量子電腦不對 128 位元對稱金鑰構成威脅

背景

隨著量子計算技術的進展，密碼學界正急於更換易受 Shor 演算法攻擊的非對稱加密原語，如 RSA 與 ECC。然而，大眾普遍誤認為量子電腦同樣會威脅對稱加密，導致 128 位元金鑰的安全性減半，這篇文章旨在澄清 AES-128 與 SHA-256 在量子時代依然安全，並解釋 Grover 演算法在實際攻擊中的侷限性。

社群觀點

針對文章提出的觀點，Hacker News 的討論呈現出技術專家與應用開發者之間的深度對話。多數具備量子研究背景的參與者一致認同 Grover 演算法的威脅被過度誇大，認為將其與 Shor 演算法相提並論卻不加註解是專業上的警訊。專家指出，Grover 演算法在平行化處理時會大幅稀釋其量子加速優勢，這使得暴力破解 128 位元對稱金鑰在物理與經濟成本上幾乎是不可能的任務。相較之下，非對稱加密的脆弱性才是迫在眉睫的危機，因為 Shor 演算法的效能提升是指數級的，即便增加金鑰長度也僅能線性增加量子電腦的工作量，無法從根本上抵禦攻擊。

討論中也觸及了實際應用層面的擔憂，特別是 Wi-Fi 標準的演進。有留言者質疑 WPA3 從對稱加密轉向易受量子威脅的 ECDH 協議是否會導致大量物聯網設備淪為電子垃圾。對此，其他開發者反駁指出，WPA3 的設計初衷是為了解決 WPA2 缺乏前向安全性（Forward Secrecy）的現實漏洞，且在 2018 年標準制定時，後量子密碼學（PQC）尚未成熟。此外，關於加密是否能永久保密的爭論也十分熱烈，部分觀點認為沒有任何加密是絕對不可破解的，因此積極的金鑰輪換與縮短金鑰壽命是實務上更有效的防禦手段。

值得注意的是，社群中出現了關於量子計算發展進程的「氛圍轉變」。儘管目前量子電腦能分解的質因數規模極小，但有資深密碼工程師提到，業界傳聞在未來五年內可能就會出現具備密碼學意義的量子電腦（CRQC）。這種預期的轉變使得原本被視為理論探討的後量子遷移變得極具緊迫性。雖然對稱加密目前安全無虞，但非對稱加密的崩潰將直接威脅到現有的通訊協議基礎，這才是技術社群真正焦慮的核心。

延伸閱讀

• Liao and Luo (2025)：關於 AES-128 Grover Oracle 優化的研究。
• Babbush et al. (2026)：探討 Shor 演算法攻擊 256 位元橢圓曲線的執行成本。
• NIST ML-KEM 與 ML-Dsa：美國國家標準與技術研究院發布的後量子密碼學標準。
• Dragonfly PAKE：WPA3 中使用的密鑰交換協議及其安全性爭議。