来源: https://blog.cloudflare.com/post-quantum-roadmap/
Cloudflare正在加速推进其后量子路线图。我们现在的目标是到2029年 实现完全的后量子(PQ)安全,其中至关重要的是后量子身份验证。
在 Cloudflare,我们始终致力于将互联网的私密性和安全性作为默认设置。我们于 2014 年开始提供免费的通用 SSL 证书,2019 年开始筹备后量子加密迁移,并于 2022 年为所有网站和 API 启用后量子加密,从而有效缓解了“先捕获后解密”攻击。尽管我们欣喜地看到,超过65% 的 Cloudflare 用户流量已采用后量子加密,但我们的工作远未结束,只有身份验证也得到升级,我们的工作才能真正完成。可靠的最新研究和快速发展的行业动态表明,迁移的最后期限比预期要早得多。任何组织都必须紧急应对这一挑战,因此我们正在加快内部 Q-Day 准备工作的进度。
发生了什么?上周,谷歌宣布他们大幅改进了用于破解椭圆曲线密码的量子算法,而椭圆曲线密码被广泛用于保障互联网安全。他们没有公开该算法,而是提供了一个零知识证明,证明他们拥有该算法。
这甚至还不是最大的突破。就在同一天,Oratomic公司发布了在超导原子计算机上破解RSA-2048和P-256加密所需的资源估算。对于P-256,它只需要惊人的1万个量子比特。谷歌最近宣布将超导量子计算机与超导原子计算机联合研发的动机现在也变得清晰起来。尽管Oratomic公司解释了他们的基本方法,但他们仍然有意省略了一些关键细节。
这些独立进展促使谷歌将后量子迁移时间表提前至2029年。此外,在谷歌的公告和其他讨论中,他们将量子安全认证置于缓解“先收获后解密”攻击之上。正如我们接下来将要讨论的,这一优先顺序表明谷歌担心量子日最早可能在2030年到来。在这些公告发布后,IBM量子安全首席技术官则更为悲观,认为最早在2029年就不能排除针对高价值目标的量子“登月攻击”
量子威胁众所周知:Q日指的是足够强大的量子计算机能够破解当今用于保护数据和系统访问的关键加密技术的日子。目前,与 密码学相关的量子计算机(CRQC)尚未出现,但世界各地的许多实验室正在探索不同的方法来构建它。直到最近,CRQC 的研究进展大多是公开的,但没有理由认为这种情况会持续下去。事实上,我们完全有理由预期,相关进展将会逐渐淡出公众视野。正如量子计算机科学家斯科特·阿伦森在2025年底警告的那样:
在某个时候,那些对使用 Shor 算法破解实际部署的密码系统所需的物理量子比特和量子门数量进行详细估算的人员,将会停止发布这些估算结果,原因很简单,就是担心向对手泄露过多信息。事实上,就我们所知,那个时间点可能已经到来。
那个阶段确实已经过去了。
为何现在正是时候:三个方面均取得独立进展
我们想谈谈为什么量子计算的发展难以预测。即使一切都在公众的视野中发生,理解上的“量子”飞跃,就像我们上周见证的那样,仍然可能发生。简而言之,用量子计算机破解密码需要在三个独立的领域进行工程开发:量子硬件、纠错和量子软件。每个领域的进展都会促进其他领域的进展。
硬件方面, 存在许多不同的竞争方案。我们提到了中性原子和超导量子比特,但还有离子阱、光子学,以及像拓扑量子比特这样的前沿技术。互补的方案甚至可以结合使用。世界各地的多个实验室都在研究这些方案。在实现规模化之前,它们都面临着各自独特的工程挑战和需要解决的问题。几年前,所有这些方案都面临着一长串尚未解决的挑战,而且它们是否能够规模化应用尚不明朗。如今,大多数方案都取得了显著进展。虽然目前还没有任何方案被证实能够规模化应用:如果能够实现,我们恐怕也用不了几年时间了。但这些方案现在已经非常接近成功,尤其是中性原子方案。如果忽视这些进展,那就意味着你认为每一种方案最终都会遇到瓶颈。
纠错。 所有量子计算机都存在噪声,需要纠错码才能进行有意义的计算。这会增加相当大的开销,具体开销取决于架构。噪声越大,所需的纠错能力就越强,但更有趣的是,改进的量子比特连接性可以实现更高效的纠错码。为了便于理解规模:对于存在噪声且仅具有相邻量子比特连接的超导量子计算机而言,通常需要大约一千个物理量子比特才能实现一个逻辑量子比特。我们知道,像中性原子机器那样的“可重构量子比特”可以使纠错码的性能提高一个数量级。令人惊讶的是,Oratomic 的研究表明,这种优势甚至更大:每个逻辑量子比特只需要大约 3-4 个物理中性原子量子比特。
软件方面, 最后,用于破解密码的量子算法还有改进的空间。谷歌的突破性进展在于:他们大幅提升了破解 P-256 密码的算法速度。此外,Oratomic 还展示了针对可重构量子比特的进一步架构优化。
种种迹象表明:2025年,中性原子量子比特展现出比预期更高的可扩展性;而现在,Oratomic公司又找到了利用这种高连通性量子比特实现更优纠错码的方法。此外,破解P-256算法所需的工作量也大大减少。因此,量子日(Q-Day)的到来时间已显著提前,远超通常的2035年以后的预期,中性原子量子比特技术遥遥领先,其他方法也紧随其后。
在之前的博文中,我们讨论了不同量子计算机在物理量子比特数量和保真度方面的差异,并以在超导量子比特架构上破解 RSA-2048 加密这一保守目标作为参照。这种分析让我们大致了解了剩余的时间,当然比追踪量子因式分解记录要好得多,但它忽略了特定架构的优化和软件改进。现在需要关注的是,每种架构最终缺失的功能何时才能实现。
