现收集，后解密——默认设置带来的隐患

好消息：目前还没有人拥有具备密码学意义的量子计算机。针对 RSA-2048 的 Shor 算法仍需要比任何已量产设备更多的纠错量子比特，各大公司的公开路线图也仍停留在”即将实现”的阶段。开香槟庆祝吧——你的 AES-256 备份暂时安全。暂时而已。

当然，关键就在”暂时”二字，这也正是为什么有责任心的人们在过去几年里积极部署混合后量子密钥交换方案（如 X25519MLKEM768），以应对”现在收割、未来解密”的威胁。AWS 正在切实推进这项工作：Secrets Manager 现已支持混合 X25519+ML-KEM 协商，只需在客户端做简单升级（Agent 2.0.0、Lambda 扩展 19、近期 SDK 版本），他们甚至推出了 Cachee——一款基于 Rust 的进程内缓存，专为承载新一代超大体积 PQC 密钥而设计——原因在于 ML-KEM-1024 公钥长达 1,568 字节，而 ECDH 仅 32 字节，SLH-DSA-256f 签名接近 50 KB，Redis 在处理 17 KB 签名时读取延迟高达 0.9 毫秒，已不堪重负。这场迁移是真实发生的，背后的工程工作令人印象深刻。

然而 CVE-2026-2673 出现了。如果你的 OpenSSL 3.5 或 3.6 服务器配置在密钥组列表中使用了 DEFAULT 关键字，一个实现漏洞会导致元组结构被破坏，服务器跳过 Hello Retry Request，握手悄无声息地退回到客户端优先提出的传统经典曲线。没有报错，没有警告——只留下一个可被收割的会话，以及未来某个量子攻击者寄来的”感谢信”。请在 3.5.6 / 3.6.2 版本发布后立即升级，审查所有使用 DEFAULT 的配置，并牢记密码学迁移的永恒教训：算法几乎从来不是最薄弱的环节，配置才是。