倒计时 33 个月？Go 前安全负责人：量子计算机将“摧毁”互联网

本文永久链接 – https://tonybai.com/2026/04/08/perspective-on-quantum-computing-timelines

大家好，我是Tony Bai。

过去三十年，我们一直活在一个笑话里：“能够破解 RSA 加密的量子计算机，永远在十年之后。”

作为一名软件工程师，我曾和你们中的大多数人一样，对所谓的“量子末日（Q-Day）”嗤之以鼻。我们觉得，在有生之年，我们赖以生存的 RSA、ECC 加密体系坚不可摧，那一天遥遥无期。

但就在昨天（2026年4月6日），这个笑话，似乎被终结了。

Go 语言前核心团队安全负责人、Go密码学专家之一 Filippo Valsorda，在他的个人博客上发表了一篇极其沉重的文章。

在文章的开头，他用一种近乎“忏悔”的口吻写道：

“在推出抗量子密码学的紧迫性上，我的立场与几个月前相比，已经发生了改变。……是时候公开表明并解释我改变想法的原因了。”

在这篇长文中，Filippo 引用了 Google 和 Oratomic 上周刚刚发表的两篇重磅论文，以及多位顶级物理学家的最新警告，最终得出了一个令整个软件工程界脊背发凉的结论：我们不再拥有十年。具备破解当前所有主流加密算法能力的量子计算机（CRQC），其到来的时间线，已经被一些顶级专家压缩到了一个令人绝望的数字——2029 年。

是的，只剩下 33 个月。

今天，就让我们跟随这位曾经的“官方守护者”的视角，看看这场已经兵临城下的“加密世界末日”，到底是怎么回事，以及我们作为普通的后端开发者，该如何在这场史无前例的迁移中生存下来。

冰山撞来：Google 的论文与被撕碎的幻想

Filippo 指出，在过去的一周里，两篇论文彻底改变了游戏规则。

第一篇，来自 Google。 这篇论文极大地修正了破解 256 位椭圆曲线（如我们每天都在用的 HTTPS 证书、比特币签名 secp256k1）所需的逻辑量子比特（qubits）和门电路数量。结论是：在超导量子比特这种高速架构上，攻击可以在几分钟内完成。

第二篇，来自 Oratomic。 这篇论文更加激进。它指出，如果拥有非局部连接能力（如中性原子方案），破解 256 位椭圆曲线甚至只需要 10,000 个物理量子比特。这种攻击虽然更慢，但哪怕一个月只能破解一个密钥，也足以引发灾难。

那张出现在论文第二页、堪称“末日倒计时”的图表，清晰地展示了攻破 RSA-2048 和 ECC-256 所需的物理量子比特数，正在以肉眼可见的速度急剧下降。

Filippo 坦言：“我不是物理学家，我看不懂论文里所有的物理学原理。但我的工作是风险评估。我知道的是，至少有一部分真正的专家正在告诉我们：硬件在变好，算法在变便宜，纠错要求在降低。一切都在加速。”

精英的警告：当你还在嘲笑，他们已经开始行动

更让 Filippo 感到警惕的，不是冷冰冰的论文，而是行业顶尖精英们近乎“反常”的表态。

Google 的安全总监 Heather Adkins 和 Sophie Schmieg 公开宣布，他们的最后期限是 2029 年。Filippo 强调：“在此之前，从没有人给出过如此激进的时间表。”
著名的量子计算理论家 Scott Aaronson，将当前的状态比作 1939 年到 1940 年之间——那段时间，关于核裂变研究的公开发表突然在全球范围内“神秘消失”了。
Scott Aaronson 更是抛出了一个灵魂拷问，戳破了所有人的侥幸心理：
> “一旦你理解了量子容错，再问‘你什么时候能用 Shor 算法分解 35？’，就好像在 1943 年问曼哈顿计划的物理学家‘你什么时候能搞出一次小小的核爆？’一样可笑。”

