2025 年是一个重要的年份——在我们被密码相关的量子计算机彻底击败之前，这可能是我们开始向后量子密码学迁移的最后机会。

我们（可能）不会在 2025 年获得与密码相关的量子计算机 (CRQC)。公钥加密 (PKE)（可能）到 2025 年仍将保持安全。但是……嗯，存在一些问题。我们希望在此探讨这些问题。

量子解密已经迫在眉睫。本文是一次战斗号召。我们需要在 2025 年用量子安全加密和加密敏捷性武装自己。

量子与网络安全的相关性

可以肯定的是，一台足够强大的量子计算机将能够在 24 小时内使用 Shor 的量子算法或其衍生或改进算法解密当前的 PKE（例如 RSA 2048）。这将颠覆我们今天所知的网络安全。所有被盗和存储的加密数据（现在获取，稍后解密）都将由窃取它的团体访问。互联网上的持续信任（其通信、数字签名、交易）都将被摧毁。

无论 PKE 是如何被破解的，只要 PKE 被破解，就会发生这种情况。唯一普遍接受的确定性是，它一定会被足够强大的量子计算机破解。这就是为什么 NIST 一直在开发新的、更强大的加密算法，这些算法基于被认为可以抵抗量子计算机的数学问题。这就是 NIST 的后量子密码学 (PQC)。

网络安全必须从使用 PKE 迁移到使用 PQC。但紧迫性仍未被所有人充分理解，因为几乎没有人完全理解量子威胁。我们将阐明这一点及其在 2025 年的进展。

（快速警告：量子计算机和加密涉及的首字母缩略词比三个字母的机构还多。）

CRQC 时间表

对于 CRQC，诺基亚量子安全网络负责人 Martin Charbonneau 表示：“全球风险研究所的量子威胁时间表报告对这一时间表进行了很好的估计。2024 年，该报告估计，到 2034 年，有 17% 到 34% 的可能性会出现一台能够在 24 小时内破解 RSA 2048 的加密相关量子计算机 (CRQC)。到 2044 年，这一概率将上升到 79%。”

时间表估计的另一种方法可能来自联邦机构的要求。“国家安全备忘录 10 (NSM-10) 为全面迁移到 PQC 设定了明确的最后期限，即 2035 年。到那时，联邦机构使用的所有加密系统都必须具有抗量子性，以确保敏感信息的安全，”SandboxAQ 网络安全首席科学家 Carlos Aguilar Melchor 评论道。

他补充说，具体机构的最后期限更为紧迫。“国土安全部在其网站上描述了一个较短的过渡期，将于 2030 年结束。最后，国家安全系统所需的商业国家安全算法套件 2.0 (CNSA 2.0) 已将 PQC 设置为首选，最早在 2025 年，并在 2030 年至 2033 年（取决于应用）之前强制使用。”

这些日期范围从现在到 2035 年。这意味着政府预计 CRQC 将在十年后的任何时候实现。

与此同时，2024 年 12 月 9 日，谷歌量子人工智能创始人兼负责人 Hartmut Neven 宣布推出谷歌Willow芯片，并提出了两项要求。首先，它速度超快：“Willow 在不到五分钟的时间内完成了标准基准计算，而当今最快的超级计算机之一需要 10 千万亿年才能完成——这个数字远远超过了宇宙的年龄。”

第二：“随着我们使用更多的量子比特进行扩展，Willow 可以成倍地减少错误。这解决了该领域近 30 年来一直在追求的量子纠错的关键挑战。”

这是否会影响已经模糊的时间表，或者已经模糊的时间表已经预见了此类事件？坦率地说，我们不知道。Melchor 评论道：“今年理论的进步将所需的量子比特数减少了三倍，并将所需的理论稳定性降低了 10 倍。量子计算机稳步发展，理论进步带来的目标突然减少可能会突然改变估计，并大大增加紧迫性。”

对于网络安全防御者来说，标准格言仍然是正确的——你可以希望得到最好的结果，但你也应该预料到并做好最坏的准备。CRQC 正以未知的速度越来越近。

量子比特的问题

难以预测 CRQC 的到来日期的原因在于量子计算机的基本计算单位：量子比特的性质。量子比特利用叠加和纠缠的独特量子特性，允许比传统比特的两种状态更多的可能状态。并且，执行此操作的量子比特越多，计算机的处理潜力就越大。对于任何在传统计算有限的两种状态二进制数字驱动能力下长大的人来说，这种潜力几乎是不可想象的。

