谷歌、诺奖得主双重预警：量子攻击比想象中更近

3月30日，由Madelyn Cain、Qian Xu、黄信元以及量子计算先驱John Preskill等人组成的研究团队在预印本平台arXiv上发表了一项重磅成果。通过融合高速率量子纠错码、高效逻辑指令集与电路设计的最新研究进展，研究团队证明：仅需10000个可重构原子量子比特，即可在密码学相关规模下运行Shor算法。

3月31日，Google Quantum AI发布了一份白皮书，最新数据显示，破解椭圆曲线密码（ECDLP-256）所需的资源，已经下降至约1200–1500个逻辑量子比特，对应不到50万个物理量子比特，并有望在“分钟级别”内完成计算。相较此前动辄数百万物理量子比特的估算，这一结果表明，量子攻击的技术门槛出现了数量级下降。

随后，短短一周内，Security Boulevard、《时代》周刊、CoinDesk等全球媒体密集发声，其中，诺贝尔奖得主、量子计算先驱约翰·马丁尼斯（John Martinis）在接受采访时发出严厉警告：量子计算对加密体系的威胁“确实存在，而且比看起来更近”。

显然，这一切都指表明：Q日（Q-Day）——量子计算机能够破解现有公钥加密体系的那一天，不仅真实存在，而且正在以超出所有人预期的速度逼近。

谷歌扔出了一枚核弹

谷歌这份研究的数字有多震撼？

在白皮书中，谷歌团队编译了两个破解256位椭圆曲线离散对数问题的Shor算法量子电路：一个使用少于1200个逻辑量子比特和9000万个Toffoli门，另一个使用约1450个逻辑量子比特和7000万个Toffoli门。在标准硬件假设下，只需要不到50万个物理量子比特，几分钟就能完成攻击。此前业界普遍认为这个数字在千万级。谷歌的研究直接把这个门槛降低了大约20倍。

最引人注目的场景涉及实时交易拦截。在理想条件下，“密码学相关的量子计算机”大约可以在9分钟内从广播交易中推导出私钥。鉴于比特币平均10分钟区块间隔，研究人员估计在确认前成功劫持交易的概率约为41%。

这并非保证性突破，但足以让开发者感到不安。

另一个较为隐蔽的风险存在于长期暴露的风险之中。目前大约32%的比特币供应量——约690万个比特币——存放在公钥已暴露的钱包中，包括重复使用的地址和老式P2PK格式，理论上可以离线破解，没有任何时间压力。

不过，谷歌的披露方式可能比研究结果本身更有意思。他们没有直接公开攻击细节，而是与美国政府合作，开发了一种通过零知识证明来描述这些漏洞的新方法，这样可以在不为恶意行为者提供路线图的情况下进行验证。

因为安全漏洞的披露一直是争议话题，“不披露”会让公众毫无防备，“完全披露”等于给不法分子送操作手册。谷歌采用零知识证明技术来负责任地披露量子攻击漏洞，其允许第三方验证研究结果的真实性，同时不会泄露具体的攻击细节，避免为恶意行为者提供攻击指导，是一种平衡透明度和安全性的创新披露方式。

DigiCert首席执行官Amit Sinha在RSA大会后的评论很直接：“谷歌更新的2029年时间线确实是一个警钟，但这并不是新信息。Gartner早在2024年就将2029年视为关键里程碑，而行业已经失去了宝贵的时间。现在的变化是，当像谷歌这样的公司强化这种紧迫感时，更多组织可能终于开始行动。”

当然，在谷歌发布白皮书的前一天，加州理工学院与初创公司Oratomic发表的论文就表明，能够破解保护互联网安全的加密协议的量子计算机可能会比预期更早出现。

图：RSA-2048与ECC-256密码破解资源及运行时间估算

来源：论文

为什么时间表会突然缩短？这其中AI起到了“关键作用”。

Oratomic的研究人员利用OpenEvolve（一个基于Gemini和Claude等大模型的开源工具），以类似自然选择的过程优化算法。原本性能“差了大约1000倍”的算法，在AI的调优下，将构建原子量子计算机所需的粒子数量减少了100倍。

