**BlockBeats 消息(4 月 21 日)**
密码学工程师 **Filippo Valsorda** 撰文指出:现实中的量子计算机——即便按最乐观的发展速度——在可预见未来也**无法破解 128 位对称加密**。他认为,当前所谓“后量子密码学”的恐慌很大程度来自**误读**。
—
## 量子计算机不构成 AES-128 现实威胁?
Valsorda 在文章《**量子计算机对 128 位对称密钥不构成威胁**》中明确表示:
对 **128 位对称密钥**(例如 **AES-128**)而言,量子计算机**不会带来足以在现实中威胁安全性的攻击能力**。因此,业界不需要因为量子因素而仓促进行密钥长度升级。
—
## “Grover 让安全强度减半”的担忧是怎么来的?
不少人担心:量子计算机可借助 **Grover 算法**,将对称密钥的有效安全强度“减半”,从而导致 **128 位密钥等同于仅有 64 位安全性**。
但这类担忧被他指认为**错误解读**,核心原因是忽略了 Grover 算法在实际攻击中的关键限制。
—
## Grover 的关键问题:难以有效并行
Valsorda 解释,Grover 算法的主要难点之一在于:
– 它的流程本质上需要**串行执行**;
– 如果试图“硬并行化”,总计算成本会**急剧上升**。
在理想化条件下,破解一个 **AES-128** 密钥所需的总计算量仍然会达到**天文数字**:
约 **2¹⁰⁴·⁵次操作**。这不仅不现实,且与破解当前非对称加密算法的成本相比,差距达到**数十亿倍**。
—
## 标准机构与专家共识:AES-128 够用
他补充指出:
包括 **美国 NIST**、德国 **BSI** 等标准机构,以及量子密码学领域的多位专家,都已明确表示——**AES-128 等算法足以抵御已知量子攻击**,并被作为后量子安全的关键基准。
例如,NIST 在官方问答中直接建议:
> **不应为应对量子威胁而加倍 AES 密钥长度。**
—
## 真正紧迫的迁移方向:先换易受攻击的非对称
在结论部分,Valsorda 给出了更具行动性的建议:
当前后量子迁移的**唯一紧迫任务**,是替换那些更容易受到量子威胁的**非对称加密**方案,例如 **RSA、ECDSA**。
相对而言,把有限资源投入到对称密钥升级(如从 **128 位**升级到 **256 位**)并不必要:
– 可能分散有限精力
– 增加系统复杂性
– 提升迁移与协调成本
应将资源集中到**真正需要更换的部分**,而不是陷入对对称加密的“过度担忧”。
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/172888/
