2026年5月19日——作为问题求解机器的前沿，量子计算机正在解锁全新且激动人心的计算形式。但什么是量子计算机？它们对机器学习、药物发现、科学模拟等领域又意味着什么？

什么是量子计算机？

量子计算机是先进的实验性计算系统，它利用量子力学原理，以与传统计算机根本不同的方式处理信息。

传统计算机使用以0或1作为测量值的比特来处理信息，而量子计算机则使用量子比特。量子比特可以被制备成状态的叠加，多个量子比特可以通过纠缠相互连接。量子算法利用这些效应以及干涉现象，能够比已知的最佳经典方法更高效地解决某些类别的问题。

对于一些精心定义的任务，量子算法有望提供比经典方法显著的速度提升，不过实际优势取决于具体问题、硬件和算法。

大多数用户可能通过云服务来访问量子计算机，而不是自己拥有量子硬件。这引出了一个简单但重要的问题：传统计算机用户如何信任由强大的量子服务器返回的结果？

这个问题是纽卡斯尔大学与科威特大学的 Ameer Mohammed 博士以及科威特石油公司的 Jaffer Mahdi 合作开展的一项近期工作的核心。由此产生的论文《面向经典验证者的延时公开可验证量子计算》已被 2026 年 ACM 计算机与通信安全会议接收。

挑战：信任量子云计算

量子计算目前正处于从理论走向部署的激动人心阶段。未来，许多组织和个体用户可能会通过基于云、按使用付费的服务来访问量子处理器。

这种模式可以支持强大的新应用，但也引入了信任问题。

客户端可能将任务发送给远程量子服务器并接收结果。但客户端如何知道结果是正确的呢？这很困难，因为客户端可能只有一台经典计算机，因而无法独立重复该量子计算。如果重新计算很容易，那也就没什么必要将其外包了。

这个问题被称为量子计算的经典验证。它探讨的是，一个经典的验证者能否检查由不可信的量子证明者执行的计算结果。

在该团队被会议接收的论文中，他们研究了这个问题的更强版本：结果是否不仅能被原始客户端验证，还能被任何人验证？

公开验证为何重要

在许多情况下，私有验证是不够的。

假设一家公司将一项高价值的量子计算外包给云服务提供商。如果后来发生争议，审计师、监管机构、法院、客户或其他第三方可能需要检查结果。

这就需要公开可验证性。任何人都应该能够检查证明，并确认计算被正确执行。

公开验证在量子计算可能支持高影响决策的应用中尤其重要。例如量子机器学习、药物发现、基因组学、个性化医疗、投资组合优化、风险建模、欺诈检测以及量子增强分类。

在这些场景中，计算结果可能影响科学、金融或医疗决策。因此，可审计性成为信任的重要组成部分。

为什么简单的修补方法行不通

一个自然的初步想法是使用现有的私有可验证量子计算协议，然后公开秘密验证密钥，以便每个人都能检查证明。

不幸的是，这会破坏安全性。

如果量子服务器过早得知秘密验证密钥，它可能能够为错误结果创建令人信服的证明。

第二个想法是，在服务器返回证明之前一直保密密钥，然后再将其公开。这只有在客户端在正确时间保持在线和可用时才有效。它可能还需要一个受信任的第三方来持有和发布密钥。该团队的目标是避免这两种假设。

