摘要：5月21日，谷歌量子人工智能部门（Google Quantum AI）在arXiv上发表以“How to factor 2048 bit RSA integers with less than a million noisy qubits ”（如何利用不足10

本文来源：光子盒

无声的革命往往在实验室的玻璃门后悄然展开。然而谷歌最新研究显示，这场量子计算的革命的影响开始向外震荡——可能会动摇互联网安全的根基。

5月21日，谷歌量子人工智能部门（Google Quantum AI）在arXiv上发表以“How to factor 2048 bit RSA integers with less than a million noisy qubits ”（如何利用不足100万个含噪量子比特分解2048位RSA整数）为题的论文。研究表明，采用不足100万个含噪量子比特的量子计算机，可在不到一周时间内破解2048位RSA加密密钥（当前网络数据安全的主流标准），这一数值仅为作者本人在2019年预测的约2000万量子比特的1/20！

这项研究由谷歌量子研究科学家Craig Gidney完成，或将重新定义威胁全球最广泛应用公钥密码系统所需的技术门槛。

此项研究或将促使专家重新评估：1）部署后量子密码的紧迫性；2）在当前拟议硬件上实施此类攻击的实际可行性。更广泛而言，该研究也表明：虽然量子比特数量、门保真度和错误率等因素至关重要，但通过算法创新和软硬件协同优化，同样能推动量子计算实现量子优势等里程碑式的突破！

因数分解资源需求持续下降

1994年，Shor算法的提出向世界宣告了量子计算对传统密码体系的潜在威胁。该算法能够高效分解整数，这意味着基于整数分解难题的RSA密码体系在量子计算面前不再安全。此后，众多学者致力于探索量子分解整数的成本，早期研究普遍认为，分解n位整数至少需要1.5n个逻辑量子比特。然而，随着研究的深入，所需的量子比特估算量正在持续下降。

例如，2012年估算破解2048位RSA密钥需10亿个物理量子比特；2019年基于相同物理假设（采用比谷歌当前量子计算机略优的纠错水平），该数值降至2000万。

图：基于相同物理假设条件下破解2048位RSA整数所需物理量子比特的历史估算，包含容错、路由和蒸馏等开销。

作者指出，以往研究的成本估计普遍偏高，限制了量子计算机的实际应用规模。当下向抗量子密码系统过渡的规划，需要评估现有易受攻击密码系统遭受量子攻击的成本。本研究的目标是通过优化算法大幅降低量子分解2048位RSA整数所需的量子比特数量，并为量子安全密码体系的部署提供更准确的时间预估。

算法优化与纠错改进

在2019年Gidney（本文作者）与Ekerå合作发表的论文中，他们曾估算：一台具备2000万个含噪量子比特的量子计算机可在8小时内完成2048位RSA整数的因数分解。本文中，作者显著降低了所需量子比特数量，估算表明：采用不足100万个含噪量子比特的量子计算机可在一周内完成对2048位RSA整数的分解。本文沿用与2019年的研究相同的假设条件：量子比特呈方形网格排列且仅支持近邻连接，统一门错误率为0.1%，表面码周期时间为1微秒，控制系统响应时间为10微秒。

论文指出，本次研究较2019年的估算实现了20倍资源缩减，主要得益于算法优化与纠错改进。

· 算法层面，采用近似模幂算法（Chevignard、Fouque与Schrottenloher,2024），原方案操作量增加1000倍，经优化后仅增加2倍；

· 纠错层面，其一是利用共轭表面码（yoked surface codes, Gidney、Newman、Brooks、Jones, 2023）存储闲置逻辑量子比特，通过双重纠错层将闲置逻辑量子比特存储密度提升3倍（谷歌量子人工智能团队2023年发现最优组合）；
其二是通过魔态制备技术（magic state cultivation, Gidney、Shutty、Jones ,2024）缩减特定量子操作的工作空间。作者指出，这些改进同样适用于化学与材料模拟等量子计算领域。

图2：本文针对不同n值分解n位RSA整数的Toffoli门数与逻辑量子比特数的帕累托前沿

运行时间的延长主要归因于需要执行更多的Toffoli门操作，且使用的魔态工厂数量较少。尽管如此，相较于Chevignard、Fouque、Schrottenloher 2024年的方案，作者将Toffoli门的数量减少了100倍以上。

此外，本文提出一系列算法优化方法，包括近似剩余算法、近似周期查找、Ekerå-Håstad周期查找改进以及算法优化策略，在减少量子比特数量的同时，将Toffoli门数量相较于以往研究降低100多倍，降低量子计算的门电路复杂度和运行时间，提高量子分解整数算法的效率和可行性。

