Nguồn: Filippo Valsorda
Tóm tắt
Có một quan niệm sai lầm phổ biến trong cộng đồng bảo mật rằng máy tính lượng tử sẽ “giảm một nửa” độ bảo mật của symmetric key, đòi hỏi phải dùng AES-256 để đạt 128-bit security. Filippo Valsorda — cryptographer nổi tiếng, cựu thành viên Go Security team — giải thích tại sao luận điểm này không chính xác và có thể gây hại cho nỗ lực chuyển đổi post-quantum.
Sự nhầm lẫn xuất phát từ việc hiểu sai về Grover’s algorithm — thuật toán lượng tử có thể tìm kiếm qua không gian key với chi phí O(√N). Nhiều người kết luận rằng AES-128 chỉ còn 64-bit effective security. Tuy nhiên, phân tích này không tính đến chi phí thực tế của Grover’s algorithm trên hardware lượng tử, các constraint về error correction, và thực tế rằng không có compliance mandate nào yêu cầu tăng symmetric key size.
AES-128 và SHA-256 vẫn an toàn trước quantum computer. Đây là consensus của các chuyên gia và tổ chức chuẩn hóa (NIST, NSA). Grover’s algorithm chỉ có speedup quadratic, không exponential — khác hoàn toàn với Shor’s algorithm (đe dọa RSA/ECC với speedup exponential). Chi phí thực tế để chạy Grover attack trên AES-128 là phi thực tế ngay cả với máy tính lượng tử lý tưởng.
Bài viết nhấn mạnh rằng việc lan truyền lo ngại không có cơ sở về symmetric key có thể gây phân tán nguồn lực khỏi công việc thực sự cần thiết: migration từ RSA/ECC/DH sang các thuật toán post-quantum đã được NIST chuẩn hóa (ML-KEM, ML-DSA).