“没有人工智能，这整个事情都行不通。”论文作者之一Robert Huang坦言。

这表明，正是我们寄希望于解决复杂问题的AI，反过来加速了能够摧毁现有加密体系的量子计算能力。

Cloudflare安全研究员直言，我们必须大幅加快节奏，对齐2029年截止日期。

诺奖得主的警告

2025年诺贝尔物理学奖得主、曾主导Google量子计算项目的John Martinis，在接受媒体采访时直言：量子计算对加密体系的威胁“确实存在，而且比看起来更近”。

Martinis的判断具有极高分量。一方面，他长期处于量子硬件研发前沿，对技术演进路径有直接认知；另一方面，他本人曾推动Google实现“量子霸权”实验，对量子计算能力的实际边界有深刻理解。在这样的背景下，他的警告绝非是市场炒作，完全有可能更接近技术判断。

他表示，谷歌最近关于量子计算机如何在几分钟内破解比特币加密的研究值得认真对待。“我觉得这是一篇写得非常好的论文，它阐明了我们目前的处境。”

他指出，破解密码学问题，恰恰是量子计算最容易落地的应用之一。与材料模拟或复杂优化问题相比，密码学问题具有高度结构化、数字化的特征，非常适合量子算法处理。“这些是更小、更简单的算法，是容易上手的果实。”

在所有潜在目标中，比特币被认为处于最直接的风险之下。其核心安全机制依赖椭圆曲线密码，一旦ECDLP被有效破解，攻击者理论上可以从公钥推导出私钥，从而直接控制资产。更关键的是，比特币交易在广播到链上确认之前存在一个短暂窗口，在这一时间内公钥是可见的，这为量子攻击提供了潜在切入点。

Martinis强调，这一威胁并非“零概率事件”，而是一个必须正视的问题。不过，他同时指出，构建能够执行此类攻击的量子计算机仍然极具挑战，但他给出的时间判断——大约5到10年——已经足以改变行业行为。

他的核心观点可以归纳为一句话：不确定性不是不行动的理由，恰恰是提前行动的理由。

这也是当前量子安全讨论中最重要的认知转变。

事实上，关于量子威胁的讨论与认知，仍存在一定的误区。

误区1：量子计算机还很远，不用急。

错。SNDL现在捕获、未来解密的攻击已在持续发生。医疗、国防、金融、核心IP等长生命周期数据，今天不防护，未来必然泄露。

误区2：PQC是全新硬件，要换设备。

错。绝大多数PQC算法可在现有CPU/服务器/手机上进行纯软件/固件升级实现，成本与周期可控，无需更换硬件。

误区3：量子密钥分发（QKD）可以替代PQC。

错。QKD是点对点硬件方案，成本高、部署难、覆盖有限；PQC是软件定义、全球兼容、可规模化的主流方案，两者互补而非替代。

误区4：小公司不用做，等大厂商搞定。

错。美国、加拿大、欧盟通过法规强制要求供应商支持PQC，不达标将失去投标与合作资格，供应链传导已全面启动。小公司不再是“是否做”，而是“何时做、做到什么程度”。

强制迁移周期

与技术进展同步推进的，是全球主要经济体在政策层面的快速行动。PQC迁移正在从建议性路线图转变为强制性要求。

在美国，NIST已经完成首批后量子密码标准的发布，标志着PQC从研究阶段进入工程部署阶段。与此同时，美国国家安全局（NSA）CNSA 2.0框架明确提出，2027年1月前所有新的国家安全系统必须实现量子安全算法，2030年前完成全部应用迁移，到2035年实现国家安全系统全面量子抗性。这一时间节点实际上为整个产业链设定了明确的迁移窗口。

欧洲则采取了更具体系化的推进方式。一方面，通过“量子旗舰计划”（Quantum Flagship）持续投入基础研究；另一方面，在网络安全与数据保护框架下推动PQC标准落地，2026年底启动迁移，关键基础设施2030年底前完成。欧盟强调“数字主权”，因此在PQC领域既重视自主算法能力，也强调标准话语权。

