腾讯后量子密码主题站
腾讯后量子密码主题站

博客

密码标准

关于我们

量子计算机距离攻破 RSA-2048 还有多远(Part 3)

作者: Atum @ 腾讯玄武实验室

更新于: 10/31/2025

分类: 量子计算

系列导航 | 量子计算机距离攻破 RSA-2048 还有多远

RSA-2048 和 ECC 构成了当今网络安全的基石,但量子计算有望以前所未有的速度将其攻破。量子硬件究竟发展到哪一步?距真正击溃经典公钥加密还有多远?

本系列用三篇文章逐层拆解:

  1. 量子计算机为什么能加速计算?
  2. 量子计算机是怎样构建出来的?
  3. 🌟 构建能破解 RSA 2048 的量子计算机,还有哪些挑战?

构建能破解 RSA 2048 的量子计算机,还有哪些挑战?

目前较为成熟的超导量子计算机的量子比特规模大多在数百个左右。正如在Part1提到,量子计算机在质因数分解上能够提供指数级加速,Shor 算法分解一个 N 位整数大约需要 2N个量子比特用于计算,再加上辅助寄存器和运算所需的额外开销,要破解 RSA-2048 整体规模约为数千个量子比特。

听起来似乎离成功不远了,对吧?其实并不是。要想让量子计算顺利完成破解,如前文所述,量子比特的相干时间必须长于完成所有必要运算所需的时间。然而,目前超导量子比特的相干时间通常只有几十到几百微秒,量子门操作时间在几十到几百纳秒,而Shor算法需要 10¹² 量级的量子门操作,因此计算时间将远远超过了量子比特的相干时间。即便能在相干时间内完成操作,也会受到门保真度的限制,即使单个门的保真度高达 99.9%,在 10¹² 次操作后微小误差也会不断累积,最终破坏计算结果。

因此,必须依赖量子纠错来突破这些物理瓶颈。以表面码为例,它通过将大量物理量子比特编码为一个逻辑量子比特,从而有效延长“可用的相干时间”,并抵消门操作中的累积误差。以目前的误差率和纠错方案来看,一个逻辑量子比特通常需要几千个物理量子比特。换句话说,要想获得几千个逻辑量子比特来运行 Shor 算法,实际需要的物理量子比特总数将达到百万级。

接下来,我们会详细介绍,要将超导量子比特的数量从数百个扩展到数百万个,量子计算机每一核心组成部分所需要跨越的技术障碍。

量子芯片

量子芯片,也就是放置量子比特(约瑟夫森结)的芯片,又称量子处理器。要构造更多量子比特的芯片,主要会遇到三个难题:布线问题、串扰问题和半导体良品率问题。

布线问题

由于每个量子比特都需要引出多根线缆(比如控制线、读出线),同时量子比特与比特之间还需要有耦合器(类似于开关)互联。在二维芯片上,当量子比特数量增加时,布线复杂度会非线性增加。特别是当需要实现高连接度时,中心区域的比特控制线必须绕过外围比特,导致芯片面积急剧增加。

图:随着量子比特数量增加,布线复杂度呈非线性增长

串扰问题

串扰指的是量子比特之间的互相干扰,会导致量子态退相干,并且随着比特数量的增加呈非线性增强。常见的串扰可以分为:

  • 经典串扰:量子比特的控制信号的频率靠的太近,导致控制相互干扰。(频率指的是波每秒完成的周期数。在量子计算中,每个量子比特通过不同频率的微波信号进行控制,从而实现精确的操作和调控)
  • 量子串扰:本应关闭的比特耦合没有完全关断;(类比到经典电路则是断开开关之后仍然还有电流通过)
  • 全局串扰:来自外部环境的未知物理过程的串扰,比如宇宙射线,声子传播等

要避免串扰,一方面可能需要更大的隔离区或精心设计的屏蔽结构,另一方面也可以在器件层面优化耦合器(coupler)的性能,让比特间的耦合开关得以更彻底地关断。此外,改进测控系统,尤其是频率分配的优化,也有助于降低并行执行双比特门时的串扰。

图:串扰随量子比特数量增加呈非线性增强,严重影响量子态相干性。

器件良品率问题

如果单从面积来看,量子芯片的面积应该和量子比特数量成线性关系。但由于要处理布线和串扰问题,实际芯片面积往往会随着量子比特的数量接近平方增长。也就是说,量子比特越多,芯片面积就会非线性地放大。

