零知识证明如何让量子电路变得“私密”

realmscape
发布于 2026-03-27 12:22
阅读 112

Google Quantum AI、斯坦福和以太坊基金会研究人员开发了能破解椭圆曲线加密（ECC）的量子电路，并利用零知识证明（ZKP）在不公开电路细节的情况下验证其存在。文章详细介绍了量子电路的元数据及性能优化，并提供了使用 Rust 和 SP1 SDK 独立验证这些零知识证明的具体技术步骤。

帮助非物理学家为后量子、超级计算领域做好准备。

订阅即表示你同意 Substack 的[使用条款](https://substack.com/tos)，并确认其[信息收集通知](https://substack.com/ccpa#personal-data-collected)和[隐私政策](https://learnblockchain.cn/article/12158)。

## 零知识证明如何让量子电路实现“私有化”

#### Google Quantum AI 使用零知识证明来隐藏并确认能够破解流行密码学的量子电路

这篇文章对邮件来说太长了，建议在应用中阅读。

![](https://img.learnblockchain.cn/2026/04/13/Fecf26c07-ec73-414e-adeb-559ad5e59763_1400x703.png)

我写这篇文章的主要动机是帮助读者了解如何解读量子计算论文，特别是随着该领域变得更加主流且煽动性言论广泛传播。

在最近的一份[白皮书](https://arxiv.org/pdf/2603.28846)中，来自 [Google Quantum AI](https://quantumai.google/)、[斯坦福大学](https://www.stanford.edu/)和 [以太坊基金会](https://ethereum.foundation/)（Ethereum Foundation）的研究人员开发了规模更小、资源消耗更低的[量子电路](https://medium.com/@jkim_tran/how-to-create-a-quantum-circuit-3d1dbbc171a1)（即在量子计算机上运行的程序），能够破解[椭圆曲线密码学](https://nordpass.com/blog/elliptic-curve-cryptography/) (ECC)。

![](https://img.learnblockchain.cn/2026/04/13/2Fec9ad502-7738-4c07-a15e-4a4a3144383c_707x379.png) 逻辑 Qubit（量子计算单元）和 Toffoli Gate（计算操作）在解决 256 位椭圆曲线离散对数问题时的对比，该问题是椭圆曲线密码学 (ECC) 的数学基础。Google Quantum AI 引入的电路在一种设计中减少了 84% 的逻辑 Qubit，在另一种设计中减少了约 73% 的 Gate。参见[白皮书](https://arxiv.org/pdf/2603.28846v1)第 8 页。

这一点意义重大，因为据估计，最终将需要更短的时间在性能较低的量子计算机上破解 ECC，而 ECC 是一种广泛使用的加密方案，保护着互联网和数字协议的大部分安全。

同样值得注意的是，该团队并没有公开量子电路，而是使用了[零知识证明](https://ethereum.org/zero-knowledge-proofs/)来验证电路，而无需披露其内容。

零知识证明 (zk proofs) 是一种加密方法，一方可以向另一方证明某事是真的，而无需透露任何信息。

那么我们如何验证这些量子电路是否存在呢？

这篇文章解释了这些电路，并侧重于回答这个确切的问题：如何独立验证这些 zk proofs 并确认这些“私有”量子电路的存在。

### **为什么要使用零知识证明**

行业领导者强调，越来越多地使用 zk proofs 来隐藏重要的量子电路，这凸显了理解和验证它们的必要性。

这暗示了一个新兴趋势，即研究人员希望将电路商业化，或者使其远离恶意行为者，或者面临政府要求扣留电路的压力。

白皮书指出，与之前的研究人员不同，他们不会公开电路，因为一旦实用的量子计算机问世，恶意行为者可能会利用这些电路：

> 然而，详细的密码分析蓝图可能被敌对行为者武器化的风险不断升级，这使得披露做法必须发生转变。

白皮书合著者、以太坊基金会研究员 [Justin Drake](https://x.com/drakefjustin/status/2038847732152996108) 建议，更多有价值、重要的电路将保持不发布状态：

> 从现在开始，假设最先进的算法将被审查。出于道德或商业原因，或者由于政府压力，可能会出现自我审查。学术出版物的停滞将是一个明显的信号。

[Nic Carter](https://learnblockchain.cn/article/24941) 是一位著名的比特币投资者和 [Castle Island Ventures](https://castleisland.vc/) 的联合创始人，他将使用 zk proof 来隐藏 Google Quantum AI 的量子电路，与原子弹开发前夕核研究的分类进行了比较：

