分析:量子計算對128位對稱密鑰不構成威脅,「後量子密碼學」存在恐慌誤讀
量子計算機對128位對稱密鑰不構成實際威脅
密碼學工程師 Filippo Valsorda 撰文論證,現實中的量子計算機即使按照最樂觀的發展速度,也無法在可預見未來破解 128 位對稱加密。其在《量子計算機對 128 位對稱密鑰不構成威脅》中表示,量子計算機對 128 位對稱密鑰(如 AES-128)不構成實際威脅,業界無需為此升級密鑰長度。
關於Grover算法的誤解
Filippo Valsorda 指出,許多人擔心量子計算機會通過 Grover 算法將對稱密鑰的有效安全強度「減半」,造成 128 位密鑰只提供 64 位安全性,這是錯誤的。該誤解源於忽略了 Grover 算法在實際攻擊中的關鍵限制。Grover 算法的主要問題是無法有效並行,其步驟必須串行執行,強行並行化會急劇增加總計算成本。即使使用理想化的量子計算機,破解一個 AES-128 密鑰所需的總計算量也是天文數字,大約需要約 2¹⁰⁴·⁵ 次操作,比破解當前非對稱加密算法的成本高出數十億倍,完全不現實。
權威機構支持AES-128的安全性
目前美國 NIST、德國 BSI 等標準機構及量子密碼學專家均明確表示,AES-128 等算法足以抵禦已知量子攻擊,並將其作為後量子安全的基準。NIST 在官方問答中直接建議「不應為應對量子威脅而加倍 AES 密鑰長度」。
後量子遷移的重點建議
Filippo Valsorda 最終建議,當前後量子遷移的唯一緊迫任務是替換易受攻擊的非對稱加密(如 RSA、ECDSA)。將有限資源用於升級對稱密鑰(如從 128 位升至 256 位)是不必要的,會分散精力、增加系統複雜性和協調成本,應全力聚焦於真正需要更換的部分。