Q-Day：一個尚未到來的日子 卻已威脅到現在？

瞿立建｜撰文

最新研究顯示，破解加密所需的量子比特數在指數級下降，而量子計算機的能力在指數級上升，留給我們完成後量子加密遷移的時間窗口可能比預想的要短。

4月29日，新晉美國科學院院士、理論計算機科學家斯科特·喬爾·阿倫森（Scott Joel Aaronson，1981年5月21日—）在其部落格上透露，世界上幾位最大牌的量子計算專家告訴他，Q-Day有可能會在2029年左右到來[1]。

所謂Q-Day，是指人們預測，量子計算機會在未來的某一天變得如此強大，足以破解當今廣泛使用的加密體系，動搖支撐銀行、政府、互聯網、數字身份、雲服務、區塊鏈運轉的信任底座。這一天，就是Q-Day（Quantum Day）。

阿倫森警告說，公司、組織、區塊鏈或標準制定機構，都需要立即開始切換到抗量子加密（quantum-resistant encryption）時代。

這一警告雖然是從個人部落格上發出來的，但極具參考價值。

加拿大全球風險研究院（Global Risk Institute）在2024年12月發布的《量子威脅時間線報告2024》（Quantum Threat Timeline Report 2024[2]）稱，根據對專家的問卷調查，Q-Day十年內到來的概率為19%至34%，二十年內到來的概率升至60%至82%。今年3月發布的最新《量子威脅時間線報告2025》（Quantum Threat Timeline Report 2025[3]）顯示，Q-Day十年內到來的概率為28%至49%，二十年內到來的概率升至69%至86%。

加拿大全球風險研究院（Global Risk Institute）歷年Q-day到來概率的專家問卷調查結果。圖源：《量子威脅時間線報告2025》

以上為行業專家的主觀判斷，但有沒有堅實的相關研究？

美國弗雷斯特研究公司（Forrester Research）於2026年3月發布的《量子計算態勢2026》（The State Of Quantum Computing, 2026[4]）智庫報告稱，Q-Day有可能在2030年前到來。

報告稱，Q-Day在加速臨近，基於量子計算的以下發展態勢：

• 算法持續進步，破解加密體系所需硬體門檻大幅下降。

• 邏輯量子比特（Logical Qubits）持續突破，容錯量子計算機正在從理論走向工程。

• 多個公司在不同技術路線上拿出了大型容錯量子計算機路線圖。

(左) 理想量子計算假設有完美的邏輯量子比特；(中) NISQ（含噪聲的中等規模量子）計算使用易受噪聲/錯誤（紅叉）影響的物理量子比特；(右) 容錯量子計算利用量子糾錯碼，將一個邏輯量子比特的信息分佈在多個物理量子比特上，從而保護邏輯信息免受單個出錯的物理量子比特的影響。圖源：wikicommons

最近一年来，量子計算沿以上態勢繼續演進，一個最直觀的指標是破解經典加密體系所需量子比特數目繼續下降。

2025年5月，谷歌量子AI研究團隊發表論文稱，通過改進算法和架構，破解網上銀行、電子郵件和數字證書所依賴的加密標準RSA‑2048用不到100萬個物理量子比特[5]，是2019年的估算結果的二十分之一。

2026年2月，澳大利亞初創公司Iceberg Quantum更進一步，將破解RSA‑2048所需的物理量子比特數目下降到了10萬個。

美國計算機科學家彼得·威利斯頓·肖爾（Peter Williston Shor，1959年8月14日—）在1994年提出一種用量子計算機破解基於因數分解以及離散對數的公開密鑰加密算法（比如RSA加密算法，迪菲-赫爾曼密鑰交換，椭圆曲线加密）的算法，後來被稱為Shor算法。Shor算法之所以能通殺以上經典加密算法，是因為以上算法所根植的數學問題都可轉化為“尋找某個函數的週期”的問題，而這正是Shor算法能輕鬆解決的問題。圖源: Gemini生成，僅供參考

2026年3月30日，更是有兩篇重磅文章發布，顯示破解RSA和椭圆曲线加密算法的Shor算法所需的量子比特數目將大大降低。

第一篇文章來自加州理工學院（arXiv: 2603.28627 [8]），稱利用中性原子量子計算機，只需數萬量子比特即可實現Shor算法，在幾天內破解椭圆曲线加密算法。加州理工學院的新聞通稿稱，理論上2030年前有可能實現Q-Day。

