Hacker News 中文摘要

RSS订阅

密码工程师视角下的量子计算时间线 -- A cryptography engineer's perspective on quantum computing timelines

原文链接 | HN讨论 | 2026-04-07 02:47:55

文章摘要

文章核心内容:密码学工程师认为量子计算机发展速度超出预期,谷歌最新研究显示破解256位椭圆曲线加密所需量子比特和门数量大幅降低,可能使攻击在几分钟内完成,这对现有公钥基础设施构成严重威胁,需加快部署抗量子加密技术。

文章总结

密码学工程师视角下的量子计算时间线

作者观点转变

密码工程师Filippo Valsorda近期公开修正了自己对量子抗性密码学部署紧迫性的判断。过去几周业内流传的迹象表明,具有密码破解能力的量子计算机(CRQC)可能比预期更早出现。

关键研究进展

  1. 谷歌论文:大幅下调破解256位椭圆曲线(如NIST P-256)所需的逻辑量子比特数量,使得超导量子比特架构可在数分钟内完成攻击。该研究虽以加密货币为切入点,实则对WebPKI中间人攻击影响深远。
  2. Oratomic论文:展示通过非局域连接(如中性原子技术)仅需1万个物理量子比特即可破解相同加密,得益于更优的纠错技术。尽管速度较慢,但每月破解一个密钥都可能造成灾难。

行业权威警示

  • 谷歌安全专家Heather Adkins等将2029年设为最后期限,距发文仅剩33个月。
  • 量子计算专家Scott Aaronson以核裂变研究史作比,暗示当前形势堪比1939-1940年的技术突破前夜。
  • RWPQC 2026会议显示,量子计算时间线已明显缩短,过去"还需十年"的玩笑不再适用。

风险决策逻辑

核心问题并非"CRQC在2030年前必然出现",而是"能否100%确定其不会出现"。面对专家预警,非专业人士不应低估风险——这实质上是拿用户安全做赌注。正如Aaronson所言,质疑当前量子容错进展,如同在1943年质问曼哈顿计划"何时能实现小规模核爆"。

具体应对措施

  1. 立即部署现有方案

    • 在X.509等原为ECDSA设计的空间中强制植入大尺寸ML-DSA签名
    • 优先采用Merkle树证书方案(WebPKI已取得进展)

  2. 密钥交换

    • 所有非抗量子(PQ)密钥交换应视为潜在威胁,需像OpenSSH那样警告用户
    • 暂弃非交互式密钥交换(NIKE),专注KEM方案

  3. 加密策略调整

    • 对称加密无需改动(128位密钥仍安全,Grover算法存在理论限制)
    • 文件加密需警惕"现在存储-日后解密"攻击,尽快弃用非PQ方案

  4. 生态系统影响

    • Go标准库中半数加密包将面临淘汰
    • 可信执行环境(TEE)因缺乏PQ根密钥可能失去安全价值
    • 加密货币等需立即启动迁移,避免未来陷入"放任攻击"或"冻结账户"的两难

教学转向

作者在博洛尼亚大学密码学课程中,已将RSA/ECDSA等列为遗留算法——这将是未来从业者的实际使用场景。

(注:原文中关于赞助方、社交媒体信息及极光照片等非技术内容已精简,保留核心论证逻辑与技术细节)

评论总结

以下是评论内容的总结:

1. 关于后量子加密(PQ)的紧迫性

支持尽快部署PQ的观点: - adrian_b认为应优先部署FIPS 203(ML-KEM)以保护会话密钥,防止未来数据被解密("adversaries may record data... decrypt the data after some years")。 - janalsncm将量子计算的发展类比曼哈顿计划,认为政府可能正在秘密研发("governments are pretty good at clumping dollars together when they want to")。

质疑紧迫性的观点: - OhMeadhbh引用Peter Gutmann的研究,认为量子计算机破解加密的进展并不快("progress... is not moving especially quickly")。 - OsrsNeedsf2P认为千比特量子计算机仍需数十年("1,000 qubit quantum computers are still decades away")。

2. 技术实施与标准

  • vonneumannstan提出创业机会:提供PQ加密迁移服务("offering PQ Encryption Migration as a Service")。
  • tux3批评IETF标准制定过程缓慢("The IETF should have an internal post-mortem on this")。
  • amluto指出硬件安全模块(如TEE)缺乏PQ支持的问题("All their keys and roots are not PQ"),并推荐哈希签名方案。

3. 实际应用与风险

  • palata询问Yubikey等设备的安全性,认为认证签名风险较低("no 'store now, decrypt later' for authentication")。
  • phicoh质疑量子计算发展的非线性,呼吁先验证小规模破解("build something in a lab that breaks RSA 256")。
  • Animats调侃比特币被盗可作为量子破解的标志("when all the lost Bitcoins start to move")。

4. 其他观点

  • Sparkyte指出加密升级的成本问题("The cost goes up... supporting the latest")。
  • krunck警告政府可能借机推动有缺陷的PQ标准("push broken PQ KE standards")。

总结呈现了支持与质疑PQ紧迫性的平衡观点,同时涵盖技术、商业和风险层面的讨论。