加载失败
GnuPG(GNU Privacy Guard,一套 OpenPGP 实现)发布 2.5.19,公告里把 Kyber/ML-KEM(NIST 标准化的后量子 KEM,也叫 FIPS-203)加入主线,同时 2.4 系列只剩两个月支持期。这个更新主要影响公钥加密/密钥封装,而不是已经被认为相对安全的对称加密。评论区围绕“是否现在迁移”“是否该用 hybrid ML-KEM + X25519”“硬件密钥和长生命周期数据怎么处理”展开。背景里还包含 OpenPGP 生态的标准分裂:RFC-9580 与 LibrePGP(另一路兼容导向方案)之间的争议,让后量子支持不只是技术问题,也牵涉互操作和标准政治。
评论认为是否该迁移,并不取决于“量子计算机是否马上出现”,而取决于消息需要保密多久。一次性邮件如果要保密 5 年,就会受到 harvest-now-decrypt-later 威胁;而 90 天轮换的备份则几乎不受影响。hybrid ML-KEM + X25519 被视为一种“no-regret move”,因为即使 PQC 以后出现结构性问题,传统 X25519 仍能兜底。真正的难点反而是长期使用的 smartcard/HSM 密钥,这些设备生命周期可达 5–10 年,升级 ML-KEM 往往意味着硬件刷新。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7]
有评论直接追问该怎么选算法,得到的回答是对称加密继续用 AES-GCM-256 或 ChaCha20-Poly1305,而公钥阶段转向 ML-KEM。很多人强调 ML-KEM-768 纯计算并不慢,甚至可能比 X25519 更快,但它的 key/ciphertext 更大,因此在小 payload 上会有额外开销。对 PGP/OpenPGP 这类一次只做一轮 key agreement 的场景来说,这点开销通常不构成问题。也有人提到一些 HSM 厂商通过内置 FPGA 来加速 PQC,但整体上后量子算法仍会经历一段“性能税”。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6]
不少讨论都集中在 OpenPGP 标准阵营的分裂:RFC-9580 一边、LibrePGP 一边,双方对改动范围和兼容性要求不同,最终形成两个并不完全兼容的路线。有人认为 GnuPG 只是坚持旧 OpenPGP 的兼容性,没有跟着重写后的新标准走;另一些人则认为新标准本身就是对旧规范的彻底重写,不能指望旧实现无缝跟上。结果是用户要面对两个“标准提案”并存、互操作变差的局面,后量子功能也被卷进了这场 schism。还有人把这看成开源 copyleft 项目被公司主导方案挤压的又一例子。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8] [来源9] [来源10]
有人把这次变更视为对过去“量子计算机会让隐私瞬间失效”式恐慌的反讽:真正落地的是软件和标准里的几处改动,而不是末日级灾难。Y2K 类比被多次提起,重点不是算法多神奇,而是把所有需要迁移的地方找全并兼容地改掉。对于已经被截获、等待未来解密的数据,风险确实存在,但影响只会落在那部分旧数据上,而不会自动摧毁所有加密体系。评论区也充满了对“quantum-safe”宣传的冷嘲热讽,顺带用隐私格言强调:今天看似没人读的邮件,未必永远没人读。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
ML-KEM(Kyber): NIST 标准化的后量子 key encapsulation mechanism,基于 lattice problem,用来替代传统公钥密钥封装。
hybrid construction / hybrid ML-KEM + X25519: 把后量子算法和传统算法一起用于密钥协商,兼顾兼容性、抗攻击性和迁移平滑度。
X25519: 基于 Curve25519 的椭圆曲线 Diffie-Hellman key exchange,常见的传统密钥交换算法。
OpenPGP: 用于邮件和文件加密的标准体系,GnuPG 主要实现的协议基础。
RFC-9580 / LibrePGP: OpenPGP 生态中的两条分歧路线;前者是 IETF standards track 提案,后者更强调保守演进和兼容性。
HSM/智能卡: 用于保存私钥并执行加密运算的硬件设备,生命周期长,升级后量子算法通常较慢且成本高。