AES 128은 양자컴퓨터 시대에도 안전하다
원제: Contrary to popular superstition, AES 128 is just fine in a post-quantum world
왜 중요한가
양자컴퓨터 시대 대비 암호화 표준 선택에 대한 업계 오해를 바로잡아 효율적인 보안 전환 전략 수립에 기여
암호 엔지니어 Filippo Valsorda가 양자컴퓨터가 AES 128의 보안 강도를 절반으로 줄인다는 널리 퍼진 오해를 반박했다. AES 128은 30년간 알려진 취약점이 없으며, 2^128개의 키 조합을 무작위 공격으로 깨려면 2026년 기준 전체 비트코인 채굴 자원을 동원해도 90억 년이 걸린다고 설명했다.
암호학 전문가 Filippo Valsorda는 양자컴퓨터가 AES 128 암호화의 위협이 된다는 일반적인 오해에 대해 반박하는 블로그 포스트를 발표했다. AES 128은 2001년 NIST가 공식 채택한 고급 암호화 표준(Advanced Encryption Standard)의 가장 널리 사용되는 변형으로, 30년간 알려진 취약점이 없다.
아마추어 암호학자들은 그로버 알고리즘(Grover's algorithm)을 잘못 해석해 암호학적으로 유용한 양자컴퓨터(CRQC)가 AES 128의 보안 강도를 2^64로 절반 줄인다고 주장해왔다. 하지만 Valsorda는 이것이 양자 알고리즘의 가속화에 대한 부정확한 해석이라고 지적했다.
핵심은 병렬화 방식의 차이다. 기존 컴퓨터는 여러 검색을 동시에 수행할 수 있어 작업을 작은 단위로 나누어 처리할 수 있지만, 그로버 알고리즘은 각 검색을 순차적으로 수행하는 장기간의 연속 계산이 필요하다. Valsorda는 "그로버 알고리즘을 병렬화할수록 비양자 알고리즘 대비 장점이 줄어든다"고 설명했다. 이러한 오해가 실제로 필요한 양자 이후 암호화 전환 작업에서 에너지와 관심을 분산시킬 위험이 있다고 경고했다.