每年的4月15日是全民国家安全教育日。在数字经济高速发展的今天,网络安全已经成为国家安全体系中不可或缺的一环。而在所有网络安全威胁中,有一类威胁因其颠覆性和不可逆性,正被全球安全界列为最高优先级——那就是量子计算对现有密码体系的系统性冲击。

这不是一个遥远的科幻命题。2024年8月,美国国家标准与技术研究院(NIST)正式发布了三项后量子密码学(Post-Quantum Cryptography, PQC)标准,标志着全球密码体系的代际更替正式启动。全球科技巨头已经进入“换锁”的实战阶段。

一、旧锁将破:量子计算为何让现有加密不堪一击”

我们今天在互联网上进行的几乎每一项操作——网购支付、发送邮件、远程办公、使用App——其底层安全都依赖于公钥密码体系。RSA、椭圆曲线密码(ECC)、Diffie-Hellman密钥交换等算法,构成了从TLS/SSL到数字签名、从VPN到零信任架构的安全基石。这套体系的数学安全性建立在一个核心假设之上:大整数分解和离散对数问题,对经典计算机而言在计算上是不可行的。

然而,量子计算正在从根本上动摇这一假设。1994年,数学家Peter Shor提出的Shor算法在理论上证明,量子计算机可以在多项式时间内完成大整数分解和离散对数求解——这意味着RSA-2048和ECC P-256等主流公钥算法在一台足够强大的量子计算机面前将形同虚设。同时,Lov Grover于1996年提出的Grover算法可将对称密码的暴力破解复杂度降低至平方根级别,这意味着AES-128的安全强度将降至约64比特,仅有AES-256在量子环境下仍能保持约128比特的有效安全性。

二、先收割,后解密”——已经发生的隐形攻击

量子威胁的紧迫性不仅在于“计算机何时到来”,更在于一种已经存在的攻击范式:“先收集,后解密”(Harvest Now, Decrypt Later, HNDL)。

这种攻击模式的逻辑极其简单但极为致命:攻击者在当下大量截获并存储加密网络流量数据,将其归档保存。一旦未来具有密码学破解能力的量子计算机问世,攻击者便可以回溯性地解密这些历史数据。换言之,今天发出的每一条加密信息、每一笔金融交易、每一份政务文件,在未来都可能被完全透明化。

这并非假设性威胁。已有多起网络路由劫持事件——例如2016年加拿大互联网流量被重路由经过中国、2019年欧洲移动通信流量被异常重定向等——其模式与大规模数据收集高度吻合。美国联邦储备委员会在2025年发布的专题论文中明确警告,区块链等分布式账本网络面临HNDL的永久性风险,因为已记录在不可变账本上的历史交易数据无法被追溯保护。

安全专家使用“Mosca不等式”来量化这一风险:如果数据的敏感保密期限(x)加上完成密码迁移所需的时间(y)大于CRQC出现的时间(z),即 x + y > z,那么这些数据当前就已经处于风险之中。对于政府机密文件(保密期限25-75年)、医疗基因组数据(终身敏感)、核心知识产权等长生命周期数据而言,向后量子密码迁移的窗口期可能已经非常紧迫。

三、Akamai的后量子安全战略:从边缘到全链路的系统性防御

作为全球领先的云安全与内容分发网络提供商,Akamai在后量子安全领域的布局体现了系统性和前瞻性。依托其覆盖全球130多个国家、超过4200个边缘节点、约35万台服务器的分布式架构,Akamai不仅是后量子密码标准的积极追踪者,更是全球最大规模的PQC部署实践者之一。

3.1 全链路TLS后量子升级

Akamai采用了分阶段的两段式部署策略来完成TLS全链路的后量子升级:

第一阶段:边缘到源站(Akamai-to-Origin)。2025年6月30日,Akamai推出了边缘服务器到客户源站之间连接的后量子加密支持。客户可以通过Akamai Property Manager中的”Post Quantum Cryptography to Origin”行为配置来启用此功能,保护边缘网络与源站之间的流量。

第二阶段:客户端到边缘(Client-to-Akamai Edge)。2025年9月1日,Akamai进一步推出了浏览器客户端到边缘服务器之间的后量子加密支持。该功能在2026年第一季度开始默认开启,这意味着所有通过Akamai分发的网络流量都将自动获得量子安全保护。

