Miért nem dől össze az AES–128?
Az AES–128 a világ egyik legszélesebb körben használt szimmetrikus titkosítási eljárása, amelyet a NIST még 2001-ben fogadott el hivatalosan. Noha léteznek 192 és 256 bites kulcsszélességű változatok is, a 128 bites AES mindig is az optimális kompromisszumot jelentette a biztonság és a számítási igények között. Az elmúlt három évtizedben egyszer sem találtak sebezhetőséget az algoritmusban, így mai tudásunk szerint csak a teljes brute force-támadás veszélyezteti: ez pedig annyira időigényes feladat, hogy ha a 2026-ra becsült összes bitcoin-bányászati erőforrást ráállítanánk, nagyjából 9 milliárd évig tartana a kód feltörése – tekintve, hogy 2^128, vagyis 3,4×10^38 lehetséges kulcskombináció van.
A kvantumgépek és a Grover-algoritmus
Különösen fontos kiemelni, hogy a félreértés abból fakad, hogy sokan úgy gondolják, a Grover-algoritmus lehetővé teszi, hogy a kvantumszámítógépek fele annyi idő alatt törjék fel a szimmetrikus kulcsot, ezért kellene 256 bit, hogy az eredeti 128 bites biztonságot visszakapjuk. Az igazság azonban sokkal árnyaltabb: míg a hagyományos számítógépeknél több gép összefogásával párhuzamosan lehet ugyanazt a feladatot gyorsabban elvégezni, addig a Grover-módszer sorban, egymás után fut – és éppen a párhuzamosítás hatékonysága szenved csorbát. Ha egy klasszikus támadásnál négy számítógépet használsz, negyedannyi idő alatt végzel, de Grover esetén minél több gépet állítasz be, összességében nem gyorsulsz érdemben: a párhuzamosítás előnye kvantumgépeknél eltűnik.
A matematikai realitás az AES–128 mellett szól
A kvantumtámadások költsége tehát közel sem feleződik le, sőt: bármilyen értelmes időkorlát mellett a munka olyannyira felduzzad, hogy reálisan nézve a támadónak legalább 2^104 műveletet kellene végrehajtania a sikerhez – ez messze a biztonsági küszöb fölött van. Emellett az is félreértés, hogy a Grover-eljárással az AES-t egyetlen kvantumbites műveletként lehetne kezelni; a gyakorlat ennél sokkal bonyolultabb. Ahogy az egyik Google-szakember fogalmazott: klasszikusan a gépek számát növelve arányosan csökkenthető a támadási idő, de a kvantumalapú próbálkozásnál a munkamennyiség és az idő már nem áll ilyen szoros kapcsolatban.
Az ajánlások és kivételek
Ennek alapján megállapítható, hogy a vezető szervezetek – mint a NIST, a BSI (Német Szövetségi Információbiztonsági Hivatal) vagy a téma legjelentősebb szakértői – egyöntetűen támogatják az AES–128 használatát a „posztkvantum” világban is. Egyedül az amerikai NSA ír elő 256 bites titkosítást bizonyos kiemelt célokra, de ők sem a kvantumfenyegetés miatt, hanem az egységesítés, illetve a véletlen kulcskollíziók elkerülése okán.
A valódi tennivalók a kvantumos jövő előtt
Különösen fontos kiemelni, hogy a szimmetrikus titkosítás (mint például az AES) nem az, amit a közeljövő kvantumos áttörései veszélyeztetnek, sokkal inkább az aszimmetrikus megoldások (például az RSA vagy az elliptikus görbék). Ezeket a kvantumalgoritmusok ténylegesen gyorsan feltörik, így sürgősen új protokollokat kell bevezetni. Ha a mérnökök elhiszik a szimmetrikus titkosítás mágikus „lefeleződésének” legendáját, feleslegesen drága átváltásokat erőltetnek, és elvonják az energiát a valóban szükséges átállásról. Nagy szerencse, hogy az AES–128-at ilyen formában elég lesz megtartani, a figyelmet pedig arra kell fordítani, ahol tényleg létfontosságú a változás.
