阅读视图

发现新文章，点击刷新页面。

倒计时 33 个月？Go 前安全负责人：量子计算机将“摧毁”互联网

Tony Bai

bigwhite

2026年4月8日 08:15

本文永久链接 – https://tonybai.com/2026/04/08/perspective-on-quantum-computing-timelines

大家好，我是Tony Bai。

过去三十年，我们一直活在一个笑话里：“能够破解 RSA 加密的量子计算机，永远在十年之后。”

作为一名软件工程师，我曾和你们中的大多数人一样，对所谓的“量子末日（Q-Day）”嗤之以鼻。我们觉得，在有生之年，我们赖以生存的 RSA、ECC 加密体系坚不可摧，那一天遥遥无期。

但就在昨天（2026年4月6日），这个笑话，似乎被终结了。

Go 语言前核心团队安全负责人、Go密码学专家之一 Filippo Valsorda，在他的个人博客上发表了一篇极其沉重的文章。

在文章的开头，他用一种近乎“忏悔”的口吻写道：

“在推出抗量子密码学的紧迫性上，我的立场与几个月前相比，已经发生了改变。……是时候公开表明并解释我改变想法的原因了。”

在这篇长文中，Filippo 引用了 Google 和 Oratomic 上周刚刚发表的两篇重磅论文，以及多位顶级物理学家的最新警告，最终得出了一个令整个软件工程界脊背发凉的结论：我们不再拥有十年。具备破解当前所有主流加密算法能力的量子计算机（CRQC），其到来的时间线，已经被一些顶级专家压缩到了一个令人绝望的数字——2029 年。

是的，只剩下 33 个月。

今天，就让我们跟随这位曾经的“官方守护者”的视角，看看这场已经兵临城下的“加密世界末日”，到底是怎么回事，以及我们作为普通的后端开发者，该如何在这场史无前例的迁移中生存下来。

冰山撞来：Google 的论文与被撕碎的幻想

Filippo 指出，在过去的一周里，两篇论文彻底改变了游戏规则。

第一篇，来自 Google。 这篇论文极大地修正了破解 256 位椭圆曲线（如我们每天都在用的 HTTPS 证书、比特币签名 secp256k1）所需的逻辑量子比特（qubits）和门电路数量。结论是：在超导量子比特这种高速架构上，攻击可以在几分钟内完成。

第二篇，来自 Oratomic。 这篇论文更加激进。它指出，如果拥有非局部连接能力（如中性原子方案），破解 256 位椭圆曲线甚至只需要 10,000 个物理量子比特。这种攻击虽然更慢，但哪怕一个月只能破解一个密钥，也足以引发灾难。

那张出现在论文第二页、堪称“末日倒计时”的图表，清晰地展示了攻破 RSA-2048 和 ECC-256 所需的物理量子比特数，正在以肉眼可见的速度急剧下降。

Filippo 坦言：“我不是物理学家，我看不懂论文里所有的物理学原理。但我的工作是风险评估。我知道的是，至少有一部分真正的专家正在告诉我们：硬件在变好，算法在变便宜，纠错要求在降低。一切都在加速。”

精英的警告：当你还在嘲笑，他们已经开始行动

更让 Filippo 感到警惕的，不是冷冰冰的论文，而是行业顶尖精英们近乎“反常”的表态。

Google 的安全总监 Heather Adkins 和 Sophie Schmieg 公开宣布，他们的最后期限是 2029 年。Filippo 强调：“在此之前，从没有人给出过如此激进的时间表。”
著名的量子计算理论家 Scott Aaronson，将当前的状态比作 1939 年到 1940 年之间——那段时间，关于核裂变研究的公开发表突然在全球范围内“神秘消失”了。
Scott Aaronson 更是抛出了一个灵魂拷问，戳破了所有人的侥幸心理：
> “一旦你理解了量子容错，再问‘你什么时候能用 Shor 算法分解 35？’，就好像在 1943 年问曼哈顿计划的物理学家‘你什么时候能搞出一次小小的核爆？’一样可笑。”

Filippo 写道，如果你还在想“这事儿可能成，也可能不成”，那你已经输了。

现在的赌注不是“你 100% 确定 2030 年会有量子计算机吗？”，而是“你 100% 确定 2030 年绝对不会有吗？你敢拿你所有用户的身家性命去赌那不到 1% 的可能性吗？”

SNDL 攻击：你的数据，正在被黑客“先存后破”

