Анализ: квантовые вычисления не представляют угрозы для 128-битных симметричных ключей, паника вокруг «постквантовой криптографии» является неправильным восприятием.

Мартовские новости, 21 апреля, криптографический инженер Filippo Valsorda опубликовал статью, в которой аргументирует, что даже при самом оптимистичном развитии событий современные квантовые компьютеры не смогут взломать 128-битное симметричное шифрование в обозримом будущем, и текущая «постквантовая криптография» является паникой с ошибочным пониманием. В статье «Квантовые компьютеры не представляют угрозы для 128-битных симметричных ключей» он отмечает, что квантовые компьютеры не представляют реальной угрозы для 128-битных симметричных ключей (например, AES-128), и индустрия не нуждается в увеличении длины ключа. Filippo Valsorda указывает, что многие опасаются, что квантовые компьютеры с помощью алгоритма Гровера снизят эффективную безопасность симметричных ключей «вдвое», делая 128-битный ключ только 64-битной защитой, что является ошибкой; это недоразумение возникает из-за игнорирования ключевых ограничений алгоритма Гровера в реальных атаках. Основная проблема алгоритма Гровера — невозможность эффективного параллелизма. Его шаги должны выполняться последовательно, а принудительный параллелизм резко увеличит общие вычислительные затраты. Даже при использовании идеализированного квантового компьютера, взлом 128-битного ключа AES потребует астрономического количества операций — примерно 2¹⁰⁴·⁵, что в десятки миллиардов раз дороже, чем взлом текущих асимметричных алгоритмов, и полностью нереально. В настоящее время стандартизирующие организации, такие как NIST в США, BSI в Германии, а также эксперты по квантовой криптографии ясно заявляют, что алгоритмы вроде AES-128 достаточно устойчивы к известным квантовым атакам и служат эталоном постквантовой безопасности. В официальных ответах NIST прямо советуют «не удваивать длину ключа AES в ответ на квантовые угрозы». Filippo Valsorda в конечном итоге рекомендует, что единственной срочной задачей при переходе к постквантовой криптографии является замена уязвимых асимметричных алгоритмов (таких как RSA, ECDSA). Использование ограниченных ресурсов для увеличения длины симметричных ключей (например, с 128 до 256 бит) считается ненужным, отвлекает внимание, усложняет системы и увеличивает затраты на координацию, поэтому следует сосредоточиться на действительно нуждающихся в замене компонентах.