Encryption
為什麼不再是 256 位以上的密鑰?
AES 使用 256 位密鑰,但非常現代的最新對稱密碼(如 Salsa20)也最多使用 256 位密鑰。但是每個人都在談論量子電腦之後的安全級別,所以他們說 128 位密鑰將提供 64 位密鑰,256 位將提供 128 位。所以在後量子世界中,我們將不再擁有 256 位安全性,對吧?那麼,為什麼那些最新的對稱密碼沒有更長的密鑰,比如具有 512 位密鑰的 Salsa20?對於後量子世界和很長一段時間來說,它會不會更安全……
我們目前認為 128 位安全性足以滿足所有目前和未來的計算需求。例如,使用理論上的最小能量,儲存 $ 2^{128} $ 比特比煮沸世界海洋需要更多的能量。因此,在量子計算之後使用 256 位密鑰提供 128 位安全性應該是安全的,因為通常不期望攻擊者實際利用多個天體的能源。
將來我們可能希望對沖未來的進步並使用 512 位密鑰建構對稱算法,但在這一點上,這似乎實際上沒有必要。
因為即使是 128 位的安全性也無法在任何合理的時間內被暴力破解。
然而,雖然這看起來很重要,但它並沒有破壞任何一種算法。使用正確的量子電腦,AES-128 大約需要 2.61 10^12 年才能破解,而 AES-256 需要 2.29 10^32 年。作為參考,宇宙目前大約有 1.38×10^10 歲,因此用量子電腦破解 AES-128 需要的時間大約是宇宙存在時間的 200 倍。
相反,我們聽到了很多關於側通道攻擊的資訊,其中額外的密鑰大小幾乎沒有多大幫助。