为什么我们必须立刻行动？因为黑客们正在疯狂执行一种极其阴险的战略：“Store Now, Decrypt Later”（先收集，后破解，SNDL）。

他们把现在通过网络截获的、由 RSA/ECC 加密的、看似安全的核心机密数据（比如你的银行交易、公司的商业合同、国家的敏感情报）全部存储在巨大的硬盘阵列里。

等几年后量子计算机成熟，他们就能在一瞬间，把这些尘封的历史数据全部解开，一览无余。

这意味着，我们今天发送的每一封加密邮件，每一次 HTTPS 访问，都在为未来的某一次“数字考古”提供素材。

行动指南：我们必须立刻开始“造船”

面对这场已经兵临城下的风暴，Filippo 作为Go 密码学界的专家，给出了极其具体、甚至有些“痛苦”的行动指南。

1. 密钥交换（Key Exchange）：立即迁移到 ML-KEM

这是抵御 SNDL 攻击的第一道防线。Filippo 强调，任何非抗量子的密钥交换（如经典的 ECDH）都应被视为潜在的“主动破解”行为，并像 OpenSSH 那样向用户发出明确警告。

2. 数字签名（Digital Signatures）：硬着头皮上 ML-DSA，放弃幻想

这是最痛苦的部分。Filippo 不无遗憾地承认，他原本希望我们能有更多时间去设计更优雅的、适应大签名体积的协议。但现在，没时间了。

我们必须接受 ML-DSA 签名体积巨大（几千字节，而 ECDSA 只有几十字节）的残酷现实，并开始在为小签名设计的协议（如 X.509 证书）中强行塞入这些“肥胖”的签名。

他甚至激进地提出：应该彻底放弃“混合签名”（经典+后量子）的过渡方案，直接一步到位使用纯 ML-DSA-44。因为混合签名带来的复杂性和性能开销，已经超过了它能提供的那点微不足道的“对冲”收益。

3. 对 Go 开发者意味着什么？

Filippo 直言不讳：

“在我的世界里，我们必须开始思考，Go 标准库中一半的密码学包突然变得不安全意味着什么。……这是我们职业生涯中从未遇到过的事情：从 SHA-1 到 SHA-256 的迁移，远没有这次这么具有破坏性。”

这意味着，我们很快就要在 Go 的 crypto/tls, crypto/x509, x/crypto/ssh 中看到翻天覆地的变化。

小结： weird, but it is what it is

在文章的结尾，Filippo 提到，他本周刚刚开始在博洛尼亚大学教授一门密码学博士课程。他告诉学生，RSA、ECDSA 这些我们曾经引以为傲的算法，现在只能作为“遗留算法（Legacy Algorithms）”来介绍了。

他写道：“我知道，这感觉很奇怪。但，现实就是如此（it is what it is）。”

Filippo 的这声叹息，既是对一个技术时代的告别，也是对我们所有软件工程师拉响的高级别警报。

当 Go 语言前核心团队的安全负责人、一个以极度严谨和保守著称的密码学专家，都开始用如此紧迫的口吻催促我们行动时，我们没有理由再把头埋在沙子里，假装危机还很遥远。

那艘名为“量子计算”的巨轮，已经出现在了海平面上。现在不是争论它会不会撞上来的时候，现在是立刻开始造救生艇的时候。

资料链接：

https://words.filippo.io/crqc-timeline/
https://research.google/blog/safeguarding-cryptocurrency-by-disclosing-quantum-vulnerabilities-responsibly/
https://arxiv.org/abs/2603.28627

今日互动探讨：

在你的公司或个人项目中，有哪些核心数据是绝对不能在 5-10 年后被解密的？面对这场迫在眉睫的密码学大迁移，你觉得我们应该从哪个环节开始着手准备？

欢迎在评论区分享你的看法和焦虑！

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：

告别低效，重塑开发范式
驾驭AI Agent(Claude Code)，实现工作流自动化
从“AI使用者”进化为规范驱动开发的“工作流指挥家”

扫描下方二维码，开启你的AI原生开发之旅。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

想写出更地道、更健壮的Go代码，却总在细节上踩坑？
渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

刚刚，2025图灵奖揭晓！面对即将瘫痪的传统密码学，Go 语言的“抗量子”底牌曝光

Tony Bai

bigwhite

2026年3月19日 20:07

本文永久链接 – https://tonybai.com/2026/03/19/2025-turing-award-go-quantum-resistant-cryptography

