谷歌喊话各国政府：量子时代，安全第一|rsa|密码学|知名企业|算法|谷歌|量子计算机

谷歌敦促各国政府和产业加快采用后量子密码学，警告称量子计算的进步可能很快削弱保障当今数字系统的加密。

近日，谷歌量子人工智能团队负责人Hartmut Neven与谷歌全球事务总裁Kent Walker联名发出号召：“量子时代正在到来，我们准备好保障它的安全了吗？”这一问句，瞬间点燃了整个科技界的焦虑与使命感。

“量子安全元年”

如果说2025年是联合国发起的对量子科学的集体致敬，那么2026年则被赋予了更为紧迫的使命——“量子安全元年”。

不同于单一的纪念决议，这一倡议由Resonance Alliance与The Quantum Insider等顶尖行业机构发起，并迅速上升为国家战略。随着2026年1月12日官方启动仪式在华盛顿举行，美国FBI、NIST及CISA等核心安全部门悉数到场，标志着量子安全已从技术路线图走向防御最前线。与此同时，欧盟委员会亦在路线图中明确，各成员国须在2026年底前启动向后量子加密（PQC）的实质性迁移。全球政策的同频共振，正式确立了2026年作为保护金融、通信及军事基础设施、防御“未来威胁”的行动基石。

量子时代的安全性本质上不再取决于量子计算机何时真正出现，而取决于人类社会今天采取行动的速度。这一认知已成为跨国组织、政府和标准机构的共识。

谷歌的核心观点非常明确：量子计算是一把双刃剑。它在药物研发、材料科学、清洁能源等领域预示着划时代的科学突破，但与此同时，它对现有的数字安全协议构成了“根本性挑战”。我们目前依赖的RSA、ECC等公钥加密体系，保护着全球的银行转账、私人通信乃至国家机密，但在未来的大规模纠错量子计算机面前，这些数字“锁”将脆弱得如同薄纸。

“我们必须在‘具有量子威慑力的计算机’（CRQC）出现之前，完成全球数字基础设施的升级。”这不仅是谷歌的宣言，更是全球数字世界的共同任务。

危机审视：为什么现有的加密体系面临“降维打击”？

（一）算力的质变

传统加密体系的安全性依赖于数学难题的计算复杂度，这些难题在经典计算机上需要数千年甚至数万年才能破解。然而，量子计算机利用量子叠加和纠缠特性，能够以并行处理的方式在极短时间内完成特定任务。

Peter Shor在1994年提出的算法证明，量子计算机可以在多项式时间内分解大整数和求解离散对数问题。这意味着所有基于RSA和ECC的加密方法在足够强大的量子算力面前都是不安全的。

评估量子威胁的现实性需要理解“物理量子比特”与“逻辑量子比特”的差异。当前的量子处理器（如谷歌的Willow）拥有约105个物理量子比特，但由于环境噪声和退相干效应，这些比特极易出错。实现真正的加密破解需要数千个稳定的、经过纠错的逻辑量子比特。

长期以来，科学界认为破解RSA-2048需要约2000万个物理量子比特，这使得威胁看起来仍遥不可及。然而，2025年的最新研究（如Craig Gidney的成果）表明，通过近似残数算术和新型纠错编码（如轭式表面码），破解RSA-2048所需的物理量子比特数可以压缩到100万个以下，且破解时间可在1周内完成。由于IBM和谷歌等巨头的路线图显示，百万级量子比特系统可能在2030年前后出现，这种算力的跨越式进步极大地缩短了防御窗口期。

（二）“先储存，后解密”

量子威胁并非只存在于未来，其最严峻的变体“先存储，后解密”正在当下发生。恶意行为者（如国家级情报机构或复杂犯罪组织）正在拦截并大规模存储当前的加密流量，等待未来量子技术成熟后再行解密。

