所有 SSL 文章 SSL 與憑證

後量子 TLS:2026 年的抗量子 HTTPS 是什麼意思

後量子 TLS 是一種即使面對擁有大型量子電腦的攻擊者也能保持安全的 HTTPS。它把當今金鑰交換背後的數學運算——量子電腦有能力攻破的部分——替換成專為抵禦量子攻擊而設計的演算法。

這並不是遙不可及的研究計畫。截至 2026 年中,透過 Cloudflare 的人類網路流量已有超過 65% 完成後量子加密,而 Chrome、Edge 和 Firefox 只要伺服器支援,便會預設協商抗量子的金鑰交換。如果你最近用現代瀏覽器造訪過 Google,那你幾乎肯定在不知不覺中使用了後量子 TLS。

傳統 TLS 為何面臨風險

當今的 TLS 依賴兩種公開金鑰數學運算:

  • 金鑰交換(ECDHE,使用 X25519 或 P-256)——在開放通道上協商出一個共享秘密。
  • 簽章(RSA、ECDSA)——證明證書的真實性。

兩者都仰賴對傳統電腦而言困難的問題——大數分解(RSA)以及橢圓曲線離散對數(ECC)。Shor 演算法在足夠大的量子電腦上執行時,能高效地解開這兩者。所謂「具密碼學意義的量子電腦」(CRQC)目前尚不存在,但這個領域的進展之快,已使規劃的重點從「會不會」轉向「何時會」。

公開金鑰密碼學 → 解釋了量子電腦所威脅的底層數學原理。

「先擷取、後解密」——為何這在今天就刻不容緩

你也許會想:不必急吧——反正今天沒有量子電腦能攻破 TLS,何必現在就換?

威脅在於先擷取、後解密(harvest now, decrypt later,HNDL)。攻擊者今天就把你的加密流量錄下來並儲存起來。等到量子電腦問世——可能在 2030 年代——他們再回過頭去解密所儲存的流量。

這讓金鑰交換的截止時限遠遠早於量子電腦的問世。任何具有長期保密需求的資料——健康紀錄、金融資料、政府機密、原始碼、憑證——都需要現在就採用抗量子加密,因為錄製早已在進行中。

金鑰交換刻不容緩,簽章則沒那麼急迫。 你無法事後偽造一段早已發生過的流量上的簽章——簽章只需要在量子電腦出現之前變得抗量子即可,而非更早。這正是業界先行部署後量子金鑰交換的原因。

標準:ML-KEM 與 ML-DSA

2024 年 8 月,NIST 發布了首批定案的後量子標準:

標準名稱角色取代對象
FIPS 203ML-KEM(前身為 Kyber)金鑰封裝(金鑰交換)ECDHE / RSA 金鑰交換
FIPS 204ML-DSA(前身為 Dilithium)數位簽章RSA / ECDSA 簽章
FIPS 205SLH-DSA(SPHINCS+)雜湊式簽章保守的簽章備援

ML-KEM(Module-Lattice Key Encapsulation Mechanism,模格金鑰封裝機制)是目前已在 TLS 中部署的方案。它有三種規格:ML-KEM-512、ML-KEM-768 和 ML-KEM-1024。ML-KEM-768 是網路上採用的最佳折衷選擇。

混合金鑰交換:X25519MLKEM768

瀏覽器不會一夜之間捨棄傳統密碼學、改用純後量子方案。那樣做太過魯莽——ML-KEM 是新東西,一個瑕疵就可能讓一切失守。取而代之的是,TLS 1.3 採用結合傳統演算法與後量子演算法的混合金鑰交換。

你在 2026 年會看到的具名群組就是 X25519MLKEM768

X25519MLKEM768 = X25519 (classical ECDHE)  +  ML-KEM-768 (post-quantum)

兩個共享秘密會被串接起來(X25519 的 32 bytes + ML-KEM 的 32 bytes = 一個 64-byte 的組合秘密),再送入 TLS 的金鑰排程。

