Dù công nghệ máy tính lượng tử tiếp tục tiến bộ, AES-128 và các thuật toán mật mã khóa đối xứng vẫn chưa bị xem là mục tiêu tấn công khả thi trong thực tế. Trong khi đó, các hệ mật mã khóa công khai như RSA, ECDSA hay EdDSA mới là nhóm cần sớm được thay thế.

Gigazine ngày 21/4 đưa tin Filippo Valsorda, kỹ sư mật mã phụ trách bảo trì thư viện mật mã tiêu chuẩn của ngôn ngữ lập trình Go, cho rằng cần tách bạch rủi ro từ máy tính lượng tử giữa mật mã khóa công khai và mật mã khóa đối xứng.

Theo Valsorda, các thuật toán bất đối xứng như RSA, ECDSA và EdDSA có thể bị phá vỡ bởi thuật toán Shor, vì vậy thường được xếp vào nhóm cần thay thế khẩn cấp. Ngược lại, với mật mã khóa đối xứng như AES-128, vốn sử dụng cùng một khóa cho mã hóa và giải mã, ngay cả khi áp dụng thuật toán Grover thì chi phí tấn công thực tế vẫn ở mức rất cao.

Về lý thuyết, Grover có thể rút ngắn số lần thử trong tấn công vét cạn. Tuy nhiên, để triển khai phương pháp này, bước kiểm tra kết quả đúng phải được đưa vào mạch lượng tử và quá trình xử lý gần như diễn ra theo kiểu tuần tự. Khả năng song song hóa cũng bị hạn chế, nên việc chia nhỏ không gian tìm kiếm cho nhiều máy tính lượng tử không mang lại hiệu quả tỷ lệ thuận như trên máy tính cổ điển.

Valsorda đưa ra ví dụ: với khóa 64 bit, nếu phân tán tác vụ lên khoảng 2^16 máy tính cổ điển, khối lượng công việc trên mỗi máy sẽ giảm còn 1/2^16. Nhưng với tấn công Grover nhằm vào khóa 128 bit, ngay cả khi chia cho khoảng 2^16 máy tính lượng tử, khối lượng tính toán trên mỗi hệ thống chỉ giảm khoảng 1/2^8.

Yêu cầu tính toán cũng ở quy mô rất lớn. Nếu giả định mỗi cổng lượng tử mất 1 micro giây để thực hiện và hệ thống hoạt động gần như liên tục trong 10 năm, một máy chỉ có thể chạy chuỗi tính toán tuần tự tương đương khoảng 2^48 cổng lượng tử. Ngay cả khi áp dụng phương án tối ưu hóa AES-128 được công bố năm 2025, quá trình kiểm tra kết quả vẫn đòi hỏi 724 qubit lượng tử logic, phải vận hành song song 2^32 phiên bản trong khoảng 10 năm.

Theo ước tính của Valsorda, chi phí phá AES-128 bằng thuật toán Grover cao hơn khoảng 2^78,5 lần, tương đương khoảng 43×10^20 lần, so với việc phá hệ mật mã đường cong elliptic 256 bit bằng thuật toán Shor. Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) và Cơ quan An ninh Thông tin Liên bang Đức (BSI) cũng giữ quan điểm rằng AES-128, AES-192 và AES-256 vẫn có thể tiếp tục được sử dụng.

Nhà nghiên cứu mật mã Samuel Jaques cũng đưa ra đánh giá tương tự vào năm 2024. Theo ông, lập luận cho rằng “vì có Grover nên phải tăng gấp đôi độ dài khóa AES” là không chính xác. Do chi phí cho tấn công song song quá lớn, khả năng AES-128 bị phá trong thực tế là rất thấp.

Valsorda nhấn mạnh nguồn lực nên được ưu tiên cho việc thay thế các hệ mật mã khóa công khai dễ bị tổn thương trước thuật toán Shor, thay vì đồng loạt nâng toàn bộ mật mã khóa đối xứng lên mức 256 bit.