更麻烦的是,量子比特对缺陷极其敏感,哪怕 1% 的失败率都会让整个系统不可用。如果芯片内部或者表面存在缺陷,就可能与量子比特发生耦合,降低其相干时间。而在微纳加工领域存在一个基本规律:芯片面积越大,良品率越低,大面积芯片的制造难度会呈指数增加。对于超导量子芯片来说,虽然其制造过程可以借用半导体工业的成熟设备和工艺流程,但量子比特对制造缺陷的极端敏感性使得良品率问题成为一个巨大的挑战。

图:面积随着量子比特数量以N²增长,而良品率随面积指数下降。图中概率值仅作演示,非真实值。

希望的曙光:模块化设计与片间互联

布线、串扰和良品率的问题,都会随着量子比特数量的增加而非线性恶化。因此,如果直接在一块芯片上构造百万量子比特,几乎是不可能的。

于是出现了新的思路:先构造数千个物理量子比特的小芯片(chiplet)模块(这样就能组成一个可靠的逻辑量子比特),再通过片间互联技术把这些小芯片连接起来。这样一来,单片的工程挑战只是从数百扩展到数千,难度大幅降低,也更加可行。

不过,这个思路也带来了新问题。量子比特非常脆弱,必须放在 10 毫开尔文左右的低温环境里工作。如果将每个 chiplet 分别放置在独立的稀释制冷机中,那么为了实现 chiplet 之间的互联,就需要将信号线从一个制冷机的低温环境引出到室温,再进入另一台制冷机的低温环境。

这种“低温 ↔ 室温 ↔ 低温”的信号传输路径会引入较大的热负载和噪声,从而破坏量子比特的状态。如果所有 chiplet 都放在同一台稀释制冷机里,那我们就需要一台功率极其庞大的稀释制冷机来容纳数千个 chiplet,而制造这样的大规模稀释制冷机本身就是全新的挑战。

图:Chiplet跨稀释制冷机互联会引入额外热噪声,需要注意的是,实际的互联拓扑并不一定是相邻 Chiplet 两两直接连接。图中所示的相邻互联方式仅用于演示。

图: 多个Chiplet 被放置在同一稀释制冷机内,并在低温环境下直接互联。这种集中式方案意味着需要一台 超大功率的稀释制冷机 来容纳并维持大量 Chiplet 的工作温度。需要注意的是,实际的互联拓扑并不一定是相邻 Chiplet 两两直接连接,图中所示的相邻互联方式仅用于演示。

因此,未来要么找到新的办法来抑制跨稀释制冷机互联的噪声,要么就得在稀释制冷机的规模化上突破。就目前的科学和工程现状来看,后者,即研发更大功率、更大空间的低温稀释制冷机,似乎是更可行的方向。

总结

如果采用 chiplet 设计 + 片间互联 的方案,那么在量子芯片层面上需要跨越的技术鸿沟,就是如何把单片量子比特从数百扩展到数千。

好消息是,半导体已经是一棵“点亮的科技树”,相关工艺还在持续进步。比如,可以借鉴先进封装中的 3D 堆叠工艺来制造量子芯片,从而提高布线密度和互联能力。同时,超导材料工艺的优化、多路复用设计、芯片架构设计的改进(如更高效的耦合器、更合理的频率规划)也都会帮助我们突破这一关口。

所以,单个小芯片从数百到数千个物理量子比特这一阶段,难度虽然不小,但这一步主要还是工程瓶颈,整体上看起来还是比较乐观的。目前,IBM已造出了单片拥有1000个物理量子比特的芯片,不过由于芯片面积很大,将不可避免的面临量产时良品率以及芯片内量子比特可靠性的挑战。

制冷系统

由于超导量子比特的能级差非常微小,量子态极易受到外界环境的扰动而退相干。目前已知的主要干扰因素包括:

  • 被动热源:量子比特虽然在接近绝对零度的环境里,但它必须通过导线和室温的电子设备相连。导线就像一根“热桥”,会把高温环境的热量带到低温区。
  • 主动热源:操控量子比特需要发射微波脉冲,脉冲会沿着导线传输。在传输和衰减的过程中,总会有能量转化为热量,积累起来就会加热环境。
  • 热辐射:即使导线和材料都隔离处理过,量子芯片和外界之间仍然存在电磁辐射耦合,高温的环境会向低温的芯片“辐射热量”。

图:量子比特的三大热干扰源

为了尽量隔绝这些影响,现行做法是:

