2024 年底 FBI 局长 Christopher Wray 公开说了一句话:Salt Typhoon——一个国家级攻击者——已经渗透了至少 9 家美国电信运营商,包括 AT&T、Verizon 和 Lumen,在内部维持了长达一到两年的未检测访问。目标是长期情报积累:通话记录、元数据、部分通话内容。勒索和金融盗窃不是它的目的。
FBI 将其定性为 “历史上最大规模的网络间谍行动”。
这些攻击者在收集加密通信。他们今天读不了这些数据,也不需要今天读。他们在等量子计算机成熟到能破解当前加密体系的那一天,然后批量解密储存在仓库里的流量。这个策略有一个正式的名称:Harvest Now, Decrypt Later(HNDL,先收集后解密)。
NSA、CISA、NIST 在 2023 年就已联合发出过正式警告。英国 NCSC 在其 2023 年度评估中也做了同样的定性。Federal Reserve 在 2025 年 9 月的一份 FEDS 工作论文中更进一步,明确将 HNDL 定义为 “present and ongoing threat”。
一个常见的思维框架是这样的:量子计算机还需要很多年才能造出来,等它造出来的那天我再考虑换加密方案。
这个框架的问题出在两个层面上。
第一,它假设威胁只在终点线上等着。实际上 HNDL 已经在起跑线上行动了。一份 2026 年 3 月发表的 arXiv 论文量化了 HNDL 的可行性:自 2010 年以来数据存储成本下降了约 95%,2024 年全球骨干网流量已达 68 EB,国家级行为者完全有能力以 PB 到 EB 级规模截获并存储加密流量。这是一道成本收益计算题,结果倾向于”值得做”。
第二,它假设防御侧的迁移可以等威胁明确后再启动。但密码迁移这件事有一个几乎不可压缩的工程时间常数。SHA-1 从理论弱点被发现(2005 年)到最终在 TLS 证书中被正式废弃,用了超过 10 年。SSL/TLS 从被 NIST 正式废弃(2014 年)到 PCI DSS 强制要求升级(2018 年),中间也有 4 年——而且是监管驱动下的强制迁移,有明确的截止日期和合规罚则。后量子密码(PQC)迁移的复杂度远超这两次:证书链体积膨胀 50 倍(从 ECDSA 的 64 字节到 ML-DSA 的 3,293 字节),TLS 1.3 是前置依赖(大量企业还在用 TLS 1.2),物联网和嵌入式设备的内存根本装不下新证书,混合部署本身就是一个协议层和工程层的复杂问题。
即使明天所有标准都定好、所有厂商都支持,全量迁移也需要至少 5-10 年。迁移时间不可能大幅压缩,但量子计算机的到达时间可能被进一步提前。
2026 年 3 月,Google Quantum AI 发表了一篇论文,给出了破解 256 位椭圆曲线(ECC-256)所需的最小量子资源:不到 1,200 个逻辑量子比特、9,000 万个 Toffoli 门,在超导量子计算机上可在数分钟内完成。这意味着破解 ECC-256 所需的物理量子比特数从此前估计的约 2,000 万降到了不到 50 万,大约 20 倍的资源削减。
同一天,Caltech 和 Oratomic 的合作团队发表了另一篇论文,展示了如果利用中性原子量子比特的任意-任意连接能力,破解 ECC-256 只需约 1 万个量子比特。论文作者名单里有 John Preskill——量子计算领域最具权威的理论物理学家之一。
这两篇论文的核心含义是:攻击面的缩小不依赖硬件突破,算法优化本身就在快速缩短安全窗口。硬件团队在造更大的机器,算法团队在让同样的机器能做更多的事,两边同时推进。
资源估计的压缩曲线是一条快速下坠的线:
2012 年需要约 10 亿量子比特 → 2019 年约 2,000 万 → 2025 年约 100 万 → 2026 年不到 50 万或低至 1 万(中性原子方案)。12 年内压缩了 5 个数量级。
这篇 Google 论文的披露方式本身也在传递信号。Google 没有公布完整的量子电路,而是发布了一个零知识证明来验证资源估计的真实性——因为这些信息已经被视为敏感的攻击向量,不能完整公开。论文团队中包括了 Dan Boneh(斯坦福,世界顶级密码学家之一)和 Justin Drake(Ethereum Foundation),密码学界是认真且参与的。
Scott Aaronson 是 UT Austin 的计算机科学讲席教授,量子信息中心的联合创始主任,2026 年 4 月刚当选美国国家科学院院士。在量子计算领域,他持续二十年给量子计算泼冷水——他发明了复杂性类 PostBQP 来理解量子计算的局限性,花了大量时间纠正媒体和投资者的过度解读。他一直是那个说”慢一点,这比你们想的难得多”的人。
2026 年 4 月 30 日,Aaronson 当选 NAS 院士的同一天,他在个人博客上发表了一篇新文章。标题是:“Will you heed my warnings?”