图：在过去十年里，量子计算研究将解决诸如破解2048位RSA加密（左）和模拟有用分子（右）等问题所需的估计资源减少了几个数量级。

来源：谷歌

那些保密期长达30至50年的政府机密与国防数据，虽在物理上被深锁，但在技术层面，它们可能早已通过“先储存、后解密”的手段泄露。这意味着，数十年后的国家底牌，在今天可能就已成为对手硬盘里的透明资产；与可重置的密码不同，指纹、虹膜及 DNA 信息具有天然的唯一性与不可撤销性。这类“永恒数据”一旦在今日被截获，便意味着受害者将面临伴随终身的身份威胁。

复杂的交易模型与核心技术路径，正处于一种常态化的监控之下。竞争对手无需立刻看透你的布局，只需持续收集数据，这种后视镜式的监控，让企业的长期商业秘密在尚未转化为市场胜势前，就已经在技术演进的算力面前提前瓦解。

应对之道：后量子密码学

后量子密码学（ PQC）并非基于量子力学原理，而是指能够在经典计算机硬件上运行，同时能够抵御量子计算机破解攻击的新一代数学加密算法。其设计目标是根据NIST的定义，挑选并评估那些在计算效率、密钥大小和安全性之间达到平衡的算法，以替代现有的脆弱标准。

（一）NIST引领的全球加密体系的重构

随着量子计算技术的加速推进，传统加密体系面临着空前的“Q-day”威胁。为了守护数字世界的长期安全，美国国家标准与技术研究院（NIST）启动了具有里程碑意义的后量子密码学（PQC）标准化项目。这是一场涉及全球工业界、学术界与政府机构的多轮竞争与评估过程，旨在开发能够抵御量子计算机攻击的新型加密标准。

在技术突破层面，2024年是一个关键的转折点。NIST正式发布了首批三项主要的PQC标准，完成了从候选算法向正式标准的飞跃。这些算法各有侧重，共同构建了多层次的防御体系：

通用加密与公钥封装（KEM）：ML-KEM（基于Lattice格密码学，原名CRYSTALS-Kyber）被确立为主力算法，主要用于保护网站安全和处理日常在线交易，因其卓越的运行效率而备受推崇。

数字签名与身份验证：ML-DSA（原名CRYSTALS-Dilithium）被选为通用的签名标准；而 SLH-DSA（基于无状态散列函数）则作为一种高度可靠的备份方案被采纳。

此外，NIST仍在开发如 FN-DSA（基于Falcon算法）等补充标准，以确保在面对不同攻击向量时，加密体系拥有足够的冗余和韧性。预计于2026年完成，旨在为受限环境（如嵌入式设备）提供更紧凑的签名方案。

图：NIST关于后量子密码相关文件

在进程管理上，NIST不仅关注算法本身的安全性，还通过国家网络安全卓越中心（NCCoE）发布了详细的迁移指南，将视角延伸至“加密敏捷性”（Crypto-Agility）的实践。NIST建议各类组织不应消极等待，而应立即启动资产普查，识别现有系统中易受攻击的密码模块，并开始规划向PQC标准的迁移路径。

这一进程不仅是算法的更替，更是全球网络安全逻辑的一次底层重构。NIST通过这种公开、透明且极具前瞻性的标准化流程，正带领全球信息安全社区稳步跨入“抗量子时代”。

（二）谷歌在PQC领域的先锋实践

随着量子计算硬件和软件的不断进步，谷歌并未轻视当前的安全转型为理所当然。自2016年以来，谷歌一直在为后量子时代做准备，开展了开创性的后量子密码学实验，在产品中推广后量子能力，并通过威胁模型和技术论文分享专业知识。谷歌不仅在宏观愿景上呼吁安全转型，更在工程落地层面通过其生态系统先行验证了PQC的可行性。

图：自2016年以来，谷歌一直在推动向PQC的转型，重点是“加密敏捷性”，即在不中断服务的情况下更新或替换加密算法。

在Chrome 124版本中，谷歌默认在所有桌面平台上启用了X25519Kyber768混合密钥封装机制。这一部署不仅保护了从Chrome到支持该标准服务器（如Cloudflare、谷歌基础设施）之间的流量，还通过真实环境测试验证了算法的透明性。