中国在这一领域同样动作迅速。一方面，持续推进量子通信基础设施建设（如量子保密通信干线）；另一方面，在密码学领域加强自主算法研究与标准体系建设。与欧美不同，中国更强调“体系化安全”，即将PQC纳入整体信息安全战略，而非单点技术替换。

此外，加拿大等国家已经给出更具操作性的时间表，例如要求联邦部门在2026年4月前提交PQC迁移计划，2031年前优先处理关键系统，并在2035年前完成全面部署。

可以看到，中美欧虽然路径不同，但方向高度一致：后量子安全正在成为国家级基础设施升级工程。

这也从侧面说明，量子安全已不再仅仅是技术层面的讨论，已上升到地缘政治竞争的核心。

PQC迁移的复杂性

面对量子威胁，业界普遍认为“后量子密码学”（PQC）是最现实的解决路径。与量子密钥分发等新型基础设施不同，PQC可以运行在现有经典计算机上，通过替换算法实现抗量子安全。

然而，问题在于，这并不是一次简单的算法升级，而是一场涉及整个信息系统的“基础设施重构”。

首先，PQC迁移涉及多个技术层级。从底层硬件到网络协议，再到操作系统和应用软件，几乎所有依赖公钥密码学的组件都需要调整。迁移的复杂度远超单点技术替换。

其次，性能问题仍然突出。当前主流PQC算法通常具有更大的密钥尺寸和更高的计算开销，这会对网络带宽、存储以及系统延迟产生直接影响。在大规模部署场景下，这种性能差异将转化为真实成本。

再次，“加密敏捷性”成为核心能力。未来系统必须具备在不中断业务的情况下快速切换加密算法的能力，这对系统架构提出了更高要求。传统“静态加密”模式正在被淘汰，取而代之的是动态、可升级的安全架构。

因此，PQC的本质不再是一个密码学问题，而是一个典型的系统工程问题。

此外，迁移规模也是一个挑战。如果要完成迁移的话，企业需要在四年的迁移窗口期内拿出技术安全预算的2%到5%来做这件事。数字很庞大，但更关键的问题是——谁来做？市场上既懂传统加密又懂后量子方案的人才极度稀缺，PQC迁移服务是增长最快的细分市场，这本身就说明了一个尴尬的事实，即大多数组织不具备独立完成迁移的能力。

世界尚未准备好

谷歌给出的2029年时间表，比NIST的2035年提前了整整6年。

对于从业者而言，谷歌的“加速声明”是一份礼物，它通过打破幻想，给了世界一个加速进化的理由。我们正处于一场全球性的、涉及数以亿计设备和数万亿美元资产的底层逻辑更换。在这个过程中，技术领先者正在定义新的游戏规则，而决策者则必须在2029年到来之前，完成从认知、预算到执行的全面跨越。

正如《时代》周刊所警告的：“世界尚未准备好”。但与此同时，一个更加坚韧、具备量子抗性的新型互联网正在建立。

未来的安全性将不再建立在单纯的数学难题之上，而是建立在持续的敏捷性、深度的技术协作以及对威胁提前感知的洞察力之上。2029年，将不仅是旧加密时代的终点，更是量子原生安全时代的起点。

现在，时间不算多，但够用。关键是—你已经开始了吗？

参考链接

[1]https://news.futunn.com/en/post/71170180/bitcoin-quantum-threat-is-real-and-closer-than-it-looks?level=1&data_ticket=1775614278134474

[2]https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/

[3]https://securityboulevard.com/2026/04/post-quantum-cryptography-moving-from-awareness-to-execution/

[4]https://www.prnewswire.com/news-releases/google-just-accelerated-the-post-quantum-timeline-every-ciso-in-the-world-is-now-a-buyer-302734822.html

[5]https://time.com/article/2026/04/07/ai-quantum-computing-advance/

[6]https://net.zhiding.cn/network_security_zone/2026/0331/3182818.shtml

[7]https://api.news.bitcoin.com/googles-quantum-advances-bring-bitcoin-security-debate-into-focus/

声明：本文来自光子盒，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。