Phân Tích: Máy Tính Lượng Tử không đe dọa 128-bit Khóa Bí Mật Đối xứng, "Mật Mã Sau Lượng Tử" có sự hiểu lầm hoang mang

Tin BlockBeats, vào ngày 21 tháng 4, Kỹ sư mật mã Filippo Valsorda đã viết bài báo chứng minh rằng, ngay cả khi máy tính lượng tử trong thực tế phát triển theo tốc độ lý tưởng nhất, cũng không thể phá vỡ mã hóa đối xứng 128 bit trong tương lai có thể nhìn thấy, sự hoang mang về "mật mã sau lượng tử" hiện tại là một sự hiểu lầm hoang tưởng. Trong bài viết "Máy tính lượng tử không đe dọa khóa đối xứng 128 bit", ông cho biết rằng máy tính lượng tử không đe dọa khóa đối xứng 128 bit (như AES-128), ngành công nghiệp không cần nâng cấp độ dài khóa vì lí do này.

Filippo Valsorda chỉ ra rằng nhiều người lo lắng rằng máy tính lượng tử sẽ giảm nửa mức độ an toàn hiệu quả của khóa đối xứng thông qua thuật toán Grover, dẫn đến việc khóa 128 bit chỉ cung cấp 64 bit an toàn, điều này là sai lầm, sự hiểu lầm này bắt nguồn từ việc bỏ qua ràng buộc then chốt của thuật toán Grover trong cuộc tấn công thực tế. Vấn đề chính của thuật toán Grover là không thể hiệu quả hoàn toàn song song. Các bước của nó phải được thực hiện tuần tự, việc đưa ra song song mạnh mẽ sẽ tăng chi phí tính toán tổng cộng đột ngột. Ngay cả khi sử dụng máy tính lượng tử lý tưởng, tổng lượng tính toán cần thiết để phá một khóa AES-128 cũng là con số vô cùng lớn, cần khoảng 2¹⁰⁴·⁵ lần hoạt động, cao hơn hàng tỷ lần so với chi phí phá mã hóa hiện tại của các thuật toán mật mã không đối xứng, hoàn toàn không thực tế. Hiện nay, cơ quan tiêu chuẩn như NIST của Mỹ, BSI của Đức cũng như các chuyên gia về lượng tử mật mã đã thẳng thắn khẳng định rằng các thuật toán như AES-128 đủ để chống lại cuộc tấn công lượng tử đã biết và coi chúng như tiêu chuẩn an ninh sau lượng tử. NIST trong câu hỏi và trả lời chính thức thậm chí đã khuyên tránh "tăng đôi độ dài khóa AES để phòng tránh mối đe dọa từ lượng tử".

Filippo Valsorda cuối cùng đề xuất rằng, nhiệm vụ cấp bách duy nhất của việc di chuyển sang mật mã sau lượng tử hiện tại là thay thế các hệ mật mã không đối xứng dễ bị tấn công (như RSA, ECDSA). Sử dụng tài nguyên hạn chế để nâng cấp khóa đối xứng (ví dụ từ 128 bit lên 256 bit) là không cần thiết, sẽ phân tán sức mạnh, tăng sự phức tạp và chi phí điều phối của hệ thống, nên tập trung mạnh mẽ vào phần cần thay đổi thực sự.