為什麼不再是 256 位以上的密鑰？

AES 使用 256 位密鑰，但非常現代的最新對稱密碼（如 Salsa20）也最多使用 256 位密鑰。但是每個人都在談論量子電腦之後的安全級別，所以他們說 128 位密鑰將提供 64 位密鑰，256 位將提供 128 位。所以在後量子世界中，我們將不再擁有 256 位安全性，對吧？那麼，為什麼那些最新的對稱密碼沒有更長的密鑰，比如具有 512 位密鑰的 Salsa20？對於後量子世界和很長一段時間來說，它會不會更安全……

我們目前認為 128 位安全性足以滿足所有目前和未來的計算需求。例如，使用理論上的最小能量，儲存 $ 2^{128} $ 比特比煮沸世界海洋需要更多的能量。因此，在量子計算之後使用 256 位密鑰提供 128 位安全性應該是安全的，因為通常不期望攻擊者實際利用多個天體的能源。

將來我們可能希望對沖未來的進步並使用 512 位密鑰建構對稱算法，但在這一點上，這似乎實際上沒有必要。

因為即使是 128 位的安全性也無法在任何合理的時間內被暴力破解。

從128 位或 256 位加密：我應該使用哪個？

然而，雖然這看起來很重要，但它並沒有破壞任何一種算法。使用正確的量子電腦，AES-128 大約需要 2.61 10^12 年才能破解，而 AES-256 需要 2.29 10^32 年。作為參考，宇宙目前大約有 1.38×10^10 歲，因此用量子電腦破解 AES-128 需要的時間大約是宇宙存在時間的 200 倍。

相反，我們聽到了很多關於側通道攻擊的資訊，其中額外的密鑰大小幾乎沒有多大幫助。

引用自：https://crypto.stackexchange.com/questions/101654