多键减少Grover算法吗？

Question

Grover是一种量子算法，它削弱了AES和ChaCha20。是否可以使用多个对称密钥对消息进行多次加密以实现量子计算机的256位安全？

Answer 1

正如注释中提到的，256位量子安全是过分的.正如这里所讨论的那样，即使是AES-128也不太可能被量子计算机破坏。简单地说:Grover的算法是最好的；它不能高效地并行化；量子计算机不太可能达到与经典计算机相似的时钟速度。

但假设你真的很偏执，想要256位的量子安全，所以你需要512位的经典安全。您可以设计一个新的512位对称密码，或者使用256位对称密码的组合。类似的情况在几十年前必须考虑，当时DES已经标准化，但AES还不存在，很明显，有动机的攻击者可以达到56位，这一点由EFF和distributed.net具体证明。

事实证明，在某种程度上，双DES不具有2 \times 56 = 112-bit安全性，而是由于一次非常简单的中遇攻击而具有57位安全性。为了实现112位的安全性，需要使用三重DES，而且在实践中也确实使用了这种方法.

所以，如果你真的想要512位的经典安全性，你必须使用三重AES。原则上，您可以只使用两个不同的密钥(尽管仍然使用3个链式加密/解密操作)，但是在该场景中有存在 攻击，因此对于真正偏执的人，您必须使用3个不同的密钥。从而，共实现了768位关键材料的512位经典安全和256位量子安全.