> 这 [使用零知识证明来隐藏 Google Quantum AI 的量子电路] 让人想起物理学界在研制原子弹之前的经历。1940 年，美国国家科学院自愿采取了自我审查制度。一旦曼哈顿计划开始，所有的正式出版物都停止了。1945 年 7 月，第一颗裂变弹在新墨西哥州的白沙导弹靶场爆炸。

随着越来越多的研究人员采用 zk proofs 来隐藏但“证明”特定量子电路的存在，理解如何验证它们变得至关重要。

### **Google 的量子电路意味着什么**

Google Quantum AI 的研究人员提供了两个能够破解 ECC 的量子电路的元数据。

如果一个电路能够解决 9,024 个具有不同起点输入的[椭圆曲线点加法问题](https://www.certicom.com/en/21-elliptic-curve-addition-a-geometric-approach)，则被认为能够破解 ECC。

给定椭圆曲线上的两个起点 P 和 Q，电路可以找到第三个点，即点 (-R)，它是经过 P 和 Q 的直线与曲线的交点。然后，通过将点 (-R) 沿 x 轴对称，计算出点 R。R 被反射为 P 和 Q 的和（加法）。

用更直接的数学术语来说：

> **在所有 9,024 个从电路自身的哈希值确定的伪随机输入中，正确计算了 [secp256k1 椭圆曲线](https://en.bitcoin.it/wiki/Secp256k1)（比特币中使用的椭圆曲线类型）上的点加法**

![](https://img.learnblockchain.cn/2026/04/13/19776875-ac45-4bd1-a2c3-c123541c4213_1062x570.jpeg) 计算点 R 的示例。在椭圆曲线中，穿过两个点 (P 和 Q) 的直线总是在第三个（也是唯一的第三个）点 (-R) 处与曲线再次相交。点 R 是通过将点 (-R) 沿 x 轴对称产生的 R = P + Q。来源：[NordPass](https://nordpass.com/blog/elliptic-curve-cryptography/)

大多数椭圆曲线不像这个例子那样均匀，对于日常的经典计算机来说，第三个点的位置并不明显，这使得 ECC 在传统上对于加密数字数据非常安全，如视频中解释的那样：

[14 椭圆曲线上的点加法](https://www.youtube.com/watch?v=9WjyYSn3c8I) [Bogdan Stashchuk](https://www.youtube-nocookie.com/channel/UCiyasqPIZz8zzbJp7-17dJw)

因此，解决 9,024 个此类问题绝非易事。正如 Google Quantum AI 的研究人员声称的那样，能够解决 9,024 个实例的量子电路表明它可以可靠地执行完整 ECC 攻击所需的椭圆曲线算术。

Google Quantum AI 提供了满足此标准的两个电路的详细信息；每个电路都针对不同的目标进行了优化。

1. 第一种方法使用**更少的 Qubit**，或称[量子计算单元](https://www.ibm.com/think/topics/qubit)，使其针对硬件限制进行了更多优化。

2. 第二种方法使用**更少的 Gate** 或称[计算操作](https://www.nist.gov/physics/introduction-new-quantum-revolution/quantum-logic-gates)，使其针对运行性能进行了更多优化。

拥有两个针对不同目标优化的电路，可以使它们在更适合特定任务（如硬件或性能）的各类量子计算机上运行。

##### **电路元数据**

尽管这些量子电路所需的资源比其他能破解 ECC 的电路少 70% 到 80%，但它们作为程序在量子计算机上运行仍然显得太大。它们的性能仍然基于理论假设，尽管不应被忽视。

![](https://img.learnblockchain.cn/2026/04/13/2Fd6b55644-0de6-4504-bfe7-13a017579c38_708x368.png) 该图显示了破解 RSA-2048（一种流行的加密方案）所需的估计值，它是[物理 Qubit](https://www.ionq.com/blog/demystifying-logical-qubits-and-fault-tolerance)（左，用于保护逻辑 Qubit 的原始硬件 Qubit）数量和 [Toffoli Gate](http://a%20graph%20showing%20the%20published%20estimates%20needed%20to%20break%20rsa-2048,%20a%20popular%20cryptographic%20scheme,%20with%20the%20number%20of%20physical%20qubits%20(left)%20and%20number%20of%20toffoli%20gates%20(right)./)（右，特定的量子逻辑操作）数量的函数。参见[白皮书](https://arxiv.org/pdf/2603.28846)第 10 页。

