你手机里的银行 App、你每天登录的邮箱、你公司的 VPN,背后都靠一把叫 RSA 的锁在守着。
这把锁的原理很简单:把两个大质数乘起来很容易,但反过来把结果分解回两个质数,难到让全世界最快的超级计算机算到宇宙热寂也算不完。
2026 年 3 月,Caltech 和 Oratomic 的研究人员说:量子计算机可能只需要 1 到 2 万个量子比特就能干这件事。
从"百万量子比特"到"一两万",发生了什么
过去十年,学术界对"量子计算机破解 RSA"的估算一直在"百万量子比特"这个量级。听起来很遥远,对吧?Google 目前最先进的 Willow 芯片也才 105 个量子比特,百万级别像是科幻小说里的事。
但 Caltech/Oratomic 的新论文改变了游戏规则。他们提出了一种新的容错架构,将所需量子比特数降到了 10,000 到 20,000 个。
与此同时,日本富士通和大阪大学的团队从另一个方向出击,将量子比特需求降低了 80 倍。
Nature 在 3 月底发表了一篇措辞罕见强烈的警告文章,标题大意是:“量子威胁比我们想象的更近。”
这不是"狼来了"。这是狼已经在山头了,正在往下走。
到底能有多快
最乐观的估算:一台拥有 100,000 个量子比特的容错量子计算机,可以在大约 3 个月内破解 RSA-2048。
| 指标 | 传统估算 | 最新估算 |
|---|---|---|
| 所需量子比特 | 数百万 | 1-2 万 (容错) |
| 富士通/大阪优化 | - | 降低 80 倍 |
| RSA-2048 破解时间 | 理论上不可能 | ~3 个月 (10 万比特) |
| 当前最大量子芯片 | - | 105 比特 (Google Willow) |
你可能会说:105 到 10 万,差距还是很大啊。
没错。但量子计算的发展不是线性的。IBM 的路线图显示 2029 年前要达到 10 万量子比特。Google、微软、亚马逊都在砸重金。这不是"有没有可能"的问题,是"什么时候"的问题。
而更关键的是:你今天的加密数据可以被存起来,等量子计算机造好了再解。
这就是安全界说的 “Harvest Now, Decrypt Later” (先收割,以后再解密) 攻击。国家级情报机构已经在这么做了。你今天发的加密邮件,可能十年后被量子计算机打开读。
后量子密码学:新锁已经在路上
好消息是,密码学家不是坐着等死的。
后量子密码学 (Post-Quantum Cryptography, PQC) 是一类新的加密算法,设计目标就是:即使量子计算机来了,也破不了。
NIST (美国国家标准与技术研究院) 在 2024 年 8 月正式批准了三个后量子算法标准:
- ML-KEM (CRYSTALS-Kyber): 用于密钥交换,替代 RSA/ECDH
- ML-DSA (CRYSTALS-Dilithium): 用于数字签名,替代 RSA/ECDSA
- SLH-DSA (SPHINCS+): 基于哈希的签名算法,作为备选方案
这些算法基于的数学问题 (格密码学、哈希函数) 是量子计算机也解不了的。至少目前的理论认为解不了。
Google Chrome 从 2024 年起已经在 TLS 连接中实验性地使用 ML-KEM。Signal 协议也已经加入了后量子密钥交换。你可能已经在用了,只是不知道而已。
普通人该怎么办
说实话,普通用户能做的有限,但也不是完全无能为力:
1. 开启两步验证 (2FA)
量子计算机破解的是数学问题,不是你的手机验证码。即使密码被破了,有 2FA 挡着也多一层保护。优先用硬件密钥 (YubiKey) 或 TOTP 应用 (不要用短信验证)。
2. 关注你用的服务
大型云服务商 (Google、Apple、Microsoft) 会率先迁移到后量子加密。选择这些服务,至少在加密层面你是被照顾的。
3. 长期敏感数据要警惕
如果你有些数据现在加密存储,但十年后依然敏感 (医疗记录、法律文件、商业机密),那你现在就该考虑后量子加密方案了。
开发者该怎么办
如果你写代码,这件事跟你关系更大:
1. 开始了解 PQC 库
- liboqs (Open Quantum Safe): C 语言实现,支持所有 NIST 标准算法
- Cloudflare 的 circl: Go 语言实现
- pqcrypto: Python/Rust 绑定
2. 清点你的加密资产
列一张清单:你的系统里哪些地方用了 RSA、ECDSA、ECDH?TLS 证书、JWT 签名、数据库加密、API 密钥交换。这些都是迁移目标。
3. 做混合模式迁移
现阶段最佳实践是混合模式 (Hybrid Mode):同时使用传统算法 + 后量子算法。这样即使某一方出了问题,另一方还能兜底。
Google 和 Cloudflare 正在生产环境这么做。你也应该这么做。
4. 关注 TLS 1.3 + PQC 的进展
IETF 正在制定 TLS 1.3 的后量子扩展。预计 2027 年前会有正式 RFC。提前关注,不要等到客户问你"你们支持后量子加密吗"的时候再慌。
时间表:不是十年,可能是五年
综合各方研究,一个粗略的时间表:
| 时间 | 里程碑 |
|---|---|
| 2026 | NIST PQC 标准开始被主流采用 |
| 2027-2028 | 主要云服务商完成 PQC 迁移 |
| 2029 | IBM 目标达成 10 万量子比特 |
| 2030-2032 | 容错量子计算机可能具备破解 RSA 的能力 |
五到七年。听起来还有时间?
别忘了 “Harvest Now, Decrypt Later”。**你的数据今天就在被收集。**加密迁移不是可以拖的事。
密码学的黄金法则:如果你等到锁被撬开才换锁,那就太晚了。
好在新锁已经造好了。剩下的只是装上去而已。