当然,美国NIST的标准决不是全球唯一答案,比如中国就在有别于美国技术路线的方向上推进自己的标准。2026年全国两会期间,全国人大代表、密码学专家王小云院士提到“未来三年内,中国有望出台完整的后量子密码国家标准”。[28]另外,美国国家安全局早在2022年就推出了CNSA2.0(商业国家安全算法套件 2.0,Commercial National Security Algorithm Suite 2.0[29]),对网络设备、云服务和操作系统等的PQC升级设定了最终时间节点(2025-2030年)。这些升级虽然是针对国防采购的商品和服务,最终会下放到民用领域。
Q-Day:一个尚未到来的日子 却已威胁到现在?
瞿立建|撰文
最新研究显示,破解加密所需的量子比特数在指数级下降,而量子计算机的能力在指数级上升,留给我们完成后量子加密迁移的时间窗口可能比预想的要短。
4月29日,新晋美国科学院院士、理论计算机科学家斯科特·乔尔·阿伦森(Scott Joel Aaronson,1981年5月21日—)在其博客上透露,世界上几位最大牌的量子计算专家告诉他,Q-Day有可能会在2029年左右到来[1]。
所谓Q-Day,是指人们预测,量子计算机会在未来的某一天变得如此强大,足以破解当今广泛使用的加密体系,动摇支撑银行、政府、互联网、数字身份、云服务、区块链运转的信任底座。这一天,就是Q-Day(Quantum Day)。
阿伦森警告说,公司、组织、区块链或标准制定机构,都需要立即开始切换到抗量子加密(quantum-resistant encryption)时代。
这一警告虽然是从个人博客上发出来的,但极具参考价值。
加拿大全球风险研究院(Global Risk Institute)在2024年12月发布的《量子威胁时间线报告2024》(Quantum Threat Timeline Report 2024[2])称,根据对专家的问卷调查,Q-Day十年内到来的概率为 19% 至 34%,二十年内到来的概率升至 60% 至 82%。今年3月发布的最新《量子威胁时间线报告2025》(Quantum Threat Timeline Report 2025[3])显示,Q-Day十年内到来的概率为 28% 至 49%,二十年内到来的概率升至 69% 至 86%。
加拿大全球风险研究院(Global Risk Institute)历年Q-day到来概率的专家问卷调查结果。图源:《量子威胁时间线报告2025》
以上为行业专家的主观判断,但有没有坚实的相关研究?
美国弗雷斯特研究公司(Forrester Research)于2026年3月发布的《量子计算态势2026》(The State Of Quantum Computing, 2026[4])智库报告称,Q-Day有可能在2030年前到来。
报告称,Q-Day在加速临近,基于量子计算的以下发展态势:
算法持续进步,破解加密体系所需硬件门槛大幅下降。
逻辑量子比特(Logical Qubits)持续突破,容错量子计算机正在从理论走向工程。
多个公司在不同技术路线上拿出了大型容错量子计算机路线图。
(左) 理想量子计算假设有完美的逻辑量子比特;(中) NISQ(含噪声的中等规模量子) 计算使用易受噪声/错误(红叉)影响的物理量子比特;(右) 容错量子计算利用量子纠错码,将一个逻辑量子比特的信息分布在多个物理量子比特上,从而保护逻辑信息免受单个出错的物理量子比特的影响。图源:wikicommons
最近一年来,量子计算沿以上态势继续演进,一个最直观的指标是破解经典加密体系所需量子比特数目继续下降。
2025年5月,谷歌量子AI研究团队发表论文称,通过改进算法和架构,破解网上银行、电子邮件和数字证书所依赖的加密标准RSA‑2048用不到100万个物理量子比特[5],是2019年的估算结果的二十分之一。
2026年2月,澳大利亚初创公司Iceberg Quantum更进一步,将破解RSA‑2048所需的物理量子比特数目下降到了10万个。
