BlockBeats 消息,4 月 21 日,密碼學工程師 Filippo Valsorda 撰文論證,現實中的量子電腦即使按照最樂觀的發展速度,也無法在可預見的未來破解 128 位對稱加密,當前的「後量子密碼學」存在恐慌誤讀。其在《量子電腦對 128 位對稱密鑰不構成威脅》中表示,量子電腦對 128 位對稱密鑰(如 AES-128)不構成實際威脅,業界無需為此升級密鑰長度。
Filippo Valsorda 指出,許多人擔心量子電腦會透過 Grover 算法將對稱密鑰的有效安全強度「減半」,導致 128 位密鑰僅提供 64 位安全性,這是錯誤的;此誤解源於忽略了 Grover 算法在實際攻擊中的關鍵限制。Grover 算法的主要問題在於無法有效並行化,其步驟必須串行執行,強行並行化會急劇增加總計算成本。即使使用理想化的量子電腦,破解一個 AES-128 密鑰所需的總計算量也是天文數字,大約需要約 2¹⁰⁴·⁵ 次操作,比破解當前非對稱加密算法的成本高出數十億倍,完全不切實際。目前美國 NIST、德國 BSI 等標準機構及量子密碼學專家均明確表示,AES-128 等算法足以抵禦已知的量子攻擊,並以其作為後量子安全的基準。NIST 在官方問答中直接建議「不應為應對量子威脅而加倍 AES 密鑰長度」。
Filippo Valsorda 最終建議,當前後量子遷移的唯一緊迫任務是替換易受攻擊的非對稱加密(如 RSA、ECDSA)。將有限資源用於升級對稱密鑰(如從 128 位升至 256 位)是不必要的,會分散精力、增加系統複雜性和協調成本,應全力聚焦於真正需要更換的部分。