量子计算与后量子密码学的误解：128位对称密钥的安全性分析

在当今的信息安全领域，量子计算机的潜在威胁一直是人们关注的焦点。特别是在密码学界，有一种声音认为，随着量子计算机技术的进步，现有的加密算法将不再安全。然而，最近的分析和研究指出，这种担忧可能源于对量子计算尤其是Grover算法的不准确理解，从而导致了所谓的「后量子密码学」恐慌误读。

4月21日，密码学工程师Filippo Valsorda在其文章《量子计算机对128位对称密钥不构成威胁》中提出了一系列有力的论点，反驳了关于量子计算机能够轻易破解128位对称加密的普遍担忧。Valsorda指出，尽管Grover算法理论上可以将对称密钥的安全强度减半，但在实际应用中却存在关键限制。最明显的限制是Grover算法无法有效并行执行其步骤，这导致即使是最乐观的量子计算机发展也无法在可预见的未来内实现对128位对称加密的有效破解。

Grover算法的一个核心问题在于其并行性的局限性。在实际攻击中，量子计算机的操作必须在特定的序列上进行，而试图强行并行化这些步骤会显著增加总体的计算成本。因此，即使假设存在能够完美执行Grover算法的量子计算机，破解一个128位AES密钥所需的计算量也将是一个天文数字——大约需要约2¹⁰⁴·⁵次操作。这一计算量远远超出了当前非对称加密算法如RSA和ECDSA的安全阈值，且成本之高是根本无法接受的。因此，从实际应用的角度来看，量子计算机对128位对称密钥构成的实际威胁并不存在。

这一观点得到了包括美国NIST、德国BSI等在内的多个国际标准机构的认可。这些机构明确表示，像AES-128这样的算法足以抵御已知的量子攻击，并且将其作为后量子安全的基准。例如，美国国家标准与技术研究院（NIST）在其官方问答中直接建议“不应为应对量子威胁而加倍AES密钥长度”，这一立场无疑对业界发出了明确的信号。

Valsorda的最终建议是，当前后量子迁移的唯一紧迫任务是替换那些易受攻击的非对称加密算法，如RSA和ECDSA。将有限的资源用于升级对称密钥（如从128位升至256位）是不必要的，这不仅会分散精力、增加系统复杂性，还会增加协调成本。因此，正确的策略应该是集中资源和注意力在真正需要更换的部分，以确保整个系统的安全性不受量子计算技术发展的影响。

总结来说，Filippo Valsorda的论点为我们提供了一个清晰的认识：128位对称密钥在可预见的未来内是安全的，并且对量子计算威胁的恐慌误读需要得到纠正。后量子密码学的研究和实践应该基于这一科学依据和现实考量，以确保信息安全技术的稳健性和前瞻性。