他在文章中写道:“一些在量子硬件和量子纠错领域最受人尊敬的人——在这些话题上我比信任自己更信任他们的判断——现在告诉我,一台能破解现部署密码体系的容错量子计算机,应该在 2029 年左右是可行的。”
然后他说了这段话:“如果几年后量子计算机开始破解密码,你不许跑来我的博客说我没警告过你。这篇帖子就是你的警告。”
Aaronson 不是唯一转向的人。Go 语言密码库维护者、密码工程领域最受尊重的实践者之一 Filippo Valsorda 在 2026 年 4 月也公开写道,他的立场在过去几个月内发生了转变。他承认自己看不懂那些量子物理论文,但在评估风险和听取领域内专家的判断后,他认为之前认为的”等等看”窗口已经关闭,现在需要加速行动。
他的原话很诚实:“I don’t actually know what all the physics in those papers means. That’s not my job, and it’s not my expertise.” 但他认为自己的工作不是评估量子物理,而是评估和缓解风险。在这一框架下,信号已经足够清晰。
2026 年 3 月 25 日,Google 安全工程 VP Heather Adkins 和资深密码学工程师 Sophie Schmieg 联合发布公告,将 Google 内部 PQC 迁移的时间线定为 2029 年。2026 年 3 月 31 日的 ECC 论文发表后,Cloudflare 也紧随其后,将全面 PQC 就绪目标从 2030 年代提前到 2029 年。
Google 和 Cloudflare 没有协调过这件事。两家公司在不同的物理现实面前独立得出了同一个判断。2029 年不是一个市场叙事或 PR 动作——是两家拥有最前沿技术视野的基础设施公司,对着同一组数据和同一批论文,各自在内部做了风险评估后的结论。
两家公司都特别强调了一点:威胁优先级的排序在变化。过去大家觉得 HNDL 只是加密数据的解密问题,但 Google 和 Cloudflare 不约而同地将认证(authentication)——即数字签名——的 PQC 迁移优先级提到加密之前。原因是:如果量子计算机能伪造签名,那么当前的代码签名、固件更新、TLS 证书链、区块链交易全部会在没有预警的情况下失效。加密数据的时效性可能只有几年,但签名伪造的后果是永久性的。
Apple 在 2024 年初已经将 PQ3 协议部署到 iMessage 中,Signal 在 2025 年 10 月发布了 SPQR(Triple Ratchet),在协议层叠加量子安全的密钥共识层。Cloudflare 目前宣称超过 65% 的人类 TLS 流量已经使用后量子混合加密。AWS 自 2025 年 6 月起已在 KMS 中提供 ML-DSA 签名密钥,并在 2026 年 4 月公布了完整的分阶段迁移计划。
行业的基础设施层已经在迁移。当这些云和平台层完成迁移后,它们的客户准备好了吗?