现在是时候关注身份验证了。
从历史上看,业界对后量子密码学 (PQC) 的关注主要集中在后量子加密上, 后者可以抵御“先收获后解密”(HNDL) 攻击。在 HNDL 攻击中,攻击者会立即收集敏感的加密网络流量并将其存储,直到未来某个日期,届时攻击者可以使用强大的量子计算机解密数据。在量子日 (Q-Day) 还很遥远的时候,HNDL 攻击是主要威胁。因此,自 2022 年以来,我们一直致力于降低这种风险,并在所有产品中默认采用后量子加密。正如我们前面提到的,目前大多数 Cloudflare 产品都能抵御 HNDL 攻击,我们正在努力升级其余产品。
另一类攻击针对身份验证:拥有功能完善的量子计算机的攻击者会冒充服务器或伪造访问凭证。如果量子日还很遥远,身份验证就不是当务之急:部署预量子证书和签名并不会有任何价值,只会徒增劳力。
即将到来的量子攻击日彻底改变了局面:数据泄露固然严重,但身份验证失效的后果更为灾难性。任何被忽视的、易受量子攻击的远程登录密钥都可能成为攻击者的入口,让他们为所欲为,无论是敲诈勒索、瘫痪系统还是窥探隐私。任何自动软件更新机制都可能成为远程代码执行的途径。活跃的量子攻击者轻而易举——他们只需要找到一个可信的、易受量子攻击的密钥就能入侵系统。
当量子计算机领域的专家开始修补身份验证系统时,我们都应该认真听取他们的意见。问题不再是“我们的加密数据何时会面临风险?”,而是“攻击者何时会带着量子伪造的密钥闯入系统?”
优先保护最脆弱的系统
如果量子计算机在未来几年内问世,它们将非常稀缺且价格昂贵。攻击者会优先攻击高价值目标,例如用于解锁大量资产的长期密钥,或根证书、API 认证密钥和代码签名证书等持久访问权限。如果攻击者能够获取此类密钥,他们就能无限期地保持访问权限,直到被发现或该密钥被撤销为止。
这表明应该优先考虑长寿命密钥。如果对单个密钥进行量子攻击成本高昂且速度缓慢,那么这一点尤其如此,而这对于第一代中性原子量子计算机来说也是可以预期的。但对于可扩展的超导量子计算机和后续几代的中性原子量子计算机而言,情况则截然不同,它们破解密钥的速度可能要快得多。这种快速的CRQC(量子计算机)再次颠覆了游戏规则,拥有这种快速CRQC的攻击者可能会专注于HNDL(高有效数字生命周期)攻击,从而使其攻击不被发现。谷歌的Sophie Schmieg将这种情况比作Enigma密码的密码分析,后者改变了第二次世界大战的走向。
仅仅添加对后量子加密的支持是不够的。系统必须禁用对易受量子攻击的加密技术的支持,才能抵御降级攻击。在规模较大、尤其是像Web这样的联合系统中,这难以实现,因为并非所有客户端(浏览器)都支持后量子证书,而服务器需要继续支持这些旧版客户端。然而,使用“后量子HSTS ”和/或证书透明性仍然可以实现HTTPS的降级保护。
禁用量子加密并非最终步骤:一旦完成,所有先前在量子易受攻击的系统中暴露的密钥(例如密码和访问令牌)都需要轮换。与只需一次重大部署的后量子加密不同,迁移到后量子认证涉及一系列复杂的依赖关系——更不用说第三方验证和欺诈监控了。这需要数年时间,而非数月。
看到这篇文章,企业自然会急于思考需要升级哪些内部系统。但这并非故事的全部。Q-day 威胁着所有系统。因此,了解潜在的 Q-day 对第三方依赖项(包括直接和间接依赖项)的影响至关重要。这不仅包括与您进行密码学交互的第三方,还包括任何对业务至关重要的第三方,例如金融服务和公用事业公司。
随着量子日(Q-day)的临近,后量子认证已成为当务之急。长期密钥的升级应优先进行。由于存在深层次的依赖链,且所有系统都依赖第三方供应商,这项工作将耗时数年而非数月。升级到后量子密码学还不够:为防止降级,必须同时关闭易受量子攻击的密码学。
Cloudflare迈向全面后量子安全之路
如今,Cloudflare 为我们的大部分产品提供后量子加密,有效缓解了“先收集后解密”的攻击。这是我们十多年前为保护客户和整个互联网而开展的工作的成果。我们的目标是到 2029 年为所有产品套件提供全面的后量子安全保障,包括身份验证。在此,我们分享一些已设定的阶段性目标,这些目标可能会随着我们对风险和部署挑战的理解不断加深而进行调整
2026 Cloudflare 对 PQ 认证(ML-DSA)的支持 → 源站连接
2027 访客的后量子认证 → 使用 Merkle 树证书的 Cloudflare 连接
2028 Cloudflare One SASE 套件新增 PQ 认证,使其实现全面的 PQ 安全防护
2029 Cloudflare 已实现完全的后量子安全性
个人点评:
后量子加密 + 后量子证书就算成了,也就是2027年,抓紧推广后量子证书吧,现在连个影儿都没
万一今年google再发两篇论文,怀疑根本撑不到2029年,习主席给你们网络流量全都破解了
尤其是这几年别在网络上传高密级内容的,时间点刚好卡在Q-day前夕会被先“储存后解密”拿来练手,别相信所谓的后量子加密,因为是不完整的,只有密钥交换是后量子加密的,除非证书也是后量子安全的
无法防御 (无抗量子前向安全)
成功防御 (具备抗量子前向安全)
那什么未来科技协议都不管用啊
