后量子迁移，可能已经不是遥远问题了

今天 HN 上另一篇值得认真对待的文章，来自密码工程师 Filippo Valsorda。他写了一篇很直接的长文，说自己对"后量子密码迁移到底有多紧迫"的判断，在最近几周里发生了明显变化。简单说，他不再认为这件事可以按照原来那种相对从容的节奏慢慢推进了。

我觉得这篇文章重要，不是因为它能证明量子计算机一定会在某个精确年份到来，而是因为它清楚展示了安全领域真正应该怎么做风险判断。很多人面对这种话题时，第一反应是怀疑：量子计算不是一直都"还差十年"吗，是不是又在炒作。可安全工程不是在做论坛辩论，它做的是防守。对防守者来说，问题从来不是"你能不能百分之百证明危险会发生"，而是"你能不能百分之百确定它不会在关键窗口内发生"。只要答案不是绝对不会，迁移压力就会突然变得很真实。

Valsorda 的核心观点是，最近公开的几项进展让"加密相关量子计算机在 2030 前后出现"的风险，已经不适合再按低概率笑话处理了。一方面，Google 的研究把破解 256 位椭圆曲线所需的资源估计明显压低了；另一方面，也有新论文指出在某些硬件架构下，所需物理量子比特可能比之前想象得更少。硬件在进步，算法在变便宜，容错门槛也在下移。任何一项单独看都未必足以拍板，但组合在一起，就足够改变一个负责人的行为。

这里最值得普通工程团队理解的一点是：安全决策并不要求未来已经被证明，只要求风险已经变得不能无视。用户不会因为"最终也许没发生"就自动原谅你今天不做准备。尤其是密码系统这种基础设施，一旦生态规模很大、兼容性包袱很重、身份体系或证书体系已经铺开，真正困难的往往不是"有没有替代算法"，而是"整个世界来不来得及迁过去"。迁移是要时间的，而时间本身就是最稀缺的资源。

这也是为什么文章里有一句话特别重：很多协议和系统，本来是想先完成后量子密钥交换，再慢慢为更大的签名和证书结构做适配；但如果时间窗口从 2035 一下子收缩到 2029，这种"先做一半"的温和路线就未必还来得及。也就是说，变化不只是技术选择变化，而是节奏变化。原本可以优雅演进的事情，可能会被迫进入一种并不优雅、但必须尽快落地的状态。

从实际影响看，这件事对不同系统的压力并不一样。对称加密相对没那么急，很多常见说法会夸大这部分的紧迫性。真正麻烦的是那些依赖 RSA、ECDSA、ECDH 这类非后量子公钥体系的地方，尤其是证书、身份、设备认证、长期保存数据、文件加密、区块链地址体系，以及各种硬件 attestation 链条。文章里甚至非常直接地说，像 SGX、SEV 这类依赖既有硬件信任根和 attestation 机制的体系，可能会面临非常尴尬的处境，因为它们的迁移速度未必跟得上风险曲线。

对大多数开发者和公司来说，这不意味着明天就要把所有系统一夜切掉。嗯，还没到这种程度。真正更现实的意义，是你现在就该开始把"后量子可迁移性"当成架构属性，而不是远期研究课题。凡是今天还在设计新的密钥体系、新的身份协议、新的长期加密方案，就不应该再假装这只是学术界的未来问题。你至少要问几个问题：这个系统未来怎么替换公钥算法，证书和签名体积变大后协议还能不能承受，老旧客户端怎么兼容，迁移窗口需要多久，如果必须双栈运行会增加哪些复杂度。

还有一点常被忽略。很多人觉得只要真正威胁还没到，晚点再迁也没关系。但对文件加密、长期敏感通信和高价值存档数据来说，存在一种很现实的风险叫"先收集，后解密"。也就是说，攻击者今天就可以先把你加密的数据存起来，等将来条件成熟再解。这会把风险的起点从"量子计算机出现的那一天"提前到"数据开始被存档的今天"。因此，对那些保密寿命比较长的数据，时间感会比日常 web 会话更紧张。

我觉得这篇文章真正值得记住的，不是它替我们给出了最终时间表，而是它提醒了一种职业态度：当多个可信信号同时表明风险窗口在收缩时，负责任的做法不是继续拿过去的惯性判断安慰自己，而是尽早为迁移付出代价。密码迁移从来都很难看，也很少优雅，但它必须发生，而且通常越早越便宜。

如果把这件事放到更大的技术行业背景里看，它还有一个隐含启发。很多基础设施危机，并不是在"危险终于发生"那天才开始，而是在"该迁移的时候大家还以为可以再等等"的那几年里悄悄酝酿出来的。后量子迁移，很可能正在进入这个阶段。