Kvantni računalniki ne ogrožajo 128-bitnih simetričnih ključev

Apr 21, 2026 | Varnost

Splošno prepričanje, da moramo simetrične ključe podvojiti (npr. preiti z AES-128 na AES-256) zaradi kvantne grožnje, ni tehnično utemeljeno. Prava nujnost post-kvantnega prehoda zadeva izključno asimetrično kriptografijo (RSA, ECDH, digitalni podpisi), ki je ranljiva na Shorjev algoritem. Vsa prizadevanja naj se osredotočijo tja, medtem ko simetrični podsistemi ostanejo nespremenjeni.

VIR: https://words.filippo.io/128-bits/

BISTVO

  • AES-128, SHA-256 in drugi simetrični algoritmi so varni pred kvantnimi računalniki in ne zahtevajo sprememb v okviru post-kvantnega prehoda

  • Groverjev algoritem sicer teoretično ponuja kvadratno pohitritev za iskanje ključev, a ga je nemogoče učinkovito paralelizirati, kar izničuje praktično prednost

  • Za napad na AES-128 z Groverjevim algoritmom bi potrebovali 140 bilijonov kvantnih vezij s 724 logičnimi kubiti, ki bi delovali vzporedno 10 let

  • Napad z Groverjevim algoritmom na AES-128 je 2⁷⁸˙⁵-krat dražji kot napad z Shorjevim algoritmom na 256-bitne eliptične krivulje

  • Nepotrebno podvajanje dolžin ključev odvrača sredstva od dejansko nujnih post-kvantnih posodobitev asimetričnih algoritmov (RSA, ECDH, ECDSA)

DEJSTVA

  • Groverjev algoritem zahteva zaporedno (serializirano) izvajanje — paralelizacija napada razredči kvadratno pohitritev in poveča skupni strošek

  • Optimizirano kvantno vezje za AES-128 (Liao in Luo, 2025) ima globino 2³² T-vrat in širino 724 logičnih kubitov

  • NIST je AES-128 opredelil kot referenčni algoritem za Kategorijo 1 post-kvantne varnosti — to je uradno merilo za vse PQC primitive

  • NIST IR 8547 prepoveduje vse kvantno ranljive algoritme od leta 2035, a eksplicitno dovoljuje vse velikosti AES ključev

  • BSI (Nemška zvezna agencija za informacijsko varnost) prav tako priporoča AES-128, AES-192 in AES-256 za nove kriptografske sisteme

CITATI

  • “AES-128 is safe against quantum computers. SHA-256 is safe against quantum computers. No symmetric key sizes have to change as part of the post-quantum transition.” — Filippo Valsorda

  • “It is quite likely that Grover’s algorithm will provide little or no advantage in attacking AES, and AES 128 will remain secure for decades to come.” — NIST FAQ

  • “Breaking AES-128 with Grover is 430,000,000,000,000,000,000,000 times more expensive than breaking 256-bit elliptic curves with Shor’s.” — Filippo Valsorda

  • “Conflating necessary and unnecessary changes will cause needless churn and take resources away from the urgent updates.” — Filippo Valsorda

  • “A surface-code based Grover search on AES-128 will never succeed.” — Samuel Jaques, Univerza Waterloo (2024)