大家好，我是Tony Bai。

就在昨天（2026 年 3 月 18 日），计算科学界的最高荣誉——ACM A.M. 图灵奖正式揭晓。2025 年的图灵奖，颁给了 Charles H. Bennett 和 Gilles Brassard 两位伟大的科学家，以表彰他们在“量子密码学（Quantum Cryptography）”和量子信息科学领域的开创性贡献。

或许你会觉得，图灵奖、量子力学、薛定谔的猫……这些高大上的词汇离我们每天 CRUD 的业务代码太遥远了。

但实际上，这场发端于理论物理界的革命，正在引发全球软件工程界一场最高级别的“红色预警”。

早期的图灵奖往往颁发给操作系统、数据库或编程语言的设计者(比如Unix 之父、B 语言（C 语言前身）以及 Go 语言联合设计者的Ken Thompson)，而这次颁给量子密码学，传递出了一个极其明确的信号：传统的数字世界护城河，马上就要守不住了。

今天，借着图灵奖揭晓的热点，我想和大家聊一个极其硬核、且关乎我们所有后端开发者未来饭碗的话题：当“量子末日（Q-Day）”逼近，作为云原生时代绝对霸主的 Go 语言，手里究竟握着怎样的“抗量子底牌”？

你的数据，正被黑客“先存后破”

在理解 Go 团队的动作之前，我们必须先弄懂，为什么我们需要“后量子密码学（PQC）”？

目前，我们用来保护 HTTPS 流量、验证 JWT 登录、以及签署 Git 提交的底层基石，绝大多数是 RSA 或 ECC（椭圆曲线）算法。这些算法的安全假设，建立在大质数分解和离散对数计算极其困难的数学事实上。

但早在 1994 年，Peter Shor 就提出了著名的 Shor 算法。该算法在数学上证明了：只要拥有一台足够规模的量子计算机，RSA 和 ECC 算法不仅能被破解，而且破解速度是指数级倍增的！

你可能会想：“量子计算机离真正商用还早着呢，急什么？”

黑客们可不这么想。现在全球的顶级黑客和某些国家级 APT 组织，正在疯狂执行一种名为 “Store Now, Decrypt Later”（先收集，后破解，SNDL） 的战略。

他们把现在截获的、由 RSA/ECC 加密的核心机密数据全部存储在硬盘里。等若干年后量子计算机成熟，他们就能在一瞬间把这些历史机密全部解开。

为了应对这场“降维打击”，美国国家标准与技术研究院（NIST）紧急发布了后量子密码学（PQC）的 FIPS 标准草案。而作为全球云基础设施底层语言的 Go，自然被推到了抗击量子危机的第一线。

Go 团队的“抗量子”谋略

如果你经常关注 Go 社区，你会发现 Go 核心团队早就确定了引入新密码学算法的策略。在 Go 官方仓库的 Issue #64537（crypto: post-quantum support roadmap）中，现任 Go 安全团队负责人 Roland Shoemaker 和 Go 密码学专家 Filippo Valsorda 明确抛出了 Go 在面对量子危机时的三大铁律：

绝对不当小白鼠：Go 标准库只实现那些结构已经绝对稳定、并在业界（如 WebPKI、TLS）被广泛验证的算法。那些还在实验阶段的半成品，一律拒之门外。
“按需”引入，绝不盲目：PQC 算法分为两类，一类是密钥封装（KEM，用于加密和协商密钥），一类是数字签名（Signature，用于身份认证）。
“内测”转“公测”机制：任何新的 PQC 算法，Go 都会先在 internal 包中悄悄跑几个版本，等把所有可能的开发者“误用坑”都踩平了，才会暴露为 Public API。

基于这套严谨的哲学，Go 团队打出了他们的第一张底牌：优先解决“先收集后破解”的威胁。

在 Go 1.24 中，Go 已经通过提案 #70122 和 #69985，在底层网络库中悄然集成了 ML-KEM（即 Kyber 算法）与 X25519 的混合密钥交换机制。(注：ML-KEM 从 Go 1.23 就以实验特性引入)

