密码学工程师视角：量子计算破解加密的时间线

那个"永远还有10年"的笑话，彻底凉了

2029年。

33个月。

这就是谷歌和一群量子物理学家现在给出的 deadline。不是2035，不是2040，是2029年——你的信用卡、比特币钱包、HTTPS 连接，可能在那之前就变成裸奔。

密码学工程师 Filippo Valsorda 上周公开认怂：几个月前他还在说"别急，我们有时间"，现在他改口了，"我们必须立即 ship"。

发生了什么？

两篇论文，把"科幻"砸进了现实

上周接连炸出两篇论文，直接把量子计算机从"实验室玩具"拽到了"武器级威胁"的门口。

先是谷歌。他们发表了一篇有点"怪"的论文（作者自己吐槽说里面还塞了零知识证明，像是为了负责披露而做的学术表演），但核心数字让人脊背发凉：破解 256 位椭圆曲线（比如保护你网银的 NIST P-256 和比特币用的 secp256k）所需的逻辑量子比特数和门电路数，被大幅削减。

换句话说，用超导量子比特这种"快时钟"架构，几分钟就能攻破。

紧接着，Oratomic 的团队扔出另一篇。他们证明，如果你有非局域连接（比如中性原子量子计算机那种），只要 1 万个物理量子比特就能攻破同样的曲线。速度会慢一些，但一个月破解一个密钥，对国家级对手来说已经够用了。

这张图（来自 Oratomic 论文第二页）把趋势画得很清楚：硬件在进步，算法在降价，纠错要求在降低。三条曲线同时向下，这不是"会不会发生"的问题，是"什么时候"的问题。

"量子前沿比看起来更近"

说实话，Valsorda 说他自己也没完全看懂那些物理公式。但他的工作不是搞量子物理，而是替用户承担风险。

而他听到的声音，让他睡不着觉。

谷歌安全团队的 Heather Adkins 和 Sophie Schmieg 放话了："量子前沿可能比看起来更近"，2029 年是他们的 deadline。这是第一次有专家把线划得这么近。

量子计算理论权威 Scott Aaronson 更狠。他说现在能公开给出的最明确警告，是类比1939 到 1940 年的核裂变研究——那一年，核研究从公开学术领域突然转入了秘密工程。你品品。

几个月前在 RWPQC 2026 会议上，大家还在讨论宽松的时间线，现在已经部分作废了。那个"量子计算机永远还有 10 年"的老梗，不好笑了。

这里有个认知陷阱要避开。你可能会想："也许这是虚惊一场呢？"

错了。赌注不是"你确定2030年会有量子计算机吗"，而是"你确定2030年一定没有吗"？ 只要存在非零概率，而你的用户输不起，这就不是赌局，是必迁令。

就像 Aaronson 说的：一旦你理解了量子容错，再问"你们什么时候用 Shor 算法分解 35"就像 1943 年问曼哈顿计划的物理学家"你们什么时候搞出小型核爆"一样可笑。

别搞"混合方案"了，直接上硬货

Valsorda 的态度转变很彻底，甚至有点反直觉。

以前大家推崇"混合方案"：经典算法+后量子算法，双保险。现在他说，"混合认证对我来说已经没有意义了，只会拖慢我们。"

为什么？因为时间不够了。Hybrid（混合）密钥交换还算简单，但 Hybrid 认证（签名）太复杂。IETF 那个 draft-ietf-lamps-pq-composite-sigs-15 草案定义了 18 种复合密钥类型，光是讨论怎么处理这些复合密钥、怎么暴露给用户，就能耗掉两年。

我们没有两年了。

直接上纯 ML-DSA-44（后量子签名），别搞经典+PQ 的混搭。唯一的收益是防止 ML-DSA 在量子计算机到来前就被经典破解，但这个 trade-off 现在看不值得。

对于密钥交换，ML-KEM 的迁移还算顺利，但任何非 PQ 的密钥交换现在应该被视为"潜在主动妥协"，值得像 OpenSSH 那样给用户弹警告。因为很难保证所有传输的密文都能在三年内过期。

至于那些刚搞出来的新经典算法？别想了。配对密码学（pairings）很美，P-256 刚学会安全实现，阈值签名和基于身份的加密还没有 PQ 等价物——我知道这很痛，但这就是现实。

TEE 完蛋，RSA 进博物馆，AES-128 反而安全了？

这场地震波及的范围比想象中广。

可信执行环境（TEE），比如 Intel SGX、AMD SEV-SNP，Valsorda 直接给了个判词："fd"*。所有硬件根密钥都不是 PQ 的，而硬件迭代速度意味着它们可能赶不上 2029。他不得不重新评估整个项目，把 TEE 降级为"防御纵深"的辅助手段，不能再当主防线。

教学生的方式也要变。Valsorda 这周开始在博洛尼亚大学教密码学博士课，他说他会把 RSA、ECDSA、ECDH 当作"遗留算法"来讲——就像今天教学生 COBOL 一样，只是历史遗迹。这感觉很 weird，但这就是未来。

有意思的是，对称加密反而不用慌。很多人以为 Grover 算法逼我们必须用 256 位 AES，但 Valsorda 解释：Grover 的量子加速不能并行化，破解 128 位 AES 需要的量子电路规模是 2^106，远超现有能力。盲目推 AES-256 反而会拖慢真正紧急的非对称密码迁移。

但文件加密（比如 age 工具）必须加速了。因为"存储现在，解密以后"（store-now-decrypt-later）的攻击模式，非 PQ 的密钥文件很快就要报错警告。

33 个月，够干什么？

从大气层会议（AtmosphereConf 2026）回来的飞机上，Valsorda 看到了极光。

绿色的光柱在云层上舞动，美得不像真的。但回到地面，现实是冰冷的：我们必须在 2029 年前完成互联网基础设施的密码学重构。

这不是打补丁，是换地基。X.509 证书要塞进巨大的 ML-DSA 签名（比现在的 ECDSA 大得多），TLS 握手要改，SSH 要警告，比特币和 atproto 这类有密码学身份的系统必须开始迁移，否则到时候只能在"让用户被黑"和"把用户锁死"之间二选一。

十年前我们在嘲笑"量子计算机还有 10 年"，现在我们希望它真的还有 10 年——但物理学不等人。

当核裂变从论文变成炸弹只用了几年，当极光从神话变成航班窗外的风景，我们凭什么觉得密码学的崩塌会更温柔？

你的系统，准备好迎接 2029 了吗？还是你依然在赌"这次也会是虚惊一场"？

【锐评】：当密码学工程师开始把 RSA 当 COBOL 教，你就知道这不是技术迭代，是文明级别的安全恐慌——而大多数人还在用 128 位密钥安慰自己。

参考链接：
https://words.filippo.io/crqc-timeline/