量子コンピューター技術が進展しても、AES-128のような対称鍵暗号は現実的な脅威にはなりにくい――。こうした見方が示された。対応を急ぐべき対象は、Shorアルゴリズムに弱いRSAや楕円曲線暗号などの公開鍵暗号だという。

Gigazineが今月21日付で報じたところによると、プログラミング言語「Go」の暗号標準ライブラリの保守に携わる暗号技術エンジニア、フィリポ・バルソルダ氏は、量子コンピューターの脅威は公開鍵暗号と対称鍵暗号を分けて評価すべきだと指摘した。

RSA、ECDSA、EdDSAといった公開鍵暗号は、Shorアルゴリズムによって効率的に解読される可能性があるため、早期の移行が必要とされる。一方、AES-128のように暗号化と復号に同じ鍵を使う対称鍵暗号については、Groverアルゴリズムを用いても、現実の攻撃に必要な計算資源は極めて大きいと説明した。

Groverアルゴリズムは理論上、総当たり探索の試行回数を減らせる。ただ、候補が正しい鍵かどうかを判定する処理自体を量子回路に組み込む必要があり、この部分は実質的に逐次処理に近いという。並列化も容易ではなく、探索空間を複数の量子コンピューターに分散しても、古典コンピューターの総当たり攻撃のように効率よく負荷を下げられるわけではないとしている。

例えば64ビット鍵なら、探索を2の16乗台（約6万5000台）規模の古典コンピューターに分散した場合、各装置の作業量は2の16乗分の1まで減らせる。これに対し、128ビット鍵へのGrover攻撃を2の16乗台（約6万5000台）規模の量子コンピューターに分散しても、各インスタンスの負担軽減は2の8乗分の1にとどまるという。

必要な計算規模も大きい。量子ゲート1回の実行に1マイクロ秒かかり、1台の装置を10年間ほぼ止めずに動かしたとしても、実行できる逐次計算の長さは約2の48乗ゲートに限られる。2025年に公表されたAES-128向け最適化手法を使った場合でも、正解判定には724論理量子ビット規模の計算を2の32乗並列で用意し、それを約10年間動かす必要があるとしている。

バルソルダ氏は、GroverアルゴリズムでAES-128を解読するコストは、Shorアルゴリズムで256ビット楕円曲線暗号を解く場合に比べて約2の78.5乗倍、約4.3×10の21乗倍に達するとの見方を示した。米国立標準技術研究所（NIST）やドイツ連邦情報セキュリティ庁（BSI）も、AES-128、AES-192、AES-256は継続利用可能との立場だという。

暗号研究者のサミュエル・ジェイクス氏も2024年、同様の見解を示している。Groverアルゴリズムを理由にAESの鍵長を一律に2倍へ引き上げる必要があるとの主張は誤りで、並列攻撃のコストが大きすぎるため、AES-128が実際に破られる可能性は極めて低いと論じた。

そのうえでバルソルダ氏は、対称鍵暗号を一律に256ビットへ移行するよりも、Shorアルゴリズムに脆弱な公開鍵暗号の置き換えに資源を集中すべきだと主張した。