原文来自比特币安全研究员 Justin Drake
编译|Odaily星球日报 秦晓峰( @QinXiaofeng 888 )
编者按:今年 3 月,谷歌量子研究团队发布研究论文,直言未来量子计算机破解保护加密货币的椭圆曲线密码,所需资源远比此前认知中所需的更少,量子计算对于加密货币的威胁迅速成为外网讨论的焦点。有意思的是,谷歌的研究论文并没有完整公开底层电路细节,而是在与美国政府沟通后通过零知识证明(ZK)的方式证明了自己的估算结果。这也导致过去几个月,一众技术大神孜孜不倦地尝试试图破解谷歌原始论文细节。
6 月 2 日,谷歌量子论文合著者、 比特币安全研究员 Justin Drake 发文称,到 2032 年发生 Q-Day 的概率为 50%。到 2030 年为 10%。 (Odaily 注:Q-Day,即 Quantum Day(量子日),是指量子计算机强大到足以破解现行全球主流加密技术的那一天。)
以下为原文内容,由 Odaily星球日报 编译,Enjoy~
————————————
今天,疯狂的量子故事变得愈发离奇。
3 月 31 日,Google 量子人工智能团队发布了一项关于 Shor 算法在椭圆曲线密码学上应用的里程碑式成果。严格来说,这篇论文堪称重磅炸弹:性能比此前最先进水平大幅提升了 10 倍。作为一个噱头兼对区块链领域敲响的警钟,这些优化以 secp256k1 椭圆曲线为例进行了说明——这正是支撑比特币和以太坊签名的椭圆曲线。
但论文最引人注目之处或许不在技术,而在其社会影响。他们没有遵循标准学术流程,而是将这些优化保密,隐藏在一份零知识证明(ZK)背后。Google 的文章提到他们“与美国政府进行了接触”。这份 ZK 证明在展示算法改进的同时,不泄露任何细节。用零知识证明进行学术审查,这是史无前例的第一次!
作为 Google 这篇论文的共同作者,我亲眼见证了围绕这次审查的一些背景。老实说,背后有很多让我心感不安的要素。我固然相信公众有权了解更多,但我吹哨揭发的渠道有限。不过,有一点我要明确说清楚:Google 团队的专业精神堪称典范,他们只配得到赞美,别无其他。
审查往往适得其反。Streisand 效应,即试图掩盖某事反而令其更受关注,今天正在上演。首先,Google 的关键优化已被法国人重新发现。更令人兴奋的转折是,一个名为“Shor-at-home”(在家算 Shor)的协作挑战刚刚启动。该倡议的网址是 ecdsa[.]fail,启动后数小时内便刷新了 Shor 算法的世界纪录。
第一部分:性能提升 8.4%
先说说这次重新发现。就在 Google 论文发表仅两个月后,法国量子专家 André Schrottenloher 便破解了这项核心机密优化。他的论文《椭圆曲线离散对数的优化点加电路》今天上线了 arXiv。向 André表示热烈祝贺,他击败了其他几位同样被这个问题深深吸引、竞相角逐的专家。同样在今天发表的博文中,Shor 优化领域的世界权威 Craig Gidney 透露, 由于审查压力,这项优化他本人已整整坐守了一年之久。
有趣的是,André遗漏了少量微优化,这些既包括 Google 最初公布中的,也包括之后发现的一些改进。Shor 算法上很可能还留有大量油水可榨,而这正是 ecdsa[.]fail 挑战的焦点所在。为 ZK 证明开发的那套验证程序发挥了双重作用,能自动筛选有效提交。数十个叠加的小型及微型优化正不断涌现。截至撰稿时,以逻辑量子比特数与 Toffoli 门数之积衡量,已有比谷歌电路提升 8.4%的成果。不错!
