后量子密码学实在太大了

PQC 的性能与体积问题

  • 许多评论同意,当前的后量子签名方案(例如像 Dilithium 这样的基于格的方案)非常大,会导致握手膨胀、延迟和内存压力——对嵌入式和资源受限设备尤其成问题。
  • 有人认为,与多 MB 的网页相比,“14 KB 不算什么”;但也有人反驳说,握手数据会造成队头阻塞,并且会在大量连接/CDN 中反复传输,因此对延迟极为敏感。
  • 有人担心我们会在一段时间内被这些大方案困住;也有人认为,协议层面的改进(连接复用、HTTP/2/3、证书链省略、透明度日志)可以缓解开销。

威胁模型与量子攻击的时间点

  • 怀疑者质疑,大规模量子计算机是否会足够快出现,从而值得广泛部署 PQC,把这种情况类比为聚变或总是“还要 20 年”的夸大技术。
  • 也有人认为,量子计算仍然是当前非对称密码最可信的已知威胁,而且密码迁移需要几十年,所以尽早行动才是明智的。
  • 讨论了“现在收集,未来解密”:有人认为这是被夸大了;也有人指出,一旦出现大规模量子计算机,没有 PQ 密钥交换的归档流量就会暴露。

替代技术:QKD 与一次性密码本

  • 量子密钥分发被认为比大规模量子计算机更成熟,但对通用互联网使用来说并不现实:它需要专用硬件、良好的光路,而且仍然需要一个经过认证的(因此也是 PQ 安全的)信道。
  • 有人认为,物理密钥分发或经典对称密码加上少量共享秘密更简单;QKD 的成本收益受到质疑。
  • 一次性密码本被承认为理论上完美,但在操作上很困难;大家更倾向于使用 PQ 安全的对称密码和良好的密钥交换。

使用场景:Web、加密货币与签名

  • 对于 Web,几位评论者建议首先专注于 PQ 安全的密钥交换,以防止事后解密,同时暂时保留经典证书。
  • 加密货币被指出特别容易受到未来量子攻击;讨论了带可插拔签名方案的账户模型以及基于合约的钱包,作为迁移路径。
  • 有人讨论把完整性与机密性分离(例如子资源完整性、哈希),但也有人强调,URL 和访问模式本身就是敏感信息,因此加密仍然很重要。