密码学工程师 Filippo Valsorda 撰文指出,即使量子计算机按最乐观速度发展,在可预见的未来也无法破解128位对称加密(如AES-128),当前对“后量子密码学”的恐慌存在误读。
核心误解:Grover算法的实际限制
常见的误解是,量子计算机通过Grover算法能将对称密钥的安全强度“减半”(如128位降至64位)。这忽略了该算法的关键限制:其步骤必须串行执行,强行并行化会急剧增加总计算成本。
实际攻击成本是天文数字
即使使用理想化的量子计算机,破解一个AES-128密钥也需要约2¹⁰⁴·⁵次操作。这个计算量比破解当前非对称加密算法的成本高出数十亿倍,完全不现实。
官方机构建议
美国NIST、德国BSI等标准机构及量子密码学专家均确认,AES-128足以抵御已知量子攻击,并将其作为后量子安全的基准。NIST明确建议不应为应对量子威胁而加倍AES密钥长度。
当前迁移的优先项
后量子迁移唯一紧迫的任务是替换易受攻击的非对称加密算法(如RSA、ECDSA)。将资源用于升级对称密钥长度(如从128位升至256位)是不必要的,这会分散精力并增加系统复杂性。应全力聚焦于真正需要更换的部分。
