量子计算并不会让AES 128加密失效，误解需要澄清

随着量子计算对主流加密技术的潜在威胁引发越来越多的关注，密码学工程师菲利波·瓦尔索尔达（Filippo Valsorda）想要明确一件事：与那些长期流传的错误认知恰恰相反，AES 128在后量子时代依然完全可靠。

AES 128是高级加密标准（AES）中应用最广泛的变体，这是一种分组密码套件，于2001年由美国国家标准与技术研究院（NIST）正式采纳。虽然该规范支持192位和256位的密钥长度，但AES 128长期以来被视为最优选择，因为它在计算资源消耗与安全性之间取得了理想的平衡。在其近三十年的应用历史中，从未发现任何已知漏洞，暴力破解是目前唯一已知的攻击方式。由于存在2的128次方（约3.4×10的38次方）种可能的密钥组合，即便调用2026年全球比特币挖矿的全部算力，完成一次暴力破解也需要约90亿年。

然而过去十年里，这种公众信心悄然发生了动摇。一些业余密码学爱好者和数学爱好者对一组名为"格罗弗算法"（Grover's algorithm）的方程进行了曲解，并据此宣称：一旦具有密码学意义的量子计算机（CRQC）问世，AES 128就将走向终结。他们声称，CRQC将把AES 128的有效安全强度减半，降至仅64位。如果这一说法成立，相同的比特币挖矿算力将能在不到一秒内完成暴力破解（此处仅作类比说明；CRQC几乎不可能像比特币ASIC矿机集群那样运行，更重要的是，它无法像这些业余人士所假设的那样对工作负载进行并行处理）。

日前，瓦尔索尔达将多年来对这一广泛误解的积郁，化为一篇题为《量子计算机不会对128位对称密钥构成威胁》的博文。

他写道："有一种常见的误解认为，量子计算机将'减半'对称密钥的安全性，因此需要使用256位密钥才能获得128位的安全强度。这既不是对量子算法加速能力的准确理解，也未被任何合规标准所采纳，还可能分散本应用于真正必要的后量子迁移工作的精力与资源。"

这是论点中容易理解的部分。更难的是背后的数学与物理原理。从本质上说，这归结为一个根本性的差异：暴力搜索在经典计算机上的运作方式，与在格罗弗算法下的运作方式截然不同。经典计算机可以同时执行多个搜索任务，这种并行能力允许将大任务拆分为若干小块，从而更快地完成整体工作。而格罗弗算法则要求进行一种长时间的串行计算，每次搜索必须逐一完成。

"格罗弗算法的特别之处在于：当你对它进行并行化处理时，它相对于非量子算法的优势会不断缩小。"瓦尔索尔达在接受采访时解释道：

用小数字来想象这个问题：假设一把锁有256种可能的组合，普通攻击需要尝试256次。如果你觉得太慢，叫上三个朋友，每人各试64次，这就是经典的并行化方式。使用格罗弗算法，理论上你只需连续尝试√256=16次，但如果你仍觉得太慢，再叫上三个朋友帮忙，那每人只需尝试√(256/4)=8次。这样总共需要尝试8×4=32次，反而多于你独自完成的16次！寻求帮助来并行化攻击，反而让整体攻击变慢了，这与经典攻击的情况完全相反。

当然，实际数字远比这个大，但如果我们对攻击者施加任何合理的限制（比如必须在10年内完成），那么总工作量将远远超过2的64次方。

此外，64位本就不是一个正确的数字，因为这一说法假设你可以将AES作为单次操作在单个量子比特上完成，而这本身就是一种偏差。将以上两点综合考量，实际破解成本大约在2的104次方左右，这远远超出了安全性的门槛。

谷歌高级密码学工程师苏菲·施米格（Sophie Schmieg）对此也给出了自己的解释：格罗弗算法确实在理论上提供了量子加速，但这种加速并不像人们通常理解的那样可以无限叠加。当考虑到实际的物理约束——例如量子计算机的运行时间限制和并行计算的内在限制——AES 128所提供的安全强度依然稳固，远未达到需要被淘汰的程度。

Q&A

Q1：AES 128在后量子时代真的安全吗？

A：是的，AES 128在后量子时代依然安全。密码学工程师菲利波·瓦尔索尔达指出，长期流传的"量子计算机会将AES 128安全强度减半至64位"的说法，是对格罗弗算法的错误解读。由于格罗弗算法无法像经典计算机那样有效并行化——并行化反而会削弱其优势——加上AES并非单一量子操作可完成，实际破解成本约在2的104次方左右，远超安全门槛，因此AES 128目前无需升级。

Q2：格罗弗算法为什么不能有效破解AES 128？

A：格罗弗算法的核心局限在于它是一种串行计算，每次搜索必须逐一进行。当试图通过增加量子计算资源来并行化时，算法相对于经典算法的优势反而会缩小。此外，将AES视为可在单个量子比特上完成单次操作的假设本身就不成立。综合这两个因素，用量子计算机暴力破解AES 128的实际成本远高于理论上的2的64次方，约达2的104次方。

Q3：企业是否需要立即将加密标准从AES 128升级到AES 256？

A：根据目前的分析，不需要。没有任何合规标准要求因量子威胁而将AES 128强制升级至AES 256。相反，密码学专家建议将精力集中在真正必要的后量子迁移工作上，例如针对非对称加密算法（如RSA）的替换，而非将资源浪费在对AES 128这类对称加密标准的不必要升级上。