一萬個量子位元就能破解網際網路加密：量子運算如何顛覆密碼學崩潰的時間表

2026年3月31日，來自Oratomic、加州理工學院（Caltech）和UC柏克萊的研究人員發表了一篇論文，在密碼學界投下深水炸彈。論文題目——「Shor演算法只需約一萬個可重構原子量子位元即可實現」——低估了它所暗示的影響規模。在簡潔的正文加上密集的技術附錄中，研究團隊證明了：今天的量子電腦與能夠破解網際網路加密的能力之間的那道數學高牆，遠比幾乎所有人所預估的薄得多。

翌週，《自然》（Nature）刊出了精準捕捉專家反應的標題：「這是真正的衝擊。」

改變了什麼：從數百萬到一萬

要理解這件事的重要性，需要一些背景知識。RSA和橢圓曲線密碼學（ECC）——保護銀行交易、政府通訊、軟體更新簽章以及網路上幾乎所有安全連線的加密機制——其安全性來自特定數學問題對古典電腦的不可解性。對一台傳統電腦來說，分解一個2048位元的RSA金鑰所需的時間比宇宙年齡還長；對一台執行Shor演算法的量子電腦來說，同樣的任務卻變得可行。

問題在於，在今年之前，Shor演算法要在密碼學相關的規模上運行，被認為需要數百萬個實體量子位元——遠超現有或近期量子機器的能力。截至2026年初，公開揭露的最大量子處理器擁有1,000至4,000個實體量子位元，且錯誤率高到讓長時間運算不可靠。數百萬個量子位元的需求讓「Q日」感覺安全遙遠。

Oratomic的論文摧毀了這種安全感。他們使用「中性原子量子位元」——以雷射光懸浮和移動單個原子，讓任意兩個量子位元之間都能建立連接的技術——展示了架構效率的提升可以大幅壓縮量子位元需求。對保護大多數加密貨幣錢包和許多政府系統的ECC-256，節省空間的架構只需約9,700至11,000個實體量子位元；對RSA-2048，節省空間架構需要11,000至13,300個，而並行化的高速架構則需約102,000個。

比先前估計改善了十倍。同一天，Google量子AI的另一份白皮書通過不同的分析路徑得出了相近的結論，獨立驗證了Oratomic的研究結果。當兩個團隊從不同方向抵達同樣令人不安的結論，訊號就不再是雜訊。

「現在收割、日後解密」：已在進行中的威脅

聽到「Q日」可能在2030年前抵達，自然的反應是認為還有時間應對。這個假設是錯的，理解箇中原因對於把握問題的緊迫性至關重要。

多年來，民族國家情報機構和複雜的犯罪組織一直在大規模收集加密網路流量，明確目的是等量子硬體跨越必要門檻後再解密。這種策略稱為「現在收割、日後解密（harvest now, decrypt later）」——這意味著任何今天用RSA或ECC加密的通訊，都可能已存在某個對手的資料庫中，靜待解密能力到位的那一天。

真正重要的資料——外交電報、軍事通訊、機密研究、個人醫療紀錄、金融歷史——其敏感性以數十年計，遠超2026年到2030年這段時間差。Oratomic和Google的論文並未製造這個威脅；它們壓縮的是這個威脅成真的時間表。

什麼東西面臨風險

RSA和ECC並非利基技術。它們支撐著：

TLS/HTTPS：每一個安全網路連線——從網路銀行到企業VPN到政府入口網站——都依賴RSA或ECC進行金鑰交換。事後破解RSA或ECC，等於破解所有以這些演算法協商的歷史連線。

程式碼簽章：微軟、蘋果、Google等所有主要廠商的軟體更新，都用ECC或RSA的數位簽章驗證真實性。能夠偽造這些簽章的量子攻擊者，可以散布作業系統視為合法的惡意軟體。

加密貨幣：比特幣的錢包地址源自ECC-256金鑰。理論上，能執行Shor演算法的量子電腦可以從公開地址反推私鑰，清空曾在交易中暴露公鑰的所有錢包。

公鑰基礎架構（PKI）：支撐網際網路信任體系的憑證機構、採用密碼學身分識別的政府文件、企業零信任架構，全都建立在如今正被質疑的數學假設之上。

後量子應對：NIST的新標準

密碼學界並未坐以待斃。美國國家標準暨技術研究院（NIST）歷經八年評估後量子密碼演算法，於2024年確定了前三項標準：ML-KEM（CRYSTALS-Kyber）用於金鑰封裝；ML-DSA（CRYSTALS-Dilithium）用於數位簽章；SLH-DSA（SPHINCS+）作為基於雜湊的備用簽章方案。第四項標準FN-DSA（FALCON）隨後跟進。這些演算法被認為能抵抗古典電腦和量子電腦的攻擊。

挑戰不在於發明新技術，而在於遷移。在大型組織的基礎設施中替換密碼學原語，通常需要數年的規劃、測試和推行。每一個使用RSA或ECC的函式庫、協議、硬體安全模組和憑證，都必須清點、替換和驗證。對於在大型主機上或嵌入工業控制設備中執行遺留系統的企業，硬體本身可能根本無法接受軟體更新，使複雜度呈指數級上升。

美國政府的遷移期限——由CISA在NIST最終標準發布時設定的指南中要求——呼籲聯邦機構在2030年前完成向後量子密碼學的過渡。處理機密資訊的系統，期限更早。Oratomic論文壓縮的量子位元時間表，為這個本已緊迫的時程增加了更多急迫性。

硬體現實的提醒

有一個重要背景不應遺漏：Oratomic論文描述的是一台擁有一萬個高品質、容錯糾錯「邏輯量子位元」的量子電腦能做什麼。「邏輯」二字承載著關鍵區別。實體量子位元有噪聲；邏輯量子位元是糾錯後的版本，通常需要幾十到幾百個實體量子位元才能可靠實現，取決於錯誤率和糾錯方案。

包括Atom Computing、QuEra和Oratomic自家硬體部門在內的當前中性原子機器，已展示出高保真度的雙量子位元閘，但在持續執行Shor演算法所需的錯誤率下穩定運行一萬個實體量子位元，仍是重大工程挑戰。Oratomic論文是一份資源分析——它告訴我們硬體必須達到什麼目標，而非目標已然達成。

讓論文令人警惕的是發展軌跡。中性原子系統的進步速度超過了大多數預測。推動這項技術的公司資金充裕，中性原子架構在多個方面比超導量子位元有更有利的擴展性。2030年Q日的時間表不是定論，但也不再是幻想。

時鐘已在運轉

對企業資安團隊和政府官員而言，Oratomic的論文應該將後量子密碼學遷移從長遠規劃演練，重新定位為帶有硬性截止日期的主動執行專案。問題不是量子電腦「最終是否」會具備破解RSA和ECC的能力，而是它們這樣做的時間「是否早於」世界完成演算法替換的時間。

當今最大量子電腦與一萬邏輯量子位元門檻之間的差距是真實存在的，但它已不再是先前估計所暗示的那種舒適緩衝。把2030年當作遠方地平線而非迫在眉睫期限的組織，正在基於Oratomic和Google論文已從根本上改變了的風險計算做出決策。

正如《自然》文章中一位密碼學家所言：問題已從「是否」變為「何時」。而當被保護的資料幾年前就已加密、現在就在某人的資料庫裡、未來幾十年仍將保持敏感時，「何時」至關重要。