分析：量子計算對128位對稱密鑰不構成威脅，「後量子密碼學」存在恐慌誤讀

火星財經消息，4 月 21 日，密碼學工程師 Filippo Valsorda 撰文論證，現實中的量子計算機即使按照最樂觀的發展速度，也無法在可預見未來破解 128 位對稱加密，當前的「後量子密碼學」存在恐慌誤讀。其在《量子計算機對 128 位對稱密鑰不構成威脅》中表示，量子計算機對 128 位對稱密鑰（如 AES-128）不構成實際威脅，業界無需為此升級密鑰長度。 Filippo Valsorda 指出，許多人擔心量子計算機會通過 Grover 算法將對稱密鑰的有效安全強度「減半」，造成 128 位密鑰只提供 64 位安全性，這是錯誤的，該誤解源於忽略了 Grover 算法在實際攻擊中的關鍵限制。Grover 算法的主要問題是無法有效並行。其步驟必須串行執行，強行並行化會急劇增加總計算成本。即使使用理想化的量子計算機，破解一個 AES-128 密鑰所需的總計算量也是天文數字，大約需要約 2¹⁰⁴·⁵ 次操作，比破解當前非對稱加密算法的成本高出數十億倍，完全不現實。目前美國 NIST、德國 BSI 等標準機構及量子密碼學專家均明確表示，AES-128 等算法足以抵禦已知量子攻擊，並將其作為後量子安全的基準。NIST 在官方問答中直接建議「不應為應對量子威脅而加倍 AES 密鑰長度」。 Filippo Valsorda 最終建議，當前後量子遷移的唯一緊迫任務是替換易受攻擊的非對稱加密（如 RSA、ECDSA）。將有限資源用於升級對稱密鑰（如從 128 位升至 256 位）是不必要的，會分散精力、增加系統複雜性和協調成本，應全力聚焦於真正需要更換的部分。