去年全球量子计算机的量子比特数量突破了1000大关,这意味着什么?你存在银行里的钱、发的每一条微信,理论上都可能在10年后被解密。而Google作为最早动手的一批,他们的防御工事建得怎么样了?
一位安全研究员用自制的开源工具扫了一遍google.com,结果有点意思——他们确实在部署后量子加密,但速度比想象中慢,覆盖比宣传中窄。
「pqscan」:一个让大公司睡不着觉的小工具
这个叫pqscan的扫描器,核心功能简单粗暴:检查目标网站是否启用了后量子加密算法。后量子加密(Post-Quantum Cryptography,PQC)是一类能抵抗量子计算机攻击的加密标准,美国国家标准与技术研究院(NIST)从2016年开始征集,2024年才正式发布首批标准。
研究员开发这个工具的动机很直接——「我想知道真实世界的部署情况,而不是看新闻稿。」pqscan支持检测三种主流算法:ML-KEM(密钥封装)、ML-DSA(数字签名)、SLH-DSA(无状态哈希签名)。
扫描Google的结果显示:部分子域名已经启用了ML-KEM,但覆盖率参差不齐。youtube.com、googleapis.com等核心服务的进度明显快于一些边缘业务。
Google的「渐进式」策略:聪明还是偷懒?
Google在2023年就宣布开始部署后量子加密,比NIST标准正式发布还早了一年。他们的做法是典型的Google风格——先啃硬骨头,再慢慢铺开。
具体路径是:TLS 1.3连接中混合使用传统椭圆曲线加密(X25519)和ML-KEM-768。这种「混合模式」的好处是,即使ML-KEM有未知漏洞,传统加密还能兜底。坏处也明显——带宽开销增加了约20%,握手延迟多了1-2个RTT。
pqscan的数据显示,Google的主要入口(搜索、YouTube、Gmail)混合模式覆盖率已经超过80%,但一些内部API和第三方集成的进度滞后。研究员在报告中写道:「他们确实在做事,但『完全免疫量子攻击』的说法为时过早。」
为什么「部分部署」比「不部署」更麻烦?
这里有个反直觉的点:加密系统的安全性取决于最短的板。你的数据从手机到服务器,可能要经过CDN、负载均衡、微服务网关、数据库等十几个环节。只要有一个节点还在用传统RSA或ECC,整个链条就可能被「 harvest now, decrypt later」(先存储,后解密)攻击击穿。
Google的部署现状,某种程度上代表了整个行业的困境。Cloudflare、AWS、微软也在推类似方案,但进度表都很模糊。pqscan的扫描结果可以公开验证,这让「我们正在推进」这类公关话术变得很难混过去。
研究员还发现了另一个细节:Google的ML-KEM实现优先选择了第3类安全参数(192位安全级别),而非最高的第5类(256位)。这个取舍可能是出于性能考虑,但也意味着他们在「安全冗余」和「用户体验」之间做了妥协。
开源扫描器的连锁反应
pqscan本身是个小工具,但它戳破了一层窗户纸——大公司的加密部署进度,从此可以被任何人公开审计。研究员把代码放在了GitHub上,附带了扫描全球Alexa Top 100万网站的教程。
这种透明化有双重效应。对安全团队来说,这是免费的合规检查工具;对攻击者来说,这也是一份「哪些目标还没加固」的清单。Google没有回应pqscan的具体发现,但他们的安全博客在扫描结果发布一周后更新了一篇技术细节,解释了混合模式的工程权衡。
一个值得玩味的对比:同样是后量子加密,苹果的部署策略更激进。iMessage在2023年就全面切换到了PQ3协议,放弃混合模式,直接用纯后量子方案。代价是旧版本iOS无法收发消息,但苹果显然认为「断舍离」比「拖泥带水」更干净。
Google的选择则保守得多。他们的用户基数和生态复杂度决定了,任何 breaking change(破坏性变更)都要付出巨大成本。YouTube一个接口的改动,可能影响数百万第三方应用。
pqscan的扫描还发现了一个边缘案例:某些Google子域名在IPv6路径上启用了ML-KEM,但IPv4路径没有。这种不一致性通常源于配置漂移,而非有意设计——恰恰是最难排查、最容易被利用的漏洞类型。
研究员在报告结尾提了一个问题:「如果量子计算机真的在2030年前达到实用化,我们现在存储的加密流量,有多少比例能被完整解密?」Google的答案似乎是「我们正在努力」,但pqscan的数字给出了更诚实的参考系。
你更信任哪种策略——苹果的激进断代,还是Google的渐进修补?如果明天你的银行App告诉你「部分接口已升级量子加密」,你会放心转账,还是再等等?
热门跟贴