Cloudflare 正在加速其後量子路線圖。我們現在的目標是在 2029 年之前全面實現後量子 (PQ) 安全,其中關鍵在於:後量子身分驗證。
Cloudflare 堅信應讓網際網路預設具備私密性與安全性。我們於 2014 年開始提供免費的 Universal SSL 憑證,於 2019 年開始準備後量子遷移,並在 2022 年為所有網站和 API 啟用後量子加密,以緩解「先竊取/後解密」的攻擊。雖然我們很高興看到前往 Cloudflare 的流量中,超過 65% 的人類流量已使用後量子加密,但我們的工作遠未結束,身分驗證也需要升級。近期可靠的新研究和快速的產業發展表明,遷移的最後期限比預期要早得多。這是所有組織都必須緊急應對的挑戰,這也是我們加快自身內部 Q-Day 準備時間表的原因。
發生了什麼事?上週,Google 宣布他們在破解 Elliptic Curve Cryptography 的量子演算法上取得了重大進展,該加密方式正廣泛用於保護網際網路。他們並未公開該演算法,而是提供了一個零知識證明,表明他們擁有該演算法。
這甚至不是最大的突破。同一天,Oratomic 發布了在中性原子電腦上破解 RSA-2048 和 P-256 的資源估算。對於 P-256,所需的量子位元數低得驚人:僅需 10,000 個。現在我們終於明白,為什麼 Google 最近宣布除了超導量子電腦之外,也要同時投入中性原子路線的研發。儘管 Oratomic 解釋了他們的基本方法,但仍刻意保留了關鍵細節。
這些獨立的進展促使 Google 將其後量子遷移時程加速至 2029 年。更重要的是,在他們的公告和其他談話中,Google 將量子安全驗證的優先級放在緩解「先竊取/後解密」攻擊之上。正如我們接下來要討論的,這個優先順序表明 Google 擔心 Q-Day 可能在 2030 年就會來臨。公告發布後,IBM Quantum Safe的技術長則更為悲觀,認為最早在 2029 年就可能出現針對高價值目標的量子「登月攻擊」。
量子威脅眾所周知:Q-Day 是指量子電腦強大到足以破解目前用於保護系統間資料與存取權限的關鍵密碼學的那一天。具備密碼學相關能力的量子電腦 (CRQC) 目前還不存在,但全球許多實驗室正以不同途徑競相研發。直到最近,CRQC 的進展大多是公開的,但我們沒有理由相信這種情況會持續下去。事實上,有充分理由預期這些進展將轉為不公開。正如量子電腦科學家 Scott Aaronson 在 2025 年底所警告的:
到了某個時間點,那些正在詳細估算需要多少物理量子位元和邏輯閘才能用 Shor 演算法破解實際部署的密碼系統的人,將會停止發表這些估算,原因僅僅在於擔心向對手洩露過多訊息。事實上,就我們所知,那個時間點可能已經過了。
那個時間點現在確實已經過去了。
我們想花點篇幅說明,為什麼預測量子運算的進展如此困難。即使一切都公開進行,仍可能出現像上週那樣突然的「量子跳躍」式理解突破。簡而言之,用量子電腦破解密碼學需要在三個獨立的領域取得工程進展:量子硬體、錯誤修正,以及量子軟體。每個領域的進展都會促進其他領域的進展。
硬體。有許多不同的競爭方法。我們提到了中性原子和超導量子位元,但也有離子阱、光子學,以及像是拓撲量子位元這樣的遠大嘗試。互補的方法甚至可以結合。大多數這些方法都由全球數個實驗室進行。它們都有各自獨特的工程挑戰和待解決問題,才能進一步擴展規模。幾年前,所有方法都有一長串待解決的挑戰,且不清楚哪一種能擴展。如今,大多數方法都取得了良好進展。沒有哪種方法被證明可以大規模擴展:如果有,我們就不會還剩幾年時間。但這些方法現在要接近得多,尤其是中性原子。要無視這種進展,就必須相信每一種方法都會碰壁。