其安全保證是**「只要其中之一仍安全,整體就安全」**。攻擊者必須同時攻破 X25519 ML-KEM-768 才能還原出工作階段金鑰。因此:

  • 如果 ML-KEM-768 後來被發現有瑕疵 → X25519 仍能保護你(抵禦傳統攻擊者)。
  • 如果量子電腦攻破了 X25519 → ML-KEM-768 仍能保護你。

正是這種雙重保險的設計,讓混合方案而非純後量子方案成為各處的預設選擇。

它在握手流程中的位置

混合金鑰交換採用與 什麼是 TLS 1.3 → 所述相同的 TLS 1.3 握手。唯一的差別在於 key_share:ClientHello 攜帶的是 X25519MLKEM768 的金鑰共享,而非單純的 X25519。ML-KEM 的金鑰較大(約 1.2 KB,相對於 32 bytes),因此 ClientHello 會膨脹約一千位元組——通常可忽略不計,不過在受限網路上偶爾可能跨越封包邊界。

它同樣為你提供 前向保密 →:每條連線都使用全新的金鑰對,只不過是後量子版本。

2026 年已部署的內容

元件後量子狀態(2026 年中)
Chrome / Edge預設協商 X25519MLKEM768
Firefox已支援並啟用 X25519MLKEM768
Cloudflare65% 以上人類流量已後量子加密;金鑰交換已完成
Google提供後量子金鑰交換
AWSKMS、ACM、Secrets Manager 已採用 ML-KEM;將於 2026 年淘汰舊版 Kyber
OpenSSL 3.5+原生支援 ML-KEM 與 X25519MLKEM768
Java(SunJSSE)預設啟用 X25519MLKEM768

尚未大規模完成的環節是後量子證書——也就是改用 ML-DSA 而非 RSA/ECDSA 來簽署證書。ML-DSA 的簽章與公開金鑰大上許多(以千位元組計,相對於約 64 bytes),這會讓握手變得臃腫,並對證書鏈的大小上限造成壓力。Cloudflare 計畫在 2026 年中於源站連線上採用 ML-DSA,並正在研究 Merkle Tree Certificates 以將大小控制在可管理的範圍,目標是在 2029 年達成完整的後量子(含身分驗證)。

如何確認你是否正在使用後量子 TLS

在瀏覽器中

用 Chrome 開啟任一主要網站 → 開發者工具(DevTools)→ **安全性(Security)**分頁 → 查看連線詳情。後量子連線會顯示類似 X25519MLKEM768 的金鑰交換(在較舊的建置版本上則為 X25519Kyber768)。

使用 OpenSSL 3.5+

openssl s_client -connect cloudflare.com:443 -groups X25519MLKEM768 2>/dev/null   | grep -i "Negotiated TLS1.3 group"
# 預期結果:Negotiated TLS1.3 group: X25519MLKEM768

如果你得到錯誤訊息或不同的群組,那麼要嘛你的 OpenSSL 版本低於 3.5,要嘛伺服器尚未提供後量子金鑰交換。

檢查你的 OpenSSL 版本

openssl version
# 需要:OpenSSL 3.5+ 才能原生支援 X25519MLKEM768

如何在你的伺服器上啟用

對大多數網站來說,答案就是升級,而且別把它停用——一旦你的技術堆疊支援,後量子混合金鑰交換便會自動啟用。

Nginx / Apache

後量子金鑰交換存在於你的 TLS 函式庫之中,而非網頁伺服器的設定檔。請以 OpenSSL 3.5+(或支援 ML-KEM 的 BoringSSL)來建置或執行。一旦完成連結,X25519MLKEM768 便會與 X25519 一同自動提供——無需新增任何指令。切勿把 ssl_ecdh_curve 釘死在單一傳統曲線上,否則你會把混合群組排除在外。

置於 CDN 之後

最簡單的途徑:把你的網站放在 Cloudflare(或其他支援 PQC 的 CDN)之後。瀏覽器到邊緣節點的連線會立即變為後量子,且無需更動你的源站。那 65% 的流量大多就是這樣變得抗量子的——營運者根本沒有去碰他們的源站伺服器。

你的證書暫時不需要變更

後量子金鑰交換需要新的證書。你現有的 RSA 或 ECC 證書照常運作——混合金鑰交換保護的是工作階段,而證書目前仍使用傳統簽章。後量子證書(ML-DSA)是另一項較晚才會進行的遷移。

常見問題

我需要購買特殊的「抗量子證書」嗎?

