2位密码学家赌上16年：ML-KEM-768和X25519谁先崩

2040年12月31日23点59分59秒，两个加密算法中至少有一个会「死」。这是密码学家Matthew Green和Filippo Valsorda立下的赌约截止时间——他们各自押注了ML-KEM-768和X25519，赌哪个先被攻破。

赌注不是钱，是慈善捐款。输家把约定金额捐给赢家指定的慈善机构。目前已有第三方加入这场技术对赌，押注金额从500美元到5000美元不等。

这场赌约的核心矛盾在于：量子计算到底会不会在实用层面威胁现有加密体系？

Green代表「格密码分析派」，押ML-KEM-768先崩。Valsorda代表「量子计算派」，押X25519先崩。两人都是业界顶尖人物——Green是约翰霍普金斯大学教授，TLS 1.3的设计者之一；Valsorda是Google密码学工程师，Go语言安全模块的核心维护者。

两个算法，两种安全哲学

X25519是椭圆曲线迪菲-赫尔曼（Elliptic Curve Diffie-Hellman）密钥交换算法，由Daniel J. Bernstein设计。它基于25519曲线，提供约128位经典安全强度。过去十年，它是TLS握手的事实标准——你的浏览器和服务器建立加密连接，大概率在用X25519。

ML-KEM-768是美国国家标准与技术研究院（NIST）2024年8月正式标准化的后量子密钥封装机制，基于模块格（Module-Lattice）问题。它提供128位后量子安全强度，设计目标就是抵御量子计算机的Shor算法攻击。

两个算法的安全假设完全不同。X25519的安全性依赖于椭圆曲线离散对数问题的困难性——量子计算机上的Shor算法能在多项式时间内解决它。ML-KEM-768的安全性依赖于格上的带错误学习（Learning With Errors, LWE）问题及其变种——目前尚无已知的量子算法能高效解决。

但格密码有个历史包袱：它的参数选择比椭圆曲线复杂得多，过去几十年里多次出现「看似安全、实则被攻破」的案例。

1996年的NTRU、2009年的GGH加密方案、2016年的某些基于理想格的签名方案——都曾因参数选择不当或新型攻击而降级甚至废弃。格密码的安全边界往往依赖启发式假设，而非严格的数学证明。

主赌约：什么叫「被攻破」

赌约对「攻破」的定义极其严格。必须是「实用攻击」——在真实物理机器上运行，能在合理时间内恢复密钥或明文。理论上的多项式时间算法不算，需要天文数字计算资源的攻击也不算。

具体判定标准包括：能在截止日前恢复ML-KEM-768的768字节密钥；能在截止日前恢复X25519的32字节共享密钥；或者能在TLS 1.3握手等真实协议场景中被动解密流量。

如果只有ML-KEM-768被攻破，Green赢。如果只有X25519被攻破，Valsorda赢。如果都被攻破，看谁的攻击先公开。如果都没被攻破，平局，无人捐款。

这个定义排除了纯粹的学术进展。比如2023年清华团队对Kyber-512的攻击（ML-KEM的前身），将经典安全强度从128位降到约100位，但并未达到「实用攻破」的门槛——攻击成本仍然过高。

Green押注ML-KEM-768，本质上是在押注：格的参数选择仍有隐藏陷阱，未来16年会出现针对ML-KEM-768特定参数集的实用攻击。

Valsorda押注X25519，则是在押注：量子计算机的实用化进度会超预期，或者椭圆曲线存在尚未发现的经典攻击路径。

副赌约：「实质性降级」的模糊地带

主赌约门槛太高，双方又设了一个副赌约：ML-KEM-768是否会被「实质性降级」——即NIST官方宣布其不再满足128位安全级别，或学术共识认为如此。

这个赌约有时间限制：2025-2028年、2029-2032年、2033-2036年、2037-2040年四个时段。如果ML-KEM-768在某一时段被降级，押注该时段的人赢。如果从未降级，或拖到2040年后才降级，平局。