但量子比特并不稳定。

任何研究过量子力学的人都不会对此感到惊讶——但正是这种不稳定性导致了制造可用量子计算机的最大问题。简而言之，量子比特的稳定性受到周围一切事物的负面影响，从物理震动到大气噪声。这导致了一种称为退相干的现象（基本上是量子态的损失），它会在涉及量子比特的计算中引入错误。必须先“纠正”这些错误，然后才能信任计算输出。而这非常非常困难。

一种方法是使用纠错软件——但这非常复杂，需要大量额外的量子比特来纠正一个量子比特中的错误。简单地说，每个逻辑（有用）量子比特都需要大量额外的物理量子比特。第二种方法更机械——开发和使用自然更稳定、抗退相干的量子比特。

我们可以期待在 2025 年，像 Willow 一样，在这两个方面取得进一步进展——虽然取得了进展，但可能不会有改变时间线的突破。让足够多的逻辑量子比特一起运行，并能够实际释放量子的全部理论潜力，这一工程问题将以年为单位来衡量——我们只是不知道需要多少年或多少年。

正如 Sectigo 高级研究员 Jason Soroko 所解释的那样。“并非所有量子比特都是平等的……考虑这些量子比特的以下属性：相干时间（量子比特可以维持其量子状态的持续时间）；门保真度（量子门操作的准确性）；错误率（量子比特操作期间的错误频率）和可扩展性（在系统扩展时保持量子比特质量的能力）。”

门保真度很重要。“Shor 算法需要门控量子比特来完成其任务，使用量子傅里叶变换，这是破解 RSA-2048 所需的分解工作的一部分，”Soroko 说。

Quantinuum网络负责人 Duncan Jones 表示：“2024 年量子技术取得了重大进展，包括 Quantinuum 在生产环境中实现了 99.9% 的 2 量子比特门保真度，这是业界首创。2025年，我们希望在此基础上再接再厉，在硬件、软件、量子代币、网络安全和其他领域取得进一步改进。”

将人工智能纳入发展组合

QuSecure 联合创始人兼首席运营官 Skip Sanzeri 虽然拒绝做出任何预测（“我们还没有看到任何可以完全确定 CRQC 何时出现的路线图”），但他补充道：“随着人工智能的快速发展，我们看到了人工智能将以各种方式加快 CRQC 的实现速度。例如，人工智能可以帮助设计更高效的算法，机器学习可以模拟大量量子态，从而实现更快、更优化的量子电路。” 

他补充道，“人工智能还将在硬件开发（降噪和更稳定的量子比特）、优化（量子实验、量子比特操纵）和复杂系统的量子模拟中发挥作用。”人工智能对量子技术的益处可能在 2025 年开始实现。

值得注意的是，当代技术的最大创新——量子和人工智能之间存在这种协同作用。量子计算机造福人工智能可能先于 CRQC，但可能不会在今年出现。Neven 将自己创立的谷歌实验室命名为“量子人工智能”，他解释说：“这两者都将被证明是我们这个时代最具变革性的技术，但先进的人工智能将从量子计算中受益匪浅。”

Sanzeri 补充道：“我们认为，CRQC 何时推出的共识很可能被高估，因为我们无法确定人工智能等技术对时间表的影响。因此，我们相信 CRQC 将在不到 5 年的时间内问世。”

Lastwall创始人兼首席执行官 Karl Holmqvist也对量子和人工智能的结合持谨慎态度。他表示：“量子和人工智能的结合将比单独使用任何一种更快地产生与密码相关的结果。”完全有可能——尽管对于网络安全而言，我们仍然希望这种可能性不大——在短短几年内实现 CRQC。

密码学自身的不确定性原理

NIST 的量子加密竞赛专注于开发新算法，以取代目前量子计算机无法破解的 PKE。重点是那些可以达到相同目的但基于被认为能够抵抗量子计算机的数学问题的算法。这在概念上类似于当前的 PKE，后者基于仅使用传统计算机对非常大的数字进行因式分解的数学难度。

