Shor演算法破解RSA-2048所需量子位元數在不到一年內下降了一個數量級

保護現代數位基礎設施的加密體系，不會在量子電腦建成的那一刻崩潰。它會在攻擊者獲得足夠量子計算能力、能夠解密已收集密文的那一刻崩潰。這一時間上的倒置——威脅早於機器本身到來——才是Q-Day問題的實質結構，也解釋了為何今日所測量的準備缺口將直接轉化為數年後的安全漏洞。

面臨風險的機制並不晦澀。RSA這一主導性公鑰密碼標準依賴單一的數學非對稱性：將兩個大質數相乘在計算上輕而易舉，但對於2048位元及以上的金鑰，從乘積反向推導出質數的難度呈指數級增長，任何古典電腦都無法在實際時間內完成逆運算。保護網路流量的TLS握手、驗證身分的憑證機構、確認金融交易的數位簽章——受信數位通訊的整個體系都依賴於這種非對稱性的持續成立。

1994年正式提出的Shor演算法證明，量子計算可以徹底消解這種非對稱性。透過利用量子疊加態和量子傅立葉轉換，求解對因式分解問題進行編碼的模運算函數的週期，足夠強大的量子電腦能夠在數小時內恢復RSA私鑰，而古典機器完成同樣的工作需要數十億年。這一演算法本身已為人所知三十年。過去一年改變的，是執行它所需的資源估算。

您可能也喜歡羅蘭・加洛斯 eSeries 與數位運動文化中行動電競的崛起

密碼學相關量子電腦的硬體要求，直到最近還龐大到足以構成實質性屏障。早期估算顯示，分解RSA-2048需要約十億個物理量子位元。到2021年，Gidney和Ekerå將這一估算降低至約兩千萬量子位元運行八小時——仍遠超當時任何現有系統，但已不再是天文數字。而在2024年至2025年不到一年的時間內，三項演算法突破將這一估算再度壓縮了一個數量級。

第一項是對Shor演算法核心計算操作——模冪運算——執行方式的重構。傳統方法需要足以同時容納整個2048位元數字的量子暫存器，推高了量子位元需求。由Chevignard、Fouque和Schrottenloher開發的近似模運算，將其替換為使用小得多的暫存器進行分段計算的方法，允許受控誤差在後續步驟中被修正，量子電腦不再需要在記憶體中一次性保存整個問題。第二項進展解決了容錯量子計算中占主導地位的成本瓶頸：生成非可糾錯閘操作所需的特殊量子資源態。谷歌量子AI開發的魔法態培育法以遠低於傳統蒸餾法的開銷，從低質量態中逐步生長出高保真度量子態。第三項是Craig Gidney在2025年的論文中整合上述兩種技術，將所需Toffoli閘操作總數從約兩兆降至約65億——降幅超過百倍。

綜合結果：分解RSA-2048在技術上已看似可以由約一百萬物理量子位元運行約一週來完成。目前最先進的量子處理器在數百量子位元規模運行，與這一要求之間的硬體差距依然存在，但壓縮的軌跡已發生質的變化。從十億降至兩千萬量子位元花了十二年，從兩千萬降至一百萬以下不到一年。這一加速才是分析上的關鍵訊號。

並行推進的硬體進展強化了這一軌跡。2024年底展示的谷歌Willow晶片提供了量子糾錯可將雜訊壓制在表面碼閾值以下的首次實驗證明——這是所有資源估算底層雜訊假設在物理上可實現的證據。IBM公布的路線圖計劃到2029年實現首台搭載約200個邏輯量子位元的大規模容錯量子電腦。多個獨立平台已實證了99.9%以上的雙量子位元閘保真度。理論資源需求與已實證硬體能力之間的差距，從多個數量級壓縮至接近單個數量級。

這一壓縮賦予了「現在收集、日後解密」這一曾被視為遙遠未來威脅的攻擊方式以實質緊迫性。多年來持續收集加密網路流量的國家級行為者，持有一旦密碼學相關量子電腦存在便可讀取的密文。評估Q-Day風險的恰當時間框架，不是「量子電腦何時建成」，而是「今天加密的數據需要保持機密多長時間」。

