分析：量子计算对128位对称密钥不构成威胁，“后量子密码学”存在恐慌误读

　　消息，4 月 21 日，密码学工程师 Filippo Valsorda 撰文论证，现实中的量子计算机即使按照最乐观的发展速度，也无法在可预见未来破解 128 位对称加密，当前的「后量子密码学」存在恐慌误读。其在《量子计算机对 128 位对称密钥不构成威胁》中表示，量子计算机对 128 位对称密钥不构成实际威胁，业界无需为此升级密钥长度。Filippo Valsorda 指出，许多人担心量子计算机会通过 Grover 算法将对称密钥的有效安全强度「减半」，造成 128 位密钥只提供 64 位安全性，这是错误的，该误解源于忽略了 Grover 算法在实际攻击中的关键限制。Grover 算法的主要问题是无法有效并行。其步骤必须串行执行，强行并行化会急剧增加总计算成本。即使使用理想化的量子计算机，破解一个 AES-128 密钥所需的总计算量也是天文数字，大约需要约 2¹⁰⁴·⁵次操作，比破解当前非对称加密算法的成本高出数十亿倍，完全不现实。目前美国 NIST、德国 BSI 等标准机构及量子密码学专家均明确表示，AES-128 等算法足以抵御已知量子攻击，并将其作为后量子安全的基准。NIST 在官方问答中直接建议「不应为应对量子威胁而加倍 AES 密钥长度」。Filippo Valsorda 最终建议，当前后量子迁移的唯一紧迫任务是替换易受攻击的非对称加密。将有限资源用于升级对称密钥是不必要的，会分散精力、增加系统复杂性和协调成本，应全力聚焦于真正需要更换的部分。