Cloudflare 正在加速推进后量子路线图。我们现在的目标是 2029 年实现全面后量子 (PQ) 安全,至关重要的是后量子身份验证。
Cloudflare 持续致力于提高互联网的私密性和安全性。2014 年,我们开始提供免费的 Universal SSL 证书;2019 年,我们开始准备后量子迁移;2022 年,我们为所有网站和 API 启用了后量子加密,防范“先收集后解密”攻击。尽管我们欣喜地看到,流向 Cloudflare 的超过 65% 真人用户流量已采用了后量子加密,但我们的工作还远未完成,需要将身份验证也升级为后量子加密。可靠的最新研究和快速发展的行业动态表明,迁移的截止日期可能比预期要早得多。这是任何企业都必须高度重视的一项挑战,也是我们加快做好应对“量子解密日 (Q-Day) 准备”的原因。
究竟发生了什么?上周,Google 宣布显著改进了用于破解椭圆曲线加密 (ECC) 的量子算法,ECC 被广泛用于保护互联网安全。Google 没有公开该算法,而是提供了一个零知识证明,表明其确实掌握了破解 ECC 的量子算法。
这甚至不是最重大的突破。同一天,Oratomic 发布了在中性原子量子计算机上破解 RSA-2048 和 P-256 密码所需的资源估算。只需使用极少量的 10000 个量子比特,就能破解 P-256 密码。Google 近期宣布同时研发中性原子与超导量子计算机,其背后的动机显而易见。虽然 Oratomic 阐述了其使用的基本方法,但仍然故意省略了关键细节。
这些独立的进展促使 Google 将后量子迁移时间线提前至 2029 年。此外,Google 在其公告和其他对话交谈中强调,相比于缓解“先窃取后解密”攻击风险,公司更重视量子安全身份验证。正如我们将在下文论述的一样,这一优先顺序表明 Google 担心 Q-Day 最早可能在 2030 年到来。在这些公告发布后,IBM Quantum Safe 首席技术官则更加悲观,他认为最早可能在 2029 年出现针对高价值目标、类似于“月之暗面发起的模型蒸馏行为”的量子密码破解。
量子威胁众所周知:Q-Day 是指足够强大的量子计算机能够破解当今用于保护系统数据和访问权限的核心加密技术的那一天。虽然密码学相关量子计算机 (CRQC) 目前尚未问世,但全球许多实验室正在探索通过不同技术路径来构建这种计算机。到目前为止,CRQC 的进展大多数已经公布出来,但没有理由期望这种透明度会一直持续下去。事实上,我们有充分理由可以预见,CRQC 的进展会逐渐淡出公众视野。正如量子计算机科学家 Scott Aaronson 在 2025 年年底警告的那样:
在不久的将来,那些利用 Shor 算法来详细估算需要多少物理量子比特、量子门操作数来破解实际已部署的密码系统的研究人员,可能会停止公开这些估算信息,如果没有其他原因,可能只是为了避免向潜在对手透露过多此类信息。实际上,据我们所知,这个时间节点可能已经过去了。
如今,那个时间节点确实已经过去了。
我们想再多说几句,阐述为什么量子计算领域的进展如此难以预测。即使一切都在公众关注下发生,人们对量子概念的理解也可能产生质的飞跃,就像我们上周见证的那样。简而言之,利用量子计算机破解加密技术需要在三个相互独立的领域进行工程开发:量子硬件、纠错,以及量子软件。每个领域的进展都会带动其他领域的进展。
