今天,一个疯狂的量子故事变得更加离奇。3月31日,谷歌量子人工智能团队发表了一项关于椭圆曲线密码学的Shor算法的里程碑式结果。从技术上讲,这篇论文犹如一颗重磅炸弹:与现有最先进技术相比,实现了惊人的10倍改进。作为对区块链领域的警示,这些优化已在 secp256k1(比特币和以太坊签名所用的椭圆曲线)上得到了演示。
但论文最具冲击力的部分或许是社会学层面而非技术层面。谷歌没有遵循标准学术流程,而是将这些优化保密,隐藏在一个零知识证明背后。谷歌随附的博客文章提到他们“与美国政府进行了接触”。该零知识证明在不泄露细节的情况下,证明了改进的存在。学术审查与零知识证明的结合,这恐怕是业界首次。
作为谷歌论文的合著者,我目睹了围绕这一审查的一些背景。坦率地说,这个背景的多个方面让我感到不安。尽管我坚信公众应该了解更多,但我揭露真相的能力有限。不过有一点请明确:谷歌团队的专业素养堪称典范,他们只应得到赞誉。
审查往往会适得其反。试图掩盖某事反而引发更多关注的“史翠珊效应”,正在今天上演。首先,谷歌的关键优化已被法国人重新发现。而在一个激动人心的转折中,一项名为“Shor-at-home”的合作挑战刚刚启动。该项目可在 ecdsa.fail 上访问,并在几小时内刷新了新的Shor世界纪录。
我们先从重新发现说起。就在谷歌论文发表两个月后,法国量子专家André Schrottenloher破解了主要的秘密优化。他的论文《椭圆曲线离散对数的优化点加法电路》今天登上了arXiv。热烈祝贺André,他击败了其他几位被“知识诱饵”吸引的专家。在同样于今天发表的一篇博客文章中,Shor优化领域的世界专家Craig Gidney透露,他因审查压力,已将该优化方法搁置了一整年。
有趣的是,André遗漏了一些次要优化,无论是谷歌原始论文中的还是此后发现的改进。看来Shor算法可能还有大量潜力可挖,而这正是 ecdsa.fail 挑战的目标。为零知识证明开发的验证程序兼具双重功能,可自动筛选有效提交。数十个小型与微型改进在持续叠加涌现。截至本文写作时,以逻辑量子比特数量与Toffoli门数量的乘积来衡量,谷歌的电路已实现8.4%的改进。相当不错!
“知识诱饵”的影响比任何人预期的都要深远。过去几周里,情况变得明朗,这种影响远远超出了André和其他量子专家。在幕后,一小群业余爱好者悄然开始了工作。受Karpathy风格的自动研究的启发,他们将人工智能应用于Shor算法。具有讽刺意味的是,零知识证明的验证程序为AI提供了理想的奖励函数。这种现代研究风格的门槛低得令人耳目一新,几位非专家,甚至一名青少年,都发现了不错的优化。如果你想加入一个由自动研究者组成的Telegram群组,请与我们联系。
第二部分:中性原子与qday
故事并未止于谷歌。在谷歌公开的同一天,一家名为Oatomic的隐秘初创公司协同发布了其Shor论文。这引起了轰动,最终成为 scirate.com(一个对arXiv论文进行排名的网站)上获赞最多的论文。
Oatomic的主张相当惊人。通过结合谷歌的逻辑优化,并针对中性原子应用定制的物理优化,他们声称只需1万个物理量子比特就能在 secp256k1 上运行Shor算法。这个数字低得令人难以置信。
当Oatomic的论文发表时,我对中性原子几乎一无所知,但被深深吸引,于是决定深入了解这项技术。我一下子掉进了兔子洞,在这个话题上花费了数百小时。我有些痴迷,观看了所有能找到的YouTube视频,并与许多专家进行了交流。我的结论是?这项技术是真实的,非常真实。就连谷歌最近也决定成立一个中性原子实验室,这是从他们此前专注于超导量子比特的显著转变。
如果你关心qday(即量子计算机首次破解实际生产中的密码学的那一天),那么中性原子值得你关注。我在ZKP密码学会议上的一个30分钟演讲中分享了我对Shor算法和中性原子的一些见解。你可以在YouTube上搜索“zkproof neutral atom”找到它。
关于这两篇突破性论文,有一个有趣的观察:谷歌和Oatomic都没有提及他们的结果对qday意味着什么。没有时间线,一句也没有。这尤其令人费解,因为白帽量子密码分析的全部意义就在于为qday的估计提供信息,并帮助公众做出正确决策。
因此,让我尝试部分填补这一沉默,类似于Scott Aaronson在4月29日的帖子中所做的那样。根据我所知的一切,包括一些令人不安的非公开信息,我现在认为qday在2032年前发生的概率为50%,2030年前为10%。有趣的是,美国政府有自己的日期:2035年。这一日期源自NSA,后来被NIST采纳,届时美国政府各部门将不得使用易受量子攻击的密码学。用直白的话说:事后看来,这个日期是个笑话,应该完全不予考虑。我看不出NIST如何避免被迫将这一日期提前数年。
第三部分:后量子密码学
今天敲响警钟有充分的理由,但请不要恐慌。匆忙转向不成熟的后量子密码学是灾难的根源。我认为,迁移的良好目标日期是2029年,大约三年半后。2029年恰好也是谷歌、Cloudflare和以太坊基金会选择的日期。
如今,我的大部分时间都用于在更广泛的“精简以太坊”工作中,安全地将以太坊迁移到后量子密码学。还有很多工作要做。我们需要在共识层移除并替换BLS签名,在数据层移除并替换KZG承诺,在执行层移除并替换ECDSA签名。
实现这一目标的计划是令人信服的,并且基于哈希密码学。在以太坊基金会内部,我们开发了一种名为 leanVM 的瑞士军刀,由基于哈希的SNARKs的魔力驱动。感谢Emile、Thomas等人真正卓越的工作,其性能风险已被消除。在安全性方面,leanVM 是一件珍宝,是一个为端到端形式化验证和最大安全性而精心打造的最小化zkVM。
想帮忙吗?有两个100万美元的计划。首先是Proximity Prize。解决编码理论中一个长期存在的数学猜想,改进基于哈希的SNARKs,然后带着百万美元回家。其次是Poseidon Initiative,提供100万美元用于攻破Poseidon,这种对SNARK友好的哈希函数。
原文链接: x.com/drakefjustin/status/2061793725299224676
在这个技术演进的关键节点,从Shor算法的优化竞赛,到中性原子的硬件突破,再到以太坊等主流区块链的迁移计划,一场围绕密码学未来的全球角力已然展开。对开发者而言,保持对前沿动态的关注,并开始着手了解后量子密码体系,已不再是一个遥远的话题。你可以在云栈社区找到更多关于密码学、区块链底层技术以及开发者前沿讨论的深度内容。
发表于 昨天 23:46
|
查看: 5|
回复: 0
