量子コンピュータ時代でもAES128は安全、専門家が誤解を指摘
原題: Contrary to popular superstition, AES 128 is just fine in a post-quantum world
なぜ重要か
ポスト量子暗号への移行において正確な理解が重要で、AES128の継続使用可能性は企業の暗号化戦略に大きな影響を与える
暗号技術者のFilippo Valsordaが、量子コンピュータの脅威によりAES128の安全性が半減するという広く信じられている誤解を否定した。Groverアルゴリズムの並列化制限により、実際の脅威は理論値より大幅に小さいと説明。現在のビットコイン採掘リソース全体を使っても90億年かかる強度を維持すると主張している。
暗号技術エンジニアのFilippo Valsordaは、量子コンピュータがAES128暗号の脅威となるという一般的な誤解に対して反論した。AES128は2001年にNISTが正式採用したAdvanced Encryption Standardの最も広く使用される形式で、30年間既知の脆弱性がない。ブルートフォース攻撃が唯一の破り方とされ、2^128または3.4×10^38の鍵の組み合わせを持つため、2026年時点のビットコイン採掘リソース全体を使っても約90億年かかる計算となる。しかし過去10年間、アマチュア暗号学者らがGroverアルゴリズムを引用し、暗号学的に有用な量子コンピュータ(CRQC)の登場でAES128の有効強度が2^64に半減すると主張してきた。Valsordaはブログ投稿で「量子コンピュータは128ビット対称鍵の脅威ではない」と題し、この誤解を否定した。彼は古典コンピュータが並列検索を行えるのに対し、Groverアルゴリズムは一つずつ順次実行する長時間のシリアル計算が必要だと説明。並列化するとGroverアルゴリズムの量子でない従来アルゴリズムに対する優位性が小さくなると指摘し、この根本的な違いが誤解の原因だとしている。