谷歌宣布“量子霸权”的新闻弹出来的时候,我正在给一个本地生活类小程序的支付接口做压力测试。手一抖,JMeter里模拟的并发数直接飙到了五千,把测试环境的数据库连接池瞬间打满。屏幕上红色的错误日志瀑布一样刷下来,但我脑子里全是另一件事:我去年给那个连锁健身房做的会员系统,用的还是SHA-256哈希存密码。
操。量子计算机真能秒破RSA-2048的话,我那套自以为固若金汤的“盐值+多轮哈希”方案,在它面前跟一张草纸没区别。客户那边存着几十万用户的手机号和身份证号,真要漏了,把我这刚成立一年半的小公司卖了都赔不起。
我立刻停了测试,切到生产服务器的SSH窗口。命令行光标在闪,我却不知道第一句该敲什么。升级加密算法?整个用户表的密码字段全部重新加密?这意味着一场半夜的紧急上线,意味着所有现有用户登录会短暂失效,意味着我要给两个睡眼惺忪的运维打电话,还意味着可能触发数据库锁表,把正在跑的夜间批处理任务全堵死。团队里那三个后端开发,一个在陪产假,一个刚因为绩效问题跟我吵过架,剩下那个主力,我上个月才因为他连续加班给他涨了薪。现在凌晨一点半,我有什么理由把他们全吼起来,就为了一个“理论上”的威胁?
但我就是坐不住。那种感觉又回来了,2016年刚入行时对技术迭代的深度恐惧。你花两年时间垒起来的护城河,别人可能明天早上就开着挖掘机过来给你填平了。量子霸权这词太霸道了,它宣告的不是超越,是碾压。我引以为傲的那些东西——精心设计的数据库索引、用Redis缓存会话、靠Nginx配置抵挡CC攻击——在一种全新的计算范式面前,突然显得特别原始,特别脆弱。
我最后还是没叫人。自己打开了那个健身房项目的代码仓库,找到用户认证模块。一行行看下来,胃开始发紧。当初为了赶上线周期,密码重置邮件用的是HTTP而不是HTTPS,虽然后来补了SSL证书,但老代码没清理干净。用户注册时对密码强度的校验,正则表达式写得稀烂,六个纯数字也能通过。最要命的是数据库连接字符串,虽然放在了环境变量里,但为了方便调试,在某个测试配置文件中硬编码了一个带权限的账号密码,那个文件居然还在.gitignore的例外列表里,差点就被提交到公开的Github仓库。冷汗一下子就下来了。量子计算机离破解我的密码可能还有十年,但现在的我,根本用不着那么高级的武器,一个脚本小子拿着扫端口工具就能把我这摊子搞得底朝天。
那一整晚我像个强迫症患者一样,把所有项目的敏感配置都过了一遍。给Jenkins的凭据管理系统加上了二次验证,把阿里云RAM账号的访问密钥全部轮换了一遍,甚至把公司用的那个破OA系统的默认管理员密码也给改了。窗外的天从漆黑变成深蓝,再泛出鱼肚白。我知道我做的这些,在真正的量子攻击面前毫无意义,它更像一种心理按摩,一种对“失控”的徒劳抵抗。团队扩张这大半年,我陷在招人、开人、做报价、催尾款的循环里,已经很久没有像这样,纯粹因为一个技术新闻而感到脊背发凉了。管理毒打让我钝化了,天天算着人效和毛利,却忘了这个行业最底层的规则:你的代码,你的数据,永远暴露在未知的风险里。
量子霸权可能还要很多年才能实用化,但它的出现像一盆冰水。它提醒我,我焦虑错了方向。我该担心的不是这个月流水能不能覆盖下个月工资,而是我赖以生存的技术基石,是不是早就有了裂缝。早上七点,我给那个主力后端发了条微信,没提量子计算机一个字,只说:“今天早点来,我们把用户模块的安全审计做了,优先级提到最高。” 他回了个问号。我补了一句:“年底奖金系数,跟这个挂钩。”
我得做点什么。哪怕只是把草纸换成稍微厚一点的报纸。
