一、一项关于"尚未存在"的行政令
2026年6月22日,特朗普签署了一项行政令——不是关于关税,不是关于军事,而是关于一种尚未存在的计算机。
命令的核心要求:30天内,每个联邦机构必须指定后量子密码迁移负责人;2030年底前,所有联邦承包商必须达到NIST后量子密码标准。
这意味着:如果你想和美国政府做生意,你的密码系统必须是"量子安全"的。不是将来,是现在就要开始准备。
为什么一个"尚未存在"的威胁,能让一个超级大国如此紧张?
答案涉及三个事实:第一,量子计算机一旦足够强大,可以在几天内破解当今互联网安全的核心密码;第二,攻击者可能正在"先窃取、后解密"——现在就截获你的加密数据,等量子计算机成熟后再解密;第三,从更换密码系统到真正完成迁移,需要十年甚至更久。
这就是量子计算最危险的阴影:它不是远方的威胁,而是已经开始倒计时的现实。
二、你的密码在量子面前不堪一击
RSA-2048:互联网安全的基石
当今互联网安全的基础,建立在一条简单的数学事实之上:把两个大质数相乘很容易,但把一个大数分解成两个质数极难。
RSA-2048使用的是一个约617位十进制数(2048比特)。两个质数相乘生成这个数只需毫秒,但要把这个数反过来分解成两个质数——用当今最快的超级计算机,需要约1015年。宇宙年龄不过1.38×1010年。这意味着RSA-2048的破解时间比宇宙年龄还长十万倍。
你的银行转账、政府通信、军事机密——几乎全部依赖这个"不可能"。
Shor算法:改写规则的人
1994年,贝尔实验室的Peter Shor提出了一个量子算法,将质因数分解问题转化为周期查找问题,再利用量子傅里叶变换实现指数级加速。
关键点:Shor算法不是为了"暴力搜索"——逐一尝试每个可能的因子。它利用了数论的深层结构:如果你能找到一个函数的周期,就能分解质因数。而量子傅里叶变换恰好能以指数级加速找到这个周期。
经典算法的时间复杂度是亚指数级(约2n¹ᐟ³),Shor算法是多项式级(约n³)。当n=2048时,这个差距不是"快了一点",而是"从不可能变为可行"。
量子计算机破解RSA-2048:还有多远?
谷歌2025年发表的论文给出了估算:约100万物理量子比特的量子计算机,可在一周内解密RSA-2048。
100万量子比特?今天的量子计算机最多只有一千多个比特——差距似乎是千倍。但别急:考虑三个因素——
- 逻辑比特vs物理比特:容错量子计算需要纠错,每个逻辑比特需要约1000个物理比特。100万物理比特≈1000个逻辑比特
- 扩展速度:从53比特(2019)到1121比特(2025),6年增长20倍。如果保持类似增速,百万比特可能在10-15年内实现
- 算法优化:Shor算法的量子电路不断优化,所需比特数持续下降
椭圆曲线密码(ECC)同样脆弱——256位ECC只需约2500个逻辑量子比特即可破解。ECC比RSA更"省"密钥长度,但在Shor算法面前反而更脆弱。
这就是为什么密码学界有一句格言:"不是量子计算机能不能破解密码的问题,而是什么时候的问题。"
三、"先窃取后解密":已经发生的威胁
有一种攻击,不需要量子计算机现在就存在,但已经在发生。
它叫SNDL——Store Now, Decrypt Later(先窃取后解密)。
原理极其简单:攻击者现在截获加密通信数据,存储起来,等量子计算机成熟后再解密。你今天加密的秘密,十年后可能被一览无余。
这不是假设。美国NSA已经确认:有国家级攻击者正在大量存储加密通信数据,等待量子计算时代到来后解密。
这意味着什么?取决于你的数据需要保密多久——
- 军事计划:保密期通常20-50年。如果量子计算机在15年后出现,这些数据届时仍然高度敏感
- 商业机密:核心技术和商业策略的保密期可达10-30年
- 个人隐私:医疗记录、金融数据、个人通信——有些信息的敏感性与时间无关
