密碼學家就量子計算是否構成威脅下注5000美元

量子計算與密碼學之間存在一種奇妙的疊加態——它既是一種潛在威脅，又是一項目前對解密毫無實際影響的技術。如今，兩位知名密碼學家正準備就這一不確定狀態將如何演變為可衡量的結果，展開一場賭注。

過去十年間，美國國家標準與技術研究院（NIST）一直在推動后量子密碼學（PQC）的發展，其依據是：未來某一天，量子計算機將有能力破解采用傳統算法加密的數據。

然而，也有人對此持懷疑態度。去年，新西蘭奧克蘭大學計算機科學教授彼得·古特曼在接受《寄存器》采訪時，對PQC表示了否定。他指出，由于量子計算機目前無法有效糾錯，甚至連35（6位二進制）這個數字都無法完成因式分解。而橢圓曲線密碼學的私鑰默認長度為256位，量子計算機要實現真正的破解，還有很長的路要走。

然而就在一周前，谷歌宣布對破解橢圓曲線密碼所依賴的離散對數問題（ECDLP-256）所需的量子計算資源重新進行了評估。谷歌研究人員表示，運行肖爾算法（一種用于解決因式分解和離散對數問題的方法），所需的物理量子比特數量比此前估計減少了約20倍。

盡管如此，量子計算機何時能真正威脅到密碼安全，目前仍無定論。NIST希望在2035年前淘汰易受量子攻擊的算法，但沒有人能確定這一時間節點是否合理，而安全廠商則堅持認為量子威脅迫在眉睫。

谷歌宣稱的技術進展，以及瑞士蘇黎世聯邦理工學院（ETH Zurich）于近期發布的量子進展報告，都表明相關擔憂應當盡快得到重視——除非你認為近期的量子研究本身就站不住腳。

曾供職于谷歌的密碼學工程師、開源維護者菲利波·瓦爾索達本周在一篇博客文章中援引了谷歌的最新研究及相關成果，主張向PQC的過渡需要加快步伐。

他暗指古特曼的反對立場過于淺薄，并援引德克薩斯大學奧斯汀分校計算機科學系主任、量子計算領域頂尖專家斯科特·阿倫森的相關表態，強調認真對待PQC的緊迫性。

"總的來說，也許十年后這些預測會被證明是錯的，但也有可能很快就會被證明是對的，而這種風險目前已經不可接受。"瓦爾索達寫道。

約翰斯·霍普金斯大學計算機科學副教授馬修·格林注意到了瓦爾索達的這篇文章，并在Bluesky平臺的一條帖子回復中表示："我認為這是一個合理的預防性分析，但我愿意押下巨額賭注，認為2029年甚至2035年之前不會出現真正具備密碼破解能力的量子計算機。"

兩人隨后進行了一番友好探討。格林提出了一個單邊驗證方式：購買一些比特幣并公開其公鑰——言下之意是，如果真的出現了具備密碼破解能力的量子計算機（CRQC），它將能夠破解保護該私鑰的橢圓曲線數字簽名算法（ECDSA），從而盜取資金。

不過，這對密碼學家最終似乎選擇了一種雙邊對賭的方式，具體方案由格林起草。

賭注金額為5000美元。若ML-KEM-768（一種近期獲批的抗量子算法）的共享密鑰被從公鑰和密文中成功還原——無論通過經典攻擊還是量子攻擊——瓦爾索達將支付賭注；若X25519（一種廣泛使用的橢圓曲線算法）的共享密鑰被從曲線上的一對公共點中成功還原——無論通過經典還是量子手段——則由格林負責支付。

理論上，X25519比ML-KEM-768更容易被量子密碼破解機攻克，因為后者在設計上對量子密碼分析具有更強的防御能力。因此，格林實際上是在賭：密碼分析領域的進展，將在量子系統真正發揮作用之前，先暴露出基于模格的密鑰封裝機制（ML-KEM）的弱點。

截至太平洋時間本周三上午，這一賭注尚未正式確立。瓦爾索達在給媒體的電子郵件中表示，臨時出現了一些意外情況，但他預計賭約很快就會正式簽訂。

"生活中出了點狀況，我想我們今天或明天就會把協議敲定。"他說道。

時間正在流逝。

Q&A

Q1：后量子密碼學（PQC）是什么，為什么NIST要推動它的發展？

A：后量子密碼學是一類專門設計用來抵御量子計算機攻擊的加密算法體系。NIST推動PQC的原因在于，現有的橢圓曲線密碼等傳統加密算法，在未來功能足夠強大的量子計算機面前可能會被輕松破解。NIST計劃在2035年前完成對易受量子攻擊算法的淘汰替換，以保障未來的數據安全。

Q2：谷歌關于量子計算的最新研究說明了什么？

A：谷歌研究人員重新評估了利用肖爾算法破解橢圓曲線密碼（ECDLP-256）所需的量子資源，發現所需物理量子比特數量比此前估算減少了約20倍。這一進展意味著量子計算對現有密碼體系的威脅可能比預期來得更早，但目前仍無法確定具備實際破解能力的量子計算機具體何時會出現。

Q3：瓦爾索達和格林的5000美元賭注具體是怎么設定的？

A：賭注采用雙邊對賭形式。若ML-KEM-768算法的共享密鑰被成功破解，瓦爾索達支付5000美元；若X25519算法的共享密鑰被成功破解，則由格林支付5000美元。前者是抗量子算法，后者是傳統橢圓曲線算法，格林實際上是在押注：傳統算法的弱點在量子計算機成熟之前不會被發現。