随着量子计算发展持续推进，围绕其对现有加密体系构成何种程度威胁的讨论也在升温。不过，有观点认为，AES-128 等对称加密算法短期内并不会成为量子计算最现实的攻击目标。

日本科技媒体 Gigazine 4 月 21 日报道称，负责维护 Go 加密标准库的密码工程师 Filippo Valsorda 表示，评估“量子威胁”时，应区分公钥加密体系与对称加密体系，两者面临的风险并不相同。

他指出，RSA、ECDSA、EdDSA 等非对称算法更容易受到 Shor 算法影响，因此被视为需要优先替换的对象。相比之下，AES-128 这类加密和解密使用同一密钥的对称加密算法，即便考虑 Grover 算法带来的理论加速，实际攻击成本依然高得惊人。

报道称，Grover 算法理论上能够减少暴力穷举所需的搜索次数，但前提是必须将用于验证候选密钥是否正确的判定函数纳入量子电路，而这一过程本质上更接近串行执行。同时，Grover 攻击很难并行，因此即使将搜索任务分配给多台量子计算机，也难以像经典计算那样随着设备数量增加而线性摊薄成本。

以分布式计算为例，如果将 64 位密钥搜索任务分配给约 2^16 台经典计算机，单台设备的工作量可降至原来的 1/2^16；但对 128 位密钥发起 Grover 攻击时，即便投入约 2^16 台量子计算机，每个实例的负担也只能降至原来的 1/2^8。

所需算力规模同样十分庞大。若假设一次量子门操作耗时 1 微秒，且设备可持续运行 10 年，那么单台设备能够完成的串行计算长度大约为 2^48 个量子门。即便采用 2025 年公布的 AES-128 优化方案，完成正确性判定仍需要 724 个逻辑量子比特、部署 2^32 个并行实例，并持续运行约 10 年。

Valsorda 估算，使用 Grover 算法破解 AES-128 的成本，约为使用 Shor 算法破解 256 位椭圆曲线密码的 2^78.5 倍，即约 4.3×10^21 倍。美国国家标准与技术研究院（NIST）以及德国联邦信息安全局也持相近立场，认为 AES-128、AES-192 和 AES-256 目前仍可继续使用。

加密研究者 Samuel Jaques 也曾在 2024 年作出类似判断。他认为，不能因为 Grover 算法的存在，就简单得出“AES 密钥长度必须翻倍”的结论，并指出并行攻击成本过于高昂，AES-128 被实际攻破的可能性极低。Valsorda 强调，与其将对称加密体系统一升级到 256 位，不如优先把资源投入到替换更易受 Shor 算法威胁的公钥加密体系上。