AES-256是后量子安全密码吗？

Question

我们知道，在块密码中，格罗弗算法加速暴力攻击要快两倍(例如强制128位键执行2^{64}操作，而不是2^{128})。

这就解释了为什么我们要用256位密钥来加密最高机密。但最新实用攻击上的AES显示，暴力迫使AES-256采取2^{100}操作.

这个攻击是否适用于Grover的搜索，以使AES密码量子无抵抗？

Answer 1

Biclique密码分析是目前对AES最著名的攻击。它降低了AES-256从2^{256}到2^{254.4}的安全性.相关的关键攻击不是实际的攻击，因为它们不应该发生在野外。它们是执行不力的症状，与推荐使用AES相反。

最著名的理论攻击是Grover的量子搜索算法。正如您所指出的，这允许我们在n操作中搜索未排序的\sqrt{n}条目数据库。因此，AES-256对于量子攻击的中期来说是安全的，然而，AES-128是可以被打破的，AES-192看起来不太好。

随着计算能力的提高(每18个月翻一番)，以及量子计算机的发展，没有一个设定的密钥大小是无限期安全的。Grover的使用只是一个巨大的飞跃。

我仍然会把AES分类为量子抵抗，只要最著名的攻击仍然是某种形式的彻底搜索密钥空间。

至于使用不同攻击的问题:组合攻击很少起作用，因为您需要所有的攻击才能显示密钥的独占部分。考虑到AES上最好的攻击甚至没有显示2，你将很难做出这样一个合理的攻击。