但这里有两个假设：PKE 尚未被使用传统计算机和人工智能的对手悄悄破解；同一个对手或其他对手尚未秘密实现 CRQC。我们认为这两件事都没有发生——但我们仍然需要提出这个问题。 

Sanzeri 认为，没有量子力量，破解 PKE 是不可能的。“破解 PKE 需要一台指数级强大的计算机，而我们现有的 CMOS 结构，即使经过 AI 优化，也无法达到指数级的强大。叠加和纠缠的亚原子特性使量子计算机能够达到指数级。”

梅尔乔用不同的说法表达了同样的观点。“2025 年，我们也可以在宇宙中发现智慧生命，但目前似乎没有任何迹象表明这一点。”

邓肯·琼斯 (Duncan Jones) 则稍微谨慎一些。他认为在 CRQC 之前，PKE 不太可能被普遍解密。“在量子计算机出现之前的短期进展不太可能从根本上威胁到正确实施的 PKE 系统。”

但他还补充道：“密码学长期以来一直存在着意想不到的突破——几十年来一直被认为是安全的算法，现在却遭遇了新的攻击。虽然其他方法（如高级经典算法）尚未证明可以破解 PKE，但我们永远无法完全确定。”

人们担心的正是对任何加密算法都缺乏绝对确定性。Praxis Labs 首席执行官兼创始人 Kai Roer 提出了一个假设性问题：“如果你已经破解了 PKE，该怎么办？”“在当前的地缘政治格局中，想象一下你的访问权限将产生巨大的力量。你会告诉任何人吗？假装你还没有成功，然后利用你的权力从世界上的每一个系统获取每一个秘密，这难道不是一种诱惑吗？”

他认为，任何秘密的对手破解 PKE 的能力都更有可能来自量子计算机，而不是传统计算机。但这也意味着我们的第二个无法证明的假设——尽管在量子开发上花费了数十亿美元，但还没有对手国家秘密开发出 CRQC。我们不相信这一点，但我们无法证明这一点。“与所有安全问题一样：假设漏洞已经发生，并采取相应行动，”罗尔说。

Holmqvist 同意对抗能力存在一些不确定性。“破解加密的奖励非常高，我们知道国家层面的实体正在从事量子计算系统的研究。这意味着，如果 2025 年有任何重大突破，可能使系统得以开发——这是有可能的——我们可能不知道。”

Cystel Limited首席技术官 Thomas Matheus认为，更大的威胁不是来自算法，而是来自算法的实施。“更有可能的情况是，组织实施后量子加密解决方案或其他量子产品（例如量子密钥分发或量子 VPN），但没有正确配置这些解决方案或产品。”

但这假设 PQC 算法足够强大，而这又是一个不确定因素。NIST 的 PQC 算法本身安全吗？毕竟，SIKE 候选算法已经被经典计算机和 AI 攻破。

WSO2 技术研究员、维也纳技术大学量子计算客座教授Frank Leymann评论道：“NIST 识别 PQC 算法的过程致力于识别难以破解的算法和协议。但没有数学证据证明它们不能被破解。因为它们有可能被破解，所以加密灵活性是关键。这就是 NIST 继续识别和标准化更多算法的原因。”

敏捷是关键

虽然密码学的不确定性原理意味着我们无法确定（无论我们多么坚信）PKE 是否已经被资源丰富的对手破解，但我们同样不确定 NIST 的 PQC 算法是否真正安全。简而言之，我们可能相信 NIST 的 PQC 算法是量子安全的（可能对量子解密是安全的），但我们无法证明它们是量子安全的（可证明对量子解密是安全的）。简而言之，PQC 算法在持续加密方面提高了赌注，但无法证明解决问题。

作为补偿，使用加密系统的第二种方法已悄然兴起：加密敏捷性。这并不是一个新想法，可以追溯到本世纪初。加密系统容易受到攻击者的攻击——这是历史证明的事实。因此，准备一个随时可用、随时可用的替代加密系统是有意义的。这就是所谓的加密敏捷性概念。