RSA加密算法和ECC（Elliptic Curve Cryptography，椭圆曲线加密算法）兩個核心功能：建立安全連接和驗證身份。圖源：Gemini生成，圖片內容未必完全正確，僅供參考

谷歌量子AI團隊則與以太坊基金會和斯坦福大學的研究人員共同發布了一份白皮書[10]，稱利用超導量子計算機，只需不到50萬個物理量子比特，1000多個邏輯量子比特，就能在幾分鐘內破解椭圆曲线加密算法。而2023年給出的最佳估計是需要大約900萬個物理量子比特。

加州理工學院的工作雖然所需的量子比特數目少，但運行慢，工程實現難度大，谷歌的工作所需量子比特數目多，但運行快，工程成熟度較高。

加州理工和谷歌的文章引起了區塊鏈界的震動[11]，使其看到，量子計算機對加密貨幣的威脅迫在眉睫。以太坊開發者已經啟動了一項廣泛的後量子遷移工作，與此同時，一些知名人士敦促比特幣社群也加快類似工作。

2026年3月30日這一天是“量子計算和密碼學領域具有里程碑意義的一天”[7]，區塊鏈專家Justin Drake在X平台發貼評論道。

值得注意的是，谷歌在部落格文章中透露，鑑於此研究關係重大，白皮書在發布前還與政府做了溝通，但白皮書沒有披露技術細節，以免被圖謀不軌者利用[12]。谷歌還呼籲其他量子研究團隊採取類似做法。

以上僅列舉了最近一年的工作，如果把時間拉長，這幾年量子計算的進展之快，遠超人們的預期。

下圖展示了破解RSA-2048的物理量子比特數與最大型量子計算機的量子比特數的發展趨勢，前者指數下降，後者指數上升。

破解RSA-2048的物理量子比特數與最大型量子計算機的量子比特數的發展趨勢。圖源：Claude生成

雖然實現破解經典加密算法的量子計算機需要克服很多工程難題，不只是看量子比特數這一個指標，還有量子比特的相干時間、門保真度等一系列難題，但上圖的趨勢顯示，過去看起來天文數字般的硬體門檻，正在被算法、架構改進和糾錯技術的進步一點點壓低。

Q-Day若到來，會怎樣？

如果我們還沒有為Q-Day做好準備，Q-Day就到來了，會發生什麼？

如前所述，基於RSA和椭圆曲线加密術的公鑰會首當其衝被量子計算機破解，身份認證和數字簽名安全基礎將被破壞。你訪問銀行、電商、郵箱時，瀏覽器和網站之間的“安全通道”可能被攻擊者破解，你傳輸的帳號、訂單、交易信息等會被攻擊者看到。

量子計算機的安全威脅不僅僅存在於互聯網上，還會威脅現實生活。

攻擊者能夠利用量子計算機破壞物聯網設備、工業控制系統（ICS）、嵌入式系統等的身份認證、密鑰交換和軟體簽名機制，攻擊者進而可冒充合法控制中心、合法工程師、合法固件更新，進而發送破壞性指令、植入惡意固件、篡改運行數據，最終造成停機、誤操作、設備損壞、公共服務中斷，甚至安全事故。

Q-Day尚未到來，威脅已在發生

不過，即便是在眼下，量子計算對資訊安全的威脅很可能已經發生。這個威脅就是“先截獲、後解密（harvest now, decrypt later，HNDL）”，即現在收集並存儲加密數據，以便將來在Q-Day到來時用量子計算機進行破解。

