经典公钥方法正在量子计算机的威胁下瓦解？

量子计算威胁下的经典公钥加密

两篇新发表的论文可能让“量子日（Q-Day）”提前到来，并表明原定于 2035 年完成的向量子鲁棒密码学迁移的目标可能需要重新评估。这两篇论文分别概述了针对椭圆曲线密码学（ECC）的攻击方法。ECC 目前广泛用于数字签名（ECDSA 和 EdDSA）以及密钥交换（ECDH），应用场景涵盖区块链、TLS 会话、SSH 等众多安全协议。

谷歌研究：在 9 分钟内破解比特币？

第一篇论文是由谷歌发布的白皮书。该研究估计，只需不到 500,000 个物理量子比特，就能在不到 9 分钟的时间内，通过单个签名破解椭圆曲线密码学（ECC）的私钥。

论文展示了如何针对比特币和以太坊所使用的 secp256k1 曲线进行破解。该方案利用 Shor 算法，仅需不到 1200 个逻辑量子比特和 9000 万个 Toffoli 门。此外，论文还概述了一种零知识证明（ZKP）方法来验证结果，且攻击向量从未被披露。

突破性进展：仅需不到 10,000 个物理量子比特？

第二篇论文由来自 Oratomic 和加州理工学院（Caltech）的团队发表。他们阐述了中性原子量子计算机如何仅用 10,000 个物理量子比特破解 ECC。虽然这种方法破解需要几天而非几分钟，但目前已经在 6,100 多个量子比特上得到了验证。

目前普遍认为，破解现有的 ECC 方法需要数百万个物理量子比特。然而，该论文指出，通过使用高效率的量子纠错码、高效的逻辑指令集以及优化的电路设计，在约 10,000 个可重构原子量子比特上破解 ECC 是完全可能的。

此前，如图 1 所示，Badbush 等人曾定义破解 256 位 ECC 大约需要 100 万个物理量子比特。

图 1

现在的最新估计显示，使用 26,000 个物理量子比特可以在几天内破解 P-256 椭圆曲线。相比之下，破解 RSA-2K 需要的时间要长一到两个数量级。例如，使用 26,000 个量子比特破解 ECC-256 需要 10 天，而使用 102,000 个量子比特破解 RSA-2K 则需要 97 天（如图 2 所示）。

图 2

总结与反思

回顾最初的 RSA 论文，曾定义分解 RSA-100（一个 100 位的模数）需要数十亿年：

然而，到了 1991 年，100 位的模数就被破解了。如今，RSA-1024（308 个十进制位）已不再被视为安全。这个故事告诉我们：虽然可以评估当前的加密安全性，但科研探索将不断推向可能的极限。

如果你想将位数与 RSA 模数大小联系起来，可以乘以 0.301，例如：

• 512 位 -> 154 位数字
• 1024 位 -> 308 位数字
• 2048 位 -> 616 位数字

虽然 2035 年是弃用 ECC 和 RSA 的目标期限，但我们或许需要确保更早完成迁移。

参考文献

[1] https://arxiv.org/pdf/2603.28627

• 原文链接： medium.com/asecuritysite...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～