火星财经のニュースによると、4月21日、暗号学エンジニアの Filippo Valsorda は、現実の量子コンピュータは最も楽観的な進展速度に従っても、予見可能な未来において128ビット対称暗号を解読できないと論証し、「ポスト量子暗号学」における恐慌的誤解を指摘した。彼は「量子コンピュータは128ビット対称鍵に脅威をもたらさない」との論文で述べており、業界はこれにより鍵長のアップグレードを必要としないとした。 Filippo Valsorda は、多くの人が量子コンピュータがGroverのアルゴリズムを通じて対称鍵の実効安全性を「半減」させ、128ビット鍵が64ビットの安全性しか提供しなくなると懸念していることは誤りだと指摘している。この誤解は、Groverのアルゴリズムの実際の攻撃における重要な制約を無視していることに起因する。Groverのアルゴリズムの最大の問題は、効果的に並列化できない点だ。ステップは逐次実行しなければならず、無理に並列化すると総計算コストが急激に増加する。理想的な量子コンピュータを用いた場合でも、AES-128の鍵を解読するのに必要な総計算量は天文学的な数字となり、約2¹⁰⁴・⁵回の操作を要し、現在の非対称暗号の解読コストの数十億倍に相当し、現実的ではない。現在、米国NISTやドイツのBSIなどの標準機関や量子暗号学の専門家は、AES-128などのアルゴリズムは既知の量子攻撃に耐性があり、ポスト量子安全性の基準として十分であると明確に示している。NISTは公式Q&Aで、「量子の脅威に対処するためにAES鍵長を倍増すべきではない」と直接推奨している。 Filippo Valsordaは最終的に、ポスト量子移行において唯一緊急性のある課題は、RSAやECDSAなどの脆弱な非対称暗号の置き換えであると提言した。有限資源を対称鍵のアップグレード(例:128ビットから256ビットへ)に充てることは不要であり、注意散漫やシステムの複雑化、調整コストを増やすだけであり、実際に置き換える必要のある部分に集中すべきだと結論付けている。
分析:量子計算對128位對稱密鑰不構成威脅,「後量子密碼學」存在恐慌誤讀
火星财经のニュースによると、4月21日、暗号学エンジニアの Filippo Valsorda は、現実の量子コンピュータは最も楽観的な進展速度に従っても、予見可能な未来において128ビット対称暗号を解読できないと論証し、「ポスト量子暗号学」における恐慌的誤解を指摘した。彼は「量子コンピュータは128ビット対称鍵に脅威をもたらさない」との論文で述べており、業界はこれにより鍵長のアップグレードを必要としないとした。 Filippo Valsorda は、多くの人が量子コンピュータがGroverのアルゴリズムを通じて対称鍵の実効安全性を「半減」させ、128ビット鍵が64ビットの安全性しか提供しなくなると懸念していることは誤りだと指摘している。この誤解は、Groverのアルゴリズムの実際の攻撃における重要な制約を無視していることに起因する。Groverのアルゴリズムの最大の問題は、効果的に並列化できない点だ。ステップは逐次実行しなければならず、無理に並列化すると総計算コストが急激に増加する。理想的な量子コンピュータを用いた場合でも、AES-128の鍵を解読するのに必要な総計算量は天文学的な数字となり、約2¹⁰⁴・⁵回の操作を要し、現在の非対称暗号の解読コストの数十億倍に相当し、現実的ではない。現在、米国NISTやドイツのBSIなどの標準機関や量子暗号学の専門家は、AES-128などのアルゴリズムは既知の量子攻撃に耐性があり、ポスト量子安全性の基準として十分であると明確に示している。NISTは公式Q&Aで、「量子の脅威に対処するためにAES鍵長を倍増すべきではない」と直接推奨している。 Filippo Valsordaは最終的に、ポスト量子移行において唯一緊急性のある課題は、RSAやECDSAなどの脆弱な非対称暗号の置き換えであると提言した。有限資源を対称鍵のアップグレード(例:128ビットから256ビットへ)に充てることは不要であり、注意散漫やシステムの複雑化、調整コストを増やすだけであり、実際に置き換える必要のある部分に集中すべきだと結論付けている。