HNDL要下手的數據是那些價值“半衰期”很長的數據，如：

• 國家與軍事機密：全球情報網絡與潛伏特工名單、戰略資源儲備、外交底牌、最高領袖醫療檔案、潛艇的巡航路線圖、新一代戰鬥機的圖紙、核武器庫的部署計畫。

• 商業與知識產權：藥企耗資百億研發的新藥配方和工藝、科技巨頭的底層源代碼、客戶數據。

• 個人終身隱私：基因組數據、社保號碼、家族病史。

因此，加快資訊安全向後量子時代遷移，不僅為Q-Day搶時間窗口，更是為當下的敏感資訊搶時間窗口。

後量子加密術******（Post-quantum cryptography，PQC）******

2024年，美國國家標準與技術研究院（NIST）發布首批後量子加密標準——ML-KEM（FIPS 203）、ML-DSA（FIPS 204）和SLH-DSA（FIPS 205）[19]，這意味著，全球的企業和政府有了“抗量子施工圖紙”，後量子加密術（Post-quantum cryptography，PQC）遷移進入落地實施的階段。

美國許多頭部科技公司也正在為後量子加密時代做準備。例如，最新版的谷歌Chrome、微軟Edge、Mozilla Firefox等瀏覽器[20]，以及網路基礎設施服務商Cloudflare[21]，已經完成了PQC算法部署。不過，對量子安全威脅產生免疫，還需要各網站、企業內網、API、APP、網站證書、程式碼簽名、固件簽名、區塊鏈簽名等完成PQC遷移。鏈條上任何一個環節沒有遷移，都可能成為未來的安全事件爆點。

國外的許多社交聊天應用已經實現了後量子加密遷移，如蘋果在2024年初對iMessage進行了歷史上最大規模的加密升級，推出了名為PQ3的後量子密碼協議[22]，Signal在2023年實現了對聊天初始階段的後量子加密[23]，在2025年實現了對長期聊天記錄的後量子加密[24]，Signal的加密協議也為WhatsApp所採用[25]。這些社交軟體已經為HNDL樹立了高牆。

一些中國公司面向海內外民用客戶的業務也部署了NIST的標準，如阿里雲[26]、騰訊雲[27]。

當然，美國NIST的標準決不是全球唯一答案，比如中國就在有別於美國技術路線的方向上推進自己的標準。2026年全國兩會期間，全國人大代表、密碼學專家王小雲院士提到“未來三年內，中國有望出台完整的後量子密碼國家標準”。[28]另外，美國國家安全局早在2022年就推出了CNSA2.0（商業國家安全算法套件2.0，Commercial National Security Algorithm Suite 2.0[29]），對網路設備、雲服務和作業系統等的PQC升級設定了最終時間點（2025-2030年）。這些升級雖然是針對國防採購的商品和服務，最終會下放到民用領域。

不是所有領域都在順利取得進展，有些領域在Q-Day之前全面完成準備希望很小：

• 已經被HNDL攻擊者截獲的資訊，只能寄希望於攻擊者未來仍沒有足夠能力解密，或者數據價值隨著時間衰減。

• 部分中小企業、中小型關鍵基礎設施，例如地方供水廠、區域醫療機構、中小型製造企業或服務業公司，它們往往缺乏人才、資金和技術能力，難以及時完成加密資產盤點和PQC遷移。

• 一些老舊的物理基礎設施（如物聯網、工業控制系統等）。很多設備的內存和CPU算力根本跑不動PQC算法，無法通過軟體線上升級，只能對其進行手動替換，或想出極具創新性的補救方案。這些設備全球以百億計，工作量大到難以想像，將來難免有遺漏而被黑客利用，造成嚴重後果。

後兩者，即便不能進行PQC遷移，也可以通過加強管理，如物理隔離、專網運行、白名單訪問、人工審批等，降低被量子計算機攻擊的風險。

結語

我們生活在鋼筋水泥的城市裡，其實也生活在密鑰、證書、簽名和協議編織出的無形城市裡。

這座城市沒有城牆，卻有密碼；沒有護城河，卻有算法；沒有守夜人，卻有無數默默運行的安全協議。它們不被看見，卻讓我們每天敢於轉帳、登入、聊天、開車、看病、辦公和生活。

過去幾十年，密碼學像一塊安靜的基石，托舉起互聯網時代的繁華。面對Q-Day的威脅，工程師、密碼學家、標準制定者、企業和政府一定能化險為夷，就像世紀之交成功應對千年蟲危機一樣。

未來的某一天，量子計算機也許真的會強大到足以破解今天的密碼。那時，我們希望它打開的，是新藥研發、材料設計、氣候模擬等知識新大門，而不是我們沒有來得及修補的安全舊鎖。