一项新研究提出,通过优化算法,破解 RSA-2048 加密所需的物理量子比特数量可以大幅减少到 10 万以下。这一进展虽然在技术上被认为是可信的,但也引发了关于工程实现难度和是否应公开此类敏感研究的讨论。最终的共识倾向于开放,认为公开警告世界、推动向抗量子加密迁移的好处,超过了潜在的风险。
新的资源估算
悉尼的一个研究团队发表了一篇预印本论文,对 Shor 算法的资源需求进行了新的估算。
- 核心方法: 提出使用 LDPC 码(低密度奇偶校验码)替代传统的表面码。
- 主要成果: 宣称能够用 少于 10 万个物理量子比特 来破解 RSA-2048 加密。
- 重大意义: 这比之前由 Craig Gidney 提出的估算,在数量级上有了显著的改进。
技术可行性与挑战
这项工作被认为是严肃且可信的,但实现起来存在一些工程上的难题。
主要的担忧在于,LDPC 码比表面码更难工程实现,因为你需要对错误症候进行远距离的非定域测量。
- 对于 超导量子比特 来说,这种实现尤其困难。
- 对于 囚禁离子 来说,难度相对较小。
关于公开披露的辩论
这项研究引发了一个关键问题:这类工作是否还应该公开发表?
最初,有人担心这会给恶意行为者提供工具。但密码学界的专家,如 Nadia Heninger,提供了不同的视角。密码学社区几十年来一直在讨论这个问题,并得出了坚定的结论:支持开放出版。
- 负责任的披露: 密码学界通常的做法是设立一个等待期(例如 90 天),进行“负责任的披露”。
- 权衡利弊: 虽然公开会让黑客可能利用这些新方法,但它也向全世界发出了一个 响亮、清晰、公开的警告,敦促各方更快地迁移到抗量子加密。
- 社区支持: 密码学界会支持那些披露其发现的研究团队,认为他们做了几十年来被证明是正确的事情。
更广泛的密码学背景
如今,在实际应用中,破解椭圆曲线密码学(ECC)的紧迫性甚至高于 RSA。
具有讽刺意味的是,椭圆曲线密码学 可能会比 RSA 更早被量子计算机攻破。原因在于:
- ECC 对抗 经典计算机攻击 的安全性更高,导致人们普遍使用较短的密钥,例如 256 位。
- 相比之下,RSA 使用的是 2048 位 密钥。
- Shor 算法的效率主要取决于 密钥长度,因此,较短的 ECC 密钥反而成了量子计算机面前的薄弱环节。