量子计算会破解加密吗?Google 说 9 分钟。Trail of Bits 说:等等,你的证明方式本身就有问题。
一、争论的起源:Google 的量子密码分析声明
2026 年 4 月初,Google Quantum AI 团队发表了一篇引发轩然大波的论文。他们构建了一个零知识证明(Zero-Knowledge Proof, ZKP),声称一个优化的量子电路可以在仅 9 分钟内破解椭圆曲线加密(ECC)密钥。
ECC 是现代互联网安全的基石之一。从 TLS/HTTPS 到加密货币钱包,从 SSH 到数字签名,ECC 无处不在。如果 Google 的结论成立,这意味着第一代实用量子计算机一旦上线,全球密码学基础设施将立即面临存亡危机。
Google 论文的核心贡献不是直接运行量子计算(当前量子硬件还远未达到所需规模),而是用 ZKP 来证明他们的量子电路设计是正确的——即如果有足够大的量子计算机,这个电路确实能在 9 分钟内完成破解。
二、Trail of Bits 的反击:用同一把武器,更优的结果
两周后,安全研究公司 Trail of Bits 发表了回应论文。他们没有否认量子计算对 ECC 的长期威胁,但做了一件更精妙的事:用同样的零知识证明框架,构建了一个在所有指标上都优于 Google 方案的证明。
这里的关键洞察是:
Trail of Bits 的改进结果不是因为什么量子突破,而是来自对电路优化和 ZKP 构建方法的经典计算改进。
技术对比
| 指标 | Google 方案 | Trail of Bits 方案 | 改进幅度 |
|---|---|---|---|
| 证明生成时间 | 基准 | 显著缩短 | 未公开具体倍数 |
| 电路复杂度 | 基准 | 更简化 | 多项优化 |
| 验证效率 | 基准 | 更高效 | 全面超越 |
| 量子比特需求估计 | 基准 | 更精确 | 方法论改进 |
Trail of Bits 的方法论
Trail of Bits 团队的核心论点可以总结为三层:
第一层:电路优化不等于威胁评估。 Google 展示的是一个高度优化的理论量子电路。但从理论电路到实际威胁之间,还有巨大的鸿沟——量子纠错开销、退相干时间限制、门错误率等物理约束都没有被充分纳入。
第二层:ZKP 的质量取决于构建方法。 零知识证明并不是一个简单的"对/错"输出。不同的证明构建方法会导致不同的精度和可信度。Trail of Bits 展示了通过更优的构建方法,可以在经典计算框架内获得更强的证明。
第三层:经典优化的空间被低估了。 当整个行业都在关注量子计算的威胁时,经典算法和密码学的优化空间反而被忽视了。Trail of Bits 的结果暗示,抵御量子威胁的一部分答案可能在于更好的经典密码学设计。
三、这场对决的深层意义
表面上看,这是两个技术团队在零知识证明效率上的比拼。但深层来看,它暴露了量子威胁评估方法论中的几个系统性问题:
1. “最优电路"谬误
量子计算领域有一个常见的论证模式:
- 设计一个理论上最优的量子电路
- 计算这个电路需要的量子比特数和运行时间
- 基于硬件路线图推算"何时威胁成真”
问题在于,步骤 1 中的"最优"是基于当前知识的。Trail of Bits 的工作表明,仅仅通过经典计算层面的优化,就能显著改变电路的效率评估——而这些优化在 Google 发表论文时并没有被考虑。
这意味着基于理论电路的威胁时间线天然就是不稳定的。一个团队的优化可以把"9 分钟"变成"30 秒",另一个团队的防御改进可以把"9 分钟"变成"9 天"。
2. ZKP 作为密码学研究工具的新范式
这次对决开创了一个有趣的研究范式:用零知识证明来验证密码学攻击方案的正确性,而不需要实际运行攻击。
传统上,密码学安全性的评估依赖于:
- 数学证明(严格但不直观)
- 实际攻击实验(直观但受限于当前硬件)
- 复杂度理论分析(抽象且难以转化为实际指标)
ZKP 提供了一个中间层:它可以在不实际执行攻击的情况下,可验证地证明一个攻击方案是可行的。这对于量子密码分析尤其有价值——因为我们目前没有足够大的量子计算机来运行实际攻击。
3. 后量子迁移的紧迫性没有降低
需要明确的是:Trail of Bits 的工作并没有证明量子计算不会威胁 ECC。他们展示的是 Google 的特定证明方案可以被改进,以及威胁评估的方法论存在缺陷。
ECC 在足够大的量子计算机面前仍然是脆弱的——这是 Shor 算法的数学确定性。Trail of Bits 的联合创始人也在博文中明确指出,后量子密码学迁移仍然是必要且紧迫的。
但他们的工作提醒了一点:“紧迫"不等于"恐慌”。基于理论电路的时间线估计可能过于悲观或过于乐观,实际的量子威胁到来时间取决于太多目前无法精确预测的变量。
四、对产业的实际影响
后量子密码学迁移
Cloudflare 在近期宣布其 IPsec 服务已全面支持后量子加密,成为首批在网络层部署后量子密码学的大型基础设施公司之一。这个时间点与 Google/Trail of Bits 的对决呼应,反映了行业正在务实地推进迁移,而不是等待"量子威胁确认"后再行动。
加密货币的特殊脆弱性
ECC 对加密货币尤其关键——比特币和以太坊的地址生成都依赖椭圆曲线。与 TLS 不同(服务器可以升级协议),区块链上已暴露公钥的账户无法追溯性地更换密码学方案。
这意味着加密货币社区需要比传统互联网更早地开始后量子迁移——不是等到量子计算机到来时迁移,而是现在就开始设计兼容后量子密码学的协议升级路径。
企业安全团队的行动建议
- 不要基于单一论文的时间线做预算决策。“9 分钟"是一个特定假设下的理论结果,不是一个确定性的威胁时间表。
- 开始后量子密码学的技术评估,但不需要恐慌性地全面替换。NIST 已经批准了 ML-KEM(Kyber)和 ML-DSA(Dilithium)等标准。
- 关注"先收割后解密”(Harvest Now, Decrypt Later)风险。即使量子计算还要 5-10 年才能破解 ECC,今天被截获的加密数据在那时可能仍有价值。这才是真正的紧迫性所在。
五、结论:方法论比结论更重要
Google 和 Trail of Bits 的这场对决,最有价值的不是"谁的证明更高效",而是它暴露的方法论问题。在量子威胁评估这个关系到全球数字基础设施安全的领域,我们需要更严谨的分析框架,而不是基于单一论文的耸人标题。
Trail of Bits 用经典计算改进打败了 Google 的量子密码分析证明,这本身就是一个有力的暗示:在量子计算真正到来之前,经典密码学和经典计算优化仍然有大量未被开发的空间。
最终的答案可能不是"量子会不会破解加密"(会的),而是"我们在量子到来之前能把防线加固到什么程度"。Trail of Bits 的工作给了乐观主义者一个理由。
参考来源
- We beat Google’s zero-knowledge proof of quantum cryptanalysis - Trail of Bits
- Post-quantum encryption for Cloudflare IPsec is generally available - Cloudflare Blog
- Observability for Post-Quantum TLS Readiness - arXiv
- NIST Post-Quantum Cryptography Standards
- Shor’s Algorithm and ECC: A Primer - IACR ePrint
