Криптографическое сообщество развенчивает устойчивый миф: симметричный шифр AES-128 не «падает» с приходом квантовых вычислений. Для миллионов пользователей это означает, что пароли, мессенджеры, банковские приложения и VPN не требуют срочной замены. Румынский научно-популярный разбор и официальная позиция NIST подтверждают: угроза касается в первую очередь асимметричной криптографии — RSA и эллиптических кривых, а не симметричных ключей.
Что произошло
15 апреля 2026 года румынское издание Știință și Tehnică опубликовало разбор под заголовком «AES-128 остаётся эффективным в эпоху квантовых компьютеров, вопреки популярным предрассудкам». Поводом стала свежая запись в блоге инженера по криптографии Филиппо Вальсорды под названием «Квантовые компьютеры не угрожают 128-битным симметричным ключам».
AES-128 — самая распространённая версия Advanced Encryption Standard, утверждённая NIST в начале 2000-х. Шифр используется в HTTPS, Wi-Fi WPA2/WPA3, шифровании дисков и защищённых мессенджерах. За три десятилетия у него не нашли структурных уязвимостей: единственный известный способ атаки — полный перебор ключей. А это 2^128 (~3,4 × 10³⁸) комбинаций.
Для сравнения: если задействовать всю вычислительную мощность сети Bitcoin образца 2026 года, классическая брутфорс-атака заняла бы примерно 9 миллиардов лет.
«Существует распространённое заблуждение, что квантовые компьютеры «уменьшат вдвое» стойкость симметричных ключей, требуя перехода на 256 бит для сохранения 128 бит безопасности. Это неправильная интерпретация ускорения, которое дают квантовые алгоритмы. Ни в одном требовании регуляторов она не отражена и рискует отвлечь силы и внимание от реально необходимой работы по постквантовому переходу.» («There is a common misconception that quantum computers will ‘halve’ the security of symmetric keys, requiring 256-bit keys for 128 bits of security. This is not a correct interpretation of the speedup offered by quantum algorithms.»)
Филиппо Вальсорда, инженер по криптографии
Почему это важно
Для обычного пользователя в Бухаресте, Белграде или Тбилиси AES-128 — это фундамент повседневной цифровой гигиены. Им зашифрованы сессии онлайн-банков, сообщения в Signal и WhatsApp, пароли в менеджерах, архивы в облаке. Паническая миграция всей инфраструктуры на 256-битные ключи потребовала бы обновления миллиардов устройств и лишь создала бы ложное чувство срочности.
Разграничение простое и важное: алгоритм Питера Шора (1994) даёт экспоненциальное ускорение — он действительно ломает RSA и ECC. Алгоритм Лова Гровера (1996) даёт только квадратичное ускорение и касается симметричных шифров. Квадратичное звучит эффектно, но на практике упирается в стоимость квантовой памяти, число обращений к «оракулу» и — главное — в то, что Гровер плохо поддаётся параллелизации.
Полезно знать
Что делать обычному пользователю: использовать длинные парольные фразы, включать двухфакторную аутентификацию, держать системы в актуальном состоянии. AES-128 под капотом мессенджеров и браузеров работает корректно — менять ничего не нужно.
Когда стоит выбрать AES-256: для долгосрочных архивов с конфиденциальными данными и в организациях, где регулятор требует «уровень безопасности 5» по классификации NIST.
Где актуальные стандарты: постквантовые алгоритмы для обмена ключами и цифровых подписей опубликованы NIST в стандартах FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) и FIPS 205 (SLH-DSA) — август 2024.
Детали и подробности
Эффективная сложность атаки Гровера на AES-128 — около 2^64 операций. Цифра выглядит скромно, но речь идёт о последовательных квантовых операциях: чем больше запустить параллельных процессов, тем меньше выигрыш каждого. Это принципиальное отличие от классических GPU- и ASIC-ферм, где параллелизация линейно ускоряет перебор.
В практическом смысле это значит, что даже гипотетический криптографически-релевантный квантовый компьютер (CRQC) не сможет сломать AES-128 в разумные сроки. И NIST, и ведущие криптографы (Вальсорда, Дэниел Бернштейн, Танья Ланге) сходятся в оценке: симметричные шифры переживут квантовую эпоху без драматических изменений.
Реальная работа идёт в другом направлении. В августе 2024 года NIST закрепил первые постквантовые стандарты: FIPS 203 для обмена ключами, FIPS 204 для цифровых подписей на решётках, FIPS 205 — подписи на основе хеш-функций. Именно эти алгоритмы заменят RSA и ECC в TLS-сертификатах, VPN-туннелях и электронных подписях. AES-128 при этом остаётся на своём месте — в качестве рабочей лошадки симметричного шифрования.
Для русскоязычной аудитории в регионе простой ориентир: если сервис или устройство заявляет «AES-128» или «AES-256» — беспокоиться не о чем. Тревожиться стоит, если где-то всё ещё встречается RSA-1024, DES или 3DES: это действительно устаревшие механизмы, уязвимые уже без всяких квантовых компьютеров.
Источники
Материал подготовлен на основе анализа публикаций:
1. «AES-128 rămâne eficient în era calculatoarelor cuantice, contrar superstițiilor populare» — Știință și Tehnică • Румыния • 15 апреля 2026 | Ссылка ➚
2. «Post-Quantum Cryptography: NIST Standardization Status and Symmetric-Key Guidance» — NIST Computer Security Resource Center • США • 10 марта 2026 | Ссылка ➚
Данный материал представляет собой обобщение информации из указанных источников. Редакция Smorodina.news стремится к максимальной точности, но рекомендует обращаться к оригинальным публикациям для получения полной картины событий.
© 2026 Smorodina.news. Материал предоставлен в соответствии с принципами добросовестного использования (Fair Use) исключительно в информационных целях.
