量子计算时间线与后量子密码迁移：从密码工程师视角审视实际威胁窗口

在密码学领域，关于量子计算威胁的讨论常常陷入两个极端：要么是危言耸听的 “量子末日论”，要么是过于乐观的 “量子威胁还很遥远”。作为一名长期从事密码工程实践的从业者，我认为更有价值的是从具体的技术事实和工程约束出发，评估我们真正拥有的时间窗口以及应当采取的行动。

密码工程师视角下的量子威胁本质

理解量子计算对密码学的威胁，首先需要区分两类不同的攻击场景。第一类是存储式攻击（Store-now-decrypt-later），攻击者现在收集加密数据，等待将来量子计算机足够强大时再解密。这种威胁已经在发生 —— 任何具有战略价值的数据都可能成为目标，包括政府机密、商业知识产权、个人隐私信息以及加密通信记录。第二类是实时攻击（Real-time attack），需要攻击者在通信进行时立即破解加密，这对量子计算机的性能要求更高，目前仍属于理论层面的威胁。

Filippo Valsorda 作为 Go 语言标准库加密模块的维护者，在 2025 年的 Go 加密状态报告中明确指出：密码学迁移的核心驱动力并非量子计算机已经存在，而是 “现在收集，以后解密” 的威胁已经存在。这意味着即便量子计算机在十年内无法实用化，今天收集的加密数据在五年后可能变得可读 —— 这才是真正的时间窗口。

NIST 后量子密码标准化的实际进展

2024 年是后量子密码学里程碑式的一年。NIST 正式发布了三项首批标准算法：ML-KEM（基于模格的关键封装机制，用于密钥交换）、ML-DSA（基于模格的数字签名算法）以及 SLH-DSA（基于哈希的数字签名算法）。这些算法经历了多年的公开评估和选择过程，最终从最初提交的数十个候选方案中脱颖而出。

从工程实践角度，这三个标准的发布意味着组织终于有了明确的实施目标。ML-KEM 特别适合用于 TLS 密钥交换，因为它直接解决了 “前向保密” 问题 —— 即使长期密钥被破解，过去的通信记录仍然保持机密。ML-DSA 和 SLH-DSA 则提供了不同性能特点的签名方案，组织可以根据具体场景选择。

值得注意的是，NIST 同时在评估备份方案。HQC（基于编码的关键封装机制）和 Classic McEliece 系列作为潜在的备份算法正在接受审查。这种多层次的标准策略反映了密码学界的审慎态度 —— 我们不希望依赖单一算法族，尽管当前的 ML-KEM/ML-DSA 已经过充分审查。

威胁时间线的工程化评估

关于量子计算机何时能够破解现有密码学算法，业界存在多种预测。乐观估计认为需要 15-20 年，保守估计则可能需要 30 年以上。然而，从密码工程的角度，我们不应将这些预测作为行动的唯一依据。

实际的时间窗口评估应考虑以下因素：

第一，数据生命周期。许多敏感数据的保密期远超十年。例如，医疗记录的隐私保护需求可能延续数十年，政府机密的保密期更是以数十年计。这意味着今天加密的数据可能在量子计算机成熟时仍需保护。

第二，迁移周期。密码学基础设施的更新换代通常需要五到十年。从算法选择、协议更新、兼容性测试到全面部署，每个环节都需要时间。提前开始迁移的组织将在威胁变为现实时处于更有利的位置。

第三，法规驱动。美国国家安全备忘录 NSM-10 和 CNSA 2.0 时间表已经为政府系统设定了明确的最后期限。这些政策信号往往会推动私营部门加速采用类似的时间表。

组织应对策略：从清单到行动

基于上述分析，密码工程师可以为自己的组织制定以下分阶段计划：

第一阶段：盘点与评估（2026 年上半年）

首先需要对现有加密基础设施进行全面盘点。这包括识别所有使用 RSA、ECDSA、ECDH 等易受量子攻击算法的系统；评估数据的敏感程度和预期保密期限；确定哪些系统对量子威胁最为敏感。Filippo Valsorda 强调的做法是：从关键系统的密钥交换机制开始，优先部署 ML-KEM，因为这是最直接保护实时通信的机制。

第二阶段：试点与集成（2026 年下半年至 2027 年）

在非关键环境中测试 ML-KEM 与现有 TLS 基础设施的集成。注意新的后量子算法产生的密文和签名通常比传统算法大数倍 ——ML-KEM 的公钥约 1184 字节，密文约 1088 字节；ML-DSA 的签名约 2420 字节。这可能对某些受限环境（如物联网设备）构成挑战。

第三阶段：渐进式部署（2028 年至 2030 年）

按照系统优先级逐步将后量子算法纳入生产环境。同时保持与传统算法的兼容性，因为并非所有通信对手都已完成升级。混合模式 —— 同时使用传统算法和后量子算法 —— 是一种实用的过渡策略。

关键工程原则：加密敏捷性

无论时间线如何发展，有一个原则应当贯穿整个迁移过程：构建加密敏捷性。这意味着设计系统时应当使加密算法可以独立于业务逻辑进行替换；维护加密资产的实时清单；建立算法迁移的自动化能力。只有具备这种敏捷性，组织才能在未来应对任何不确定性。

结语

从密码工程师的视角来看，量子计算威胁的时间线虽然存在不确定性，但 “收集现在，解密 later” 的威胁已经是不争的事实。NIST 在 2024 年完成的首批后量子密码标准为我们提供了明确的工程目标。当我们不再纠结于量子计算机何时能够破解 RSA 或 ECDH，而是专注于构建可以逐步迁移的加密基础设施时，我们就已经在正确的方向上取得了进展。

关键不在于预测未来，而在于为未来做好准备。今天的加密基础设施将在未来十年继续保护我们的数据，而后量子密码学的迁移也将在未来十年逐步完成。对于密码工程师而言，现在就是开始行动的时刻。

参考资料

• Filippo Valsorda, "The 2025 Go Cryptography State of the Union"
• NIST Post-Quantum Cryptography Standardization Program
• NIST Special Publication 800-208 (Recommendation for Stateful Hash-Based Signatures)