在具体实现上,Akamai采用与IETF标准一致的X25519MLKEM768混合密钥交换算法。得益于Akamai分布式边缘架构的天然优势——TLS握手在距离用户最近的边缘节点完成,而非在远端源站——后量子密钥交换增加的约2KB握手负载对用户体验的影响被最大程度地消解。这正是CDN边缘架构在后量子时代展现出的独特技术红利:网络越分布,量子迁移的性能代价越低。

3.2 后量子数字签名的深度参与

相比密钥交换,后量子数字签名的迁移是一个更加复杂的工程难题。经典的ECDSA P-256签名仅有64字节的公钥和64字节的签名,总共128字节;而ML-DSA-65的公钥为1952字节、签名为3309字节,合计超过5200字节——大约是ECDSA的41倍。在一条典型的TLS证书链中(根证书+中间证书+叶证书),每张证书都包含一个公钥和一个签名,后量子签名会使证书链从约1.5KB膨胀至10-15KB,对连接建立速度产生显著影响。

更棘手的是,密钥交换可以按连接逐一协商,而证书是固定的资产——它需要被生态系统中所有客户端(包括老旧设备)正确解析。这使得混合证书格式的设计远比混合密钥交换复杂得多。

Akamai在这一领域的投入体现在多个层面。Akamai深度解析了ML-DSA(FIPS 204)的落地挑战,持续跟进IETF复合签名草案(draft-ietf-lamps-pq-composite-sigs)的进展。该草案定义了18种将ML-DSA与传统算法(RSA-PSS、ECDSA、Ed25519等)组合使用的复合签名方案,要求两个组件签名必须同时验证通过。Akamai还积极关注即将定稿的FN-DSA(FIPS 206),其约666字节的签名大小为证书体积优化提供了可行路径。

此外,TLS证书压缩(RFC 8879)可以将后量子证书的开销降低30-50%,这也是Akamai在实际部署中持续优化的方向。

3.3 全协议覆盖的量子安全视野

Akamai的后量子安全视野并不局限于TLS。Akamai明确将后量子密码保护的范围扩展至SSH远程管理协议、IPsec VPN隧道、OpenPGP加密邮件、代码签名等更广泛的协议栈。这反映了一个重要的安全原则:量子威胁是系统性的,防御也必须是系统性的——任何一个未升级的协议都可能成为“木桶的短板”。

在企业零信任网络接入(ZTNA)方面,Akamai的Enterprise Application Access(EAA)和Akamai Guardicore微隔离平台构成了企业内网的安全基座。2026年3月,Akamai为Guardicore引入了AI驱动的零信任策略自动化能力,这为未来将后量子密码保护扩展至东西向流量奠定了基础。

量子威胁已至:互联网安全的“换锁时代”正在到来-RadeBit瑞安全

Akamai北亚区技术总监 刘烨

Akamai北亚区技术总监刘烨在谈到这一战略时指出:“如今,构建基于人工智能的服务的组织必须确保这些系统在后量子时代依然保持安全。Akamai的分布式边缘和零信任方法将安全措施更贴近用户和数据——使其更能适应诸如量子这样的新威胁。问题不再在于量子是否会对安全造成影响,而在于企业是否已经足够早地做好了准备。”

、给企业的行动建议:现在就开始

面对量子威胁,等待不是选择。结合全球最佳实践和Akamai的分享经验,我们建议企业从以下几个方面着手:

密码资产盘点。企业需要全面梳理自身系统中使用的密码算法、密钥长度、证书体系,识别哪些是量子脆弱的。这包括TLS配置、VPN隧道、SSH密钥、代码签名证书、数据库加密等各个层面。

数据分类与风险评估。利用Mosca不等式的思维框架,评估核心数据资产的敏感保密期限,与密码迁移所需时间进行对比,确定优先级。金融交易数据、医疗健康数据、政务机密、核心知识产权应被列为第一梯队。

混合模式”起步实施。借助Akamai等CDN/安全平台已默认开启的后量子TLS保护,企业可以以极低的成本率先完成面向用户侧的量子安全升级。同时,在自有基础设施中启用X25519MLKEM768等混合密钥交换,确保经典算法和后量子算法的“双保险”。

持续跟进标准演进。NIST标准、IETF草案、中国商用密码标准的演进仍在加速推进中。企业应建立量子安全的技术跟踪机制,确保密码迁移策略与最新标准保持同步。