Shor算法破解RSA-2048所需量子比特数在不到一年内下降了一个数量级

保护现代数字基础设施的加密体系，不会在量子计算机建成的那一刻崩溃。它会在攻击者获得足够量子计算能力、能够解密已收集密文的那一刻崩溃。这一时间上的倒置——威胁早于机器本身到来——才是Q-Day问题的实质结构，也解释了为何今日所测量的准备缺口将直接转化为数年后的安全漏洞。

面临风险的机制并不晦涩。RSA这一主导性公钥密码标准依赖一个单一的数学非对称性：将两个大素数相乘在计算上轻而易举，但对于2048位及以上的密钥，从乘积反向推导出素数的难度呈指数级增长，任何经典计算机都无法在实际时间内完成逆运算。保护网络流量的TLS握手、验证身份的证书颁发机构、确认金融交易的数字签名——受信数字通信的整个体系都依赖于这种非对称性的持续成立。

1994年正式提出的Shor算法证明，量子计算可以彻底消解这种非对称性。通过利用量子叠加态和量子傅里叶变换，求解对因式分解问题进行编码的模运算函数的周期，足够强大的量子计算机能够在数小时内恢复RSA私钥，而经典机器完成同样的工作需要数十亿年。这一算法本身已为人所知三十年。过去一年改变的，是运行它所需的资源估算。

密码学相关量子计算机的硬件要求，直到最近还庞大到足以构成实质性屏障。早期估算显示，分解RSA-2048需要约十亿个物理量子比特。到2021年，Gidney和Ekerå将这一估算降低至约两千万量子比特运行八小时——仍远超当时任何现有系统，但已不再是天文数字。而在2024年至2025年不到一年的时间内，三项算法突破将这一估算再度压缩了一个数量级。

第一项是对Shor算法核心计算操作——模幂运算——执行方式的重构。经典方法需要足以同时容纳整个2048位数字的量子寄存器，推高了量子比特需求。由Chevignard、Fouque和Schrottenloher开发的近似模运算，将其替换为使用小得多的寄存器进行分段计算的方法，允许受控误差在后续步骤中纠正，量子计算机不再需要在内存中一次性保存整个问题。第二项进展解决了容错量子计算中占主导地位的成本瓶颈：生成非可纠错门操作所需的特殊量子资源态。谷歌量子AI开发的魔法态培育法以远低于传统蒸馏法的开销，从低质量态中逐步生长出高保真度量子态。第三项是Craig Gidney在2025年的论文中整合上述两种技术，将所需Toffoli门操作总数从约两万亿降至约65亿——降幅超过百倍。

综合结果：分解RSA-2048在技术上已看似可以由约一百万物理量子比特运行约一周来完成。目前最先进的量子处理器在数百量子比特规模运行，与这一要求之间的硬件差距依然存在，但压缩的轨迹已发生质的变化。从十亿降至两千万量子比特花了十二年，从两千万降至一百万以下不到一年。这一加速才是分析上的关键信号。

并行推进的硬件进展强化了这一轨迹。2024年底展示的谷歌Willow芯片提供了量子纠错可将噪声压制在表面码阈值以下的首次实验证明——这是所有资源估算底层噪声假设在物理上可实现的证据。IBM公布的路线图计划到2029年实现首台搭载约200个逻辑量子比特的大规模容错量子计算机。多个独立平台已实证了99.9%以上的双量子比特门保真度。理论资源需求与已实证硬件能力之间的差距，从多个数量级压缩至接近单个数量级。

这一压缩赋予了”现在收集、日后解密”这一曾被视为遥远未来威胁的攻击方式以实质紧迫性。多年来持续收集加密网络流量的国家级行为者和高级非国家行为者，持有一旦密码学相关量子计算机存在便可读取的密文。评估Q-Day风险的恰当时间框架，不是”量子计算机何时建成”，而是”今天加密的数据需要保持机密多长时间”。

对这一威胁的密码学应对有其名称、标准集合和合规时间线。后量子密码学用被认为能抵御经典与量子攻击的数学结构，替代RSA和椭圆曲线密码所依赖的整数分解与离散对数问题。各全球标准化机构采纳的主要算法族是基于格的密码学，其安全性建立在高维空间中最短向量问题及相关几何挑战的困难性之上。2024年8月，NIST最终确定了三项后量子密码标准。2025年3月，第五项算法HQC被选定，作为格假设日后若被弱化时的备用，提供算法多样性。

标准的存在并不解决迁移问题，它只是启动了迁移。这一规模的密码迁移历史上需要十五至二十年才能完成全面基础设施渗透，而这次迁移在结构上比以往任何先例都更为复杂。存储和管理密钥的硬件安全模块需要更换或升级，证书颁发机构需要颁发新的凭证层级，数十亿端点上的TLS实现需要更新，嵌入在嵌入式系统、工业控制基础设施和长期金融系统中的协议需要审计和替换。这些系统中许多缺乏能让迁移变得直接的密码敏捷性。

监管框架以反映硬件轨迹紧迫性的压缩时间线做出了回应。NSA的CNSA 2.0要求所有新型国家安全系统在2027年1月前实现量子安全。NIST的废弃计划要求在2035年后将量子脆弱算法从批准标准中移除。欧盟NIS合作组于2025年发布了协调实施路线图。IBM商业价值研究院2025年量子安全准备度评估发现全球平均得分仅为满分100分中的25分——这是监管截止日期与机构准备状态之间差距的量化度量。

在量子计算、人工智能和半导体领域展现出国家战略雄心的中国，在这一转型中面临双重议题：既要保护自身庞大的数字经济基础设施，也要在后量子密码学标准的制定与实施中形成话语权。金融基础设施通过数以万计的密码端点路由交易，深度依赖并非为密码敏捷性而设计的硬件安全模块、支付协议栈和合规框架。PQC迁移的监管义务，与即使是轻微协议更新也通常以多年为周期运作的变更管理流程相碰撞。

从这一技术格局中浮现的实际建议不是恐慌，而是分阶段、有优先级的行动。具有长期保密需求的数据——机密政府通信、长期金融记录、健康数据、知识产权——所在系统必须在监管截止日期强制之前便被优先纳入迁移范畴。将ML-KEM与经典密钥交换算法并行结合的混合密码部署提供了实用的过渡桥梁。受混合方案保护的数据要求攻击者同时突破经典和后量子两个组件，大幅提高了任何收集-解密攻击的成本。

2024年和2025年的算法发展从根本上改变的，是围绕Q-Day的不确定性分布。此前的共识将密码学相关量子计算舒适地置于2030年代，附带延伸至2040年代的较大误差范围。资源估算压缩至一百万量子比特以下，叠加IBM的2029年路线图和谷歌的阈值以下纠错实验证明，已使可信估算明显前移并缩窄了不确定性区间。

向后量子密码学的迁移不会随格密码算法的部署而终结。它创造了一个新的密码表面，其长期安全性依赖于关于高维空间几何问题困难性的假设——数十年的经典密码分析已检验了这些假设，但尚未经受最终将大规模存在的量子计算机的考验。现在这一时刻所需要的，不是关于量子计算何时成熟的确定性，而是对一件事的清醒评估：构建一个安全态势仍建立在素数分解困难假设之上的机构，意味着什么。那个假设有它的到期日。