

这台机器还必须在计算运行时持续保持这种纠错节奏数天甚至数周，目前还没有任何小组完成过这一壮举。威斯康星大学麦迪逊分校物理学家、另一家中性原子初创公司 Infleqtion 的量子信息首席科学家 马克·萨夫曼（Mark Saffman）表示：“我想看到较小规模的演示，比如 100 或 1000 个量子比特。向我展示你可以进行 100 万轮纠错之类的。”

加州理工团队知道其计划雄心勃勃，整合其构想的所有部分将需要巨大的工程和技术努力。与此同时，物理学家们并没有看到任何不可逾越的障碍。普雷斯基尔说：“我们只需要建造这些机器，看看它们是否工作。”

新地平线

如果任何团队成功建造出一台能够实现秀尔算法的量子计算机，它将标志着一个时代的结束——具体来说，就是普雷斯基尔在 2018 年的一篇论文中称之为“ 含噪声的中等规模量子（NISQ） ”时代，即纠错前的阶段。每位研究人员对于在新的“容错”时代首先用机器追求什么都有自己的设想。

黄信元表示，他会先运行秀尔算法，以此证明设备有效。在那之后，他说他会尝试用它来加速机器学习——这一应用将在未来的工作中详述。

无论是 Oratomic 还是其他初创公司，建造量子计算机的建筑师大多本质上是物理学家。他们对物理感兴趣，而不是密码学。具体来说，他们对一台精通量子力学语言的计算机能教会他们关于量子领域的各种知识感兴趣，比如什么样的材料即使在常温下也能成为超导体。就普雷斯基尔而言，他想模拟时空的量子本质。

加州理工小组知道，在他们的梦想有任何机会成真之前，还有数年的工作要做。但研究人员们已经迫不及待地想要开始了。“选出一个比和朋友一起建造世界上第一台量子计算机更酷的人生追求吧！”在论文发布前不久，布鲁夫斯坦在电话中兴高采烈地说道，随后匆匆赶去庆祝。

---

重要术语翻译对照表

英文术语	中文翻译	备注
Shor’s algorithm	秀尔算法	用于分解大质因数的量子算法。
Qubit	量子比特	量子计算的基本单位。
Neutral atom	中性原子	一种利用激光捕获作为量子比特的硬件技术。
Virtual qubit / Logical qubit	逻辑量子比特	由多个物理量子比特通过纠错组成的可靠比特。
Error correction	纠错	修正量子计算中极易发生的错误的各种技术。
Surface code	表面码	一种经典的量子纠错编码协议。
qLDPC codes	量子低密度奇偶校验码	一类比表面码更高效的新型量子纠错码。
RSA / ECC	RSA加密 / 椭圆曲线加密	当前互联网通用的两种主流非对称加密方案。
Post-quantum crypto (PQC)	后量子加密	能够抵御量子计算机破解的新型加密技术。
Zero knowledge proof	零知识证明	一种证明自己知道秘密而不泄露秘密本身的协议。
Fault-tolerant	容错	指量子计算机能够在纠错机制下可靠运行。
NISQ era	NISQ 时代	含噪声中等规模量子时代（纠错成熟前的现阶段）。
Space-time cost	时空开销	指计算所需的量子比特数量与运行时间的乘积。
Large Language Model (LLM)	大语言模型	如 GPT 系列，文中用于协助设计纠错编码。