报告

为什么PQC迁移才是最难的部分——更多原因

by Simon McCorkindale

我们对一项关于量子计算与安全的大规模新调查的解读,始终绕回到同一个未被充分重视的问题。同周发表的两篇专业论文揭示了为何让组织实现量子安全正变得愈发困难,而非更简单。

在五月末至六月初的短短两周内,arXiv 上相继发表了三篇论文,合而读之,它们讲述了一个厂商营销材料往往略去不谈的故事。一篇宏观调查勾勒出量子计算与安全领域的全貌;一篇密码分析论文悄然压低了破解支撑互联网大部分架构——以及绝大多数加密货币——的椭圆曲线密码学的成本;一篇架构论文则为 6G 网络中标准方案无法适配的部分,提出了一种截然不同的后量子密码。

贯穿三篇论文的共同主线,正是那篇调查直言不讳指出的问题:我们花费了十年时间发明抗量子算法,却在如何将真实系统实际迁移至这些算法上投入了相对少得多的精力。威胁侧的成本持续下降,部署侧的复杂度持续上升。夹在中间的规划缺口,正是几乎所有人——包括新西兰——的暴露所在。

调查综述:整个战场的全景地图

核心论文是由印度古瓦哈蒂信息技术学院与 Trellix 联合发布的一篇关于”量子计算安全”的全面综述。其视角异常宽广,而这种广度正是其价值所在:它将该课题视为两个常被混淆的独立问题加以审视。

第一个问题是量子计算机自身的安全——可被利用来泄露信息的噪声与串扰、针对量子硬件的侧信道攻击、可能窃取电路知识产权或植入量子版木马的不可信第三方编译器,以及共享云量子处理器的租户之间的干扰。这是一个真实且不断发展的研究领域,但对于当今需要保卫经典基础设施的 CISO 而言,这更多是一个”持续关注”的议题,而非需要立即采取行动的事项。了解该领域的存在有其必要,但尚不值得为此彻夜忧虑。

第二个问题才是每一位读者都切身相关的:量子计算现有网络安全的冲击。该综述详细梳理了如今已广为人知的威胁模型——Shor 算法彻底攻破 RSA、ECC 与 ECDSA;Grover 算法将对称密码和哈希函数的有效强度减半——随后对密码学、区块链、恶意软件检测、入侵检测和物联网领域的防御手段进行了全面综述。后量子密码学(基于格、哈希和编码的方案)与量子密钥分发作为两大核心支柱被重点阐述,调查同时指出了 QKD 顽固存在的实际局限:光纤传输距离约 70 公里后噪声与损耗便趋于难以承受,加之需要专用且昂贵的硬件。关于恶意软件与入侵检测的量子机器学习内容处理得颇为诚实,包括如实呈现了一个令人尴尬的发现:若干量子方法仍逊于调优良好的经典模型,准确率差距有时高达约五个百分点。

但最值得钉在墙上反复审视的,是开放问题部分。作者直言不讳:当前大多数研究提出的是新算法,而非针对真正需要迁移的系统——PKI、TLS、区块链网络——的实际迁移策略。他们指出,”现在存储、日后解密”(即我们所称的 HNDL)的紧迫性正是这一缺口当下就至关重要、而非留待未来的原因,并特别点出几乎所有实验验证都高度依赖单一硬件厂商的机器,这使得已发表结果能否推广至其他情境仍存疑问。反复出现的核心信息是:没有任何单一技术能够解决上述任何问题,真实部署将需要分层组合——而这恰恰是那种奖励提前规划、惩罚拖延观望的问题类型。

威胁时钟:破解 ECC 的成本持续下降

若说综述描绘了这一缺口,第二篇论文——来自 Inria Rennes 的 André Schrottenloher——则揭示了缺口持续收窄的原因之一。这是一篇量子资源估算论文,研究的核心问题是:对椭圆曲线离散对数运行 Shor 算法,具体而言是针对比特币所使用的 secp256k1 曲线,究竟需要多少量子比特和量子门。

趋势本身即是故事。Babbush 等人的最新研究将这一攻击的门数与量子比特数较此前最优结果(Litinski, 2023)压缩了二至三倍。本文详细阐述了一种与上述数字相匹配的电路架构,并在此基础上将门数进一步减少 6.5% 至 10%,最终单次离散对数恢复大约需要 1,200 至 1,460 个逻辑量子比特,以及约 2^26(约 6,700 万)个 Toffoli 门。

严谨性在此至关重要,因此请允许我精确说明这不是什么。这些是逻辑层面的估算——它们假设存在一台容错机器,并忽略了构建此类机器所需的巨大纠错开销。物理成本远高于逻辑层面的计数,但它同样在下降:分解 RSA-2048 在 2025 年的估算已低于一百万个物理量子比特,而 Babbush 等人将在超导机器上攻破 secp256k1 所需的物理量子比特数定为不足五十万,运行时间仅需数分钟。问题在于——这是一个巨大的前提——目前此类机器并不存在,今年没有人能够解密您的流量。正在发生的是:随着电路设计的持续优化,这些攻击的逻辑成本年复一年地稳步下降——而逻辑成本的降低,正是推动每一项关于”密码学意义上的量子计算机何时变得可行”的严肃估算不断提前的核心输入。这不是您的风险登记册乐于接受的那种进展。

