谷歌与Cloudflare加速后量子密码部署，2029年成新关键节点

大约在2010年前后，一款名为"火焰"（Flame）的复杂恶意软件劫持了微软用于向全球数百万台Windows电脑分发更新的机制。这款据报道由美国和以色列联合开发的恶意软件，向伊朗政府所属的受感染网络推送了一个恶意更新包。

此次"碰撞攻击"的核心，是对MD5的一次成功利用。MD5是一种密码哈希函数，微软当时用它来验证数字证书的真实性。攻击者通过伪造一个基于MD5的密码学上完美的数字签名，冒充合法的更新服务器，成功推送了恶意内容。若该攻击被更大规模地使用，后果将对全球造成灾难性影响。

这一事件于2012年曝光，如今已成为密码学工程师们的一个警示案例。自2004年以来，MD5就被证实存在"碰撞漏洞"——这是一种致命缺陷，允许攻击者构造两个不同的输入，却产生完全相同的输出结果。此后四年间，另外两项研究进一步揭示了MD5的脆弱性，其中一项研究甚至利用200台索尼PlayStation运行三天，成功伪造了一张TLS证书。尽管这一致命漏洞早已人尽皆知，微软庞大基础设施中的一小部分仍在继续使用该哈希函数。

为了防止类似事件重演，各组织正在全面推进新算法的部署，以替代RSA和椭圆曲线算法。三十余年来，这两种公钥算法一直被认为对Shor算法存在脆弱性。Shor算法是一组方程式，能够让足够强大的量子计算机在多项式时间内破解这两种算法所依赖的数学难题，与传统计算机所需的指数级时间相比，速度大幅提升。

本月早些时候，谷歌和Cloudflare均将其内部后量子密码（PQC）就绪的截止日期提前至2029年，较原计划提前了约五年。此举的主要推动力来自两项最新研究，这些研究表明，具备密码学意义的量子计算机（CRQC）的出现时间可能比此前预估的更早。

目前几乎没有确凿证据表明CRQC会在未来四年内问世，但这一修订后的截止日期，为亚马逊和微软等同行树立了良好榜样——后两者的时间线比2029年晚了两到六年。这一目标也与美国政府的相关要求基本吻合：美国国防部要求所有国家安全系统在2031年12月31日前采用量子安全算法，美国国家标准与技术研究院（NIST）则要求在2035年前淘汰存在漏洞的算法。尽管许多专家对CRQC能在2029年前出现持强烈怀疑态度，但也有人指出，考虑到风险之高、准备工作之艰难，整个行业的提速部署实属必要。

斯坦福大学计算机科学家及密码学家丹·博内（Dan Boneh）在接受采访时表示："我们必须意识到，将互联网迁移至后量子体系，尤其是在数字签名领域，是一项极其庞大的工程。如果整个互联网能在2029年前全部完成迁移，那将是一个了不起的成就。设定2029年的目标，是为了在万一无法按时完成时留有一定缓冲。如果目标定在2035年，再延误两三年，我们就会非常危险地逼近那条红线。"

曾于2015年至2022年主导微软后量子密码过渡工作、现任职于Farcaster咨询集团的密码学工程师布莱恩·拉马基亚（Brian LaMacchia）对此表示赞同。他解释说，PQC就绪"在本质上是一个精算/风险管理问题——即使到2030年前建成CRQC的概率很低（比如仅有5%），其潜在的下行风险也是巨大的。再加上过渡工程周期极长，这意味着你们早就应该开始行动了。"

Q&A

Q1：什么是后量子密码（PQC），为什么现在要加速部署？

A：后量子密码是一类能够抵御量子计算机攻击的加密算法，用于替代当前广泛使用的RSA和椭圆曲线算法。由于量子计算机一旦达到足够强度，就能利用Shor算法快速破解现有加密体系，谷歌和Cloudflare已将PQC就绪截止日期提前至2029年。专家指出，互联网整体迁移工程量庞大，提前部署是为了应对潜在风险，避免在量子计算机真正出现时措手不及。

Q2：CRQC是什么，它对现有网络安全有什么威胁？

A：CRQC即"具备密码学意义的量子计算机"，指的是算力强大到足以破解当前主流加密算法（如RSA和椭圆曲线）的量子计算机。一旦CRQC出现，攻击者就能在极短时间内破解数字证书、身份认证等核心安全机制，对金融、政务、互联网通信等领域造成灾难性冲击。目前尚无确凿证据表明CRQC会在2029年前问世，但专家认为其潜在风险极大，不容忽视。

Q3：MD5漏洞与后量子密码迁移有什么关联？

A：MD5碰撞漏洞事件是后量子密码迁移的重要参照案例。2010年前后，Flame恶意软件正是利用MD5的碰撞漏洞伪造数字证书，成功劫持微软的更新机制。尽管该漏洞早在2004年就已公开，微软部分系统仍未完成替换。这一教训说明，即使漏洞已知，大型基础设施的迁移也需要大量时间，因此面对量子威胁，业界必须提前行动，不能等到危机临近才着手应对。