硬件。有许多相互竞争的不同方法。我们提到过中性原子和超导量子比特,但还有离子阱、光子学,以及拓扑量子比特等难以实现的目标。甚至可以结合使用一些互补型方法。世界各地的多个实验室都在研究这些方法。在实现规模化之前,它们都面临着各自独特的工程挑战和需要解决的问题。几年前,这些方法面临大量尚未解决的难题,而且当时尚不清楚它们是否能够规模化扩展。如今,大多数方法都取得了显著进展。虽然目前还没有任何一种方法被证实能够规模化应用:但如果能够,我们可能也用不了几年时间了。这些方法现在已经非常接近于取得成功,尤其是中性原子量子计算机。如果忽视进展,则意味着您认为每一种方法最终都会遇到无法克服的问题。
纠错。所有的量子计算机都存在噪声,并且需要纠错码才能进行有效的计算。这会增加相当大的开销,具体开销取决于使用的架构。噪声越高,则需要的纠错越多;但更有趣的是,改善量子比特连接性可以提高纠错码效率。为了便于理解规模:在嘈杂且仅支持相邻量子比特连接的超导量子计算机中,通常需要大约一千个物理量子比特才能实现一个逻辑量子比特。我们知道,比如中性原子计算机中的“可重构量子比特”,可以支持纠错码性能提高一个数量级。令人惊讶的是,Oratomic 的研究表明,这种优势甚至更加明显:每个逻辑量子比特仅需要大约 3-4 个物理中性原子量子比特。
软件。最后,可以改进用于破解密码技术的量子算法。这是 Google 的一项突破:他们大幅提高了破解 P-256 密码的算法速度。此外,Oratomic 还展示了针对可重构量子比特的进一步架构优化。
种种迹象表明:2025 年,中性原子量子计算机的可扩展性超出预期;而且 Oratomic 目前找到了利用这种高连通性量子比特优化纠错码性能的方法。此外,破解 P-256 密码所需的工作量也显著减少。因此,Q-Day 将显著提前,早于通常预测的 2035 年以后时间线,中性原子量子计算机遥遥领先,其他方法也紧随其后。
在之前的博客文章中,我们论述了与在超导量子比特架构上破解 RSA-2048 密码的保守目标相比,不同的量子计算机在物理量子比特数量与保真度方面的差异。这种分析让我们大致了解还有多少时间来做好准备,这当然比跟踪量子因式分解记录好得多,但它忽略了特定架构的优化和软件改进。现在需要关注的是,每种架构缺失的功能最终何时会实现。
过去,业界对后量子密码学 (PQC) 的关注一直侧重于后量子加密,以阻止“先窃取后解密”(HNDL) 攻击。在 HNDL 攻击中,对手通过在当下窃取已加密的敏感网络流量,并将其存储起来,直到未来某一天可以使用功能强大的量子计算机解密这些数据。在 Q-Day 还很遥远的时候,HNDL 攻击是主要威胁。因此,Cloudflare 到目前为止的重点始终是缓解这种风险,具体表现在我们自 2022 年起一直专注于在产品中默认采用后量子加密。如前文所述,目前大多数 Cloudflare 产品已采取安全防护措施来防范 HNDL 攻击,同时我们也在努力升级其余产品。
另一类则是针对身份验证的攻击:对手利用功能齐全的量子计算机,假冒服务器或伪造访问凭证。如果距离 Q-Day 比较久远,身份验证并不紧迫:部署后量子证书和签名不会带来任何价值,但需要投入大量精力。
但如果 Q-Day 即将到来,情况则截然不同:数据泄露固然会带来严重的不利影响,但身份验证失效可能会导致灾难性后果。任何被忽视的、易受量子攻击的远程登录密钥,都可能成为攻击者的切入点,让他们为所欲为,无论是敲诈勒索、导致系统瘫痪还是窥探系统。任何自动软件更新机制都会成为远程代码执行的攻击途径。活跃的量子攻击者轻松发起攻击,只需找到一个可信的、易受量子攻击的密钥即可入侵系统。
当量子计算机领域的专家开始修补身份验证系统时,我们应该认真听取他们的意见。问题不再是“我们的加密数据何时会面临风险?”,而是“攻击者何时会利用量子伪造的密钥入侵系统?”