这股“激将解题”的热潮比任何人预想的都要深。过去几周中,事情已经越过了 André 和其他量子专家这个圈子。在幕后,一支小小的业余爱好者军团悄然投入工作。受 Karpathy 式自主研究的启发,他们将 AI 用在了 Shor 算法上。具有讽刺意味的是,那份 ZK 证明的验证程序恰好成了 AI 绝佳的奖励函数。这种现代研究风格的门槛低得令人耳目一新,多位非专业人士,甚至一位青少年,都找到了不错的优化。如果你想加入一个与其他自主研究者一起的 Telegram 群组,欢迎联系我。
第二部分:中性原子与 Q-Day
故事并未止步于 Google。就在 Google 公布结果的同一天,一家名为 Oratomic 的隐秘初创公司同步发布了自己的 Shor 论文。这篇论文引起了轰动,最终成为 scirate[.]com(一个对 arXiv 论文进行排名的网站)上获投票最多的论文。
Oratomic 的主张非常惊人。他们以 Google 的逻辑优化为基础,并应用了针对中性原子量身定制的物理层优化, 声称仅需 1 万个物理量子比特就足以在 secp256k1 上运行 Shor 算法。这个数字低得令人难以置信。
Oratomic 论文上线时,我对中性原子几乎一无所知,这勾起了我的兴趣,决定一探该技术究竟。我一头扎了进去,为此花了好几百个小时。我有些痴迷,看完了能找到的所有 YouTube 视频,并与许多专家进行了交流。
我的结论是:这项技术非常、非常实在。连 Google 最近都决定建立一个中性原子实验室,从专注超导量子比特显著转向。如果你关心 Q-Day(即量子计算机攻破首个实际运行中加密算法的那一天),中性原子值得你关注。我在 ZKProof 密码学会议的一场 30 分钟演讲中,分享了我对 Shor 和中性原子的部分了解,你可以在 YouTube 上搜索“zkproof neutral atom”找到它。
关于这两篇突破性论文,有个有趣的观察: 无论是 Google 还是 Oratomic,都绝口不提自己的结果对 Q-Day 意味着什么。 没有任何时间线——零——完全缄默。考虑到白帽量子密码分析的整个意义正是为 Q-Day 估计提供信息,并帮助公众做出好的决策,这一点尤其令人费解。
因此,请允许我试图部分填补这段沉默,就像 Scott Aaronson 在 4 月 29 日博文中所做的那样。基于我所知的一切,包括一些不能公开的可怕信息, 我现在认为 2032 年之前出现 Q-Day 的概率是 50%,2030 年之前是 10%。
顺便提一件轶事:美国政府有自己的日期: 2035 年。 该日期源自美国国家安全局,后来被 NIST 采纳,届时美国政府各分支将不得使用量子脆弱的密码系统。说得直白一点:事后看来,那个日期就是个笑话,应当被完全忽略。我不认为 NIST 能避免被迫将其向前调整好几年。
第三部分:后量子密码学
今天有充分理由敲响警钟,但请不要恐慌。仓促且草率地奔向尚不成熟的后量子密码学,那是灾祸。依我之见,迁移的一个良好目标日期是 2029 年,大约还有三年半。2029 年恰好也是 Google、Cloudflare 和以太坊基金会选定的日期。
最近,我的大部分时间都致力于在“精益以太坊”这个更广阔的框架下,安全地将以太坊迁移到后量子密码学。要做的事情很多。我们需要在共识层移除并替换 BLS 签名,在数据层替换 KZG 承诺,在执行层替换 ECDSA 签名。
达成这一目标的计划令人振奋,它基于哈希密码学。在以太坊基金会内部,我们打造了一把名叫 leanVM(github[.]com/leanEthereum/leanVM)的瑞士军刀,由基于哈希的 SNARK 算法驱动。得益于 Emile、Thomas 等人真正卓越的工作,其性能风险已经消除。在安全性上,leanVM 是一颗珍宝,一个为端到端形式化验证和极致安全而打造的精简 zkVM。
想帮忙吗?有两个百万美元级别的倡议。第一,Proximity Prize(proximityprize[.]org)。解决编码理论中一个悬而未决的数学猜想,改进基于哈希的 SNARK,你就将成为百万富翁。第二,Poseidon Initiative(poseidon-initiative[.]info),悬赏 100 万美元征求攻破 Poseidon,这是一种对 SNARK 友好的哈希函数。
