后量子密码学不再只是研究课题，而是迁移期限

摘要

后量子密码学已经从研究进入运营规划。标准正在落地，政府开始设定时间表，浏览器和基础设施供应商正在测试混合密钥交换。攻击者今天不一定需要量子计算机，也能制造明天的问题：他们可以先收集加密流量，然后等待未来的解密能力。

这就是“现在收集，未来解密”的安静风险。短期数据也许不重要，但医疗记录、法律档案、政府通信、商业秘密、身份文件和长期合同可能多年后仍有价值。如果它们今天被捕获，未来被量子能力解开，真正的错误其实发生在今天。

企业不需要恐慌，应该开始盘点。看不见的东西无法迁移。成熟组织会找出密码学存在的位置，测试混合协议，向供应商提出具体问题，并在紧急替换成为唯一选择之前建立分阶段路线图。

正文

安全团队喜欢整洁的架构图：这里一个证书，那里一把密钥，用户到服务之间路径清晰。但真实企业更混乱。密码学藏在负载均衡器、移动应用、支付终端、VPN、浏览器会话、设备固件、备份系统、SSO 集成、API 网关和多年未动过的合作伙伴连接中。后量子迁移的第一步，是承认地图并不完整。

压力之所以增加，是因为公钥密码学位于现代信任层之下。TLS 保护网页会话，证书把身份绑定到服务，代码签名让软件更新可信，SSH 保护运维，消息系统依赖密钥交换。如果量子计算最终破坏广泛使用的公钥方案，问题不是某个应用漏洞，而是互联网信任层的迁移。

第一项实际工作是分类。哪些数据需要保密几周、几年甚至几十年？哪些系统在公网暴露公钥握手？哪些供应商代表你终止 TLS？哪些嵌入式设备很难更新？哪些证书自动续期，哪些还在手工流程里？这些答案决定优先级。

混合密码学很可能成为过渡桥梁。系统可以同时组合传统算法和后量子算法，而不是一次性替换所有组件。这样即使未来其中一种方案变弱，连接仍能得到保护。浏览器、CDN、企业和云平台也能在旧算法退役前测试性能、兼容性和失败模式。

迁移仍然会不舒服。后量子密钥和签名可能更大，旧设备不一定能顺利处理，新握手可能被监控工具误判，旧代理可能出现意外失败，证书自动化也可能需要新流程。这些工程工作不耀眼，但正是它防止安全风险变成业务中断。

产品团队也必须关注，因为密码学已经是用户信任的一部分。普通用户不会询问登录会话使用哪种密钥交换，但当服务失败、银行应用中断，或监管机构询问为什么敏感数据仍停留在旧密码体系上时，安全债就变成了产品债。

供应商对话应该尽早开始。询问云、CDN、身份和支付服务商何时支持后量子模式，如何暴露控制项，客户能获得什么遥测数据，以及回滚如何执行。含糊的“量子就绪”承诺不够。企业需要日期、测试环境、兼容性说明和分阶段采用路径。

最好的路线图恰恰是朴素的：盘点、风险排序、试点、混合部署、监控、回滚、供应商审查、用户影响测试，然后重复。后量子密码学不会以戏剧性的开关到来，而会以成千上万次小替换到来。现在开始的公司会把它当成维护；等待的公司会把它当成没有安静路径的截止日期。