量子计算不会威胁AES-128 专家称后量子恐慌被夸大
近日,密码学工程师Filippo Valsorda发表长文,对当前围绕量子计算与加密安全的讨论提出了较为直接的反驳。他认为,现实中的量子计算机在可预见的未来,并不足以对128位对称加密构成实际威胁,当前部分“后量子密码学”讨论存在明显的恐慌性误读。
在文章《量子计算机对128位对称密钥不构成威胁》中,他重点讨论了AES-128的安全性问题。该算法作为目前广泛使用的对称加密标准之一,被认为在数据保护、通信安全等领域具有极高强度。
围绕量子计算的担忧主要来源于Grover algorithm。外界普遍存在一种说法,即该算法可能将对称密钥的安全强度“减半”,例如128位密钥等效下降为64位,从而使现有加密体系变得不安全。但Filippo Valsorda指出,这种理解忽略了算法在真实攻击环境中的关键限制。
他解释称,Grover算法在执行过程中存在一个核心问题,即无法高效并行化。其计算步骤必须按顺序执行,一旦尝试并行处理,整体计算成本反而会大幅上升。这意味着,在理论模型之外,实际攻击效率远低于外界想象。
在极端理想化条件下,即便使用高度先进的量子计算机,破解AES-128所需的计算量依然极其庞大,约为2¹⁰⁴.⁵次操作。这一数字不仅远超现实可实现范围,也比攻击当前主流非对称加密系统的成本高出数十亿倍。
这一观点也得到了部分权威机构的支持。例如美国国家标准与技术研究院(NIST)以及德国联邦信息安全办公室(BSI)均表示,AES-128在面对已知量子攻击模型时仍然是安全的,并未建议因量子威胁而提升密钥长度。
NIST甚至在官方问答中明确指出,不应为了应对量子计算风险而简单增加AES密钥长度,例如从128位升级到256位。这种做法不仅收益有限,还可能带来系统复杂性上升与兼容性问题。
在后量子密码学迁移问题上,Filippo Valsorda提出更清晰的优先级。他认为当前真正需要优先处理的是非对称加密体系,例如RSA与ECDSA,这些算法在理论上更容易受到量子算法影响。而对称加密体系,如AES-128,则并不是紧迫的迁移目标。
他同时警告,如果将过多资源投入到不必要的对称密钥升级上,可能会分散行业注意力,增加系统迁移成本,并延缓真正关键的安全升级进程。
总体来看,这一观点为当前围绕量子安全的讨论提供了一个相对冷静的视角。在大量关于“量子威胁迫近”的声音中,Filippo Valsorda强调的核心逻辑是:安全升级应基于现实威胁模型,而不是理论上的极端假设。