密码学工程师:量子计算对128位对称密钥的威胁被高估,后量子迁移重点应在非对称加密
密码学工程师 Filippo Valsorda 发文指出,Grover 算法因无法有效并行而对 AES-128 构成的实际威胁远低于普遍认知,NIST 与 BSI 等机构的立场与此一致。
密码学工程师 Filippo Valsorda 于4月21日发表技术文章,对后量子密码学讨论中一个常见误读提出异议。
该误读的核心是:Grover 算法可将对称密钥的有效安全强度减半,从而使128位密钥仅剩64位安全性。Valsorda 认为这一判断忽略了 Grover 算法在实际攻击场景中的关键约束——其计算步骤必须串行执行,无法有效并行化。若强行并行,总计算成本会急剧上升。
基于此,Valsorda 估算使用理想化量子计算机破解一个 AES-128 密钥约需 2^104.5 次操作(具体计算模型未在公开素材中详述)。他同时指出,美国 NIST 和德国 BSI 均将 AES-128 列为后量子安全基准,NIST 在官方问答中也明确建议不必为应对量子威胁而加倍 AES 密钥长度。
在迁移优先级上,Valsorda 认为当前后量子工作的紧迫任务是替换 RSA、ECDSA 等非对称加密算法,而非将资源投入对称密钥升级。他认为后者会增加系统复杂性与协调成本,且收益有限。
解读
这篇文章的实际意义在于为工程团队提供优先级参考:在后量子迁移资源有限的情况下,非对称加密的替换(如迁移至抗量子签名方案)比提升对称密钥长度更具紧迫性。值得注意的是,Valsorda 的估算数据来源及计算模型在现有素材中未完整呈现,其「数十亿倍」的对比表述也缺乏具体来源支撑,读者可参阅原文进行独立核实。对于区块链与加密货币领域而言,ECDSA 签名方案的后量子替换路径比对称加密层面的调整更值得关注。
相关币种
- 未绑定币种