ในวิทยาการเข้ารหัสลับขนาดของกุญแจหรือความยาวของกุญแจหมายถึงจำนวนบิตในกุญแจที่ใช้โดย อัลกอริธึม การเข้ารหัสลับ (เช่นรหัสลับ )

ความยาวของคีย์กำหนดขอบเขตบนของความปลอดภัย ของอัลกอริทึม (กล่าวคือ การวัดเชิงลอการิทึมของการโจมตีที่เร็วที่สุดที่ทราบต่ออัลกอริทึม) เนื่องจากความปลอดภัยของอัลกอริทึมทั้งหมดสามารถถูกละเมิดได้ด้วยการโจมตีแบบเดาสุ่มในอุดมคติแล้ว ขอบเขตล่างของความปลอดภัยของอัลกอริทึมควรเท่ากับความยาวของคีย์ (นั่นคือ การออกแบบของอัลกอริทึมไม่ได้ลดทอนระดับความปลอดภัยที่มีอยู่ในความยาวของคีย์)

อัลกอริทึมแบบกุญแจสมมาตรส่วนใหญ่ถูกออกแบบมาให้มีความปลอดภัยเท่ากับความยาวของกุญแจ อย่างไรก็ตาม หลังจากออกแบบแล้ว อาจมีการค้นพบการโจมตีแบบใหม่ ตัวอย่างเช่นTriple DESถูกออกแบบมาให้มีกุญแจ 168 บิต แต่ปัจจุบันมีการค้นพบการโจมตีที่มีความซับซ้อน 2¹¹² ⁽กล่าวคือ Triple DES ตอนนี้มีความปลอดภัยเพียง 112 บิต และจาก 168 บิตในกุญแจ การโจมตีทำให้ 56 บิต "ไม่มีประสิทธิภาพ" ต่อความปลอดภัย) อย่างไรก็ตาม ตราบใดที่ความปลอดภัย (ซึ่งเข้าใจว่าเป็น "ปริมาณความพยายามที่ต้องใช้ในการเข้าถึง") เพียงพอสำหรับการใช้งานเฉพาะนั้น ก็ไม่สำคัญว่าความยาวของกุญแจและความปลอดภัยจะสอดคล้องกันหรือไม่ นี่เป็นสิ่งสำคัญสำหรับอัลกอริทึมแบบกุญแจอสมมาตรเนื่องจากยังไม่มีอัลกอริทึมใดที่ทราบว่าตรงตามคุณสมบัตินี้การเข้ารหัสแบบเส้นโค้งวงรีใกล้เคียงที่สุด โดยมีความปลอดภัยที่มีประสิทธิภาพประมาณครึ่งหนึ่งของความยาวกุญแจ

กุญแจถูกใช้เพื่อควบคุมการทำงานของระบบเข้ารหัส เพื่อให้เฉพาะกุญแจที่ถูกต้องเท่านั้นที่สามารถแปลงข้อความที่เข้ารหัส ( ข้อความเข้ารหัส ) ไปเป็นข้อความ ธรรมดาได้ ระบบเข้ารหัสที่ใช้กันทั่วไปทั้งหมดนั้นอิงตามอัลกอริทึม ที่เป็นที่รู้จักกันทั่วไป หรือเป็นโอเพนซอร์สดังนั้นความปลอดภัยของระบบจึงขึ้นอยู่กับความยากในการได้มาซึ่งกุญแจเท่านั้น โดยมีเงื่อนไขว่าไม่มีการโจมตีเชิงวิเคราะห์ (เช่น "จุดอ่อนเชิงโครงสร้าง" ในอัลกอริทึมหรือโปรโตคอลที่ใช้) และสมมติว่ากุญแจนั้นไม่สามารถเข้าถึงได้ด้วยวิธีอื่น (เช่น ผ่านการขโมย การขู่กรรโชก หรือการรั่วไหลของระบบคอมพิวเตอร์) แนวคิดที่ได้รับการยอมรับอย่างกว้างขวางว่าความปลอดภัยของระบบควรขึ้นอยู่กับกุญแจเพียงอย่างเดียวนั้นได้รับการกำหนดขึ้นอย่างชัดเจนโดยAuguste Kerckhoffs (ในช่วงทศวรรษ 1880) และClaude Shannon (ในช่วงทศวรรษ 1940) ซึ่งข้อความเหล่านี้เป็นที่รู้จักกันในชื่อหลักการของ Kerckhoffsและหลักการของ Shannon ตามลำดับ

