Q-Day 正在逼近：Cloudflare 工程師拆解量子電腦把全網加密一次打穿的那天

TL;DR

• 今天保護全網的公鑰加密（你登入銀行、Google 用的那套）建立在「大數很難分解」這個假設上，量子電腦一旦夠強，這個假設就崩了，那天叫 Q-Day。
• 短期最大威脅是「Harvest now, decrypt later」：有人現在把你的加密流量錄下來，等 Q-Day 之後再回頭解密。好消息是現代瀏覽器預設已經擋住這一塊。
• 真正還沒補的是「身分驗證」這一塊。憑證一旦被量子電腦偽造，攻擊者不用攔在中間，直接就能冒充任何網站、推送惡意軟體更新。
• 過去大家都覺得 Q-Day 在 2035 年以後，但近幾個月 Google 跟幾家新創的突破把所需的量子位元從兩億顆砍到一萬顆，時間表整個被壓縮。Cloudflare 跟 Google 都把目標訂在 2029 年要全面 post-quantum。
• 對工程師來說，九成是無聊的例行工作（更新函式庫、自動化憑證），但那難搞的一成才是會讓人睡不著的地方。

這集是 2026 年 6 月 16 日上線的 Software Engineering Daily，主題叫「Preparing for Q-Day」。Software Engineering Daily 是老牌的軟體技術 podcast，幾乎每天一集，找各領域的工程師來深聊技術細節。這集的主持人是 Kevin Ball（網路上叫 KBall），現在是 Mento 的工程副總，也幫工程師跟工程主管做一對一教練，本身物理系出身。來賓 Bas Westerbaan 是 Cloudflare 的首席研究工程師，有量子計算的博士學位，現在帶領 Cloudflare 遷移到 post-quantum cryptography（抗量子加密，設計來抵擋量子電腦攻擊的演算法）的整個專案。Cloudflare 是全球最大的 CDN 跟網路基礎建設公司之一，全網很大一部分流量都經過它，所以這個人講的不是學術空談，是「我每天在處理幾億條連線」的第一手經驗。

先講為什麼這件事突然變得很急

我會想寫這篇，是因為這個威脅本來一直在「工程師不太需要管」的清單裡，結果這幾個月突然跳到眼前。

先把概念講清楚。網路上的加密分兩大類。一類是對稱式加密（symmetric，像 AES），說白了就是把資料攪成一團讓人看不懂，這類東西量子電腦碰不到，目前完全安全。另一類是公鑰加密（public-key，有一把公鑰一把私鑰），這類靠的是某種數學魔法。RSA 靠的是「兩個數相乘很容易，但把結果反過來分解回去很難」；橢圓曲線靠的是另一個叫離散對數的難題。

問題在 1994 年就埋下了。數學家 Peter Shor 證明，只要你手上有一台夠大的量子電腦，分解大數跟離散對數都變得很簡單。而我們幾乎所有重要的公鑰加密，全部建立在「這兩件事很難」之上。換句話說，量子電腦真的造出來那天，這層保護一次全垮。

兩種威脅，性質完全不同

Westerbaan 把威脅拆成兩塊，這個拆法很關鍵。

第一塊是 Harvest now, decrypt later。你跟銀行建立 HTTPS 連線時，雙方會先做一次金鑰交換，談好一把共用鑰匙，之後用 AES 加密傳資料。但如果有人現在把這段加密對話整段錄下來，等 Q-Day 之後拿量子電腦回頭破解，你十年前用到現在的密碼就全曝光了。我自己誠實講，很多密碼我也是十年沒換，這種「現在錄、未來解」的攻擊對我這種人特別致命。

這塊有個好消息：你只要用現代瀏覽器（Chrome、Safari、Firefox），它預設就會嘗試用 post-quantum 的金鑰交換建立連線。Cloudflare 那邊看到的數字是，目前已經有超過六成五的連線受到保護。這功能 2022 年就打開了，花了快四年才爬到這個比例。

第二塊麻煩多了，是身分驗證。金鑰交換只能保證「這條連線是加密的」，但沒辦法保證「你交換鑰匙的對象是真的那個網站」。中間可能站著一個人，分別跟你跟對方各做一次交換再轉手，這就是經典的中間人攻擊。解法是憑證（certificate）：網站拿出一張由憑證頒發機構（CA）簽過名的憑證，證明「這把公鑰真的屬於這個網域」。

問題是，今天所有憑證都還是傳統加密的。瀏覽器信任的根憑證機構有幾百家，量子電腦只要破解其中一家的金鑰，就能簽出一張幾乎所有瀏覽器都會信任的假憑證。而且這時候攻擊者根本不用躲在中間，他可以直接冒充任何網站。Westerbaan 講了一個讓我背脊發涼的延伸：你的手機、你的車子，判斷一個軟體更新該不該信任，靠的也是公鑰。每一個軟體自動更新機制，在量子攻擊者眼裡都變成了遠端執行任意程式碼的後門。 他自己去年買了台二手車，新到有遠端解鎖，又舊到大概等不到 post-quantum 更新，只能祈禱至少能把遠端功能關掉。

時間表為什麼塌了

Westerbaan 說，他入行以來 Q-Day 一直「感覺很遠」，2035 年幾乎變成一個魔法數字，連各國監管機關訂的死線也都落在 2030 到 2035 之間。