  • 选用热导率、电导率合适的材料制作导线;
  • 在信号路径中加入滤波器和衰减器,削弱非必要频段以及控制信号传输所逸散的能量;
  • 使用稀释制冷机进行分级降温(不是直接从室温降到 10 mK,而是依次经过室温→50 K→4 K→1 K→100 mK→10 mK),逐步屏蔽热源。

图:稀释制冷机分级降温系统。分级降温的作用有(1)每一级温度平台都起到热缓冲作用,逐步隔离高温环境的热负载;(2)滤波器过滤掉不必要的频率成分,减少噪声干扰;(3)衰减器降低信号强度,同时吸收多余能量,防止加热低温区;(4)热屏蔽层阻挡上级的热辐射,保护下级的低温环境

这种方式目前大致可以支撑数百个物理量子比特。但如果要构建百万级量子比特(比如由数千片、每片数千比特的 chiplet 组成),问题就显现出来了:每个量子比特都需要对应的导线、衰减器、滤波器,数量会随比特数近似线性增加。虽然单根导线的热泄漏量不大,但当导线、滤波器数量扩展到百万量级时,累积的热负载将远远超过制冷机的极限。当然,应对这一挑战,除了需要研发功率更大的稀释制冷机外,也需要探索如何利用多路复用技术、低温 CMOS 电路以及低温超导电子学来降低布线与能耗开销。

总之,现有稀释制冷机的制冷功率和物理空间都严重不足。要支撑百万比特的系统,制冷机的功率至少需要提升百万倍以上。但这种超大功率、超大体积的稀释制冷机目前还不存在。

图:从百比特到百万比特,制冷系统的扩展性挑战

如果采用 “chiplet 设计” + “低温片间互联” 的方案,那么制冷系统就是一道必须跨越的工程大关,所需的研发投入极为庞大(很可能在数十亿美元量级)。

量子比特控制系统

如前文所述,每个超导量子比特都需要用微波信号来进行控制,并且不同的比特必须分配到不同的控制频率。随着量子比特数量从数百扩展到数百万,控制系统会面临几个明显的挑战:

  • 频率拥挤:微波的频谱范围是有限的,比特数增加后,频率间隔被迫减小。相邻频率太接近时,控制信号可能互相干扰,造成串扰问题。

图:相邻频率太接近时,控制信号可能互相干扰,造成串扰问题。

  • 精度要求提高:频带变窄意味着控制信号必须更加稳定,否则会“溢出”到相邻比特。对频率稳定度和相位噪声的要求变得更严格。

图:频带变窄后,对控制信号的频率稳定度和相位噪声要求大幅提高 微小的频率漂移都可能造成信号溢出到相邻量子比特

  • 控制复杂度飙升:每个量子比特都需要独立的脉冲控制(幅度、相位、时序)。如果有百万个量子比特,就意味着要有百万个独立控制通道。目前一个通道的硬件成本大约在 10 万元/个,长远目标是降到 1000 元/个,否则成本无法承受。

图:如果有百万个量子比特,就意味着要有百万个独立控制通道

这些问题本质上都是工程瓶颈。在小规模系统里已经显现,规模扩大后复杂度呈现线性增长。

不过,这一方向的挑战相比其他问题而言,业界普遍认为相对乐观,原因主要有:

  • 频率拥挤的规律:实验表明,在几十比特范围内(大约 60 比特以内),频率分配的复杂度增加较快,但随着比特数进一步增加,可以通过巧妙的频率复用和比特布局,使复杂度趋于可控。因此“频率拥挤”并不一定是无法跨越的硬障碍。
  • 门精度要求有限:量子计算并不要求无限精度,只要双比特门的保真度能稳定在 99.99% 左右,就足以支撑量子纠错。虽然对控制系统的噪声要求仍然很高,但这是现有半导技术可以实现的。只是目前能实现这种精度的高速数模转换器(DAC)成本过高,未来是否能够依靠大规模制造降低成本仍待测量。
  • 硬件成本优化的可能性:目前控制使用的是超导同轴线缆、转接头、衰减器和滤波器,这些器件成本高、体积大。一个潜在方向是借鉴半导体产业的 柔性基板工艺,直接在低成本材料上批量制造集成化的低温布线,从而显著降低成本和体积。

小结一下,控制系统是另一道必须跨越的工程瓶颈:百万量级量子比特需要百万独立控制通道,频率分配、信号精度和成本压降都是关键难点,虽然相对其他方面的问题更加乐观,但依然需要长期的工程投入与技术迭代。