Google Cloud KMS（密钥管理服务）引入了对ML-KEM的支持，并推出了名为“X-Wing”的混合算法。X-Wing通过结合经典X25519与后量子ML-KEM-768，确保了即使其中一种算法被证明存在弱点，数据依然受到另一层保护，这种“带皮带的吊带”方案已成为行业推荐的最佳实践。

通过BoringCrypto、Tink等开源项目，谷歌为开发者提供了开箱即用的抗量子加密工具，极大地降低了全球开发者的采用门槛。

从理论标准到全球工程落地

量子安全转型不仅是换个算法，更是一场涉及数字根基的系统性工程。

NCCoE（国家密码工程卓越中心）指出，企业和组织必须具备“加密敏捷性”。这意味着你的系统不应将加密算法硬编码，而应具备“热插拔”能力——在不重构系统的前提下，快速切换算法以应对新的威胁。

基于谷歌与NIST的权威指南，这一宏大的迁移工程被浓缩为一套“五步走”的进阶策略。首先是“深度摸底”，利用IBM、谷歌等先进工具建立详尽的加密物料清单（CBOM），在算法颗粒度上摸清家底，识别系统中的隐性脆弱点；紧接着进入‘风险定级’，引入量化风险模型，通过博弈数据机密寿命、迁移周期与量子威胁窗口期，精准划定防御优先级；而工程落地的核心难题在于“互操作性测试”——由于ML-KEM-768等PQC密钥尺寸较传统算法膨胀近37倍，必须预先对网络中间件进行适配压力测试，严防因数据包超限导致的连接崩溃；“混合模式部署”已成为行业标配，通过在通信链路中同时嵌套经典与后量子算法，实现防御能力的冗余备份；最终，随着生态体系的全面成熟，组织将稳步迈向“全量升级”，彻底完成向纯PQC体系的信任跨越。

全球视野：大国协作与中国力量

量子安全是一场全球性的马拉松，没有任何一家公司或一个国家能独立完成。

（一）政府的领导角色与立法动向

为了应对量子挑战，全球主要经济体纷纷将量子安全提升至国家战略高度。

美国在2022年签署的《量子计算网络安全防范法案》为政府迁移奠定了基础。2026年，美国众议院引入了《量子加密就绪与韧性法案》，旨在要求跨部门评估公私部门的防灾能力，并确立“量子安全由设计驱动”的原则。

国家安全标准上，NSA已设定强制时间表，要求所有新的国家安全系统在2027年1月前必须实现量子就绪，并在2030年前彻底弃用RSA/ECC算法。

在中国，量子安全同样是核心议题。2025年《中国联通后量子密码白皮书》明确指出，基于格的密码学已成为国内主流研究方向，且需在硬件性能瓶颈上取得突破。江苏省金融学会、西交利物浦大学等机构也联合建立了后量子密码迁移实验室，推动数字金融的量子安全转型。中国的SM系列算法也在积极探索与PQC技术的深度融合，为核电等关键工业网络提供抗量子保障。

（二）谷歌的政策倡议

为了在量子时代抢占先机并对冲潜在的安全风险，谷歌提出政策制定者应从以下五个维度构建全方位的应对战略：

首先，必须强化基础设施的整体韧性，将防护重心从公共部门扩展至能源、电信及医疗等关键领域，并与证书授权机构协作加固信任根基。其次，应将后量子密码视为人工智能发展的安全基石，确保在AI创新之初便嵌入抗量子攻击的底座，以维持数字经济的持久潜力。在标准制订方面，应积极减少全球治理的碎片化，以NIST等公认标准为基准，推动全球统一的合规体系建设，避免产生安全洼地。

同时，政策制定者应抓住契机推动“云优先”的现代化转型，通过将政务及关键系统迁移至具备PQC能力的云服务平台（如Google Cloud等前沿实践），提升加密迁移的效率。最后，为防范“战略意外”，政府需建立常态化的专家决策机制，通过与顶级科研机构及头部量子研究团队的深度对话，动态评估CRQC（密码分析能力量子计算机）的进展，确保政策灵敏度始终领先于技术威胁。