他们需要一个解决方案，使得客户端可以发送一条初始消息后离线，而其他人仍然可以在之后验证结果。

该团队的思路：将验证密钥隐藏在时间锁谜题中

该团队的解决方案使用了时间锁谜题。时间锁谜题是一种密码学机制，它能将信息隐藏直到经过一定时间。

它就像一个数字时间胶囊：容易创建，但故意设计得难以快速打开。

在该团队的协议中，客户端将私有验证密钥放入一个时间锁谜题中。量子服务器收到执行计算和生成证明所需的公开信息，但不能立即获知验证密钥。

具体的延迟时间经过选择，使得服务器在生成并发布计算结果和证明之前无法解开谜题。延迟过后，谜题可以被解开，验证密钥变得公开，任何人都可以检查证明。

这就实现了延时公开可验证性。

验证并非从一开始就是公开的。它只有在计算和证明完成后才变得公开。这一小小的改变使得该团队能够避免早期方法中使用的更强密码学假设。

防止密钥泄露后作弊

还有另一个挑战。如何阻止服务器等到谜题被解开、获知验证密钥后，再创建伪造的证明？

为了防止这一点，证明被添加了时间戳。验证者会检查证明是否在截止日期前生成。在验证密钥可用之后创建的证明将被拒绝。

该团队还需要确保从谜题中恢复的密钥与客户端最初设定的密钥相同。为此，客户端发布一个对验证密钥的承诺。之后，一旦谜题被解开，任何人都可以检查恢复的密钥是否与承诺相符。

时间锁谜题、时间戳和承诺共同构成了一个清晰的安全结构：

• 1. 密钥一开始是隐藏的，
• 2. 证明必须在密钥被揭示之前生成，
• 3. 延迟过后密钥变得公开，
• 4. 任何第三方随后都可以验证该证明。

这对密码学为何重要

先前实现公开可验证量子计算的方法往往依赖于高度理论化的密码学工具。

其中一个例子是“不可区分混淆”。

这可以被视为一种“加扰”计算机程序的方法，使其仍能工作，但其内部结构从外部极难获知。这是现代密码学中一个强有力的概念，但当前的构造远非实用。

其他方法依赖于理想化的模型，包括经典的预言机模型，这些模型可以被视为抽象了类混淆功能。这些模型有助于探索理论上可能实现的内容，但它们抽象掉了现实系统需要实现的细节。该团队的工作采取了不同的路线：尽管其安全性证明仍在量子随机预言机模型中，并使用公共参考串，但其构造避免了不可区分混淆，并且基于更标准的后量子假设。

该团队展示了，通过将公开验证延迟到计算完成后，他们可以从更标准的后量子假设出发，构建一个实用的非交互式方案。

该构造依赖于后量子时间锁谜题、承诺方案和私有可验证量子计算协议。据该团队所知，这是首次使用时间锁谜题将私有可验证量子计算方案转换为公开可验证方案。

测试该方法

该团队还使用 AWS Braket（一个用于模拟量子电路的云平台）实现了该方案的一个实例。

实验考虑了两种类型的量子工作负载。第一种是随机量子电路，它作为通用测试用例很有用。第二种基于 Harrow-Hassidim-Lloyd 算法，通常称为 HHL。

HHL 是一种用于求解线性系统的量子算法：即寻找满足一组方程的未知值的问题。线性系统是科学、工程、金融和机器学习领域的基础。

一个“16×16 HHL 实例”意味着测试问题涉及一个由 16×16 矩阵表示的线性系统。简单来说，这相当于一个有 16 个关联变量的系统。这并非旨在成为一个大型现实问题；相反，它是一个用于测试验证方案端到端行为的有用基准。

在该团队的实验中，这个 16×16 实例的量子电路计算耗时约 90 秒。相应的时间锁谜题经过校准，使其求解时间至少与计算时间一样长。在经典客户端侧，生成谜题本身仅需约 0.05 毫秒，不包括设置成本。

这些结果表明，客户端所需的额外工作量可以非常小。这对于计算资源有限或提交任务后可能无法保持在线状态的用户来说非常重要。

展望未来

该团队的工作是朝着更负责任的量子云计算模式迈出的一步。

随着量子计算通过远程服务变得更容易获取，用户将需要机制来验证他们收到的结果是正确的。在高风险场景中，仅让原始客户端确信可能还不够。其他人也可能需要检查结果。

延时公开验证提供了一种前进方向。它没有解决公开可验证量子计算中的所有开放问题，但它表明时间可以被用作一种密码学资源。

通过将时间锁谜题与量子计算的经典验证相结合，该团队为经典用户提供了一条通往可验证量子云服务的实用途径。