Q Day,密码学家给全球加密系统集体失效日起的代号。那一天,量子计算机将拥有足够的算力,能在数日内破解RSA和椭圆曲线加密。这两种算法是今天保护你银行账户、医疗记录、政府机密和军事通信的根基。全球数十亿人几十年的数字隐私,都建立在经典计算机无法快速破解某些数学难题这个假设上。1994年,数学家彼得·肖尔证明量子计算机可以打破这个假设。但那时候,能实用的量子计算机还遥不可及。
于是Q Day成了一个遥远的威胁,像地平线尽头的风暴。“永远还有10到20年”,研究员们开了30年这个玩笑。但风暴正在加速逼近。2012年,学术界估算破解一个标准密钥需要10亿个物理量子比特。2019年,这个数字降到2000万。到了去年6月,Google主导的一项研究彻底击穿了防御底线:只需要100万个带着环境噪声的粗糙量子比特,花不到一星期,就能把银行业通用的2048位RSA密钥彻底剥开。
12年,三个数量级,门槛被削去了99.9%。
更隐蔽的危险在于:攻击者不需要等到Q Day。
这种威胁叫“今天存储,明天解密”。攻击者可以现在批量截获加密流量,静静存储在硬盘里,等量子计算机成熟后一次性解密。这不只是国家机密层面的事。你此刻发送的每一条私密聊天、每一份商业合同,都可能在2029年的某个早晨变成透明的明文。
威胁不是2029年才开始,而是此刻就在发生。
解药已经存在。一种新一代的加密体系被称为后量子加密,核心思路是找到量子计算机也无法快速解决的数学难题来替换现有算法,比如基于格理论和无状态哈希的方案。美国国家标准与技术研究院已经批准了几种标准算法,至今没有被攻破。Google正在快速推进其中一种叫ML-DSA的数字签名标准:Android 17将原生支持,应用商店里每一款App的签名验证都将逐步迁移,从硬件信任根到开机验证流程,整个Android设备的安全底座正在被重铸。Signal、苹果、Cloudflare也各自部署了不同程度的后量子支持。
但3年时间够吗?
RSA和椭圆曲线统治了数字世界30年。每一台服务器、每一部手机、每一个浏览器插件里,都可能藏着依赖旧算法的代码。Google承认这将给开发者带来“显著的工作负荷”,而它自己能控制的只是Android生态的一隅。全球还有无数遗留系统,有些甚至运行在20年前的嵌入式设备里。全球数字防御体系的坍塌危机,已经褪去前瞻性技术探讨的色彩,化作一张强行塞进无数开发者手里的工程催办单。
量子计算的进步速度超出了最保守的预测,全球密码学升级的进度表刚刚被强行改写。你的数据此刻正在互联网上传输,加密保护它的,可能是30年前设计的算法。在Q Day到来之前,我们来得及全部换掉吗?
~~~~~~
图源:JuSun
信源:Goodin, Dan. "Google Bumps up Q Day Deadline to 2029, Far Sooner Than Previously Thought." Ars Technica, 25 Mar. 2026