这意味着，如果你使用的是最新的 Go 版本构建的 HTTPS 服务，你的连接在建立之初，就已经具备了抵抗未来量子计算机窃听的能力！

密钥交换的问题解决了，那么用来证明身份的数字签名（Digital Signatures）呢？这就引出了 Go 团队即将放出的第二张王炸。

揭开 crypto/mldsa 的硬核源码

数字签名的重要性不言而喻：微服务之间的 mTLS 认证、固件升级包的防篡改、区块链的交易防伪，全靠它。

就在最近，Filippo 在 Go 官方 GitHub 上正式提交了 Issue #77626（proposal: crypto/mldsa: new package），提议在即将到来的 Go 1.27 中，正式向全世界暴露 ML-DSA（NIST FIPS 204 标准）的公有 API。

让我们剥开这层提案，看看顶级大厂架构师是如何设计这套跨时代 API 的。

极简的参数集隔离

ML-DSA 并不是一个单一算法，它包含了不同的安全级别。Go 提案非常干净利落地定义了三个常量函数：

func MLDSA44() Parameters // 推荐日常使用，安全级别相当于 AES-128
func MLDSA65() Parameters // 相当于 AES-192
func MLDSA87() Parameters // 极高安全级别，相当于 AES-256

开发者不需要去记忆复杂的参数结构，只需像拼积木一样调用。

拒绝“半展开密钥”，将安全做到极致

如果你看源码，会发现 NewPrivateKey 除了传入 params 参数集外，只需要传入一个极短的 seed（种子字节），而不是业内的“半展开密钥（Semi-expanded keys）”。

为什么？Filippo 在讨论中给出了让人拍案叫绝的解释：

“半展开密钥是一个极其糟糕的格式。它不仅占用空间更大，加载速度更慢，而且更危险。我们只会支持基于 Seed 的密钥派生。”

这体现了 Go 始终如一的安全哲学：如果一种格式有被开发者误用的风险，那就从 API 层面彻底物理隔绝它。

巧妙应对“预哈希（External μ）”难题

传统签名时，我们通常先用 SHA256 算个 Hash，再对 Hash 签名。但 ML-DSA 的底层数学机制非常复杂，它要求对 H(H(pubkey) || 0×00 || context || message) 进行极度严苛的处理。

Go 团队没有去破坏原有的 crypto.Signer 接口，而是极其巧妙地发明了一个“虚拟的占位符”：crypto.MLDSAMu。

这个常量虽然属于 Hash 类型，但它不支持被实例化，调用 New() 会直接引发 Panic。它仅仅作为一个“信号标记”传递给 SignerOpts，优雅地实现了向下兼容。

为什么我们还不能在 X.509 证书里用它？

看到这里，很多着急的开发者（尤其是一些政企、军工背景的开发团队，正面临 CNSA 2.0 强制要求在 2025 年升级 PQC 的死命令）在 Issue 里疯狂催问：

“API 都做好了，为什么不顺手把它集成进 crypto/x509 证书解析里？为什么还不让在 TLS 中直接使用 ML-DSA 证书？”

Filippo 的回答，直接揭露了目前后量子时代最尴尬的一个物理瓶颈，也展现了他作为世界级密码学家的极致架构克制：

“如果我们现在就把 ML-DSA-87 塞进 TLS，你知道一个 TLS 握手包会变得多大吗？足足 19KB！”

大家要知道，传统的 RSA 签名不过几百字节，ECC 签名更是只有几十个字节。我们过去 30 年的互联网协议（如 TCP/IP、TLS），都是建立在“签名数据极小、传输成本几乎为零”的物理假设上的。

如果你用 ML-DSA 给证书签名，证书链上一叠加，一次最普通的 HTTPS 握手，瞬间需要传输几十 KB 的数据。在移动网络弱网环境下，这会导致大规模的丢包、延迟飙升，甚至是全球互联网的“大塞车”。

为了通过安全审计而罔顾物理性能，这不是高级软件工程，这是在耍流氓。

Go 团队的判断是：我们有时间去设计更好的协议（比如使用 Merkle Tree 证书），而不是现在急功近利地把数万字节的“肥胖签名”强塞进原本轻巧的 TLS 隧道里。

这种“不将就”的架构底线，正是 Go 语言最迷人的地方。

小结：在不确定的未来中，拥抱底层逻辑

图灵奖颁给量子密码学，不仅是对 Bennett 和 Brassard 两位科学先驱的最高致敬，更吹响了全球软件工程界系统升级的冲锋号。

从优先落地对抗 SNDL 攻击的 ML-KEM，到极度克制、优雅设计的 crypto/mldsa，再到坚决抵制“19KB 肥胖握手包”的底线坚守。我们看到的是 Go 语言团队对工程效率、安全性与网络物理特性的深度掌控。