电路元数据包括 [non-Clifford gate](https://www.nature.com/articles/s41534-024-00945-3) 的数量（这是通用量子计算所需的运算）和[逻辑 Qubit](https://quantum.microsoft.com/en-us/insights/blogs/qsharp/defining-logical-qubits-criteria-for-resilient-quantum-computation) 的数量（逻辑 Qubit 是执行计算的 Qubit，同时受到周围许多物理 Qubit 的保护，以防止噪声和错误）。

Qubit 数量较少的量子电路（即“低 Qubit 量子电路”）包括：

- 2,700,000 个 non-Clifford gate

- 1,175 个逻辑 Qubit

Gate 数量较少的量子电路（即“低 Gate 量子电路”）包括：

- 2,100,000 个 non-Clifford gate

- 1,425 个逻辑 Qubit

![](https://img.learnblockchain.cn/2026/04/13/e35121b5-b97c-4f4a-b5cd-7f5d138e9738_1920x1080.png)

### **验证元数据**

##### **零知识证明是如何创建的**

为每个量子电路生成了一个零知识证明，产生了三个分配的标识符用于验证其元数据。

以下是白皮书中展示的低 Qubit 量子电路的标识符：

```
电路 SHA-256 哈希:
0xcc8f532ffea1583ceed3c9af75de3263ebaddd5fdf3cddfb3dea848b94d0396a

验证密钥:
0x00ca4af6cb15dbd83ec3eaab3a0664023828d90a98e650d2d340712f5f3eb0d4

Groth16 Proof Bytes:
0x0e78f4db0000000000000000000000000000000000000000000000000000000000000000008cd56e10c2fe24795cff1e1d1f40d3a
324528d315674da45d26afb376e86700000000000000000000000000000000000000000000000000000000000000000215c7fe4fc59
7b861d82370ab556684ae36e98cf073e7f754f2788ad58721dbd012927516f316e7b4f3effb1dbd567732611cb0334f2d75e529c5e3
becd0629c17605c7ff87c6f23324328744454bdec0df425a4a63e3358c10079c85ef757412ae86ae1f85bf47ef6980852d6f65423be
2d90adb5b29896493324128b1cda0a0042f7138c850a1ca441210ba770a2eee39d56f6f90bf68b7a346e1658c6529715334621b6e1a
63b85875b8c8a610e0d885662879755803027dad57d97140afb2498bbb63215b236575f95b0019f2b9713bc810e1e044d47ab360e92
b899c46512fc97460609186bf1fe01c892a8015fb00e7fdea11b08f88c6adb79b1243518
```

