编者按：当量子计算仍被视为「远期风险」时，谷歌的最新研究给出了更现实的信号：攻击门槛正在被快速压低，安全边界也随之提前收紧。

在谷歌看来，量子威胁不再只是技术问题，而是一项需要提前规划的系统性过渡。对加密行业而言，真正的挑战已不在于「是否会发生」，而在于能否在风险落地之前，完成向后量子密码体系的迁移。

以下为原文：

谷歌正呼吁加密货币社区尽早转向后量子密码体系，并在最新研究中指出：面对未来量子计算机，现有安全机制被攻破所需的资源门槛，可能远低于市场此前的普遍预期。

谷歌量子 AI 在一份新发布的白皮书中，重新评估了破解支撑大多数区块链与安全系统的椭圆曲线密码（ECC）所需的量子计算资源。结果显示，这一过程或只需不到 50 万个物理量子比特即可完成。研究团队还构建了执行 Shor 算法以破解 ECDLP-256 的量子电路方案，仅需约 1450 个逻辑量子比特和 7000 万个 Toffoli 门，将所需物理量子比特规模压缩至此前的约二十分之一。

量子算法研究负责人 Ryan Babbush 与工程副总裁 Hartmut Neven 表示，此举旨在提升行业对该问题的认知，并为加密社区提供具体建议，以在相关威胁真正落地前，完成安全体系的过渡与升级。

谷歌给出后量子密码迁移时间表：以 2029 年为关键节点

谷歌正在正面应对一项逐渐逼近的数字安全风险——量子计算机一旦具备规模化能力，将可能破解现有主流加密标准。谷歌量子 AI 团队的最新研究显示，未来量子计算机破解用于保护加密货币等系统的椭圆曲线密码时，所需资源或显著低于此前预期，这也促使公司采取更为前置的应对策略。

该研究通过量化破解 256 位椭圆曲线离散对数问题（当前密码体系的核心基础）所需的量子资源（包括量子比特与门操作），对攻击成本给出了更精细的测算——所需物理量子比特规模较此前估计下降约 20 倍，反映出算法效率的明显提升。在此基础上，谷歌提出了以 2029 年为时间节点的迁移路径，并正与 Coinbase、斯坦福区块链研究中心及以太坊基金会等机构协同推进，为系统性过渡提前铺路，以保障加密资产体系的长期稳定运行。

Shor 算法最新估计：约 1200 个量子比特与 7000 万个 Toffoli 门

近期量子计算的进展，正在迫使行业重新评估破解现有加密体系（尤其是加密货币安全基础）所需的资源规模。谷歌量子 AI 的研究人员在白皮书中更新了 Shor 算法的执行成本估计——该算法理论上可以破解用于保护数字资产的椭圆曲线密码。结果显示，实现这一攻击所需的量子比特与门操作数量，均明显低于此前预期。根据他们的测算，在当前硬件假设下，这些量子电路可在一台少于 50 万个物理量子比特的超导量子计算机上，于数分钟内运行完成。这一优化将破解 ECDLP-256 所需的物理量子比特数量压缩约 20 倍，也延续了量子算法在编译与效率上的持续改进路径。

为负责任地披露这些发现，谷歌已与美国政府沟通，并开发出一种「零知识证明」机制，使外界能够验证其研究结论的正确性，同时避免直接提供攻击蓝图。研究人员建议，区块链系统应逐步过渡至具备抗量子攻击能力的后量子密码学，并呼吁其他研究团队采用类似的负责任披露方式，以保护用户安全。

零知识证明：在透明与安全之间寻找边界

谷歌研究人员正在探索一种新的安全披露方式，以应对量子计算带来的独特挑战。这一思路的核心，是在「信息透明」与「避免成为攻击指南」之间找到平衡。

该方法延续了「负责任披露」和「协同漏洞披露」的基本原则，同时额外引入一层保护机制，尽量降低信息被过早利用的风险。Babbush 与 Neven 指出，未经验证的量子攻击说法本身也可能动摇市场对区块链技术的信心，从而演变为新的系统性风险。

在具体实现上，零知识证明允许第三方独立验证谷歌关于破解 ECDLP-256 所需资源的估算结果，但无需接触底层量子电路的具体实现。研究人员表示，他们通过发布这一加密构造，在不暴露关键细节的前提下完成了结论验证。

谷歌同时呼吁更多研究团队采用类似机制，推动建立更负责任的漏洞披露体系，以在信息共享与安全防护之间维持必要的张力，从而降低未来量子威胁对数字经济的潜在冲击。

区块链防护路径：转向后量子密码学（PQC）

随着大规模量子计算机逐渐从理论走向现实，支撑加密货币与区块链系统的安全基础正面临越来越明确的挑战，这也促使行业开始主动转向后量子密码学。

此次研究显著降低了实施攻击所需的量子硬件规模，从而在时间维度上提前了潜在风险窗口。研究人员指出，后量子密码学提供了一条相对成熟且可行的路径，用于构建抗量子攻击的区块链安全体系，并为数字货币及更广泛数字经济在量子时代的长期稳定性提供支撑。由于相关解决方案的部署需要时间，提前布局与渐进迁移，将成为维持系统信任的关键。

[原文链接]