Bain & Company 在 2026 年 3 月的一份调研中发现,约 71% 的企业高管预期量子能力将在五年内被用于网络攻击,但只有 9% 的技术负责人表示已经制定了应对路线图。
NIST 的 NCCoE(国家网络安全卓越中心)在 2022 年就启动了 PQC 迁移项目合作,聚集了 AWS、Cloudflare、Google、Microsoft、JPMorgan Chase、HSBC、Wells Fargo 等 60 多个组织。但这家机构至今仍在 “reviewing comments” 阶段——核心的可操作指南还没有发布。迁移工具链和最佳实践仍在开发中。
这里有一个容易被混淆的点。很多企业看到 Cloudflare 宣布 65% 流量已 PQC,会觉得自己已经在被保护范围内。更有可能的情况是:CDN 层确实用了 PQC,但流量进入企业的 WAF、负载均衡、服务网格、企业代理和 B2B 网关后,又回退到了传统的 ECDH/RSA。一层 PQC 覆盖并不等于端到端安全。
PQC 领域有一个叫 CBOM(Cryptographic Bill of Materials)的概念——像 SBOM 记录软件的成分一样,CBOM 要求企业系统记录每一项使用了公钥密码的资产:证书、密钥、HSM、Cloud KMS、固件签名。一个典型的大型企业可能有数万个证书和硬编码密钥分布在数十个系统中。绝大多数企业没有这个清单。而没有清单,就没有办法知道什么时候才算迁移完成。
这个叙事需要面对几层合理的质疑。
第一层是物理瓶颈。从 Willow 的 105 个量子比特到一台可以破解 ECC 的机器,中间仍隔着巨大的工程鸿沟。量子纠错的开销——目前约需 1,000 个物理量子比特来支撑一个可靠的逻辑量子比特——尚未被证明可以工程化地降低到 100:1 以下。如果纠错开销维持在高位,即使量子比特数量按乐观路线图增长,可用于密码分析的逻辑量子比特仍然不够。
第二层是 Y2K 类比。一种常见的怀疑:这会不会是另一次 Y2K——投入了大量资源做准备,结果什么都没发生。这个类比的可能成立路径是:正因为行业提前做了准备,最终才没有出事。但可能的失败路径也真实存在:投入过早、过度投入、或迁移到一个同样不成熟的 PQC 算法上。
2022 年,NIST 第四轮候选算法 SIKE 被 Castryck 和 Decru 在一颗单核 CPU 上约一小时彻底破解。这个事件是一个警示:即使经过多年公开审查的算法,仍然可能隐藏致命漏洞。ML-KEM(基于格密码)和 SIKE(基于同源密码学)的数学基础不同——格密码约有十年公开审查,且得到了 NSA 的背书(已被批准用于绝密级国家安全用途)。但 SIKE 事件将”PQC 算法也可能有未发现的弱点”这个可能性从理论变成了实例。
第三层是机会成本。一个非科技公司的 CTO 面临的实际威胁排序中,勒索软件、供应链攻击和社会工程在每年造成真实损失,而量子威胁的时间线存在真实的不确定性。如果把有限的安全预算从这些确定性威胁转移到 PQC,企业在当下可能变得更脆弱。
这些反对意见有其合理性。它们没有改变的核心判断有三条:HNDL 已经在发生,迁移需要不可压缩的工程周期,算法侧进展比硬件进展更快。这三条线的交叉意味着,等待更多信息再行动是一个选项,但持续观望让企业失去了在高敏感数据保护窗口期内完成迁移的可能性。
现在就可以做的事:
可以等一等的:
2026 年 4 月,当 Scott Aaronson 被问到为什么改变立场时,他回答:“我只是在看到 2025 年的新数据后更新了我的判断。十年前我估计量子计算还需要几十年。现在我看着同一组证据,觉得是几年。”
并不是说 2029 年一定就是 Q-Day。可能性仍然存在——量子纠错的工程开销比预期高、中性原子的深度电路验证失败、或者某种新经典算法绕过量子优势的需求——让时间线推迟到 2030 年代末。但关键的不对称在这里:如果量子计算机 2029 年到,而你等到 2028 年才开始准备,你来不及。如果你现在开始准备而量子计算机 2038 年才到,你的成本不过是一些前期的 crypto inventory 和架构升级。
HNDL 让决策变量从”量子计算机什么时候到来”变成了”你的数据中,哪些在未来 10-15 年仍然需要保密”。后一个问题的答案是具体的,不依赖你对量子物理的判断。
本文参考了以下来源:Google Quantum AI 的 ECC 论文(arXiv:2603.28627)及负责任披露博文(research.google/blog/safeguarding-cryptocurrency),Google 2029 年迁移公告(blog.google/cryptography-migration-timeline),Cloudflare 2029 路线图(blog.cloudflare.com/post-quantum-roadmap),Scott Aaronson 博客(scottaaronson.blog),Filippo Valsorda 的分析(words.filippo.io/crqc-timeline),NSA/CISA/NIST 联合 CISA(nsa.gov/Press-Room),Federal Reserve FEDS 工作论文,HNDL 可行性 arXiv 论文(arXiv:2603.01091),Sotera Digital 对 Salt Typhoon 的报道(blog.soteradigital.com),Apple PQ3(security.apple.com/blog/imessage-pq3),Signal SPQR(signal.org/blog/spqr),AWS PQC 迁移计划(aws.amazon.com/blogs/security),Bain/IBM PQC 合作报道(consulting.us),以及 Coindesk 对 Google 2029 和加密货币迁移的分析(coindesk.com)。