本周,Google 发布了一篇论文,描述一台量子计算机如何在理论上用 9 分钟推导出一个比特币私钥,其影响力延伸至以太坊、其他代币、私人银行,甚至可能波及世界上几乎一切。
人们很容易把量子计算误认为是普通计算机的更快版本。但它并不是更强大的芯片,或更大的服务器机房。它是一种从根本上不同的机器——在原子层面就已经不同了。
一台量子计算机从一个非常冷、非常小的金属回路开始,粒子会开始以在地球正常条件下不具备的方式表现,这些方式会改变我们认为构成物理学基本规则的东西。
从物理层面理解这意味着什么,是区分“读到量子威胁”与“真正理解它”的关键。
常规计算机把信息存储为比特——每个比特要么是 0,要么是 1。比特是一个微小的开关。从物理上看,它就是“芯片”上的一个晶体管——一种微观门:要么让电流通过(1),要么不让通过(0)。
你曾经输入过的每一张照片、每一笔比特币交易、每一个词,都是以这些开关处于“开/关”状态的模式来保存的。比特并不神秘;它是处于两个明确状态之一中的某种物理对象。
每一次计算,本质上就是把这些 0 和 1 的位置以非常快的速度进行洗牌。现代芯片每秒能做数十亿次,但它仍然是一次一遍、按顺序完成。
量子计算机使用被称为量子比特(qubits)的东西,而不是比特。量子比特可以是 0、1,或者——这才是“怪”的部分——可以同时处于两者!
这是可能的,因为量子比特是一种完全不同类型的物理对象。最常见的版本,也是 Google 使用的版本,是一个极小的超导金属回路,被冷却到绝对零度上方约 0.015 度——比外太空还冷,但就在地球上。
在这种温度下,电流会在回路中不受电阻影响地流动,人们说电流处于一种量子态。
在超导回路中,电流可以顺时针流动(把它叫作 0),也可以逆时针流动(把它叫作 1)。但在量子尺度下,电流不必非得选定一个方向——它会同时以两种方向流动。
别把它误认为是那两种状态之间以极快速度切换。电流在可测、可实验验证且可证实的情况下,同时处于两个状态中。
(CoinDesk)
到目前为止还跟得上吗?很好,因为接下来才是真正离奇的部分:它之所以“如何工作”背后的物理并不直观,而且它也不应该直观。
日常生活中人们接触到的所有东西都遵循经典物理,也就是假设事物在某一时刻处于某个位置。但粒子在亚原子尺度上并不是这样表现。
电子在你观察它之前并没有明确的位置。光子在你测量它之前没有明确的偏振。超导回路中的电流在你强迫它选定一个方向之前不会流向某个确定方向。
我们在日常生活中没有体验到这些,是因为退相干。当一个量子系统与其环境发生相互作用时——空气分子、热、振动和光——叠加态会几乎瞬间坍缩。
足球不可能同时在两个地方,因为它在每一纳秒里都在与数万亿个空气分子、尘埃、声波、热量、重力等相互作用。但把一小段电流隔离在接近绝对零度的真空里,屏蔽掉所有可能的干扰,那么量子行为就能持续足够久,从而完成计算。
这就是为什么量子计算机如此难以构建。人们需要工程化出物理环境,让那些平时会阻止这种事情发生的物理定律在足够长的时间内“被挡在外面”,以便运行一次计算。
Google 的机器运行在稀释制冷机中,其规模相当于巨大房间;温度比自然宇宙中的任何东西都更低;同时它们周围还布满多层屏蔽层,以抵御来自电磁噪声、振动和热辐射的影响。
而量子比特即便在这种条件下也很脆弱。它们会不断丢失量子态,这就是为什么“误差校正”主导了关于规模化扩展的每一场讨论。
所以,量子计算并不是经典计算的更快版本。它利用的是一套不同的物理定律——这些定律只在极其微小的尺度、极低的温度以及极短的时间框架内才适用。
(CoinDesk)
现在把这些叠加起来。
两个普通比特可以处于四种状态之一(00、01、10、11),但一次只能处于一种状态(因为电流只能沿一个方向流动)。两个量子比特可以同时表示这四种状态,因为电流在同一时间里以所有方向在流动。
三个量子比特代表八种状态。十个量子比特代表 1,024 种状态。五十个量子比特代表超过一个千万亿(quadrillion)的数量。每新增一个量子比特,状态数都会翻倍,因此扩展呈指数级。
第二个诀窍叫做纠缠。当两个量子比特发生纠缠时,不管它们相距多远,对其中一个进行测量会立刻告诉观察者关于另一个的信息。这使得量子计算机能够在那些同时存在的状态之间进行协调,而常规并行计算做不到这一点。
并且,这些量子计算机的设置方式使得错误答案会彼此抵消(类似于相互叠加的波形把效果“抹平”),正确答案会彼此增强(类似于波形“叠加得更高”)。到计算结束时,正确答案的测量概率最高。
所以这不是靠蛮力的速度。而是一种根本不同的计算方式——让自然去探索指数级庞大的可能性空间,然后通过物理而不是逻辑坍缩到正确答案。
正是这种令人头晕目眩的物理,所以它对加密来说令人感到恐怖。
保护比特币的数学依赖于这样的假设:逐一检查每一种可能的密钥所需的时间会比宇宙的年龄还长。
但量子计算机并不是逐个检查每一个密钥。它会同时探索所有密钥,并利用干涉把正确的那个“显现”出来。
这就是它与比特币之间的关联所在。从私钥到公钥这一方向走,耗时是毫秒级。反过来,从公钥回到私钥这一方向,用经典计算机可能需要一百万年,甚至比宇宙的年龄还长。正是这种不对称性,才是证明某个人手里握着这些币的唯一证据。
(CoinDesk)
运行一种名为 Shor’s 的算法的量子计算机,可以把这个“暗门”反过来走。Google 本周的论文表明,它能够用远少于此前任何人估计的资源做到这一点,并且时间尺度上还在与比特币自身的区块确认进度赛跑。
这也是为什么量子计算机破解区块链加密这一威胁,确实让所有人都非常担忧。
这次攻击如何一步步运作、Google 的论文具体改变了什么,以及这对已经暴露的 690 万(6.9 million)比特币意味着什么,都是本系列下一篇文章要讨论的内容。
