BlockBeats noticia que, em 21 de abril, o engenheiro criptográfico Filippo Valsorda argumentou em um artigo que, mesmo sob o cenário mais otimista de desenvolvimento, computadores quânticos reais não conseguirão quebrar a criptografia simétrica de 128 bits em um futuro previsível, e que há uma interpretação equivocada e alarmista da "criptografia pós-quântica". Em seu artigo "Computadores Quânticos Não Representam Ameaça a Chaves Simétricas de 128 Bits", ele afirma que computadores quânticos não representam uma ameaça real a chaves simétricas de 128 bits (como AES-128), e que a indústria não precisa atualizar o comprimento das chaves por esse motivo.
Filippo Valsorda aponta que muitos se preocupam com o fato de que computadores quânticos podem reduzir pela metade a força de segurança efetiva das chaves simétricas por meio do algoritmo de Grover, fazendo com que uma chave de 128 bits ofereça apenas 64 bits de segurança — um erro, pois esse mal-entendido surge da ignorância das limitações cruciais do algoritmo de Grover em ataques práticos. O principal problema do algoritmo de Grover é sua incapacidade de ser eficientemente paralelizado. Seus passos devem ser executados sequencialmente, e forçar a paralelização aumenta drasticamente o custo computacional total. Mesmo com um computador quântico idealizado, o volume total de cálculos necessário para quebrar uma chave AES-128 é astronômico, exigindo aproximadamente 2¹⁰⁴·⁵ operações — bilhões de vezes mais caro do que quebrar os algoritmos de criptografia assimétrica atuais, tornando-o totalmente inviável. Atualmente, instituições padrão como a NIST dos EUA e a BSI da Alemanha, bem como especialistas em criptografia quântica, afirmam claramente que algoritmos como o AES-128 são suficientes para resistir a ataques quânticos conhecidos e são utilizados como referência para segurança pós-quantum. A NIST recomenda diretamente em suas perguntas e respostas oficiais: “Não se deve dobrar o comprimento da chave AES para enfrentar a ameaça quântica.”
Filippo Valsorda recomenda finalmente que a única tarefa urgente na migração pós-quantum seja substituir a criptografia assimétrica vulnerável (como RSA, ECDSA). Gastar recursos limitados na atualização de chaves simétricas (por exemplo, de 128 bits para 256 bits) é desnecessário, distrai esforços e aumenta a complexidade do sistema e os custos de coordenação; o foco deve ser totalmente direcionado às partes que realmente precisam ser substituídas.