量子電腦破解加密將到來？Google 目標 2029 年前完成 Q-Day 準備

量子電腦有朝一日可能破解主流加密技術，這一天被稱為「Q-Day」，現在 Google 大幅縮短「Q-Day」到來的準備時程。

Google 25 日在官方部落格發表文章表示，目標設定在 2029 年前完成對 Q-Day 的準備，同時警告全球也應跟進，採用後量子密碼（Post-Quantum Cryptography，PQC）演算法，以補強或取代橢圓曲線與 RSA，因為這些技術未來將被破解。

「做為量子技術與 PQC 領域的先驅，我們有責任以身作則，提出具有雄心的時間表。我們希望藉此為整個產業帶來清晰方向與急迫感，加速數位轉型」，Google 安全工程副總裁 Heather Adkins 與資深密碼工程師 Sophie Schmieg 透過文章表示。

所謂 Q Day，是指量子電腦能夠破解現有加密演算法的時刻，這些演算法目前保護政府、軍方、銀行，以及全球幾乎所有人的機密資料。「量子電腦將對現行密碼標準構成重大威脅，特別是加密與數位簽章。對加密的威脅已經存在，例如『先儲存、後解密』的攻擊；而數位簽章則屬於未來威脅，因此必須在具備密碼學能力的量子電腦（CRQC）出現前完成 PQC 遷移」，文章指出。

此外，Google 首次公開說明 Android 在對抗量子攻擊方面的時程規劃：從測試版開始，Android 17 將支援 ML-DSA（由 NIST 美國國家標準與技術研究院提出的數位簽章演算法），將其納入硬體信任根（root of trust，RoT）。這使開發者能使用 PQC 金鑰為應用程式簽章，並驗證其他軟體的簽章。

Google 指出，目前已將 ML-DSA 整合至 Android 的驗證啟動函式庫，防止啟動流程遭到竄改。同時，工程團隊也開始將遠端證明轉向 PQC，這項功能可讓裝置向遠端伺服器證明當下狀態，例如證明運行的是安全的作業系統版本。

Google 將在 Android Keystore 加入 ML-DSA 支援，讓開發者能生成並將金鑰儲存在裝置的安全硬體中。此外，Google 計劃將 Google Play 以及所有應用程式的開發者簽章全面轉向 PQC。

這些變更預計將為 Android 開發者帶來相當大的工作負擔。

為何 Google 如此緊張？

25 日公布對 Q-Day 的準備時程讓許多密碼學工程師感到意外，包括長期參與 PQC 轉型的業界人士，但 Google 未具體說明調整原因。

「這明顯是對現有轉型時程的大幅加速，甚至比美國政府的要求還要快。2029 年的時間表相當激進，也讓人好奇其背後動機」，曾負責微軟後量子轉型的密碼學工程師 Brian LaMacchia 向外媒表示。

自 1990 年代中期，數學家 Peter Shor 證明量子電腦可在多項式時間內分解整數後，RSA 的安全性便被視為有限。後續研究也顯示，量子電腦能大幅加速解決支撐橢圓曲線加密的離散對數問題。

Q-Day 的預測時間取決於量子電腦何時能擁有足夠的量子位元（quantum bit，qubit）來修正錯誤。在 2012 年，當時估計需要 10 億個量子位元才能破解 2048 位元 RSA，2019 年降至 2,000 萬個。那時研究人員開玩笑說，對於 Q-Day 的說法總是「還要 10 年到 20 年」。

然而 2025 年 6 月，Google 發表研究顯示，只需要約 100 萬個「有雜訊的量子位元」，即可在一週內破解 2048 位元 RSA，再度大幅降低門檻。

因應 Q-Day，密碼學家開發新型加密方法，這些方法基於量子電腦無法有效加速解決的問題。例如基於「lattice」的數學結構，或無狀態雜湊型數位簽章機制。NIST 提出多種尚未被破解、被認為安全的演算法。

目前 PQC 逐步導入多種產品與協議，例如通訊軟體 Signal 去年加入 ML-KEM-768，Google、蘋果、Cloudflare 等公司也開始採用相關技術。

（首圖來源：Google Blog）