纠错系统

要让量子比特和门保真度满足完成像分解 RSA 这样的大规模计算的要求,就必须依靠量子纠错:用上千个物理比特来构成 1 个逻辑比特。

量子纠错的理论框架已经成熟,能够显著提升逻辑比特的相干时间和门保真度。例如谷歌在 Willow 项目中,就展示了通过纠错方法获得更稳定的逻辑比特。

在 Willow 处理器中,一个逻辑量子比特并不是由单个物理比特直接表示,而是由一个二维物理比特阵列共同编码。阵列中包含两类比特:

  • 数据比特:用于承载逻辑量子态;
  • 辅助比特:通过周期性操作来检测数据比特之间是否出现了错误。

这些辅助比特的测量结果不会直接揭示逻辑态本身,但能反映出系统中是否发生了位翻转或相位翻转等错误。结合解码算法,系统可以判断错误发生的位置并进行修正。在 Willow 的实验中,研究人员首次在硬件上验证了这样一个关键特性:当物理比特的误差率降低到阈值以下时,只要工程上允许,理论上可以通过持续增加编码规模来持续延长逻辑量子比特的有效相干时间,并持续提高逻辑门的保真度。换句话说,相干时间和门保真度的最终限制主要来源于工程资源,而非基本物理定律。

图:多个易受干扰的物理比特可以构成一个稳定的逻辑比特, 理论上通过扩大用于纠错的物理量子比特的规模可以将相干时间延长到完成大规模量子计算所需的任意时长。

不过,在工程实现上,解码算法必须是实时的:如果错误累积过快,将超出可恢复范围。随着比特数量增加,纠错开销呈非线性增长,对经典硬件提出极高的算力和延迟要求。好在纠错计算本身可以高度并行,理论上可以通过增加算力(即“堆钱”)来缓解瓶颈。

挑战不仅在物理层面,还在于软硬件一体化工程:由于量子比特持续产生随机错误无法在运行前预知,电路必须根据现场检测到的错误信息动态调整后续操作。同时,纠错系统还要实现逻辑比特的实时调度与校准,并在极低延迟下完成并行解码。这些要求叠加在一起,使得容错量子计算不仅仅是一个硬件难题,还是一个规模极大、复杂度极高的系统工程。

图:量子纠错不仅是物理问题,更是极具挑战的系统工程: 需要在微秒级时间内完成错误检测、并行解码和实时修正, 算力需求随系统规模非线性增长,但可通过增加硬件资源("堆钱")来解决。

总之,量子纠错系统是一个必须跨越的门槛:它要求上千物理比特组成 1 个逻辑比特,并依赖实时、并行的纠错与动态调度,这对软硬件一体化提出极高要求,是极具挑战性的系统工程。但整个过程没有无法解决的科学上的限制,更多是系统工程的挑战。

破解 RSA2048 的量子计算机高概率在 203X 年出现

综上所述,要制造出能够破解 RSA‑2048 的百万量子比特计算机,科学问题在于退相干和门错误不可避免,但量子纠错理论已提供明确的解决路径;真正的难点在工程层面,包括冷却、控制、布线、能耗以及量子纠错的实时实现。随着规模扩展,这些问题会呈现非线性放大,尤其是串扰、纠错开销和能耗,但在一定规模后可通过模块化设计和片间互联让复杂性进入区域线性阶段。总体而言,没有科学上的“死胡同”,但工程挑战极大,需要长期积累和巨额投入。目前行业内普遍预期这样的量子计算机会以很高概率在 203X 年出现,我们是认同这一判断的。

参考文献

  1. "Postquantum Cryptography: The Time to Prepare Is Now!" Gartner Research(2024)
  2. Joseph, David, et al. "Transitioning organizations to post-quantum cryptography." Nature 605.7909 (2022): 237-243.
  3. Kjaergaard, Morten, et al. "Superconducting qubits: Current state of play." Annual Review of Condensed Matter Physics 11.1 (2020): 369-395.
  4. Castelvecchi, Davide. "IBM releases first-ever 1,000-qubit quantum chip." Nature 624.7991 (2023): 238-238.
  5. Fowler, Austin G., et al. "Surface codes: Towards practical large-scale quantum computation." Physical Review A—Atomic, Molecular, and Optical Physics 86.3 (2012): 032324.
  6. "Quantum error correction below the surface code threshold." Nature 638, no. 8052 (2025): 920-926.