图3：

使用本文方法计算

的

Python代码示例

图4：掩码对周期查找影响的小规模示例

图5：通过蒙特卡罗采样估计叠加掩码对成功率的抑制作用

图6：常规表面码与级联一维/二维奇偶校验码轭合表面码的存储成本预测（均匀去极化噪声下）

少于百万物理量子比特的意义：

大幅缩小当下与未来的差距

利用这些技术，作者估计分解RSA-2048所需的物理量子比特数将少于100万。然而，根据论文所述，这需要量子计算机能够以1微秒的表面码周期持续运行五天，且门错误率不超过 0.1%，如此性能水平远超当今系统，但对于未来规划中的设备而言并非毫无可能。这种量子计算机需要一个能够在10微秒内响应的强大控制系统，并分别使用热存储区和冷存储区来管理活跃量子比特和闲置量子比特。一个小型计算区域将通过魔态蒸馏管理交互并生成高保真逻辑门（如Toffoli门和CCZ门）。

运行时间假设计算机能够在涉及超过65亿次Toffoli门操作的过程中避免或管理逻辑错误。计算布局分为三个区域：处理逻辑操作的计算区、支持活跃量子比特使用的热存储区，以及为高密度闲置逻辑量子比特设计的冷存储区。这些假设反映了最新可扩展量子计算机方案中的硬件发展趋势。

图7：n=2048、s=8时的物理布局模型

尽管估计的硬件尚未存在，但该研究缩小了当今的量子计算系统与假设中可以执行攻击的机器之间的差距。如今，超导和离子阱量子计算公司已展示了部分所需技术，包括表面码和基本晶格手术操作。IBM、Quantinuum和PsiQuantum等公司也发布了多年路线图，目标是在2030年代初实现具有数十万至百万量子比特的系统。

作者强调，尽管量子计算机破译加密算法所需资源大幅减少，但这种威胁仍处于假设阶段。能够执行此类攻击的硬件尚未问世，且该估计基于理想化的容错和模块化操作。此外，他指出：“如果不改变本文所做的物理假设，我认为没有办法将所估计的量子比特数量再减少一个数量级。”

向PQC迁移迫在眉睫

作者在论文的结尾指出：“展望未来，我赞同NIST内部报告草案‘2030年后逐步淘汰易受量子计算攻击的加密算法，并于2035年后全面禁用’的建议，本研究再次印证了遵循该时间表的紧迫性。这并不是因为我认为2030年前会出现足够强大的量子计算机，而是我不愿将安全保障寄托于技术发展的迟缓。”

通过为可能具备真实攻击能力的量子计算机提供具体参数，这项研究也为硬件设计者提供了评估准备度的目标。此前的估计范围过于广泛，通常指向数千万量子比特和数年运行时间。现在我们有了更实际的数字，问题不再是可行性，而是时间。

这篇论文包含大量附录，提供了Python代码、电路布局和主要组件的模型，包括算法电路和晶格手术操作。这些工程级细节使该研究超越了理论进展——一旦硬件跟上，它们为实现提供了近乎蓝图的指导。

目前尚无合理依据宣称十万个含噪量子比特即可分解2048位RSA整数。但密码学界有句箴言：“攻击手段总会不断精进”。

技术、资金、意识都是迁移阻碍

即使是PQC布局最完善的美国，也仍存在诸多问题。

5月14日，据联邦新闻网报道，作为多年数据安全保护计划的一部分，美国正在敦促联邦机构在政府采购流程中纳入后量子密码学标准，以防止敏感数据遭未来量子计算攻击的威胁。

网络安全与基础设施安全局（CISA）、国家网络主任办公室（ONCD）、国家标准与技术研究院（NIST）及国家安全局（NSA）正主导后量子密码学推广工作。CISA战略技术部副主任Garfield Jones表示，这些机构近期已与600多名联邦IT官员召开会议，探讨后量子密码学的实施路径。

“考虑到‘现在窃取，未来解密’的威胁，迁移工作刻不容缓，”联邦调查局（FBI）网络技术分析行动部主任Todd Hemmen在AFCEA会议上表示，“当前数据可能成为未来攻击武器，但过渡过程仍需审慎规划——这涉及全局性变革，时间压力虽大，但不可仓促决策。”

除技术整合难题外，资金缺口也成为迁移障碍。OMB预估联邦政府全面过渡将耗资71亿美元（不含国防部及情报界涉密系统）。“在资源分配与高层支持方面，后量子密码的推广阻力更大，”国务院技术应用战略高级顾问Landon Van Dyke坦言，“它不像能登上头条的颠覆性技术，也无法直观展示成果。我们只能警示‘若不行动，后果严重’，但决策者仍会质疑投资回报。”

[1]https://arxiv.org/html/2505.15917v1

[2]https://security.googleblog.com/2025/05/tracking-cost-of-quantum-factori.html

[3]https://macholevante.com/news-en/182294/the-encryption-crisis-revealed-quantum-leap-threatens-digital-security-faster-than-anyone-thought/

[4]https://www.newscientist.com/article/2481513-breaking-encryption-with-a-quantum-computer-just-got-20-times-easier/

[5]https://federalnewsnetwork.com/cybersecurity/2025/05/agencies-explore-post-quantum-cryptography-in-acquisitions/

[6]https://csrc.nist.gov/pubs/ir/8547/ipd

来源：人工智能学家