分析：量子計算對128位對稱密鑰不構成威脅，「後量子密碼學」存在恐慌誤讀

BlockBeats 消息，4 月 21 日，密码学工程師 Filippo Valsorda 撰文論證，現實中的量子電腦即使按照最樂觀的發展速度，也無法在可預見未來破解 128 位對稱加密，當前的「後量子密碼學」存在恐慌誤讀。其在《量子電腦對 128 位對稱金鑰不構成威脅》中表示，量子電腦對 128 位對稱金鑰（如 AES-128）不構成實際威脅，業界無需為此升級金鑰長度。

Filippo Valsorda 指出，許多人擔心量子電腦會通過 Grover 演算法將對稱金鑰的有效安全強度「減半」，造成 128 位金鑰只提供 64 位安全性，這是錯誤的，該誤解源於忽略了 Grover 演算法在實際攻擊中的關鍵限制。Grover 演算法的主要問題是無法有效並行。其步驟必須串行執行，強行並行化會急劇增加總計算成本。即使使用理想化的量子電腦，破解一個 AES-128 金鑰所需的總計算量也是天文數字，大約需要約 2¹⁰⁴·⁵次操作，比破解當前非對稱加密演算法的成本高出數十億倍，完全不現實。目前美國 NIST、德國 BSI 等標準機構及量子密碼學專家均明確表示，AES-128 等演算法足以抵禦已知量子攻擊，並將其作為後量子安全的基準。NIST 在官方問答中直接建議「不應為應對量子威脅而加倍 AES 金鑰長度」。

Filippo Valsorda 最終建議，當前後量子遷移的唯一緊迫任務是替換易受攻擊的非對稱加密（如 RSA、ECDSA）。將有限資源用於升級對稱金鑰（如從 128 位升至 256 位）是不必要的，會分散精力、增加系統複雜性和協調成本，應全力聚焦於真正需要更換的部分。