谷歌自2016年以来一直在负责任地推进后量子密码学的转换。在一份新的白皮书中，我们展示了未来的量子计算机可能以比之前认为的更少的量子比特和门来破解保护加密货币和其他系统的椭圆曲线密码学。我们希望提高人们对这一问题的认识，并为加密货币社区提供建议，以在这种情况成为可能之前改善安全性和稳定性，包括将区块链转换为抗量子攻击的后量子密码学。

为了负责任地分享这项研究，我们与美国政府进行了合作，并开发了一种通过零知识证明来描述这些漏洞的新方法，这样可以在不为恶意行为者提供路线图的情况下进行验证。我们敦促其他研究团队也这样做，以保护人们的安全。我们期待按照我们的2029年时间线继续与行业内其他采用负责任方法的组织合作，如Coinbase、斯坦福区块链研究院和以太坊基金会。

量子计算的威胁与机遇

量子计算机有望解决其他方式无法解决的问题，包括化学、药物发现和能源等领域的例子。然而，大规模密码学相关量子计算机也将能够破解目前广泛使用的保护人们机密信息等内容的公钥密码学。包括谷歌在内的政府和其他组织多年来一直在为这一安全挑战做准备。随着科学和技术的持续进步，密码学相关量子计算机正在变得更接近现实，这需要转换到后量子密码学，这就是为什么我们最近推出了2029年迁移时间线的原因。

在我们的白皮书中，我们分享了破解椭圆曲线密码学所基于的256位椭圆曲线离散对数问题所需的量子计算"资源"的最新估算。我们用逻辑量子比特数量和Toffoli门来表达我们的资源估算。具体来说，我们编译了两个实现ECDLP-256的Shor算法的量子电路：一个使用少于1200个逻辑量子比特和9000万个Toffoli门，另一个使用少于1450个逻辑量子比特和7000万个Toffoli门。我们估计这些电路可以在几分钟内在一个拥有少于50万个物理量子比特的超导量子比特密码学相关量子计算机上执行。这比解决ECDLP-256所需的物理量子比特数量减少了大约20倍。

区块链安全的紧迫性

大多数区块链技术和加密货币目前都依赖ECDLP-256来确保其安全性的关键方面。正如我们在论文中所论述的，后量子密码学代表了一条通往后量子区块链安全的成熟路径，在一个拥有密码学相关量子计算机的世界中，这为加密货币和数字经济的长期可行性提供了信心保证。我们提供了后量子区块链的例子以及在其他量子脆弱区块链上的实验性后量子密码学部署。我们注意到，虽然像后量子密码学这样的可行解决方案存在，但它们需要时间来实施，这使得行动变得越来越紧迫。我们还为加密货币社区制定了额外的建议，以帮助在短期和长期内改善安全性和稳定性，包括避免暴露或重复使用脆弱的钱包地址，以及解决被遗弃加密货币的潜在政策选择。

负责任的披露方法

安全漏洞的披露是一个有争议的话题。一方面，"不披露"立场认为公开漏洞为恶意行为者提供了攻击的指导手册。另一方面，"完全披露"运动认为，了解安全漏洞能够使公众谨慎行事并保护自己，同时激励安全修复。在计算机安全领域，辩论已经围绕一套被称为"负责任披露"和"协调漏洞披露"的妥协方案收敛。

区块链技术中安全漏洞的披露进一步复杂化，因为加密货币不仅仅是分散的数据处理系统。它们作为数字资产的价值既源于网络的数字安全，也源于公众对系统的信心。虽然它们的数字安全可以使用密码学相关量子计算机来攻击，但公众信心也可能通过恐惧、不确定性和怀疑技术来破坏。

这些考虑因素指导我们谨慎地披露基于椭圆曲线密码学的区块链技术量子攻击的最新资源估算。首先，我们通过澄清区块链免受量子攻击的领域并强调在后量子区块链安全方面已经取得的进展，来减少我们讨论的恐惧、不确定性和怀疑的潜力。其次，我们通过发布一个称为"零知识证明"的最先进密码学构造来证实我们的资源估算，而不分享底层量子电路，这允许第三方验证我们的声明，而无需我们泄露敏感的攻击细节。

我们欢迎与量子、安全、加密货币和政策社区进一步讨论，以在未来就负责任的披露规范达成一致。

通过这项工作，我们的目标是支持加密货币生态系统和区块链技术的长期健康发展，这些正在成为数字经济越来越重要的组成部分。展望未来，我们希望我们的负责任披露方法能够在量子计算研究人员和更广泛的公众之间引发重要的对话，并为量子密码分析研究领域提供一个可以建立的模型。

Q&A

Q1：谷歌发现的量子计算威胁有多严重？

A：谷歌研究发现，未来量子计算机破解256位椭圆曲线密码学所需的物理量子比特数量比之前预估减少了约20倍，只需不到50万个物理量子比特就能在几分钟内完成破解。这意味着对加密货币安全的威胁比预期来得更快。

Q2：什么是后量子密码学？为什么要转向它？

A：后量子密码学是一种能够抵御量子计算机攻击的加密技术。由于目前大多数区块链和加密货币依赖的椭圆曲线密码学在面对强大量子计算机时会变得脆弱，因此需要转向后量子密码学来确保长期安全性。

Q3：谷歌的零知识证明方法有什么特殊之处？

A：谷歌采用零知识证明技术来负责任地披露量子攻击漏洞，这种方法允许第三方验证研究结果的真实性，同时不会泄露具体的攻击细节，避免为恶意行为者提供攻击指导，是一种平衡透明度和安全性的创新披露方式。