AES 128, 양자컴퓨터 시대에도 안전
원제: Contrary to popular superstition, AES 128 is just fine in a post-quantum world
왜 중요한가
포스트 양자 암호화 전환 작업에서 실제 필요한 부분에 집중할 수 있도록 하는 중요한 기술적 명확화
암호화 엔지니어 Filippo Valsorda가 양자컴퓨터가 AES 128 암호화를 절반으로 약화시킨다는 일반적인 오해를 반박했다. Grover 알고리즘의 병렬화 한계로 인해 AES 128은 양자컴퓨터 시대에도 여전히 안전하다고 설명했다.
NIST가 2001년 공식 채택한 Advanced Encryption Standard의 가장 널리 사용되는 버전인 AES 128에 대한 오해가 확산되고 있다. 지난 10년간 아마추어 암호학자들이 Grover 알고리즘을 잘못 해석하여 암호학적으로 관련된 양자컴퓨터(CRQC)가 AES 128의 유효 강도를 2^64로 절반 감소시킬 것이라고 주장해왔다. 그러나 Valsorda는 이것이 근본적인 오해라고 지적했다. 고전적 컴퓨터는 여러 검색을 동시에 수행할 수 있어 작업을 작은 조각으로 나누어 처리할 수 있지만, Grover 알고리즘은 각 검색을 순차적으로 수행하는 긴 직렬 계산이 필요하다. Valsorda는 "Grover 알고리즘을 병렬화할수록 비양자 알고리즘에 대한 이점이 작아진다"고 설명했다. 현재 AES 128은 2^128 또는 3.4×10^38개의 키 조합을 가지고 있으며, 2026년 기준 전체 비트코인 채굴 자원을 사용해도 무차별 공격에는 약 90억 년이 소요된다. 30년간 알려진 취약점이 없는 AES 128은 여전히 양자컴퓨터 시대에도 안전하다는 것이 그의 주장이다.