ดังนั้น กุญแจควรมีขนาดใหญ่พอที่จะทำให้การโจมตีแบบเดาสุ่ม (ซึ่งเป็นไปได้กับอัลกอริทึมการเข้ารหัสใดๆ) เป็นไปไม่ได้ – กล่าวคือ จะใช้เวลานานเกินไปและ/หรือใช้หน่วยความจำมากเกินไปในการดำเนินการงานของแชนนอน เกี่ยวกับ ทฤษฎีสารสนเทศแสดงให้เห็นว่า เพื่อให้บรรลุสิ่งที่เรียกว่า ' ความลับที่สมบูรณ์แบบ ' ความยาวของกุญแจจะต้องมีขนาดอย่างน้อยเท่ากับความยาวของข้อความและใช้ได้เพียงครั้งเดียวเท่านั้น (อัลกอริทึมนี้เรียกว่าone-time pad ) ด้วยเหตุนี้ และความยากลำบากในทางปฏิบัติของการจัดการกุญแจที่ยาวเช่นนี้ การปฏิบัติทางด้านการเข้ารหัสสมัยใหม่จึงได้ละทิ้งแนวคิดเรื่องความลับที่สมบูรณ์แบบในฐานะข้อกำหนดสำหรับการเข้ารหัส และหันมาเน้นที่ความปลอดภัยเชิงคำนวณ แทน ซึ่งภายใต้เงื่อนไขนี้ ข้อกำหนดเชิงคำนวณในการถอดรหัสข้อความที่เข้ารหัสจะต้องเป็นไปไม่ได้สำหรับผู้โจมตี

ระบบการเข้ารหัสมักถูกจัดกลุ่มเป็นตระกูล ตระกูลทั่วไป ได้แก่ ระบบสมมาตร (เช่นAES ) และระบบอสมมาตร (เช่นRSAและการเข้ารหัสแบบวงรี [ECC]) นอกจากนี้ยังอาจจัดกลุ่มตามอัลกอริธึม หลัก ที่ใช้ (เช่นECCและการเข้ารหัส Feistel ) เนื่องจากแต่ละระบบมีความซับซ้อนในการเข้ารหัสที่แตกต่างกัน จึงมักใช้ขนาดคีย์ที่แตกต่างกันสำหรับระดับความปลอดภัย เดียวกัน ขึ้นอยู่กับอัลกอริธึมที่ใช้ ตัวอย่างเช่น ความปลอดภัยที่ได้จากคีย์ 1024 บิตโดยใช้RSA แบบอสมมาตร ถือว่ามีความปลอดภัยเทียบเท่ากับคีย์ 80 บิตในอัลกอริธึมสมมาตร^{[ 1 ]}