如果量子计算机在未来几年内问世,它们将非常稀缺且价格昂贵。届时攻击者会优先考虑高价值目标,例如可解锁大量资产的长期密钥,或提供持续访问权限的凭证,例如根证书、API 身份验证密钥和代码签名证书。如果攻击者能够攻破此类密钥,他们就能持续拥有访问权限,直到攻击被发现或密钥被撤销。
这表明,应优先保护长期密钥。如果对单个密钥发起量子攻击既成本高昂又速度缓慢,这无疑是正确的做法。对于第一代中性原子量子计算机来说,这种情况是意料之中的。对于可扩展的超导量子计算机以及后续几代中性原子量子计算机而言,情况则截然不同,因为其破解密钥的速度可能快得多。如此快速的 CRQC 再度扭转局面,利用此类 CRQC 的攻击者可能会专注于 HNDL 攻击,以确保其攻击不被检测和发现。Google 安全工程师 Sophie Schmieg 将这种情况,比作改变了第二次世界大战走向的 Enigma 密码破解。
增加对后量子加密技术的支持是不够的。系统必须禁用对易受量子攻击型加密算法的支持,以抵御降级攻击。在规模更大、尤其是 Web 这样的联合系统中,后量子证书不可行,因为并非所有客户端(浏览器)支持此类证书,服务器需要继续支持这些旧版客户端。不过,仍然可以使用“后量子 HSTS”和/或证书透明度来保护 HTTPS 免遭降级攻击。
禁用易受量子攻击的加密技术并不是最后一个步骤:完成后,还需要轮换易受量子攻击的系统中先前已暴露的所有密钥(例如密码和访问令牌)。与只需一次部署的后量子加密不同,迁移到后量子身份验证涉及漫长的依赖项链,更不用说还涉及第三方验证和欺诈监控。这需要耗费数年时间,而不是数月。
看到这篇文章,企业自然会急于思考需要升级哪些内部系统。但事情并未结束。Q-day 对所有系统构成威胁。因此,了解潜在的 Q-day 对第三方依赖项(包括直接和间接依赖项)的影响非常重要。这不仅包括您与之进行加密通信的第三方,而且还包括对业务运行至关重要的第三方,例如金融服务和公用事业公司。
随着 Q-day 日益临近,后量子身份验证已成为首要优先事项。首先,应升级长期密钥。由于存在深层次依赖项链,且几乎所有企业都拥有第三方供应商,这项工作将耗费数年时间,而不是数月。仅仅升级到后量子密码学还不足够:为了抵御降级攻击,还必须停用易受量子攻击的密码技术。
如今,大多数 Cloudflare 产品均提供后量子加密,以缓解“先窃取后解密”风险。这是我们十多年前启动的一项工作的成果,旨在保护我们的客户和整个互联网。
我们的目标是到 2029 年为所有产品套件提供全面后量子安全保护,包括身份验证。我们将在此分享一些已设定的阶段性里程碑,这些里程碑会随着我们对风险和部署挑战的理解不断加深而进行调整。
对于企业而言,我们建议将后量子加密支持作为所有采购的必要条件。保持软件持续更新、自动化证书颁发等常见的最佳实践具有重要意义,有助于取得显著成效。我们建议尽早评估关键供应商,了解其不采取行动可能会对您的业务造成哪些影响。
对于监管机构和政府:尽早设定时间线,一直是推动全行业整体进步的关键。目前我们正处于一个关键时期,不同司法管辖区之间以及同一司法管辖区内部标准和工作的碎片化可能会危及进展。我们建议各国政府指定并授权一个牵头机构,负责根据明确的时间线协调迁移工作,始终关注安全性,并促进现有国际标准的采用和普及。各国政府无需惊慌,可以从容、稳健地引领迁移进程。
对于 Cloudflare 客户:鉴于我们的服务,您无需采取任何缓解措施。我们正密切关注量子计算领域的最新进展并积极采取措施保护您的数据。我们将一如既往地默认启用后量子加密安全功能,无需您进行任何设置。但我们无法控制的另一端是:客户使用的现有浏览器、应用和源服务器都需要升级。无需担心通过 Cloudflare 平台传输的企业网络流量:Cloudflare One 提供端到端保护,通过后量子加密的 Cloudflare 隧道基础设施传输流量。
隐私与安全是互联网的基本条件。因此,我们构建的每一项后量子升级解决方案都将继续免费提供给所有 Cloudflare 用户,无论客户购买何种计划。将后量子安全设为默认选项,是大规模保护互联网的唯一途径。
免费 TLS 曾帮助加密了网络。免费后量子加密技术将帮助我们保护未来的网络。