錯誤修正。所有量子電腦都存在雜訊,需要錯誤修正碼來執行有意義的計算。這會增加相當多的額外開銷,但具體增加多少取決於架構。雜訊越多,需要的錯誤修正就越多;但更有趣的是,改善量子位元的連線性,可以讓錯誤修正碼變得更有效率。做個比例參考:對於雜訊較大且僅能與相鄰量子位元連接的超導量子電腦,通常需要大約一千個物理量子位元才能構成一個邏輯量子位元。我們知道「可重構量子位元」(如中性原子機器的量子位元)可以讓錯誤修正碼的效率提升一個數量級。令人驚訝的是,Oratomic 顯示這個優勢甚至更大:每個邏輯量子位元只需要約 3 到 4 個中性原子物理量子位元。
軟體。最後,用於破解密碼學的量子演算法可以改進。這就是 Google 的突破:他們大幅加快了破解 P-256 的演算法。在此基礎上,Oratomic 展示了針對可重構量子位元的進一步架構特定最佳化。
全貌逐漸清晰:在 2025 年,中性原子被證明比預期的更具擴展性,現在 Oratomic 弄清楚了如何用這種高度連通的量子位元實現更好的錯誤修正碼。更重要的是,破解 P-256 需要的工作量少得多。因此,Q-Day 的到來時間已顯著提前,遠超通常所預期的 2035 年以後,中性原子量子位元處於領先地位,其他方法也緊隨其後。
在之前的部落格文章中,我們討論過不同量子電腦在實體量子位元數量和保真度方面的比較,並與在超導量子位元架構上破解 RSA-2048 的保守目標進行對比。這種分析讓我們大致瞭解我們還有多少時間,它當然比追蹤量子分解記錄要好,但它忽略了特定於架構的最佳化和軟體改進。現在需要關注的是每種架構最後缺少的那些關鍵能力何時會被實現。
長期以來,業界對後量子密碼學 (PQC) 的關注,主要基於後量子加密,它能阻止「先竊取/後解密」(HNDL) 攻擊。在 HNDL 攻擊中,攻擊者會擷取今日網路上傳輸的敏感加密流量並儲存起來,等待未來某天能用強大的量子電腦解密這些資料。當 Q-Day 還很遙遠時,HNDL 攻擊是主要的威脅。因此,我們迄今為止的重點是降低這種風險,自 2022 年以來,我們已在產品中預設採用後量子加密。如今,如同我們前面提到的,大多數 Cloudflare 產品已經能夠抵禦 HNDL 攻擊,我們也正在努力升級其餘的產品。
另一類攻擊是針對驗證:擁有可用量子電腦的攻擊者可以偽裝成伺服器或偽造存取認證。如果 Q-Day 還很遙遠,驗證就不是當務之急:部署 PQ 憑證和簽章不會帶來任何價值,只會增加工作量。
但一個迫在眉睫的 Q-Day 會徹底改變局面:資料洩露是很嚴重,但被攻破的驗證機制是災難性的。任何被忽略的、易受量子攻擊的遠端登入金鑰,都將成為攻擊者為所欲為的接入點,無論是勒索、癱瘓還是窺探您的系統。任何自動軟體更新機制都可能成為遠端程式碼執行載體。活躍的量子攻擊者要入侵非常容易:他們只需要找到一個受信任、但存在量子漏洞的金鑰就能進入。
當量子電腦領域的專家開始修補身分驗證系統時,我們都應該認真聽取他們的意見。問題不再是「我們的加密資料何時會面臨風險?」,而是「攻擊者何時會拿著量子偽造的鑰匙從前門走進來?」
如果量子電腦在未來幾年內問世,它們將會稀缺且昂貴。攻擊者會優先鎖定高價值目標,例如能夠解鎖大量資產或提供持久存取權限的長期金鑰,像是根憑證、API 驗證金鑰和程式碼簽章憑證。如果攻擊者能夠破解其中一個這樣的金鑰,他們就能保有無限期存取權限,直到被發現或該金鑰被撤銷為止。