不需要。後量子金鑰交換(也就是刻不容緩的那部分)完全不會動到你的證書——你現有的 RSA/ECC 證書照樣運作。今天任何兜售「抗量子 SSL 證書」的人,多半只是在做行銷;可用於正式環境的後量子簽章(ML-DSA)尚未被公開 CA 廣泛簽發。

後量子 TLS 比較慢嗎?

幾乎不會。ML-KEM-768 的運算速度很快——往往比 ECDHE 還快。主要的代價在於大小:較大的金鑰共享會為握手增加約 1 KB,這只有在封包上限非常小的網路上才可能多耗費一次來回。對絕大多數使用者而言,這個差異根本無從量測。

量子電腦究竟何時會攻破 RSA?

無人知曉。可信的估計從 2030 年代初到「也許永遠無法大規模做到」都有。但由於先擷取、後解密的存在,金鑰交換的部署截止時限其實已經到來——這正是瀏覽器與 CDN 之所以在 2024–2026 年就行動、而非坐等的原因。

TLS 1.2 怎麼辦?

後量子混合金鑰交換僅針對 TLS 1.3 而定義。這又多了一個啟用 TLS 1.3 → 的理由——它是通往抗量子 HTTPS 的唯一途徑。TLS 1.2 不會獲得後量子金鑰交換。

ML-KEM 和 Kyber 是同一個東西嗎?

是的——ML-KEM 是該演算法經 NIST 標準化後的版本,其前身名為 CRYSTALS-Kyber。較舊的瀏覽器建置版本與工具會顯示 Kyber768;標準化的部署則使用 ML-KEM-768。兩者關係密切,但並非逐位元相同,因此一個採用最終標準的用戶端與一個採用標準前版本的伺服器之間可能會協商失敗。到了 2026 年,整個生態系大致已轉向最終版的 ML-KEM。

我現在需要做些什麼嗎?

對於一般網站:請確認你已使用 TLS 1.3,讓你的 TLS 函式庫保持在最新狀態(OpenSSL 3.5+),如果你處理的是長期敏感資料,則可考慮採用支援 PQC 的 CDN。光是這樣,今天就足以取得抗量子的金鑰交換。後量子證書則可以等到標準與 CA 工具成熟後再說。

相關文章

SSL 與憑證 2026-05-08
什麼是 TLS 1.3?所有變化詳解
TLS 1.3 是當前的加密標準——更快的握手、強制前向保密、無遺留演算法。瞭解與 TLS 1.2 的區別、如何啟用,以及是否應該強制使用。
SSL 與憑證 2026-05-08
什麼是前向保密(完美前向保密)?
前向保密意味著每個 TLS 連線使用唯一的金鑰。即使伺服器的私鑰洩露,過去的通訊也無法被解密。瞭解其工作原理以及如何確保已啟用。
SSL 與憑證 2026-05-08
公鑰密碼學:SSL 加密的實際工作原理
公鑰密碼學使用金鑰對——一個公鑰、一個私鑰——來保護 HTTPS 連線。瞭解非對稱加密、數字簽名和金鑰交換如何使 SSL/TLS 成為可能。
SSL 與憑證 2026-05-07
ECC 與 RSA 證書:該如何選擇?
對比 ECC(ECDSA P-256)和 RSA(2048/4096 位)證書。ECC 金鑰更小、更快。瞭解為什麼 GetHTTPS 預設使用 ECC,以及何時 RSA 仍有意義。
在瀏覽器中取得免費 SSL 憑證
無需安裝,無需帳號。私鑰始終留在你的裝置上。
取得憑證