今天的不同之处在于，我们知道我们当前的 PKE 加密将随着量子计算机而失效。我们正在通过全面迁移到新算法来为这一事件做好准备。但是，尽管这些算法在实验室中经过了测试和审查，但它们尚未在战场上得到证实。因此，如果有的话，对加密敏捷性的需求比以往任何时候都更大——NIST 从一开始就认识到了这一点。尽管它长期以来一直主张包括敏捷性，但它对于过渡到 PQC（及以后）的重要性在 Lily Chen（来自 NIST 信息技术实验室的计算机安全部门）于 2024 年 6 月提交的一份文件中明确指出：加密过渡和敏捷性。

Chen 将加密敏捷性定义为“机器能够根据其组合安全功能实时选择安全算法的能力；能够向现有硬件或软件添加新的加密功能或算法，从而产生新的、更强大的安全功能；能够从容淘汰已经变得脆弱或过时的加密系统。”简而言之，它是“在 IT 系统中灵活地实施、更新和替换加密组件，而不会影响其功能。”

琼斯对此进行了阐述。“NIST 的 PQC 算法已经通过了严格的量子和经典攻击评估。然而，没有一种算法能够完全免受不可预见的漏洞的影响。”（SIKE在比赛中被攻破证明了这一点。）

“这进一步证明了加密敏捷性的重要性，”他补充道。“随着算法的发展，组织必须能够调整其基础设施。重点应该放在构建可以在需要时集成新标准和算法的敏捷系统上。”

IBM Quantum Safe 的 IBM 研究员 Ray Harishankar 进一步补充道：“随着各组织在未来一年内开始向后量子密码学过渡，敏捷性对于确保系统为持续转型做好准备至关重要，特别是当 NIST 继续扩展其后量子密码学标准工具箱时。”

他继续说道，现在是踏上量子安全之旅的时候了。“但同样重要的是加密敏捷性的需求——确保系统能够快速适应新的加密机制和算法，以应对不断变化的威胁、技术进步和漏洞——最好利用自动化来简化和加速这一过程。”

摘要 – 2025 年的加密威胁

讽刺的是，CRQC 的到来在很大程度上受到量子不确定性的影响。如果我们专注于强大的量子计算机，我们不知道什么时候能得到它们。如果我们专注于某个时间点，我们不知道那时我们会得到什么。我们唯一知道的是，在未来十五年内，甚至可能是未来五年内，经典 PKE 将会被量子解密——如果我们没有做好准备，那将是灾难性的。

2025 年 CRQC 的进展不会很显著，但会不时出现一些声明 — — 比如更稳定的新型量子比特（比如中性原子），或者新的纠错能力（比如 Willow），或者每个处理器有更多的量子比特（IBM 预计将推出具有超过 4,000 个量子比特的“Kookaburra”处理器）。

现在，CRQC 有可能在短短五年内实现。同样有可能的是，一些公司完全迁移到 PQC 需要超过五年的时间。正如 Venafi 首席创新官 Kevin Bocek 指出的那样，对于 2025 年尚未开始 PQC 迁移的人来说，“鉴于这种不确定性，现在必须开始迈向量子防御的旅程。”

我们深入研究了量子计算机制造中涉及的问题和潜在解决方案，并不是因为我们预计 2025 年会发布任何戏剧性的 CRQC 公告，而是为了表明这个日期越来越近。2025 年是一个重要的一年——这可能是我们在被 CRQC 摧毁之前开始迁移到 PQC 的最后机会。

后记：事情不会就此结束。Shor 的量子算法将打破我们当前的非对称加密 (PKE)。Grover 的算法可以攻击对称密钥（例如 AES 256）。但 Grover“仅仅”提高了解密速度——实际上将密钥长度减半，并将 AES 256 缩短为 AES 128。 

目前，这个密钥长度仍被认为足够长，这也解释了为什么 NIST 专注于非对称算法。但这个密钥长度不足以承受足够强大的量子计算机运行 Shor 算法，并在人工智能的帮助下寻找攻击 AES 的方法。 

如果我们可以将 AES 密钥长度增加到 256 位以上，我们可能还有一些回旋余地。从技术上讲，这应该是可行的，因为 AES 的底层密码是 Rijndael，而 Rijndael 将支持更广泛的密钥和块大小。

然而，借助量子计算机的强大功能，整个过程可能需要在未来某个时候重复进行。