目前已有三人加入副赌约押注：Luca De Feo押2025-2028年（500美元），Sophie Schmieg押2029-2032年（500美元），Paul Grubbs押2033-2036年（500美元）。

这个设计很聪明——它把「会不会崩」和「什么时候崩」两个问题分开赌，降低了参与门槛，也反映了密码学界的真实分歧。

格密码的批评者认为，ML-KEM的参数选择过于激进。Kyber-512（ML-KEM-512的前身）在2023年已被发现经典攻击复杂度低于预期，虽然未达实用门槛，但足以引发担忧。ML-KEM-768的安全余量是否足够，学界仍有争议。

量子计算的乐观派则认为，IBM、Google宣称的「量子优越性」只是特定问题的演示，距离破解RSA-2048或X25519还需要数百万物理量子比特和极低的错误率。2030年前出现实用量子计算机的概率极低。

为什么是现在？混合握手的争议

这场赌约的直接导火索是X25519MLKEM768混合握手的部署争议。TLS 1.3正在逐步引入这种「双保险」设计：先用X25519建立经典安全连接，同时用ML-KEM-768交换后量子密钥，两个密钥混合后用于加密。

Google Chrome 124版本已默认启用，Cloudflare、AWS等基础设施也在跟进。但部署速度引发了两派焦虑。

Green一派认为，混合握手增加了复杂性和攻击面，而ML-KEM-768的长期可靠性未经考验。如果格密码存在系统性弱点，混合设计反而给了攻击者更多机会。「我们现在急着部署的东西，可能16年后被证明是错的。」

Valsorda一派则认为，量子威胁被低估。如果实用量子计算机提前出现，而互联网基础设施仍未完成后量子迁移，后果是灾难性的。「等格密码被攻破再行动就晚了，但等量子计算机出现再行动就更晚了。」

赌约本身不评价混合握手的设计，只赌两个底层算法谁先出问题。这种切割让争论更聚焦，也更残酷——16年后必有一方被证明是错的。

历史参照：密码学赌约的胜率

这不是密码学界第一次公开对赌。2007年，Daniel J. Bernstein与Bruce Schneier就AES的安全性有过著名争论，虽未形成正式赌约，但Bernstein后续对Salsa20/ChaCha20的坚持被证明有先见之明。

2015年，IETF内部对Curve25519 vs. P-256的争论，最终以Curve25519在TLS 1.3中的胜出告终。当时质疑「椭圆曲线参数可能有问题」的声音，并未在后续实践中得到验证。

更远的例子是RSA。1977年RSA发明时，Ron Rivest估计破解100位模数需要400亿年。1991年，100位RSA被攻破。1999年，512位RSA被攻破。2009年，768位RSA被攻破。每次「足够安全」的估计都被计算进步推翻。

密码学的历史充满「当时以为安全」的案例。这也是Green敢于押注ML-KEM-768的底气——格的复杂性给了隐藏弱点更多空间。

但量子计算的历史同样充满过度承诺。1994年Shor算法提出后，每隔几年就有「量子计算机即将实用」的预测。2012年D-Wave的「量子退火」被质疑并非真正量子计算。2019年Google的「量子优越性」论文被IBM质疑经典模拟可行性。

Valsorda的底气在于：即使量子计算机进度延迟，X25519的经典安全性也可能被意外攻破。椭圆曲线离散对数问题虽经30年研究，但从未有过RSA那样的「渐进式崩溃」——这意味着我们可能对其安全性过度自信。

技术细节：攻击路径分析

针对ML-KEM-768的潜在攻击方向包括：

经典侧信道攻击。格密码的实现比椭圆曲线更复杂，涉及多项式乘法、数论变换（NTT）等操作，缓存时序、功耗分析等侧信道风险更高。2020年对NewHope的攻击已证明这是真实威胁。

结构化格的特殊弱点。ML-KEM基于模块格，比理想格更通用，但仍比随机格有更多结构。是否存在针对模块-李-宾特（Module-LWE）问题的专用算法，是开放问题。