以及低 Gate 量子电路的标识符：

```
电路 SHA-256 哈希:
0x24f5758f2216aa87aa2806af32a0db788767b873cf6869510cca3d893b3f8a69

Groth16 Proof (Hex):
0x0e78f4db0000000000000000000000000000

>- 原文链接： [open.substack.com/pub/re...](https://open.substack.com/pub/realmscape/p/how-zero-knowledge-proofs-make-quantum?utm_campaign=post-expanded-share&utm_medium=web)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

帮助非物理学家为后量子、超级计算领域做好准备。

订阅即表示你同意 Substack 的使用条款，并确认其信息收集通知和隐私政策。

零知识证明如何让量子电路实现“私有化”

Google Quantum AI 使用零知识证明来隐藏并确认能够破解流行密码学的量子电路

这篇文章对邮件来说太长了，建议在应用中阅读。

我写这篇文章的主要动机是帮助读者了解如何解读量子计算论文，特别是随着该领域变得更加主流且煽动性言论广泛传播。

在最近的一份白皮书中，来自 Google Quantum AI、斯坦福大学和以太坊基金会（Ethereum Foundation）的研究人员开发了规模更小、资源消耗更低的量子电路（即在量子计算机上运行的程序），能够破解椭圆曲线密码学 (ECC)。

逻辑 Qubit（量子计算单元）和 Toffoli Gate（计算操作）在解决 256 位椭圆曲线离散对数问题时的对比，该问题是椭圆曲线密码学 (ECC) 的数学基础。Google Quantum AI 引入的电路在一种设计中减少了 84% 的逻辑 Qubit，在另一种设计中减少了约 73% 的 Gate。参见白皮书第 8 页。

同样值得注意的是，该团队并没有公开量子电路，而是使用了零知识证明来验证电路，而无需披露其内容。

零知识证明 (zk proofs) 是一种加密方法，一方可以向另一方证明某事是真的，而无需透露任何信息。

那么我们如何验证这些量子电路是否存在呢？

这篇文章解释了这些电路，并侧重于回答这个确切的问题：如何独立验证这些 zk proofs 并确认这些“私有”量子电路的存在。

为什么要使用零知识证明

行业领导者强调，越来越多地使用 zk proofs 来隐藏重要的量子电路，这凸显了理解和验证它们的必要性。

这暗示了一个新兴趋势，即研究人员希望将电路商业化，或者使其远离恶意行为者，或者面临政府要求扣留电路的压力。

白皮书指出，与之前的研究人员不同，他们不会公开电路，因为一旦实用的量子计算机问世，恶意行为者可能会利用这些电路：

然而，详细的密码分析蓝图可能被敌对行为者武器化的风险不断升级，这使得披露做法必须发生转变。

白皮书合著者、以太坊基金会研究员 Justin Drake 建议，更多有价值、重要的电路将保持不发布状态：

从现在开始，假设最先进的算法将被审查。出于道德或商业原因，或者由于政府压力，可能会出现自我审查。学术出版物的停滞将是一个明显的信号。

Nic Carter 是一位著名的比特币投资者和 Castle Island Ventures 的联合创始人，他将使用 zk proof 来隐藏 Google Quantum AI 的量子电路，与原子弹开发前夕核研究的分类进行了比较：

这 [使用零知识证明来隐藏 Google Quantum AI 的量子电路] 让人想起物理学界在研制原子弹之前的经历。1940 年，美国国家科学院自愿采取了自我审查制度。一旦曼哈顿计划开始，所有的正式出版物都停止了。1945 年 7 月，第一颗裂变弹在新墨西哥州的白沙导弹靶场爆炸。

随着越来越多的研究人员采用 zk proofs 来隐藏但“证明”特定量子电路的存在，理解如何验证它们变得至关重要。

Google 的量子电路意味着什么

Google Quantum AI 的研究人员提供了两个能够破解 ECC 的量子电路的元数据。

如果一个电路能够解决 9,024 个具有不同起点输入的椭圆曲线点加法问题，则被认为能够破解 ECC。

用更直接的数学术语来说：

在所有 9,024 个从电路自身的哈希值确定的伪随机输入中，正确计算了 secp256k1 椭圆曲线（比特币中使用的椭圆曲线类型）上的点加法

计算点 R 的示例。在椭圆曲线中，穿过两个点 (P 和 Q) 的直线总是在第三个（也是唯一的第三个）点 (-R) 处与曲线再次相交。点 R 是通过将点 (-R) 沿 x 轴对称产生的 R = P + Q。来源：NordPass

14 椭圆曲线上的点加法 Bogdan Stashchuk

Google Quantum AI 提供了满足此标准的两个电路的详细信息；每个电路都针对不同的目标进行了优化。

第一种方法使用更少的 Qubit，或称量子计算单元，使其针对硬件限制进行了更多优化。
第二种方法使用更少的 Gate 或称计算操作，使其针对运行性能进行了更多优化。

拥有两个针对不同目标优化的电路，可以使它们在更适合特定任务（如硬件或性能）的各类量子计算机上运行。

电路元数据

该图显示了破解 RSA-2048（一种流行的加密方案）所需的估计值，它是物理 Qubit（左，用于保护逻辑 Qubit 的原始硬件 Qubit）数量和 Toffoli Gate（右，特定的量子逻辑操作）数量的函数。参见白皮书第 10 页。

电路元数据包括 non-Clifford gate 的数量（这是通用量子计算所需的运算）和逻辑 Qubit 的数量（逻辑 Qubit 是执行计算的 Qubit，同时受到周围许多物理 Qubit 的保护，以防止噪声和错误）。