這意味著長期金鑰應該被優先處理。如果破解單一金鑰的量子攻擊既昂貴又緩慢(這很可能是第一代中性原子量子電腦的情況),那麼這個論點尤其成立。但對於可擴展的超導量子電腦以及後續世代的中性原子量子電腦來說,情況就不同了,它們很可能會以更快的速度破解金鑰。這種快速的 CRQC 會再次改變局面,擁有它的攻擊者可能會純粹專注於 HNDL 攻擊,以便讓他們的攻擊不被發現。Google 的 Sophie Schmieg 將這種情境比作改變了第二次世界大戰走向的恩尼格瑪密碼分析。
僅僅增加對 PQ 密碼學的支援是不夠的。系統必須停用對存在量子漏洞的密碼學的支援,才能抵禦降級攻擊。在更大規模、尤其是聯邦式的系統(如 Web)中,這並不可行,因為並非所有用戶端(瀏覽器)都支援後量子憑證,而伺服器需要繼續支援這些舊版用戶端。不過,仍然可以透過「PQ HSTS」和/或憑證透明度來為 HTTPS 提供降級保護。
停用存在量子漏洞的密碼學並不是最後一步:完成之後,所有先前在該存在量子漏洞的系統中暴露過的機密(如密碼、存取權杖)都必須更換。與只需一次部署的後量子加密不同,遷移到後量子驗證涉及一系列複雜的依賴關係——更不用說還需要第三方驗證和詐欺監控。這將需要數年,而不是幾個月。
看到這篇文章的組織,自然會急著開始思考他們需要升級哪些內部系統。但故事還沒結束。Q-Day 威脅著所有系統。因此,瞭解潛在的 Q-Day 對第三方依賴項(無論是直接或間接)的影響至關重要。這不僅包括您與之進行加密通訊的第三方,還包括任何對業務至關重要的第三方,例如金融服務和公用事業。
隨著 Q-Day 在更短的時間內逼近,後量子驗證是最高優先級。長期金鑰應該優先升級。深層的依賴鏈以及每個人都有第三方供應商這個事實,意味著這項工作將需要數年而非數月的時間。僅僅升級到後量子密碼學是不夠的:為了防止降級攻擊,還必須關閉易受量子攻擊的加密方式。
如今,Cloudflare 已為我們大多數的產品提供後量子加密,以減輕「先竊取/後解密」的攻擊。這是我們十年前便開始努力保護客戶與整個網際網路的成果。
我們的目標是在 2029 年前,為我們的整個產品套件實現包括驗證在內的全面後量子安全。以下是我們設定的一些階段性里程碑,這些里程碑可能會隨著我們對風險與部署挑戰的理解而有所調整。
對企業而言,我們建議將後量子支援列為任何採購的必要條件。一般的業界最佳做法,例如保持軟體更新、自動化憑證頒發等,都非常有意義,也能幫助您走得很遠。我們建議您儘早評估關鍵供應商,以瞭解其不作為會對您的企業造成哪些影響。
對監管機構與政府而言,儘早制定時間表是推動產業發展的關鍵。我們現在處於一個關鍵位置:不同轄區之間及其內部的標準和努力方向不統一,可能會危及進展。我們建議政府指定並授權一個主導機構,在明確的時程內協調遷移作業,持續以安全為重點,並推廣使用現有的國際標準。政府不需要恐慌,但可以充滿信心地領導這波遷移。
對 Cloudflare 客戶而言,就我們的服務來說,您無需採取任何緩解措施。我們正在密切關注量子運算的最新進展,並採取積極措施保護您的資料。正如我們過去所做的那樣,我們將預設開啟後量子安全,無需您進行任何切換。我們無法控制的是另一端:瀏覽器、應用程式和源站需要升級。使用 Cloudflare 的企業網路流量無需擔心:當流量透過我們的後量子加密基礎架構進行通道傳輸時,Cloudflare One 提供端對端保護。
隱私和安全是網際網路的基本要素。這就是為什麼我們所建置的每一項後量子升級,都將繼續免費提供給所有方案的所有客戶。將後量子安全設為預設值,是唯一能夠大規模保護網際網路的方式。
免費 TLS 協助加密了 Web。免費的後量子密碼學,將幫助我們為未來做好準備,確保它的安全。