- 外交密电:某些外交通信的解密期限长达50年以上
这就是后量子密码迁移的核心逻辑:紧迫性不取决于量子计算机何时出现,而取决于你的数据需要保密多久。如果数据需要保密20年,而你更换密码系统需要10年,那么迁移必须现在就开始——即使量子计算机20年后才出现。
这也是为什么特朗普的行政令要求2030年前完成迁移——不是量子计算机会在2030年出现,而是迁移本身需要时间,而数据不会等你。
四、后量子密码:一场全球竞赛
NIST标准:里程碑式的时刻
2024年8月13日,美国国家标准与技术研究院(NIST)正式发布了全球首批后量子密码标准——这是密码学史上里程碑式的事件。
三项标准:
- FIPS 203:CRYSTALS-Kyber → ML-KEM(密钥封装机制,用于一般加密)
- FIPS 204:CRYSTALS-Dilithium → ML-DSA(数字签名)
- FIPS 205:SPHINCS+ → SLH-DSA(无状态哈希数字签名,作为备选方案)
ML-KEM和ML-DSA都基于格密码学(lattice-based cryptography)。格密码的核心难题是:在一个高维空间中,给定一组基向量,找到离某个点最近的格点——这个问题目前没有已知的量子算法能高效解决。
SPHINCS+则基于哈希函数——安全性不依赖任何数论假设,只依赖哈希函数本身的抗碰撞性,是一种更"保守"的方案。
格密码的突破与挑战
2026年1月,西交利物浦大学丁津泰团队攻克了210维格难题,刷新全球纪录。这意味着格密码的安全性评估在不断深化——既验证了当前参数的安全性,也在推动参数的持续优化。
但格密码并非没有争议。2016年,美国NSA曾突然宣布支持从ECC迁移到格密码,引发了一些密码学家的质疑:NSA是否在格密码中植入了后门?虽然没有任何证据支持这种猜测,但它反映了密码学界对"从一种数学假设跳到另一种数学假设"的固有不安——谁能保证格问题在量子计算机面前也是难的?
NSA CNSA 2.0迁移时间表
NSA发布了CNSA 2.0(Commercial National Security Algorithm Suite 2.0)迁移时间表,按系统类型分阶段推进:
- 2025年:软件和固件签名、Web浏览器和云服务
- 2026年:网络设备
- 2027年:操作系统
- 2030年:联邦承包商全面达标
- 2035年:国家安全系统
注意这个顺序:最容易更新的先来,最关键的系统最后。国家安全系统反而给了最长的迁移期——因为它们最复杂、容错率最低,一步出错后果最严重。
五、中国的量子密码双线布局
面对量子威胁,中国走了一条独特的双线路径:量子密钥分发(QKD)和后量子密码(PQC)并行推进。
路线一:量子密钥分发(QKD)
QKD的原理基于量子力学的基本定律:任何对量子态的测量都会扰动它。因此,当两个人用量子信道分发密钥时,如果有人窃听,通信双方一定能发现——这不是计算复杂度的问题,而是物理定律的保证。
中国在这一领域的投入全球领先:
- 京沪干线:2017年开通,2000余公里光纤量子密钥分发网络,覆盖32个节点,接入150余家用户。这是全球最长、用户最多的量子密钥分发网络
- CN-QCN骨干网:覆盖17省80市、145个节点、总长逾12,000公里——一个全国规模的量子通信基础设施
- 墨子号量子卫星:2016年发射,实现与奥地利、南非12900公里洲际量子密钥分发,验证了天地一体化量子通信的可行性
- 2026年6月:潘建伟、徐飞虎团队实现540公里芯片化TF-QKD,成码率超无中继容量9倍,发表于Nature Photonics。这意味着超远距离量子密钥分发从"勉强能用"走向"足够实用"
- 量子叶脊网络架构:在50公里光纤距离下可支持超过50名用户高质量视频通话——量子通信从"点对点"迈向"网络化"
路线二:后量子密码(PQC)