参数选择的隐含假设。ML-KEM-768的安全分析依赖「核心硬度」假设和特定的误差分布。这些假设虽经多年检验，但不像椭圆曲线那样有30年以上的密码分析历史。

针对X25519的潜在攻击方向包括：

量子计算机的Shor算法。需要约4000个逻辑量子比特和10^9量级门操作。当前最先进的量子计算机（IBM Condor，1121量子比特）距离此目标仍有数量级差距。

椭圆曲线的经典攻击进展。包括指标计算方法的改进、特殊曲线的弱参数等。X25519的曲线参数经过精心选择，但「无进展」不等于「不可能有进展」。

实现层面的漏洞。如2019年的「Raccoon攻击」针对TLS 1.2的密钥导出，虽不直接攻破X25519，但显示协议交互中的复杂性风险。

双方都在赌「未知的未知」——尚未被发现的攻击路径，而非已知的开放问题。

赌约的元意义：技术决策的公开记录

这场赌约的价值不止于16年后的结果。它强制两位专家把模糊的技术直觉转化为可验证的预测，并承担公开后果。

密码学界的决策往往依赖「共识」而非「证据」——后量子标准化过程本身就充满政治和妥协。NIST 2022年选中Kyber后，曾出现「NTRU被不公正排除」的争议。IBM、AWS等巨头的商业利益也渗透其中。

Green和Valsorda的赌约，是把「你相信什么」从会议茶歇的闲聊变成有代价的公开承诺。这种机制在气候预测（如Scott Armstrong vs. Al Gore的温度赌约）、人工智能（如 various AI timeline bets）等领域已有先例，但在密码学领域尚属新鲜。

第三方参与者的加入更放大了这种效应。Luca De Feo是超奇异同源密码（SIKE）的核心研究者——SIKE在2022年被经典攻击攻破，从NIST后量子候选名单中除名。他押注2025-2028年ML-KEM-768降级，带着「我见过格密码以外的后量子方案崩溃」的经验。

Sophie Schmieg来自Google，参与过多种加密协议的设计。Paul Grubbs是密歇根大学助理教授，研究协议安全与形式化验证。三人的押注时段分布，本身反映了学界对「格密码危机时间线」的概率判断。

没有人在押2037-2040年——如果ML-KEM-768能挺过2036年，大概率能挺到2040年。这个空白本身就是信号。

对从业者的启示

如果你负责系统安全架构，这场赌约提供了几个 actionable 的观察点：

混合握手的风险收益比。X25519MLKEM768增加了实现复杂度和计算开销，但提供了「量子保险」。赌约结果显示，顶尖专家对这份保险的价值评估分歧极大——Green认为可能白买，Valsorda认为必须买。

算法敏捷性的重要性。无论哪方获胜，16年后至少有一个算法需要被替换。系统设计时预留算法升级路径，比选择「正确」的算法更重要。

标准与实现的差距。FIPS 203标准化的ML-KEM-768是「规范」，实际部署中的侧信道防护、密钥管理、协议集成才是攻击高发区。赌约的「实用攻破」定义包含了这些场景。

长期密钥的策略。如果你的系统需要保护2030年后的数据（如医疗记录、政府机密），现在就必须开始后量子迁移——即使ML-KEM-768最终被攻破，被攻破前的密文仍是安全的。这是「 harvest now, decrypt later 」攻击的防御逻辑。

赌约的GitHub仓库已收获超过1200个星标，成为密码学社区的热门话题。有人建议增加「双方都被攻破」的赔率，有人提议引入更多算法（如ML-KEM-1024、X448），但Green和Valsorda保持了克制——赌约的简洁性是其可信度来源。

2040年的某个深夜，会有人刷新那个GitHub页面，查看是否出现了新的Pull Request，附上攻击论文的链接和概念验证代码。届时输家会收到邮件通知，然后在30天内完成慈善捐款，并公开承认自己的预测错误。

这种「可失败的公开承诺」，在技术争论越来越极化的今天，反而成了一种稀缺的诚实。你愿意为16年后的技术判断押上多少？