谷歌引领了负责任的转型到后量子密码学自2016年起。在一个新的白皮书，我们表明未来的量子计算机可能会打破椭圆曲线密码学它可以用比以前意识到的更少的量子位和门来保护加密货币和其他系统。我们希望提高对此问题的认识，并为加密货币社区提供建议，以在此之前提高安全性和稳定性，包括将区块链过渡到可抵抗量子攻击的后量子密码学 (PQC)。

为了负责任地分享这项研究，我们与美国政府合作，开发了一种新方法，通过零知识证明来描述这些漏洞，这样就可以在不为不良行为者提供路线图的情况下对其进行验证。我们敦促其他研究团队也这样做，以确保人们的安全。我们期待继续我们在整个行业的工作与 Coinbase、斯坦福区块链研究所和以太坊基金会等其他致力于负责任方法的人一起遵循我们的 2029 年时间表。

量子资源估计

量子计算机有望解决不可能的问题，包括以下例子化学、药物发现和能源。然而，大规模密码相关量子计算机（CRQC）也将能够破解当前广泛使用的用于保护人们机密信息等内容的公钥密码。政府和其他机构（包括谷歌）已经多年来为这一安全挑战做准备。随着科学技术的不断进步，CRQC越来越接近现实，需要向PQC过渡，这就是为什么我们最近推出我们的 2029 年迁移时间表。

在我们的白皮书，我们分享了解决椭圆曲线密码学所基于的 256 位椭圆曲线离散对数问题 (ECDLP-256) 所需的量子计算“资源”（即量子位和门）的最新估计。我们用逻辑量子位（由数百个物理量子位组成的纠错量子位）的数量来表达我们的资源估计托弗里门（量子位上昂贵的基本操作是执行许多算法所需时间的主要驱动因素）。具体来说，我们编译了两个量子电路（一系列量子门），它们实现了肖尔算法对于 ECDLP-256：一种使用少于 1,200 个逻辑量子位和 9000 万个 Toffoli 门，另一种使用少于 1,450 个逻辑量子位和 7000 万个 Toffoli 门。我们估计这些电路可以在几分钟内在具有少于 500,000 个物理量子位的超导量子位 CRQC 上执行，前提是有关硬件功能的标准假设与某些标准一致。谷歌的旗舰量子处理器。这使得解决 ECDLP-256 所需的物理量子位数量减少了大约 20 倍，也是将量子算法编译为容错电路的逐步优化的长期历史的延续。

使用后量子密码学保护加密货币

目前，大多数区块链技术和加密货币都依赖 ECDLP-256 来实现其安全性的关键方面。正如我们在论文中所说，PQC 代表了一条众所周知的后量子区块链安全之路，在拥有 CRQC 的世界中，保证了人们对加密货币和数字经济的长期生存能力的信心。我们提供了后量子区块链的示例以及在量子脆弱的区块链上进行实验性 PQC 部署的示例。我们注意到，虽然存在 PQC 等可行的解决方案，但实施起来需要时间，因此采取行动的紧迫性越来越大。我们还为加密货币社区提出了其他建议，以帮助提高短期和长期的安全性和稳定性，包括避免暴露或重复使用易受攻击的钱包地址以及解决废弃加密货币的潜在政策选项。

我们的漏洞披露方法

这些考虑因素指导我们仔细披露基于椭圆曲线密码学的区块链技术量子攻击的最新资源估计。首先，我们通过澄清区块链免受量子攻击的领域并强调在后量子区块链安全方面已经取得的进展来减少讨论中 FUD 的可能性。其次，我们通过发布一种称为“零知识证明”的最先进的密码结构，在不共享底层量子电路的情况下证实我们的资源估计，该结构允许第三方验证我们的主张，而我们不会泄露敏感的攻击细节。

我们欢迎与量子、安全、加密货币和政策社区进行进一步讨论，以协调未来负责任的披露规范。

展望

通过这项工作，我们的目标是支持加密货币生态系统和区块链技术的长期健康发展，它们是数字经济中日益重要的一部分。展望未来，我们希望我们负责任的披露方法能够激发量子计算研究人员和更广泛公众之间的重要对话，并为量子密码分析研究领域提供一个构建模型。