中国在PQC领域同样在加速布局:
- 中国联通发布《后量子密码白皮书》,系统规划PQC迁移路径
- 国内首张芯片级后量子密码卡问世,实现PQC算法的硬件级加速
- 中电信量子集团发布全球首个融合QKD+PQC的分布式密码体系——两条路线不再是"二选一",而是"融合互补"
QKD vs PQC:路线之争
这是当前量子安全领域最核心的分歧。
西方安全机构的立场:NSA(美)、NCSC(英)、BSI(德)、ANSSI(法)等机构明确反对将QKD用于国家安全通信。主要理由——
- QKD需要专用光纤或自由空间信道,无法在现有互联网基础设施上运行
- QKD只能防范"窃听",无法提供身份认证——你无法确认通信对方是谁
- QKD设备本身可能存在侧信道攻击漏洞(如强光致盲攻击)
- 成本高昂,难以大规模部署
中国的立场:以国家主导模式集中推进CN-QCN骨干网,将QKD视为国家信息安全的战略基础设施。逻辑是:物理定律的安全性高于数学假设——即使未来有人发现了破解格密码的量子算法,QKD仍然安全。
融合趋势:中电信量子集团的QKD+PQC融合方案代表了一个务实的中间路线——QKD提供物理层安全保障,PQC提供算法层灵活性和身份认证,两者互补。就像锁门(QKD)和身份证(PQC)一样——你需要同时拥有物理安全和逻辑验证。
六、量子互联网:远不止密码学
量子密钥分发只是量子通信的起点。更宏大的图景是量子互联网——一个让量子信息在全球范围内传输的网络。
量子中继器:关键瓶颈
量子态不能被复制(量子不可克隆定理),也不能被放大(放大就是测量)。这意味着量子信号在光纤中每传输约100公里就会衰减到不可用——而经典通信可以用中继器放大信号继续传输。
解决方案是量子中继器:在不测量量子态的情况下,通过量子纠缠交换实现量子信息的"接力"传输。这就像两个人相隔千里,各自与中间人建立纠缠,然后中间人进行一次测量,两人之间就自动建立了纠缠——尽管他们从未直接交互。
最新进展
2026年2月,中科大团队构建了可扩展量子中继的基本模块——这是量子互联网从原理验证走向工程实现的关键一步。
更早的突破同样令人振奋:离子阱量子中继器的纠缠寿命首次达到550毫秒——纠缠建立时间首次超越了损耗时间。这意味着什么?在一个需要"接力"的系统中,如果"交接棒"的时间比"棒掉地上"的时间还长,那么接力就能成功。550毫秒看起来很短,但这是第一次跨过了这个临界点——此后只有更快。
量子互联网的终极图景
如果量子中继器能够大规模部署,量子互联网将带来三个革命性能力:
- 绝对安全的通信:不依赖数学假设,基于物理定律的信息安全
- 分布式量子计算:不同地点的量子计算机可以通过量子网络协同工作,实现超越单机能力的计算任务
- 量子传感网络:多个量子传感器通过纠缠实现精度超越经典极限的联合测量——从地震预警到深空探测,精度将提升数个量级
量子互联网不是"更快的互联网"——它是一种全新的信息基础设施,传输的不再是0和1的经典比特,而是可以处于叠加态和纠缠态的量子比特。
量子计算的阴影令人不安——当密码不再安全,当窃听无法防范,当数字世界的地基开始动摇,焦虑是自然的反应。但硬币的另一面同样令人震撼:从发现新药到设计新材料,从模拟分子到优化供应链,量子计算正在打开一扇通往现实世界的大门。阴影与光明,从来是一体两面。下一章,我们将走进那扇门。
本章自测
1. Shor算法破解RSA的核心原理是什么?
正确答案:B。Shor算法的核心创新不是暴力搜索加速,而是将质因数分解问题转化为一个本质上不同的问题——函数周期查找。量子傅里叶变换(QFT)可以指数级加速地找到这个周期,而已知周期后分解质因数就是简单的初等数论运算。选项A是常见误解——Grover算法才是"搜索加速",且只有平方级加速;选项C是科幻式想象;选项D混淆了纠缠与算法逻辑。
2. "先窃取后解密"(SNDL)攻击的核心逻辑是什么?
