量子计算是对比特币和加密货币的巨大威胁

本周，Google 公布了一项研究，描述了理论上“一台量子计算机如何在 9 分钟内推导出比特币的私钥”，从而带来对以太坊、其他代币、私人银行乃至这个世界上一切事物的连锁影响。

量子计算机很容易被误解为普通计算机的更快版本。但它并不是更强的芯片，也不是更大的服务器集群。它是一种完全不同的机器，从原子层面就不同。

一台量子计算机从一个非常小的金属环开始，极冷，在那里粒子开始以它们在地球的正常条件下不会表现出来的方式来行为——这些方式会改变我们仍然视为基本物理定律的东西。

理解这些——从物理意义上说——就是在“只是阅读量子威胁”与“真正掌握它”之间划出那条界限。

计算机和真正的量子计算机到底是如何工作的

普通计算机用比特来存储信息——每个比特都只是 0 或 1。比特在物理上就是一个超微小的开关。就物理层面而言，它是“芯片”上的一个晶体管——一个微型闸门：让电通过（1）或不让电通过（0）。

每一张图片、每一笔比特币交易、你曾经输入的每一个词，都会被存储为这种开关的开与关的模式。比特本身并不神秘；它是处于两个明确状态之一的某种物理物体。

所有简单计算都只是把这些 0 和 1 以极快的速度排列组合。一台现代芯片每秒能做数十亿次这样的操作，但它仍然是逐个执行，按顺序来做。

量子计算机使用一种叫作 qubit 的东西，而不是比特。一个 qubit 可以是 0、1，或者——而这就是奇怪的地方——两者可以同时存在！

这是可能的，因为 qubit 是一种完全不同的物理对象。最常见的形式——也是 Google 使用的那种——是一圈超导的、极小的金属环，把它冷却到接近绝对零度上方约 0,015 度的温度，比宇宙空间还要冷，但它仍然存在于地球上。

在那个温度下，电流可以在环路中无阻碍地通过，电流据说处在一种量子态。

在那种超导环里，电流可以顺时针流动（称为 0），也可以逆时针流动（称为 1）。但在量子尺度上，电流不一定要选择一个方向，并且实际上可以同时朝两个方向流动。

别把它误认为是以极快速度在两个真实状态之间来回切换。那股电流是可以被测量到、可通过实验验证，并且在观察时可以确认它确实同时处于两个状态。

令人目眩的物理

到这里还行吗？很好，因为接下来才是真正古怪的部分：它背后的物理并不是一开始就直观可想，而且也不是为了让人直观理解而生。

人类在日常生活中接触的一切都遵循经典物理，它假设物体在某一时刻位于某个地方。但在超小尺度上，粒子不会那样行事。

一个电子在你看它之前并没有确定的位置。一个光子在你测量它之前没有确定的偏振。一个在超导环里的电流，在你强迫它选择之前，并不一定以某个确定方向流动。

我们之所以没有在日常生活中体验到这一点，是因为存在量子相干性丧失现象。当一个量子系统与它的环境发生相互作用——空气分子、温度、振动和光——叠加态会在几乎立刻的时间里坍塌。

一个足球不可能同时在两个地方，因为它在每一纳秒都与数万亿个空气分子、灰尘、声音、热量、重力等发生作用。但如果你把一个极小的电流隔离在接近绝对零度附近的真空环境中，并将其免受任何可能的扰动，那么量子行为就能持续足够久，以便进行计算。

这就是为什么量子计算机极其难以制造。科学家们正在设计物理环境，让那些本来会阻止这种现象持续的规律被压制住足够久，以完成一次计算。

Google 的机器在像大房间一样大小的稀释制冷机中运行——比自然界中存在的任何东西都更冷——并且被多层屏蔽层包裹，以隔绝电磁干扰、振动和热辐射。

而且 qubit 依然极其脆弱 即使在这样条件下也是如此。它们会不断失去量子态，因此，“纠错”就成为所有关于扩展规模的讨论中最主导的主题。

因此，量子计算机并不是经典计算机的更快版本。它利用的是一套不同的物理规则——只在极小尺度、极低温度以及极短的时间跨度内才适用。

现在，把这一切放大。

两个普通比特可以处于四种状态之一（00、01、10、11），但在某一时刻只能有一种状态（因为电流只会沿一个方向流动）。两个 qubit 可以同时表示这四种状态，因为电流正同时沿着所有方向流动。

三个 qubit 表示八种状态。十个 qubit 表示 1.024 种状态。五十个 qubit 表示超过一百万亿种状态。随着每增加一个 qubit，数目就翻倍，因此扩展规模会呈现极端的指数级增长。

第二个诀窍叫作量子纠缠。当两个 qubit 纠缠在一起时，测量其中一个 qubit 会立刻让观察者从中得到关于另一个 qubit 的信息——不管它们相距多远。这使得量子计算机能够以常规并行计算做不到的方式，对整个叠加态集合进行协同运算。

而且这些量子计算机被设置成：错误答案会彼此抵消（类似于叠加的波纹最后被抹平），正确答案会被放大（类似于叠加到更高的波峰）。在计算结束时，正确答案被测量到的概率会最高。

所以，这并不是暴力穷举的速度问题。这是一种完全不同的计算方式——一种让自然界去探索一个以指数方式增长的可能性空间，然后再通过物理而不是逻辑“坍塌”回正确答案的方式。

对密码学的巨大威胁

正是这种令人目眩的物理原理，才让它对加密构成可怕的威胁。

保护比特币的数学基于这样的假设：验证每一个密钥都要花费的时间会比宇宙的寿命还长。

但量子计算机并不会去逐一检查每个密钥。它会同时探索所有情况，并利用干涉让正确答案显现出来。

这就是它与比特币之间的关联：单向上，从私钥推导到公钥，只需要几毫秒。反向上，从公钥推回私钥，一台经典计算机要耗费一百万年，甚至可能比宇宙的年龄还要久。正是这种不对称性，才证明某个人手里握着他们的币。

一台运行名为 Shor 的算法的量子计算机可以跨过那道“关卡”。Google 本周的研究表明，它所需的资源比大家之前估计的少得多，而且所需时间处在与比特币确认区块时间直接竞争的时间框架内。

这也是为什么来自量子计算机的威胁、会打破区块链加密，正在让人们真正感到担忧。

这种攻击会如何一步步发生，Google 的研究具体改变了什么，以及这对已暴露的 6.9 百万比特币意味着什么，都会是这份系列文章接下来一部分的主题。