最大嘅權衡——超大公鑰。 Classic McEliece 最明顯嘅弱點係 公鑰好大:通常要 0.25 到 1.3 MB(例如一個參數組合嘅公鑰要 1,047,319 bytes)。呢個比起 RSA 或者 ECC 嘅金鑰大好多個數量級,所以唔係好適合喺受限環境用(例如 IoT 裝置、智能卡、頻寬有限嘅 TLS 握手)。但佢嘅優點係安全機制極之成熟同保守——超過 45 年都冇實質性嘅密碼分析突破
。
喺國際標準化嘅角色。
Classic McEliece 被定位為 保守嘅後備方案或第二道防線:萬一格仔架構方案(ML-KEM / CRYSTALS-Kyber)將來被破解,code-based 加密可以提供一个數學上獨立嘅後備 。
Google 嘅 2029 年死線。 2026 年 3 月 25 日,Google 發表咗一篇由安全工程副總裁 Heather Adkins 同高級密碼學工程師 Sophie Schmieg 撰寫嘅博文,題為「量子前沿可能比想像中更近」,將公司內部完成 PQC 遷移嘅死線定喺 2029 年 。呢個時間比之前業界根據 NIST 嘅 2035 年或 NSA 嘅 2031 年時間表所預期嘅,大幅提前咗大約六年
。Google 指出原因是量子硬件同錯誤更正嘅進展比預期快
。
破解橢圓曲線加密所需嘅量子位元估計大幅下降。 Google 更新時間表嘅部分原因係 Shor 算法攻擊 ECC 所需嘅資源估算大幅降低。新一代嘅電路優化技術將破解 256-bit 橢圓曲線加密所需嘅物理量子位元數目由數百萬大幅降至可能只需數十萬,意味住能夠進行實際攻擊嘅量子電腦可能比之前預計更快出現 。
Cloudflare 跟進相同時間表。 Cloudflare 公開表示會跟隨 Google 嘅步伐,計劃喺 2029 年前完成 PQC 遷移。業界分析指出,Cloudflare 一直係抗量子 TLS(包括 X25519Kyber768 混合金鑰協議)嘅早期部署者,依家正加速全面投入生產 。
「先儲存、後解密」(HNDL) 嘅憂慮。 Google 明確指出「儲存-現在、解密-後來」嘅風險係主要推動力 。敵對勢力已經喺度收集加密流量——包括 VPN 連線、金融數據、國家機密、加密貨幣通訊——打算等量子電腦出現之後先至解密。呢個意味著今日用 RSA 或者 ECC 加密嘅數據已經暴露喺風險之中,所以必須喺量子破解 之前 完成遷移,而唔係等破解之後先做
。
2026 年 6 月美國行政命令。 2026 年 6 月,拜登政府頒布咗一項 行政命令,要求所有美國聯邦機構加速遷移至抗量子加密,並訂立咗具約束力嘅清點、評估同過渡計劃死線。呢個命令係建基於 2022 年嘅《量子計算機網絡安全準備法案》同 2024 年嘅 NIST PQC 標準(FIPS 203/204/205),將自願性指引轉化為聯邦要求 。結合 Google 同 Cloudflare 嘅 2029 年目標,美國政府依家正以監管力量朝同一方向推進。
ISO 嘅官方標準(Classic McEliece、FrodoKEM)、NIST 嘅最終主要算法(ML-KEM、ML-DSA、SLH-DSA)、Google 嘅 2029 年死線、量子位元估算下降、Cloudflare 跟進、HNDL 威脅已經發生,再加上 2026 年 6 月美國行政命令,呢啲因素夾埋將 PQC 遷移嘅窗口由一個模糊嘅 2030 年代問題,壓縮到一個明確嘅 ~3 年死線。標準基建已經就緒;剩下嘅挑戰係大規模執行。