美国计算机科学家彼得·威利斯顿·肖尔(Peter Williston Shor,1959年8月14日—)在1994年提出一种用量子计算机破解基于因数分解以及离散对数的公开密钥加密算法(比如RSA加密算法, 迪菲-赫尔曼密钥交换,椭圆曲线加密)的算法,后来被称为Shor算法。Shor算法之所以能通杀以上经典加密算法,是因为以上算法所根植的数学问题都可转化为“寻找某个函数的周期”的问题,而这正是Shor算法能轻松解决的问题。 图源: Gemini生成,仅供参考
2026年3月30日,更是有两篇重磅文章发布,显示破解 RSA 和椭圆曲线加密算法的Shor算法所需的量子比特数目将大大降低。
第一篇文章来自加州理工学院(arXiv: 2603.28627 [8]),称利用中性原子量子计算机,只需数万量子比特即可实现Shor算法,在几天内破解椭圆曲线加密算法。加州理工学院的新闻通稿称,理论上2030年前有可能实现Q-Day。
RSA 加密算法和 ECC(Elliptic Curve Cryptography,椭圆曲线加密算法) 两个核心功能:建立安全连接和验证身份。图源:Gemini生成,图片内容未必完全正确,仅供参考
谷歌量子AI团队则与以太坊基金会和斯坦福大学的研究人员共同发布了一份白皮书[10],称利用超导量子计算机,只需不到50万个物理量子比特,1000多个逻辑量子比特,就能在几分钟内破解椭圆曲线加密算法。而2023年给出的最佳估计是需要大约 900 万个物理量子比特。
加州理工学院的工作虽然所需的量子比特数目少,但运行慢,工程实现难度大,谷歌的工作所需量子比特数目多,但运行快,工程成熟度较高。
加州理工和谷歌的文章引起了区块链界的震动[11],使其看到,量子计算机对加密货币的威胁迫在眉睫。以太坊开发者已经启动了一项广泛的后量子迁移工作,与此同时,一些知名人士敦促比特币社区也加快类似工作。
2026年3月30日这一天是“量子计算和密码学领域具有里程碑意义的一天”[7],区块链专家Justin Drake在X平台发贴评论道。
值得注意的是,谷歌在博客文章中透露,鉴于此研究关系重大,白皮书在发布前还与政府做了沟通,但白皮书没有披露技术细节,以免被图谋不轨者利用[12]。谷歌还呼吁其他量子研究团队采取类似做法。
以上仅列举了最近一年的工作,如果把时间拉长,这几年量子计算的进展之快,远超人们的预期。
下图展示了破解RSA-2048的物理量子比特数与最大型量子计算机的量子比特数的发展趋势,前者指数下降,后者指数上升。
破解RSA-2048的物理量子比特数与最大型量子计算机的量子比特数的发展趋势。图源:Claude生成
虽然实现破解经典加密算法的量子计算机需要克服很多工程难题,不只是看量子比特数这一个指标,还有量子比特的相干时间、门保真度等一系列难题,但上图的趋势显示,过去看起来天文数字般的硬件门槛,正在被算法、架构改进和纠错技术的进步一点点压低。
Q-Day若到来,会怎样?
如果我们还没有为Q-Day做好准备,Q-Day就到来了,会发生什么?
如前所述,基于 RSA 和椭圆曲线加密术的公钥会首当其冲被量子计算机破解,身份认证和数字签名安全基础将被破坏。你访问银行、电商、邮箱时,浏览器和网站之间的“安全通道”可能被攻击者破解,你传输的账号、订单、交易信息等会被攻击者看到。
量子计算机的安全威胁不仅仅存在于互联网上,还会威胁现实生活。
攻击者能够利用量子计算机破坏物联网设备、工业控制系统(ICS)、嵌入式系统等的身份认证、密钥交换和软件签名机制 ,攻击者进而可冒充合法控制中心、合法工程师、合法固件更新,进而发送破坏性指令、植入恶意固件、篡改运行数据,最终造成停机、误操作、设备损坏、公共服务中断,甚至安全事故。
Q-Day尚未到来,威胁已在发生
不过,即便是在眼下,量子计算对信息安全的威胁很可能已经发生。这个威胁就是“先截获、后解密(harvest now, decrypt later,HNDL)”,即现在收集并存储加密数据,以便将来在Q-Day到来时用量子计算机进行破解。
HNDL要下手的数据是那些价值“半衰期”很长的数据,如:
国家与军事机密:全球情报网络与潜伏特工名单、战略资源储备、外交底牌、最高领袖医疗档案、潜艇的巡航路线图、新一代战斗机的图纸、核武器库的部署计划。
