← 返回列表

量子破解比特币倒计时:ECDLP 挑战阶梯

Brace for impact: ECDLP challenges for quantum cryptanalysis (arXiv:2508.14011)
Pierre-Luc Dallaire-Demers, William Doyle, Timothy Foo
Independent / Quantum Security Research
2025-08-19
#paper #xray #量子计算 #密码学 #比特币 #ECDLP #Shor算法 #后量子

挠痒

RSA 有分解挑战赛(RSA Factoring Challenge),已经跑了几十年,社区随时知道"我们离破解还有多远"。

椭圆曲线密码(ECC)没有。

2009 年 Certicom 的 ECC 挑战太稀疏。"Bitcoin Puzzle"地址限制了私钥区间(用 Pollard kangaroo 就能解,不是真正的全范围 ECDLP 攻击)。社区缺一个细粒度的公开基准来回答:量子计算机离破解 secp256k1 还有多远?

Dallaire-Demers 团队填了这个空白。

问题: ECC 缺乏细粒度量子威胁基准
        ↓
方案: 构建 secp256k1 挑战阶梯 (6→256 bit)
        ↓
    ┌───────────────────────────┐
    │ 经典校准                    │
    │ Pollard ρ: O(2^{n/2})     │
    │ 历史记录: 112-bit 已破      │
    └───────────┬───────────────┘
                ↓
    ┌───────────────────────────┐
    │ 量子资源估计                 │
    │ Shor 算法 → 逻辑层          │
    │ → 物理层 (3种纠错架构)       │
    └───────────┬───────────────┘
                ↓
    ┌───────────────────────────┐
    │ 硬件路线图叠加               │
    │ IBM/IonQ/Google/Alice&Bob │
    │ → 交叉窗口: 2027-2033      │
    └───────────┬───────────────┘
                ↓
结论: 量子威胁可量化、可追踪、可审计
      PQC 迁移必须现在开始

论文把"量子会不会破解比特币"从一个 Yes/No 的模糊辩论,变成一个有刻度的工程问题:构建从 6-bit 到 256-bit 的完整挑战阶梯,叠加量子硬件路线图,给出可追踪的威胁距离。

翻译

一句话

如果量子计算机是一把枪,这篇论文刻了一把尺子在枪管上——让所有人看清子弹飞到哪了。

核心机制

secp6k1 → secp7k1 → secp8k1 → ... → secp256k1
  6-bit      7-bit     8-bit          256-bit
  手算级      |          |              比特币真实参数
              |          |
        难度连续递增,每级都可验证

核喻:地震烈度计。 不预测地震什么时候来,而是在地壳里插满传感器——每一级被攻破就是一次可测量的"震动"。30-bit 是学术微震,100-bit 是严重警告,150-bit 是紧急迁移信号,256-bit 是 Game Over。

保持完全相同的曲线方程 y² = x³ + 7 mod p(和比特币一模一样),只缩小素数域 p 的位数。每个实例提供素数 p、基点 G_p、样本公钥 Q = d·G_p(挑战 = 求 d)。确定性生成,代码公开,任何人可独立复现。

256-bit 终极目标选了比特币创世区块的公钥——那 50 个 BTC 本来就不可花费(设计如此),但破解它 = 粉碎 BTC 原始密码安全。符号意义极强。

特性Bitcoin Puzzle本论文阶梯
私钥范围限制在小区间全 256-bit 范围
可用攻击Pollard kangaroo必须 Shor 或 Pollard ρ
意义搜索优化真正的密码分析进展

量子资源估计(256-bit ECDLP via Shor 算法):

逻辑层(Microsoft Quantum Resource Estimator):~5000 万 T 门、100+ 逻辑量子比特。

物理层三种纠错架构:

架构物理量子比特运行时间技术路线
表面码 (Surface Code)~10⁶数小时~数天保守基线(Google, IBM)
重复猫码 (Repetition Cat Code)~126,000~9 小时中等乐观(Alice&Bob)
LDPC 猫码 + 激进优化~10⁴<1 天最激进假设

经典基准校准:

位数经典难度 (Pollard ρ)历史记录
6 位手算
112 位~2⁵⁶ 操作数千台 PS3 集群攻破
113 位~2⁵⁶·⁵专用 FPGA 集群攻破
256 位~2¹²⁸经典不可能

时间线: 论文把量子硬件厂商路线图(IBM >100K qubits by 2033, IonQ ~2M by 2030, Google 百万级 ~2030s, Quantinuum ~2030, Alice&Bob 猫码路线)与密码分析资源需求画在同一张图上。交叉窗口:2027-2033。作者强调这不是精确预测,是"当前最佳数据的校准叠加"。

量子计算机攻破 30-bit  → 学术里程碑
量子计算机攻破 100-bit → 严重警告
量子计算机攻破 150-bit → 紧急迁移信号
量子计算机攻破 200-bit → 倒计时开始
量子计算机攻破 256-bit → Game Over

关键概念

ECDLP(椭圆曲线离散对数问题): 给你一个椭圆曲线上的两个点 G 和 Q,已知 Q = d·G(把 G "加"了 d 次),求 d。想象一个钟面上的跳跃游戏:每次跳固定角度,告诉你起点和终点,求跳了多少次。经典计算机需要 2^128 步来暴力搜索 256-bit 的 d,宇宙毁灭前算不完。

