量子计算重大突破：仅需 10,000 个量子比特即可运行 Shor 算法

本周发表的两篇里程碑式论文，大幅降低了用量子计算机破解现代加密技术的资源需求。这两项结果于2026年3月30-31日公布，标志着量子威胁当前加密标准的时间线发生了重大变化。

加州理工论文：10,000 量子比特运行 Shor 算法

来自加州理工大学的团队（包括著名物理学家 John Preskill）证明，Shor 算法——能够破解 RSA 和椭圆曲线加密的量子算法——仅需 10,000 个可重构原子量子比特 即可在密码学相关规模上执行。

核心发现：

• 使用 26,000 个物理量子比特，在 P-256 椭圆曲线上的离散对数计算可在 仅几天内 完成
• 分解 RSA-2048 的时间将长一到两个数量级
• 最近的中性原子实验已展示超过 6,000 个高相干性量子比特的阵列

谷歌论文：以零知识证明实现负责任披露

谷歌量子计算团队（包括 Craig Gidney 和 Hartmut Neven）发布了新的资源估算，显示破解 256 位椭圆曲线加密需要：

• 少于 1,200 个逻辑量子比特 和少于 9,000 万个 Toffoli 门，或
• 少于 1,450 个逻辑量子比特 和少于 7,000 万个 Toffoli 门

前所未有的做法是，谷歌选择使用 零知识证明 来验证这些结果——在不向潜在攻击者透露细节的情况下证明电路的存在。这是数学史上首次通过密码学证明来宣布研究成果。

对比特币和加密货币的影响

加州理工论文特别指出，比特币签名"看起来比此前已知的更容易受到量子攻击"。之前的估计需要数百万个物理量子比特；新研究表明仅需 25,000 个物理量子比特 即可——减少了两个数量级。

谷歌论文引入了快速时钟架构（超导、光子）与慢速时钟架构（中性原子、离子阱）之间的关键区分，指出首批快速时钟密码学相关量子计算机（CRQC）可能实现对公共内存池交易的即时攻击。

专家评论

德克萨斯大学奥斯汀分校的知名量子计算研究员 Scott Aaronson 评论道，虽然这些结果没有改变量子计算的基本原理，但它们"确实大幅改变了数字"。他强调了升级到抗量子密码学的紧迫性。

组织应如何应对？

1. 立即评估 对椭圆曲线和 RSA 加密的依赖程度
2. 开始迁移 到后量子密码学标准（NIST PQC 标准）
3. 审计 区块链和加密货币持有量中的量子漏洞
4. 密切关注 量子硬件的发展时间线

来源：arXiv:2603.28627、arXiv:2603.28846、Shtetl-Optimized