商业与知识产权: 药企耗资百亿研发的新药配方和工艺、科技巨头的底层源代码、客户数据。
个人终身隐私:基因组数据、社保号码、家族病史。
因此,加快信息安全向后量子时代迁移,不仅为Q-Day抢时间窗口,更是为当下的敏感信息抢时间窗口。
后量子加密术******(Post-quantum cryptography,PQC)******
2024年,美国国家标准与技术研究院 (NIST) 发布首批后量子加密标准——ML-KEM (FIPS 203)、ML-DSA (FIPS 204) 和 SLH-DSA (FIPS 205)[19],这意味着,全球的企业和政府有了“抗量子施工图纸”,后量子加密术(Post-quantum cryptography,PQC)迁移进入落地实施的阶段。
美国许多头部科技公司也正在为后量子加密时代做准备。例如,最新版的谷歌 Chrome、微软 Edge、Mozilla Firefox等浏览器[20],以及 网络基础设施服务商Cloudflare[21],已经完成了PQC算法部署。不过,对量子安全威胁产生免疫,还需要各网站、企业内网、API、APP、网站证书、代码签名、固件签名、区块链签名等完成PQC迁移。链条上任何一个环节没有迁移,都可能成为未来的安全事件爆点。
国外的许多社交聊天应用已经实现了后量子加密迁移,如苹果在 2024 年初对 iMessage 进行了历史上最大规模的加密升级,推出了名为 PQ3 的后量子密码协议[22],Signal在2023年实现了对聊天初始阶段的后量子加密[23],在2025年实现了对长期聊天记录的后量子加密[24],Signal的加密协议也为WhatsApp所采用[25]。这些社交软件已经为HNDL树立了高墙。
一些中国公司面向海内外民用客户的业务也部署了NIST的标准,如阿里云[26]、腾讯云[27]。
当然,美国NIST的标准决不是全球唯一答案,比如中国就在有别于美国技术路线的方向上推进自己的标准。2026年全国两会期间,全国人大代表、密码学专家王小云院士提到“未来三年内,中国有望出台完整的后量子密码国家标准”。[28]另外,美国国家安全局早在2022年就推出了CNSA2.0(商业国家安全算法套件 2.0,Commercial National Security Algorithm Suite 2.0[29]),对网络设备、云服务和操作系统等的PQC升级设定了最终时间节点(2025-2030年)。这些升级虽然是针对国防采购的商品和服务,最终会下放到民用领域。
不是所有领域都在顺利取得进展,有些领域在 Q-Day 之前全面完成准备希望很小:
已经被HNDL攻击者截获的信息,只能寄希望于攻击者未来仍没有足够能力解密,或者数据价值随着时间衰减。
部分中小企业、中小型关键基础设施,例如地方供水厂、区域医疗机构、中小型制造企业或服务业公司,它们往往缺乏人才、资金和技术能力,难以及时完成加密资产盘点和 PQC 迁移。
一些老旧的物理基础设施(如物联网、工业控制系统等)。很多设备的内存和 CPU 算力根本跑不动PQC算法,无法通过软件在线升级,只能对其进行手动替换,或想出极具创新性的补救方案。这些设备全球以百亿计,工作量大到难以想象,将来难免有遗漏而被黑客利用,造成严重后果。
后两者,即便不能进行PQC迁移,也可以通过加强管理,如物理隔离、专网运行、白名单访问、人工审批等,降低被量子计算机攻击的风险。
结语
我们生活在钢筋水泥的城市里,其实也生活在密钥、证书、签名和协议编织出的无形城市里。
这座城市没有城墙,却有密码;没有护城河,却有算法;没有守夜人,却有无数默默运行的安全协议。它们不被看见,却让我们每天敢于转账、登录、聊天、开车、看病、办公和生活。
过去几十年,密码学像一块安静的基石,托举起互联网时代的繁华。面对Q-Day的威胁,工程师、密码学家、标准制定者、企业和政府一定能化险为夷,就像世纪之交成功应对千年虫危机一样。
未来的某一天,量子计算机也许真的会强大到足以破解今天的密码。那时,我们希望它打开的,是新药研发、材料设计、气候模拟等知识新大门,而不是我们没有来得及修补的安全旧锁。