研究发现：一台百万量子比特的机器可在七天内破解 2048 位 RSA

谷歌量子人工智能的一份预印本重新调整了对破解广泛部署的 2048 位 RSA 加密所需的硬件的预期。对破解广泛使用的 2048 位 RSA 加密所需的硬件的预期。研究小组在纸面上证明，大约一百万个噪声量子比特，连续运行七天左右就足够了。之前的估计值徘徊在 2000 万比特附近，因此新数字缩小了理论与实际威胁之间的差距。

两个进展推动了这一减少。首先，研究人员改进了肖尔的因式分解算法，使用近似值而非精确模态指数化，从而减少了逻辑量子比特的数量，同时又不会不合理地增加运行时间。其次，采用更密集的纠错方案--层叠了 "魔态培养 "的轭面码--将闲置逻辑量子比特的存储密度提高了三倍，同时控制了错误率。与 2019 年的预测相比，这些技术共同将物理量位需求降低了 20 倍。

然而，硬件仍然落后于研究中的假想机器。当今领先的处理器，如 IBM 的 1,121 量子比特 Condor 和谷歌的 53 量子比特 Sycamore，仍然小了几个数量级。路线图确实存在：IBM 的目标是到 2033 年实现 10 万量子比特系统，Quantinuum 的目标是到 2029 年实现完全容错平台。即便如此，要以足够低的错误率维持一百万量子比特，并在连续五天内协调数十亿次逻辑运算，仍然是一个工程难题。

RSA、椭圆曲线 Diffie-Hellman 和类似的非对称方案是当今大部分安全通信的基础。由于现在收集的密文日后可能会被解密，NIST 敦促向后量子加密（PQC）算法迁移，易受攻击的系统在 2030 年后将被淘汰，2035 年后将被禁止使用。谷歌已将 ML-KEM 密钥封装机制集成到 Chrome 浏览器及其内部网络中，这标志着行业正向抗量子标准转变。

这项工作为硬件设计者和政策制定者提供了一个具体的威胁模型。随着量子算法的成熟和错误率的降低，实验室能力和密码分析攻击之间的差距也在缩小。