正确答案:C。SNDL攻击的关键在于"时间差":现在截获、将来解密。它的威胁逻辑是——即使量子计算机10-15年后才出现,只要你的数据需要保密那么久,威胁就已经存在。这就是为什么后量子密码迁移的紧迫性不取决于量子计算机何时出现,而取决于数据需要保密多久。选项A错误:SNDL不需要量子计算机现在就存在;选项B描述的是后门攻击,与SNDL无关;选项D完全偏离了SNDL的定义。
3. NIST 2024年发布的三项后量子密码标准中,ML-KEM(FIPS 203)基于哪种数学难题?
正确答案:A。ML-KEM(原CRYSTALS-Kyber)和ML-DSA(原CRYSTALS-Dilithium)都基于格密码学。格问题的核心是:在高维空间中,给定一组基向量,找到离某个点最近的格点(最近向量问题,CVP)或最短的非零格向量(最短向量问题,SVP)。这个问题目前没有已知的量子算法能高效解决。选项B是RSA的基础;选项C是椭圆曲线密码的基础——两者在Shor算法面前都不安全;选项D是SPHINCS+(SLH-DSA)的基础。
4. QKD(量子密钥分发)的安全性基于什么?
正确答案:D。QKD的安全性不依赖任何计算复杂度假设(如"这个问题很难"),而是基于量子力学的基本物理定律:海森堡不确定性原理和量子不可克隆定理。窃听者必须测量量子态才能获取信息,而测量必然扰动量子态,通信双方通过比较部分测量结果就能发现窃听。选项A和B是经典密码和PQC的基础,不是QKD的;选项C错误:纠缠确实会衰减(退相干),这正是量子中继器需要解决的问题。
科学辩论:后量子时代的安全基石
🔬 QKD vs PQC:谁才是后量子时代的安全基石?
QKD派:物理定律比数学假设更可靠
密码学的本质是信任什么。RSA信任"大数分解很难",格密码信任"最近向量问题很难"——但这些都是"假设"。Shor算法已经证明,一个数学假设可以在一夜之间崩塌。QKD不同:它信任的是量子力学的基本定律——测不准原理、不可克隆定理。这些是物理定律,不是假设。1959年费曼说"自然法则比任何人类的秘密编码都更可靠",QKD就是这个理念的实现。中国建设CN-QCN骨干网的决定,本质上是选择了"物理安全优先"——即使未来有人发明了破解格密码的量子算法,QKD仍然安全。12,000公里的量子通信网络不是沉没成本,而是战略资产。当西方安全机构质疑QKD"成本高、不实用"时,他们忽略了一个事实:信息安全的价值远超基础设施的成本——一次严重的密码体系崩溃,损失将远超QKD网络的建设费用。
PQC派:灵活性、可扩展性和现实可行性才是关键
QKD的理论安全性确实完美,但理论安全≠实际安全。QKD设备本身存在侧信道攻击——2010年就有团队用强光致盲攻击成功破解了商用QKD系统。QKD需要专用光纤,无法在现有互联网上运行;QKD只提供密钥分发,不提供身份认证——你确认了没人偷听,但不知道对面是谁。更关键的是:QKD的安全是点对点的,而现代信息安全需要的是端到端的信任链——从你的手机到银行服务器,中间经过无数路由器和CDN节点,QKD无法覆盖这种复杂的网络拓扑。PQC(后量子密码)基于数学,可以在现有互联网基础设施上运行,支持身份认证,兼容现有协议——它不是"更完美的理论",而是"更可用的现实"。NSA、NCSC、BSI、ANSSI等西方安全机构一致反对QKD而支持PQC,不是因为他们不懂量子力学,而是因为他们更懂信息安全工程——安全是一个系统问题,不是单个环节的物理保证。
两种观点各有深层逻辑。QKD追求的是"物理层面的绝对安全"——如果安全是第一优先级,物理定律确实比数学假设更难颠覆。PQC追求的是"工程层面的系统安全"——现实世界的安全从来不是单一环节的问题,而是整个系统的鲁棒性。最可能的未来不是"二选一",而是"融合":核心节点之间用QKD提供物理层保障,端到端通信用PQC提供灵活性和身份认证,两者互补形成纵深防御。中电信量子集团发布的QKD+PQC融合方案,也许正预示了这个方向。就像核电站既需要物理屏障(QKD)也需要操作规程(PQC)——只有两者结合,才是真正的安全。