Shor 算法: Peter Shor 在 1994 年发现,量子计算机可以把"大数分解"和"离散对数"从指数时间降到多项式时间。核心技巧是用量子叠加同时试验所有可能的 d,再用量子傅里叶变换把正确答案"干涉"出来。理论上完美,实践上需要数百万个物理量子比特来做纠错——这正是本论文在量化的鸿沟。

纠错码架构: 量子比特极其脆弱,错误率远高于经典比特。纠错码用多个"物理量子比特"编码一个"逻辑量子比特",类似用三块硬盘做 RAID 保护数据。表面码(当前主流)像铺瓷砖——简单但浪费面积,需要百万级物理比特。猫码利用特殊物理态(薛定谔猫态)天然抗某类噪声,可能把需求压缩到万级。架构选择直接决定"量子破解 ECC 还要多久"。

Napkin Sketch

威胁距离 = 硬件路线图 ∩ 密码分析需求

其中:
  密码分析需求(256-bit secp256k1) = {
    逻辑层: ~50M T-gates, 100+ logical qubits
    物理层: f(纠错架构)
      表面码:     ~10⁶ physical qubits, 数小时~数天
      重复猫码:   ~126K qubits, 9小时
      LDPC猫码:   ~10⁴ qubits, <1天 (激进)
  }

  硬件路线图 = {
    IBM:         >100K qubits by 2033
    IonQ:        ~2M qubits by 2030
    Alice&Bob:   猫码路线
  }

  交叉窗口 ≈ 2027-2033

翻译: 量子计算机破解比特币需要多少量子比特,取决于你用什么纠错码。最乐观万级比特、最保守百万级。硬件厂商的路线图在 2027-2033 年间和这些数字相交。

洞见

哦,原来……威胁的危险性不来自它的到来,而来自它的不可量化——一旦建立了刻度,恐慌变成了工程问题。

这不显然,因为大多数关于量子威胁的讨论都停在"会不会"的层面:要么是末日派(量子计算机马上破解一切),要么是怀疑派(量子比特还在婴儿期,加密资产安全十年)。这篇论文做的事情根本不在这条轴上——它没有预测威胁什么时候来,它建了一把公开的、可持续更新的尺子。尺子建好之后,"量子会不会破解比特币"从一个哲学辩论变成了一个可以每季度更新的工程读数:现在攻到了哪一级?距离 150-bit 警戒线还差多少?这个转变和 AI benchmark(MMLU、HumanEval)的出现是同一个逻辑——benchmark 之前 AI 能力的讨论是定性的,benchmark 之后是定量的。

改变的认知:面对长时程、不确定的存在性威胁,不需要预测它什么时候来,需要的是建立一个可观测的进展刻度,让应对决策从"要不要担心"变成"现在指针到哪了"。

博导审稿

选题眼光: 一流。RSA 有分解挑战赛,ECC 终于也有了。secp256k1 保护数千亿美元加密资产,这不是学术游戏。选 Bitcoin 创世区块作为 256-bit 终极目标,符号意义拉满——直接把"抽象威胁"变成"能不能偷走中本聪的币"。方法成熟度: 三种纠错架构对比不做单一假设,给出保守到激进的完整光谱,确定性生成代码公开,任何人可独立验证。实验诚意: 硬件路线图 ≠ 硬件现实——IBM、IonQ 的数字是投资者宣传材料,历史上多次推迟,2027-2033 窗口前端极度乐观。猫码/LDPC 的 ~10⁴ qubits 估计依赖尚未工程化验证的纠错方案,当前连 100 个纠错逻辑比特都没做到。Shor 算法假设理想执行,实际容错计算有大量工程开销不在估计中。经典反击(NIST PQC 标准化、Bitcoin 升级方案)和经济攻击成本也被低估。写作功力: 论文最大的贡献不是数字,是框架——把"量子会不会破解比特币"从 Yes/No 辩论变成可测量工程问题,和 AI benchmark(MMLU、HumanEval)是同一个逻辑:不需要预测未来,只需要一把公开的尺子。判决:weak accept——框架价值大于数据价值,数字会过时但尺子留下了。

接线

迁移:挑战阶梯的设计逻辑——用相同结构、不同规模、连续递增难度来追踪进展——可以移植到 PAI 的量子安全监控里。不需要每天盯着新闻,需要的是建一个"触发信号清单":30-bit secp 阶梯被攻破 = 关注,100-bit = 开始评估迁移方案,150-bit = 执行迁移。这把对量子威胁的响应从"持续焦虑"变成"条件触发"。Fish 在 BTC 持仓管理里用的分档执行(6档、5档)是同一个逻辑——把不可逆决策分解成可追踪的触发条件。

混搭:把"挑战阶梯作为威胁量化框架"和 Fish 的选择权恐惧(不可逆保护机制)放在一起,得到一个有趣的组合:量子威胁本来是选择权恐惧的完美触发器(大规模不可逆资产损失),但阶梯框架给了一个缓冲结构——不是"现在就必须迁移或者永久损失",而是"指针到了哪一级执行哪一步"。框架本身降低了决策的不可逆感知,因此降低了焦虑触发的概率。

反转:没有。这篇论文的主要价值对我是工具性的(加密资产风险管理),不存在与我现有认知框架的正面冲突。

💬 评论