量子コンピュータは128ビット対称鍵の脅威にならない

記事

• Filippo Valsordaは、Groverのアルゴリズムによって128ビット対称鍵が危殆化するわけではないと論じています。
• Groverは理論上、有効鍵長を半分にしますが、量子並列化による速度向上は限定的です。
• AES-128への実際の量子攻撃には、非現実的な時間またはリソースが必要になります。
• Shorアルゴリズム（非対称暗号への脅威）は本物ですが、Grover（対称暗号への脅威）は大幅に誇張されています。

ディスカッション

• @Strilanc（量子研究者）：この主張は完全に正しく、専門家の間では広く知られているものの、一般には過小評価されていると指摘。
• コメント欄では、RSA・ECCはShorアルゴリズムに対して本当に脆弱である一方、対称鍵はそうではないという点が共有されています。
• WPA3がAESからECDH（楕円曲線ディフィー・ヘルマン鍵交換）へ移行したことが、IoTデバイスの将来的なeウェイスト問題になりうると指摘されています。
• 非対称暗号スキームに対する現実的な緩和策として、積極的な鍵ローテーションが提案されています。

HN（Hacker News、技術系Q&Aコミュニティ）で議論を読む

原文（英語）: Quantum Computers Are Not a Threat to 128-Bit Symmetric Keys