问在100年(2120年)内，AES-256有多大可能会被破解？

EN

我想知道AES-256在我们的一生中是否安全。

没人知道这点。以下是我们所知道的：

• 野蛮的搜索(通过传统的计算机)是完全不可能的。这可以通过对每步使用的最小功率进行的幂分析来表示(改变状态的最小功率是kT，其中k是Boltzman的常数，1.38 \cdot 10^{-16} \text{ erg/}^\circ\text{K}，T是开尔文的温度。如果我们假设一台运行在宇宙背景辐射温度(3.2 ^\circ K)上的计算机，尽管2^{256}键是关于5 \cdot 10^{61} ergs的，但它的最小能量是关于D10ergs的；太阳的年输出大约是1.21 \cdot 10^{41} ergs，所以除非你能在100年内利用比我们的太阳大得多的输出，否则这是不可能的。
• Grover的搜索(由量子计算机进行)也是不可能的。理论上，Grover可以在O(2^{128})步骤中找到一个256位键(这比上一段中的2^{256}步骤要容易得多)，结果表明，为了实现这种“低”的计算量，Grover的搜索将需要O(2^{128})顺序AES计算(在上一个步骤完成之前，不能开始下一个步骤)。如果我们假设我们的量子计算机不能在飞秒(10^{-15}秒)内计算AES函数，那么这将花费10^{16}年，而不是你100年的最后期限。为了满足100年的最后期限，您需要将关键空间划分为2^{94}部件，并将每个部分分配给总共的2^{94}量子计算机中的一个(每个计算机都以完全不现实的速度执行AES操作)。
• 加密改进(允许攻击者在不尝试所有可能的密钥的情况下恢复明文)；这是一个悬而未决的问题。我个人并不期望完全中断；也就是说，给定合理数量的密文(可能还有一些已知的明文)，可以让它们解密；如果在接下来的一百年中，有人发现了理论上的中断(例如，O(2^{150})的努力提供了大量选定的明文)，我不会感到震惊。然而，这正是人们所担心的(因为很容易看出，其他两种中断方法是完全不可行的)。

：作为参考，飞秒大约是光旅行0.3微米所需的时间；这意味着我们的AES评估引擎必须比平均细菌小得多.