部署选项:没有哪种密码适合所有线路

第三篇论文来自 Vincenzo Sammartino(比萨大学 / KAUST),展示了问题的另一面。它提出了”Q-FE”——一种面向 6G 工业物联网的量子原生架构,其密码学核心是一个经过深思熟虑的选择:基于同源的 CSIDH 方案,而非 NIST 标准的 ML-KEM/Kyber。

这一选择源于物理层面的考量。ML-KEM-1024 的公钥长达约 1,568 字节——过大,无法装入一个 6G 控制帧,因此需要跨多个传输时隙分片传输,从而突破闭环工业控制所要求的亚毫秒级延迟预算。而 CSIDH-512 的公钥仅约 64 字节,小到足以装入单个控制帧。论文仿真结果声称,与 Kyber-1024 相比,MAC 层开销减少 62%,99.9 百分位延迟为 0.78 毫秒。

论文本身列出了相当实质性的注意事项:结果仅为理想化信道上的仿真;CSIDH-512 的群作用计算并非常数时间,存在残余计时侧信道;其安全性依赖于一个尚无形式化证明的困难假设;且该方案未经 NIST 标准化。与 CSIDH 相关的同源方案 SIKE 于 2022 年遭到著名破解——尽管所用攻击并不适用于 CSIDH。因此,这是一项研究提案,而非成熟产品,我不会仅凭一篇仿真论文就将非标准原语部署于生产环境。

真正值得借鉴的是其背后的原则,而非具体的密码方案。后量子迁移并非简单的一次性替换。对延迟敏感、带宽受限以及运营技术环境而言,可能确实需要与 Web 服务器 TLS 握手截然不同的原语和权衡取舍。每一种此类差异,都是迁移计划中额外的一个条目——而这正是综述所呼吁关注的问题,以戏剧化的方式具象呈现。

新西兰视角

将三篇论文合而观之,新西兰所面临的图景令人坐立难安。威胁发动的成本日益降低,防御部署的异构性日益增加,而综述的核心发现——我们在规划迁移上投入的精力远少于发明算法——几乎完美描摹了我国的整体态势。

我们维护的 118 个关键基础设施实体基准清单让这一点具体可感。截至六月重新扫描时,源站侧 PQC 采用率持平于 52.2%,与四月相比基本未变。49 个经典源站仍维持经典状态,两次扫描之间毫无动静——而距离谷歌和 Cloudflare 设定的 2029 年压力节点,又少了整整一周的准备时间。9 个端点仍仅协商 TLS 1.2,在升级至 1.3 之前根本无法承载混合后量子密钥交换。新西兰依然是五眼联盟中唯一没有正式 PQC 迁移截止期限的成员国,而预计于今年晚些时候出台的《关键基础设施法案》,对于 NZISM 第 2.4 节密码学条款,至今仍未见任何公开的执行机制。

KiwiRail 是迁移规划失败的活生生写照,与综述的核心论点直接呼应。四月时它看似已获得后量子保护——但那种保护是其内容分发网络合同的附带产物,而非源于自身的配置。当 Imperva 停止为其提供前端服务后,其源站便回退至经典密钥交换。这家对国家具有重要意义的铁路与轮渡运营商的公开端点出现倒退,原因不是遭到了任何攻击,而是因为没有人曾规划过 CDN 依赖关系。这正是”部署一个算法”与”规划一次迁移”之间的本质区别。真正持久的安全态势,是在 CDN源站两端同时实现后量子保护,这样合同变更就只是合同变更而已。

有一个亮点值得特别点名。Southern Cross Cables——这家运营着新西兰主要互联网连接的海底光缆运营商——从四月的经典源站升级为六月的后量子源站。它是我们在两次扫描之间能够确认完成部署 PQC 的唯一实体,而它所处的恰恰是那种长距离、长期保留的关键节点——在这类节点上,”现存储、后解密”绝非理论假设。与那些源站 PQC 占有率仍为零的行业——水务与废水处理、交通运输、电网运营商——之间的对比,正是整个论点的缩影。

Sammartino 论文关于”为约束条件选择合适原语”的讨论,坦率地说,是一个我们尚未赢得资格去奢谈的高端问题。我们的运营技术环境确实是那种”一刀切启用 Kyber”的建议会碰壁的地方——但更紧迫的事实是,其中大多数甚至还没到达起跑线,更遑论为 SCADA 链路应选用哪种后量子方案而苦苦纠结。而对于四大银行而言,规划问题在一定程度上来自境外:只有 ANZ 运行了源站 PQC,而由于其他银行是澳大利亚母公司的子公司,密码学决策实际上是在悉尼和墨尔本做出的——所遵循的数据留存义务与我们自身的《反洗钱与反恐融资》七年期规定如出一辙,也就是说,留存时间足够长,足以让已被截获的流量在未来仍具解密价值。

距 2029 年的跑道还有约三年半。听起来时间宽裕,直到你把实际步骤的成本细细算清:清点资产,继而排定优先级,继而完成迁移,继而获得供应商认证,最后完成部署——横跨整个资产环境,而就 KiwiRail 的案例而言,他们甚至不清楚自己的后量子保护究竟从何而来。综述是正确的:算法问题在很大程度上已经解决。迁移才是难题所在,而跑道正是为此而存在的。

落后者不会获得任何奖励。

Kaysec 是 Spinsphere(一家总部位于新西兰的量子技术公司)的后量子安全业务部门。我们为新西兰各组织提供密码学资产清点、HNDL 风险评估、TLS 配置审计及 PQC 迁移规划服务。欢迎联系我们

参考文献