Der Kryptografie-Ingenieur Filippo Valsorda veröffentlichte am 20. April 2026 einen technischen Analyseartikel und argumentierte, dass selbst bei der optimistischsten Entwicklungsgeschwindigkeit Quantencomputer in absehbarer Zukunft nicht in der Lage sein werden, die 128-Bit-Symmeterverschlüsselung (AES-128) zu knacken. Er weist darauf hin, dass es in der Branche zu Fehlinterpretationen bei „Post-Quanten-Kryptografie“ kommt.
Kernthese der Valsorda-Arbeit: Grover-Algorithmus kann nicht effektiv parallelisiert werden
(Quelle: Filippo Valsorda)
Laut Valsordas Analyseartikel geht die in der Branche häufige Fehlannahme davon aus, dass der Grover-Algorithmus von Quantencomputern die Sicherheitsstärke eines 128-Bit-symmetrischen Schlüssels „halbieren“ würde, auf 64 Bit. Diese Darstellung ignoriert jedoch die entscheidende Einschränkung des Grover-Algorithmus: Seine Schritte müssen seriell ausgeführt werden; eine erzwungene Parallelisierung erhöht die gesamten Rechenkosten drastisch.
Valsorda berechnet, dass der Gesamtaufwand zum Knacken von AES-128 etwa 2¹⁰⁴·⁵ Operationen beträgt; im Vergleich dazu wird für das Knacken eines 256-Bit-Elliptic-Curve-Kryptosystems mit dem Shor-Algorithmus etwa 2²⁶ Operationen benötigt (zitiert aus einer Studie von Babbush et al., 2026). Der Unterschied beträgt etwa 2⁷⁸·⁵-fach. Valsorda weist darauf hin, dass diese Lücke dazu führt, dass Grover-Angriffe auf AES-128 in der Praxis völlig unrealistisch sind.
Einstimmige Position von NIST, BSI und der Wissenschaft
Laut den von Valsorda zitierten offiziellen Dokumenten stellt das US-amerikanische National Institute of Standards and Technology (NIST) in den häufigen Fragen zur Post-Quanten-Kryptografie ausdrücklich fest, dass „der Grover-Algorithmus beim Angriff auf AES möglicherweise fast keinen Vorteil bietet; AES-128 wird in den nächsten Jahrzehnten weiterhin sicher bleiben“, und bestätigt, dass „bestehende Anwendungen weiterhin 128-Bit-AES-Schlüssel verwenden können“. Das NIST IR 8547 verbietet zudem im Jahr 2035 Algorithmen, die anfällig für Quantenangriffe sind, und bestätigt gleichzeitig, dass alle AES-Schlüssellängen weiterhin zulässig sind.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinem Bericht „Kryptografische Mechanismen: Empfehlungen und Schlüssellängen“, in neuen Kryptosystemen AES-128, AES-192 und AES-256 zu verwenden. Der Assistenzprofessor für Kryptografie an der University of Waterloo, Samuel Jaques, erklärte in einer Forschungspräsentation aus dem Jahr 2024: „Grover-Suche auf Basis von Fehlerkorrektur durch Oberflächenzustände wird bei AES-128 niemals erfolgreich sein.“
Die praktischen Prioritäten der Post-Quanten-Migration
Nach Valsordas Schlussfolgerung ist die einzige dringende Aufgabe der Migration zu Post-Quanten-Verschlüsselung das Ersetzen nicht-symmetrischer Verschlüsselungsalgorithmen, die anfällig für Angriffe mit dem Shor-Algorithmus sind, einschließlich RSA, ECDSA und ECDH. Valsorda weist darauf hin, dass es unnötig ist, begrenzte Ressourcen in ein Upgrade symmetrischer Schlüssel (128→256 Bit) zu stecken; das erhöht die Systemkomplexität, lenkt und zersplittert abgestimmte Ressourcen und stört die tatsächlich dringend erforderliche Arbeit zum Austausch der nicht-symmetrischen Verschlüsselung.
Häufige Fragen
Warum glaubt Valsorda, dass der Grover-Algorithmus AES-128 nicht bedrohen kann?
Laut Valsordas Analyseartikel müssen die Schritte des Grover-Algorithmus seriell ausgeführt werden und können nicht effektiv parallelisiert werden. Nach einer erzwungenen Parallelisierung beträgt der gesamte Rechenaufwand zum Knacken von AES-128 etwa 2¹⁰⁴·⁵ Operationen, also rund 2⁷⁸·⁵-fach höher als die Kosten, um mit dem Shor-Algorithmus ein 256-Bit-Elliptic-Curve-Kryptosystem zu knacken.
Welche offizielle Position hat NIST dazu, ob man die AES-Schlüssellänge verdoppeln muss?
Laut den von dem Valsorda-Artikel zitierten häufigen Fragen zur Post-Quanten-Kryptografie hat NIST klar erklärt, dass man die AES-Schlüssellänge nicht verdoppeln sollte, um auf Quantenbedrohungen zu reagieren; es bestätigt, dass AES-Schlüssel von 128 Bit, 192 Bit und 256 Bit im Post-Quanten-Zeitalter weiterhin sicher sind.
Was ist die wirklich dringende Aufgabe bei der Migration zur Post-Quanten-Kryptografie?
Laut Valsordas Schlussfolgerung besteht die einzige dringende Aufgabe darin, nicht-symmetrische Verschlüsselungsalgorithmen (RSA, ECDSA, ECDH usw.), die anfällig für Angriffe mit dem Shor-Algorithmus sind, zu ersetzen—nicht die Aufrüstung der symmetrischen Schlüssellänge. Das Upgrade symmetrischer Schlüssel ist eine unnötige Maßnahme; es erhöht die Komplexität und verteilt Ressourcen.
