クライアントコミュニティで面白い議論を見かけたので気づいたのですが、実は量子コンピュータはさまざまな種類の暗号に対して全く異なる危険度を持っているのです。そして、それは一見しただけではわからないほど重要なことです。

要点は次の通りです：非対称暗号化、例えばECDSAやRSAは実際に脅威にさらされています。量子計算はこれらのアルゴリズムの根幹をなす数学的問題を、従来よりはるかに高速に解くことができるためです。これは深刻な問題であり、業界もそれを理解しています。

一方、対称暗号化の状況は異なります。AESを例にとると、量子の脅威はそれほど深刻ではありません。確かに、グローバーのアルゴリズムは理論上、総当たり攻撃を高速化できるとされていますが、実際にはそれほど恐れる必要はありません。問題は、グローバーは並列化が難しいため、128ビットの鍵に対する実際の攻撃は非常にコストがかかり、非効率的になるという点です。

フィリッポ・ヴァルソルドの暗号学者はこれをよく理解しており、AES-128はポスト量子標準を考慮しても十分安全であり続けると述べています。NISTや他の暗号学の権威も、256ビット鍵に移行する必要はなく、現状の保護レベルで十分だと認めています。

したがって、共通のコンセンサスはシンプルです：非対称アルゴリズムにはポスト量子暗号への早急な移行が必要ですが、AESについてはパニックになる必要はありません。これは、暗号のさまざまな部分が異なるアプローチを必要とする典型的なケースです。