但量子計算的進展其實是三條戰線同時壓縮，而且會互相加乘。第一條是硬體，實體裝置做得多好。第二條是量子錯誤更正碼，因為實體量子位元都很吵雜、不完美，你得用一堆實體位元拼出一個可靠的邏輯位元。第三條是演算法本身，第一版實作通常很笨，高手能優化好幾個數量級。

過去這幾個月，三條線一起往前跳。破解 RSA-2048 所需的超導量子位元，從最早估計的兩億顆，一路砍到兩千萬、再到一百萬。然後 Google 出了一篇論文，說橢圓曲線可以攻得更有效率，只要二十萬顆。更有意思的是，這篇論文沒有公布演算法，只公布了一個零知識證明，證明「我們確實知道這個演算法」。這操作跟現在 AI 圈那套「我們有能力了但不公開模型」一模一樣，意思就是：你最好開始準備，但東西我不給你。

錯誤更正碼這條線也有突破。一家叫 Oratomic 的新創展示，用可重新排列的中性原子（neutral atom）架構，只需要一萬顆實體位元就能破解 P256 這條橢圓曲線。中性原子這條路線本來是大家眼中的黑馬，長期以來連困住單一顆原子都做不到，現在已經能排出六千顆的網格。它還不是一台能運作的電腦，但每一個工程難題都已經被分別解掉了，剩下的是整合。整合當然是苦工，可是 Westerbaan 講得很白：現在你得相信「每一條路線都會撞牆」，才能說服自己 Q-Day 不會來。所以 Cloudflare 跟 Google 一樣，把全面 post-quantum 的目標訂在 2029 年。

工程師現在到底該做什麼

這部分對在寫程式的人最實用。Westerbaan 的結論是個典型的九一法則：九成的情況，升級沒那麼難，就是換一種憑證、把軟體保持更新；難的是那一成。

幾件今天就能做、而且本來就該做的事：函式庫保持最新、做憑證自動化（用 ACME client 而不是手動裝憑證）、確認你的應用伺服器能同時裝兩張憑證。為什麼要兩張？因為沒辦法全世界一起升級，你的伺服器得同時放一張傳統的 RSA／ECC 憑證跟一張 post-quantum 憑證，去應付還沒升級的舊客戶端。很多伺服器軟體假設只有一個憑證插槽，這就要改。

兩個真正的坑也值得記住。一個是 post-quantum 簽章變大很多。橢圓曲線簽章只有 64 bytes，小又快，所以過去我們到處塞；現在常用的 post-quantum 簽章一張就兩千五百多 bytes，一次 TLS 握手可能要傳十五 KB。Cloudflare 看到走 QUIC 的連線裡，有一半傳輸量不到八 KB，這樣直接換下去，等於四分之三的流量都在傳憑證而不是資料。這也是為什麼他們在重新設計憑證的批次簽章機制。有趣的是，簽章雖然大，計算反而更快，lattice-based（格密碼）的運算比橢圓曲線還快，真正卡住嵌入式裝置的是記憶體，MLChem 要約五 KB 的 RAM，對某些小晶片是門檻。

另一個坑叫協議僵化（protocol ossification）。TLS 設計上明明很有彈性，但因為大家長年只用同一種固定格式，中間的防火牆、負載平衡器就慢慢「長死」了。Cloudflare 推 post-quantum 金鑰交換時就踩到：99% 沒事，1% 直接斷線。最荒謬的是當 Chrome 從 10% 用戶開到 100% 時，那些 10% 一直出問題的組織居然到「全公司每個人都連不上」才回報。典型的「在我這邊是好的」，員工遇到問題報給 IT，IT 說我這沒事，就這樣放過去了。Westerbaan 的提醒很實在：這些問題很罕見，但你只有真的去試了才會發現，預測不出來。

最後他給了一個明天就能做的練習，我覺得這是整集最值得收下的東西：假設我們全錯了，量子電腦明天就存在，會發生什麼事？ 從上往下盤點業務連續性的衝擊，而不是從下往上做一張「我有哪些金鑰」的 Excel。因為光知道一把金鑰存在，不告訴你它在幹嘛、它撐住了什麼。有些你會發現「以為還好結果超嚴重」，有些你會發現「其實沒那麼吃重，丟個 post-quantum VPN 就解了」。

我自己最有感的是他結尾那段比較。資料外洩、被入侵勒索，這些資安團隊天天在處理，他們知道怎麼應對。量子的差別只有一個：它會一次全部來。 他拿 Anthropic 那個 Mythos 模型當預告，說攻擊速率正在往上飆，只是 Mythos 至少只能找出本來就存在的漏洞，而量子是一夕之間全部崩開。所以不用恐慌，但夠早開始。對了，他還補了個冷笑話：系統太舊很難升級你就慘了，但如果舊到一個程度，它反而又用回對稱式加密了，那就沒事。中間有個甜蜜點剛好最倒楣。

這類把硬核技術趨勢拆給一般人看的主題我會持續寫，之前聊 Anthropic 同時做三件事 跟 北韓駭客怎麼吃掉七成加密貨幣損失 也都是同個系列的脈絡。想第一時間收到的話，訂閱 wilsonhuang.xyz 就不會漏掉。自行斟酌，共勉之。