量子安全域名系统QDNS获ICANN批准：互联网域名系统完成抗量子攻击升级

量子安全域名系统QDNS获ICANN批准：互联网域名系统完成抗量子攻击升级

2029年3月18日，互联网名称与数字地址分配机构（ICANN）正式批准了QDNS（Quantum-safe Domain Name System）标准，标志着全球互联网基础设施向后量子密码学的历史性迁移正式开始。QDNS将域名系统（DNS）中的加密签名算法从当前的RSA-2048和ECDSA替换为基于格密码学的CRYSTALS-Dilithium方案。

这一升级的背景是量子计算技术的快速发展。虽然当前最先进的量子计算机尚无法破解RSA-2048，但密码学界普遍认为，具备这一能力的量子计算机可能在2035年前后出现。由于DNS是所有互联网通信的基础，其加密升级必须提前完成。

ICANN安全与稳定咨询委员会（SSAC）成员Paul Hoffman表示：「域名系统是互联网的信任锚点。如果DNS被破解，HTTPS证书验证、电子邮件安全、DNSSEC签名都将失去根基。QDNS不是预防性措施，而是必要的基础设施更新。」

QDNS的部署计划分三个阶段：2029年下半年开始在根域名服务器上测试；2030年覆盖.com、.net等主要顶级域名；2031年底前完成全球域名的迁移。期间将采用双栈过渡方案——同时支持传统算法和QDNS算法，确保向后兼容。

Cloudflare和Google Public DNS已宣布将在2029年Q3率先支持QDNS解析。Cloudflare密码学负责人Nick Sullivan表示：「我们的DNS服务器将在今年夏天同时响应传统DNS和QDNS查询。用户不会感受到任何变化——这是一次对用户完全透明的底层升级。」

不过，网络安全研究员Matthew Green指出，QDNS标准的格密码签名长度是传统算法的约10倍，这将增加DNS响应数据包大小，可能对带宽受限的物联网设备和低速网络连接产生影响。