主要观点：

• 量子计算机威胁到加密技术，虽目前量子计算机规模小，但未来可能对现有加密算法构成重大威胁。
• 研究人员已开始开发抗量子计算的后量子加密算法（PQ），但目前新的 PQ 算法在性能、安全性等方面存在不足，行业对此持谨慎态度。
• 对于传输安全协议（如 TLS），面临从旧算法向新算法过渡的挑战，需要考虑密钥建立和数字签名等方面，且存在混合模式（结合经典和 PQ 算法）和纯 PQ 算法的争议。
• 过渡过程中，不同场景（如 Web、专有应用等）的部署情况不同，Web 由于系统多样且服务器端缺乏中央控制，过渡将更困难。

关键信息：

• 量子计算机利用量子力学效应，可能高效破解当前基于经典计算机设计的加密算法。
• NIST 发布了后量子密钥建立和数字签名标准，但新的 PQ 算法性能不如现有的 EC 算法，且安全性存在不确定性。
• TLS 协议通过算法敏捷性支持多种算法同时使用，以实现从旧到新的逐步过渡，PQ 算法可自然融入该结构。
• 密钥建立方面，混合模式（如 X25519/Kyber-768 混合）在过渡期间具有一定优势，可抵抗单一算法的失败；而签名方面，部署 PQ 签名算法面临更多困难，目前主要是更新 WebPKI 证书标准等工作。
• 关于混合模式和纯 PQ 算法存在争议，美国国家安全局和英国 GCHQ 倾向于纯 PQ 算法，而 IETF 对此态度尚不明确。

重要细节：

• 文中提到了多种加密算法，如 X25519、Kyber、ML-KEM、ML-DSA 等，以及它们在不同场景下的性能和安全性特点。
• 以 TLS 握手为例，说明了协议中密钥建立和数字签名的过程及涉及的多种算法和消息交互。
• 介绍了全球风险研究所对量子相关计算时机的估计，以及不同算法在不同时间的部署情况和相关事件（如 SHA-1 的弃用等）。
• 讨论了在过渡过程中，客户端和服务器端对于不同算法的支持策略，以及混合模式和纯 PQ 模式在实际应用中的差异和影响。