Computadores Quânticos Não São Ameaça para Chaves Simétricas de 128 bits

A crença generalizada de que o algoritmo de Grover reduz pela metade a força de chaves simétricas está incorreta. Isso ocorre porque a paralelização do algoritmo de Grover dilui o ganho de velocidade quadrático (a partição do espaço de busca economiza apenas a raiz quadrada do fator de redução) e o ataque não pode ser distribuído de forma significativa. Utilizando o "oracle" de Grover para AES-128 de Liao e Luo (2025), que possui profundidade de 232 T-gates e largura de 724 qubits lógicos, a quebra do AES-128 em uma década exigiria aproximadamente 140 trilhões de circuitos quânticos paralelos, a um custo de DW de cerca de 2^104.5.

Esse custo seria aproximadamente 2^78.5 vezes mais caro do que o ataque de Shor a curvas elípticas de 256 bits. NIST, BSI TR-02102-1 e o pesquisador Samuel Jaques concordam que AES-128 e SHA-256 permanecem seguros no cenário pós-quântico e que nenhum tamanho de chave simétrica precisa ser alterado. Portanto, engenheiros devem redirecionar o esforço de migração para a urgente transição PQC assimétrica, em vez de dobrar o tamanho das chaves simétricas.