Filippo 写道，如果你还在想“这事儿可能成，也可能不成”，那你已经输了。

现在的赌注不是“你 100% 确定 2030 年会有量子计算机吗？”，而是“你 100% 确定 2030 年绝对不会有吗？你敢拿你所有用户的身家性命去赌那不到 1% 的可能性吗？”

SNDL 攻击：你的数据，正在被黑客“先存后破”

为什么我们必须立刻行动？因为黑客们正在疯狂执行一种极其阴险的战略：“Store Now, Decrypt Later”（先收集，后破解，SNDL）。

他们把现在通过网络截获的、由 RSA/ECC 加密的、看似安全的核心机密数据（比如你的银行交易、公司的商业合同、国家的敏感情报）全部存储在巨大的硬盘阵列里。

等几年后量子计算机成熟，他们就能在一瞬间，把这些尘封的历史数据全部解开，一览无余。

这意味着，我们今天发送的每一封加密邮件，每一次 HTTPS 访问，都在为未来的某一次“数字考古”提供素材。

行动指南：我们必须立刻开始“造船”

面对这场已经兵临城下的风暴，Filippo 作为Go 密码学界的专家，给出了极其具体、甚至有些“痛苦”的行动指南。

1. 密钥交换（Key Exchange）：立即迁移到 ML-KEM

这是抵御 SNDL 攻击的第一道防线。Filippo 强调，任何非抗量子的密钥交换（如经典的 ECDH）都应被视为潜在的“主动破解”行为，并像 OpenSSH 那样向用户发出明确警告。

2. 数字签名（Digital Signatures）：硬着头皮上 ML-DSA，放弃幻想

这是最痛苦的部分。Filippo 不无遗憾地承认，他原本希望我们能有更多时间去设计更优雅的、适应大签名体积的协议。但现在，没时间了。

我们必须接受 ML-DSA 签名体积巨大（几千字节，而 ECDSA 只有几十字节）的残酷现实，并开始在为小签名设计的协议（如 X.509 证书）中强行塞入这些“肥胖”的签名。

他甚至激进地提出：应该彻底放弃“混合签名”（经典+后量子）的过渡方案，直接一步到位使用纯 ML-DSA-44。因为混合签名带来的复杂性和性能开销，已经超过了它能提供的那点微不足道的“对冲”收益。

3. 对 Go 开发者意味着什么？

Filippo 直言不讳：

“在我的世界里，我们必须开始思考，Go 标准库中一半的密码学包突然变得不安全意味着什么。……这是我们职业生涯中从未遇到过的事情：从 SHA-1 到 SHA-256 的迁移，远没有这次这么具有破坏性。”

这意味着，我们很快就要在 Go 的 crypto/tls, crypto/x509, x/crypto/ssh 中看到翻天覆地的变化。

小结： weird, but it is what it is

在文章的结尾，Filippo 提到，他本周刚刚开始在博洛尼亚大学教授一门密码学博士课程。他告诉学生，RSA、ECDSA 这些我们曾经引以为傲的算法，现在只能作为“遗留算法（Legacy Algorithms）”来介绍了。

他写道：“我知道，这感觉很奇怪。但，现实就是如此（it is what it is）。”

Filippo 的这声叹息，既是对一个技术时代的告别，也是对我们所有软件工程师拉响的高级别警报。

当 Go 语言前核心团队的安全负责人、一个以极度严谨和保守著称的密码学专家，都开始用如此紧迫的口吻催促我们行动时，我们没有理由再把头埋在沙子里，假装危机还很遥远。

那艘名为“量子计算”的巨轮，已经出现在了海平面上。现在不是争论它会不会撞上来的时候，现在是立刻开始造救生艇的时候。

资料链接：

https://words.filippo.io/crqc-timeline/
https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/
https://arxiv.org/abs/2603.28627

今日互动探讨：

在你的公司或个人项目中，有哪些核心数据是绝对不能在 5-10 年后被解密的？面对这场迫在眉睫的密码学大迁移，你觉得我们应该从哪个环节开始着手准备？

欢迎在评论区分享你的看法和焦虑！

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：