Купон на скидку: 2026
С ростом внимания к угрозе, которую квантовые вычисления представляют для некоторых из наиболее важных и широко используемых форм шифрования, инженер-криптограф Филиппо Вальсорда хочет прояснить одну вещь: вопреки популярному мифу, который никак не исчезнет, AES 128 вполне подходит для постквантового мира. AES 128 является наиболее широко используемым вариантом стандарта шифрования Advanced Encryption Standard, который был официально принят NIST в 2001 году. Хотя спецификация допускает использование ключей размером 192 и 256 бит, AES 128 считался предпочтительным, так как он обеспечивает оптимальный баланс между необходимыми вычислительными ресурсами и уровнем безопасности. За 30 лет его существования не было обнаружено уязвимостей, и единственным известным способом его взлома является атака методом полного перебора. С 2^128 или 3,4 x 10^38 возможными комбинациями ключей такая атака заняла бы около 9 миллиардов лет при использовании всех ресурсов для майнинга биткоинов по состоянию на 2026 год.
Ситуация сводится к параллелизации. За последнее десятилетие произошло нечто интересное с этой общественной уверенностью. Любители криптографии и математики исказили ряд уравнений, известных как алгоритм Гровера, чтобы заявить о кончине AES 128 после появления криптографически значимого квантового компьютера (CRQC). Они утверждали, что CRQC уменьшит эффективную стойкость до всего лишь 2^64, что является достаточно малым числом, чтобы—если это правда—позволить тем же ресурсам для майнинга биткоинов взломать его менее чем за секунду (это сравнение приведено исключительно для иллюстрации; CRQC почти наверняка не сможет работать как кластеры ASIC для майнинга биткоинов и, что более важно, не сможет параллелизировать рабочую нагрузку так, как предполагают любители).
Однако, Вальсорда подчеркивает, что эти предположения неверны. Квантовые компьютеры не могут выполнять задачи параллельно, как это делают традиционные компьютеры с несколькими процессорами. Более того, даже если бы CRQC смог бы уменьшить стойкость AES 128 до 2^64, это все равно было бы достаточно безопасно для большинства практических применений. Таким образом, несмотря на опасения, AES 128 остается надежным выбором для шифрования в постквантовом мире.