距离量子破解还有33个月

2025年4月，Cloudflare 宣布将其全球网络的大部分流量切换到抗量子加密算法。然而，就在同一个月，Google 发表的一篇论文下调了破解椭圆曲线密码学（ECC）所需的量子比特数估计。这意味着，曾经被认为需要数百万量子比特才能攻破的加密体系，现在可能只需要几千个就够了。

量子计算机威胁的「永远再等十年」，似乎真的要结束了。

一个密码学工程师的自白

在 Lobste.rs 上，一位密码学工程师分享了他的思考方式。他说，很多人觉得量子计算的威胁还很遥远——毕竟，「量子计算机永远都是十年后的事」。但这种想法忽略了一个关键点：密码学的迁移周期本身就以十年计算。

一个 TLS 证书的平均寿命是两年。浏览器和服务器的更新周期加起来可能要五到八年。大型基础设施的迁移周期更长。而现在 Q-Day（量子破密日）的估计，已经从本世纪中叶前移到了 2029 至 2030 年。

换句话说，密码学工程师不是在赌量子计算会出现，而是在赌它不出现。但这个赌注——是用户数据的安全——他们押不起。

两条路线同时逼近

量子计算要破解现在的加密体系，需要物理上实现足够多的「逻辑量子比特」。这两者的关系不是简单的 1:1——实际的物理量子比特需要远多于逻辑量子比特，因为要处理纠错。

过去，业界普遍认为需要数百万物理量子比特才能破解 RSA-2048 或 ECC。但最近的研究把这个数字大幅压低了。

超导路线（Google、IBM 采用）已经实现了分钟级破解演示。中性原子路线（Oratomic 等公司押注）凭借其「非局部连接」的物理特性，仅需约 1 万个物理量子比特就能达到同等效果——这在工程实现上是一个截然不同的难度。

两条完全不同的技术路线同时逼近实用门槛，这件事本身就值得警惕。

Cloudflare 在做什么

Cloudflare 的迁移目标定在了 2029 年。这个时间节点的设定不是偶然，而是基于对整个密码学迁移周期的推算。

目前，Cloudflare 报告称超过 65% 的人类流量已经启用了抗量子加密。这里的「抗量子」主要指的是密钥交换（key exchange）层——即 TLS 握手中用来协商会话密钥的部分。这是缓解「现在收集，未来解密」（harvest now, decrypt later）攻击的最直接手段：即使攻击者今天截获了流量，等量子计算机成熟时也无法解密。

但 Cloudflare 也承认，真正的缺口在于抗量子认证尚未完成升级。

为什么认证比密钥交换更难

密钥交换解决的是「中间人窃听」问题：即使量子计算机能在未来解密，只要今天传输时密钥是安全的，流量就是安全的。

但认证解决的是「你是谁」的问题。现在的数字签名体系——你的网站证书、银行交易签名、区块链转账——都依赖于公钥密码学的认证。如果量子计算机能在几分钟内伪造签名，那整个信任体系就崩溃了。

这不仅仅是技术问题。认证的迁移涉及数十亿设备、无数软件栈和遗留系统。CA 证书体系的更新周期比密钥交换长得多。

我们还有多少时间

从现在到 2029 年，大约是 33 个月。这个数字听起来不算短，但对于密码学迁移来说，这其实非常紧迫。

举一个例子：Heartbleed 漏洞在 2014 年被发现后，整个行业花费了数年才基本完成 OpenSSL 的修复。而量子迁移涉及的不只是一个库，而是几乎所有使用公钥密码学的系统——从浏览器到云服务，从 IoT 设备到企业内网。

这意味着，如果现在不开始规划，2029 年很可能不是「完成迁移」的截止线，而是「开始慌乱」的起点。

能做什么

对于普通用户：没有太多可以做的，确保操作系统和软件保持更新。

对于开发者：如果你的系统涉及长期敏感的加密通信，现在就应该开始关注后量子算法的测试部署。

对于基础设施决策者：密钥交换的迁移相对容易，可以立即开始；认证的迁移周期更长，需要更早规划。

后量子密码迁移不是学术讨论，而是一个基础设施建设的硬截止线。这一次，真的不能再等十年了。

综合来源：Lobste.rs 上关于密码学工程师视角的讨论、Cloudflare 官方博客关于后量子安全迁移的技术说明