對這一威脅的密碼學應對有其名稱、標準集合和合規時間線。後量子密碼學用被認為能抵禦古典與量子攻擊的數學結構，替代RSA和橢圓曲線密碼所依賴的整數分解與離散對數問題。各全球標準化機構採納的主要演算法族是基於格的密碼學，其安全性建立在高維空間中最短向量問題及相關幾何挑戰的困難性之上。2024年8月，NIST最終確定了三項後量子密碼標準。2025年3月，第五項演算法HQC被選定，作為格假設日後若被弱化時的備用，提供演算法多樣性。

推薦閱讀MATTEL 和 OUTRIGHT GAMES 今年秋季將怪獸高校帶給所有遊戲主機和PC

標準的存在並不解決遷移問題，它只是啟動了遷移。這一規模的密碼遷移歷史上需要十五至二十年才能完成全面基礎設施滲透，而這次遷移在結構上比以往任何先例都更為複雜。存儲和管理金鑰的硬體安全模組需要更換或升級，憑證機構需要頒發新的憑證層級，數十億端點上的TLS實作需要更新，嵌入在嵌入式系統、工業控制基礎設施和長期金融系統中的協定需要稽核和替換。這些系統中許多缺乏能讓遷移變得直接的密碼敏捷性。

作為全球半導體製造的核心，台灣在這場轉型中面臨獨特的戰略處境。先進晶片製造流程的智慧財產、供應鏈通訊協定以及與全球客戶的技術交流，都是長期保密需求極高的資料類型——也正是「現在收集、日後解密」攻擊最具針對性的目標。監管框架以反映硬體軌跡緊迫性的壓縮時間線做出了回應。NSA的CNSA 2.0要求所有新型國家安全系統在2027年1月前實現量子安全。IBM商業價值研究院2025年量子安全準備度評估發現全球平均得分僅為滿分100分中的25分——這是監管截止日期與機構準備狀態之間差距的量化度量。

從這一技術格局中浮現的實際建議不是恐慌，而是分階段、有優先級的行動。具有長期保密需求的數據所在系統必須在監管截止日期強制之前便被優先納入遷移範疇。將ML-KEM與古典金鑰交換演算法並行結合的混合密碼部署提供了實用的過渡橋梁。受混合方案保護的數據要求攻擊者同時突破古典和後量子兩個元件，大幅提高了任何收集-解密攻擊的成本。

2024年和2025年的演算法發展從根本上改變的，是圍繞Q-Day的不確定性分布。此前的共識將密碼學相關量子計算舒適地置於2030年代，附帶延伸至2040年代的較大誤差範圍。資源估算壓縮至一百萬量子位元以下，疊加IBM的2029年路線圖和谷歌的閾值以下糾錯實驗證明，已使可信估算明顯前移並縮窄了不確定性區間。

向後量子密碼學的遷移不會隨格密碼演算法的部署而終結。它創造了一個新的密碼表面，其長期安全性依賴於關於高維空間幾何問題困難性的假設——數十年的古典密碼分析已檢驗了這些假設，但尚未經受最終將大規模存在的量子電腦的考驗。現在這一時刻所需要的，不是關於量子計算何時成熟的確定性，而是對一件事的清醒評估：構建一個安全態勢仍建立在質數分解困難假設之上的機構，意味著什麼。那個假設有它的到期日。

相關文章

戰略合作：《會說話的湯姆貓》與《奇蹟少女》啟動多平台連動

星鏈連接的自主無人機將緊急調度轉化為演算法決策

明年最值得期待的遊戲： 俠盜車手 6 (GTA 6)

ReSetna：後人類科幻銀河戰士遊戲

Dragonkin: The Banished 與社群塑造型 RPG 開發的崛起

Pixel Maniacs 與 PM Studios 發表色彩解謎遊戲《ChromaGun 2: Dye Hard》