AES 128暗号は量子コンピュータ時代でも安全
原題: Contrary to popular superstition, AES 128 is just fine in a post-quantum world
なぜ重要か
量子コンピュータ時代の暗号化標準について正しい理解を促進し、過度な対策による無駄なリソース消費を防ぐ重要な指摘
暗号技術者のFilippo Valsordaが、量子コンピュータの脅威でAES 128の安全性が半減するという誤解を否定した。Grover's algorithmは並列処理時に優位性が縮小するため、AES 128は量子コンピュータ時代でも十分に安全で、256ビット鍵への移行は不要と説明している。
暗号技術者のFilippo Valsordaは、量子コンピュータの登場によりAES 128の安全性が脅かされるという広く信じられている誤解について反論した。AES 128は2001年にNISTが正式採用したAdvanced Encryption Standardの最も広く使用される形式で、30年間既知の脆弱性はない。総当たり攻撃には2^128通りの鍵の組み合わせがあり、2026年時点のビットコイン採掘リソース全体を使用しても破るのに約90億年かかる。
アマチュア暗号学者らは、量子コンピュータのGrover's algorithmによりAES 128の有効強度が2^64に半減すると主張してきた。しかしValsordaは、これが誤解であると説明する。古典コンピュータは複数の検索を同時に実行できる並列処理が可能だが、Grover's algorithmは逐次計算を必要とし、各検索を一度に一つずつ行う。
Valsordaは「Groverの特徴は、並列化するほど非量子アルゴリズムに対する優位性が小さくなることだ」と述べている。量子コンピュータはビットコインASICクラスターのように動作できず、アマチュアが想定するような並列処理はできない。このため、256ビット鍵への移行は不要であり、本当に必要な量子耐性への移行作業からエネルギーと注意を逸らすリスクがあると警告している。