ระดับความปลอดภัยที่แท้จริงที่ได้รับเมื่อเวลาผ่านไปจะแตกต่างกันไป เนื่องจากพลังการคำนวณและวิธีการวิเคราะห์ทางคณิตศาสตร์ที่มีประสิทธิภาพมากขึ้นมีให้ใช้งานมากขึ้น ด้วยเหตุนี้ นักเข้ารหัสลับจึงมักมองหาตัวบ่งชี้ที่แสดงว่าอัลกอริทึมหรือความยาวของคีย์แสดงสัญญาณของช่องโหว่ที่อาจเกิดขึ้น เพื่อเปลี่ยนไปใช้ขนาดคีย์ที่ยาวขึ้นหรืออัลกอริทึมที่ซับซ้อนมากขึ้น ตัวอย่างเช่น ณ เดือนพฤษภาคม 2550 จำนวนเต็ม 1039 บิตถูกแยกตัวประกอบโดย ใช้วิธีการแยก ฟิลด์ตัวเลขพิเศษโดยใช้คอมพิวเตอร์ 400 เครื่องเป็นเวลา 11 เดือน^{[ 2 ]}จำนวนที่แยกตัวประกอบได้นั้นมีรูปแบบพิเศษ วิธีการแยกฟิลด์ตัวเลขพิเศษไม่สามารถใช้กับคีย์ RSA ได้ การคำนวณนี้เทียบเท่ากับการถอดรหัสคีย์ RSA 700 บิตโดยประมาณ อย่างไรก็ตาม นี่อาจเป็นการเตือนล่วงหน้าว่าคีย์ RSA 1024 บิตที่ใช้ในการค้าออนไลน์ที่ปลอดภัยควรถูกยกเลิกเนื่องจากอาจถูกถอดรหัสได้ในอนาคตอันใกล้ ศาสตราจารย์ด้านการเข้ารหัสArjen Lenstraสังเกตว่า "ครั้งที่แล้ว เราใช้เวลาถึงเก้าปีในการสรุปจากตัวเลขพิเศษไปสู่ตัวเลขที่ไม่พิเศษและยากต่อการแยกตัวประกอบ" และเมื่อถูกถามว่าคีย์ RSA 1024 บิตตายแล้วหรือไม่ เขาตอบว่า "คำตอบสำหรับคำถามนั้นคือใช่อย่างแน่นอน" ^{[ 3 ]}

การโจมตี Logjamในปี 2015 เผยให้เห็นอันตรายเพิ่มเติมในการใช้การแลกเปลี่ยนคีย์ Diffie-Hellman เมื่อใช้โมดูลัสจำนวนเฉพาะทั่วไปขนาด 1024 บิตหรือเล็กกว่าเพียงหนึ่งหรือสองตัวเท่านั้น การปฏิบัติเช่นนี้ซึ่งค่อนข้างแพร่หลายในขณะนั้น อนุญาตให้มีการโจมตีการสื่อสารจำนวนมากโดยแลกกับการโจมตีจำนวนเฉพาะเพียงเล็กน้อย^{[ 4 ​​] [ 5 ]}

แม้ว่าปัจจุบันรหัสสมมาตรจะไม่สามารถถอดรหัสได้โดยการใช้จุดอ่อนเชิงโครงสร้างในอัลกอริทึม แต่ก็อาจเป็นไปได้ที่จะค้นหารหัสทั้งหมดด้วยวิธีที่เรียกว่าการโจมตีแบบเดาไปเรื่อยๆ (brute-force attack) เนื่องจากรหัสสมมาตรที่ยาวขึ้นจะต้องการการทำงานมากขึ้นอย่างมากในการค้นหาแบบเดาไปเรื่อยๆ ดังนั้นรหัสสมมาตรที่ยาวมากพอจะทำให้การโจมตีแบบนี้ทำได้ยาก

With a key of length n bits, there are 2ⁿ possible keys. This number grows very rapidly as n increases. The large number of operations (2¹²⁸) required to try all possible 128-bit keys is widely considered out of reach for conventional digital computing techniques for the foreseeable future.^[6] However, a quantum computer capable of running Grover's algorithm would be able to search the possible keys more efficiently. If a suitably sized quantum computer would reduce a 128-bit key down to 64-bit security, roughly a DES equivalent. This is one of the reasons why AES supports key lengths of 256 bits and longer.^[a]

IBM's Lucifer cipher was selected in 1974 as the base for what would become the Data Encryption Standard. Lucifer's key length was reduced from 128 bits to 56 bits, which the NSA and NIST argued was sufficient for non-governmental protection at the time. The NSA has major computing resources and a large budget; some cryptographers including Whitfield Diffie and Martin Hellman complained that this made the cipher so weak that NSA computers would be able to break a DES key in a day through brute force parallel computing. The NSA disputed this, claiming that brute-forcing DES would take them "something like 91 years".^[7]

However, by the late 90s, it became clear that DES could be cracked in a few days' time-frame with custom-built hardware such as could be purchased by a large corporation or government.^[8][9] The book Cracking DES (O'Reilly and Associates) tells of the successful ability in 1998 to break 56-bit DES by a brute-force attack mounted by a cyber civil rights group with limited resources; see EFF DES cracker. Even before that demonstration, 56 bits was considered insufficient length for symmetric algorithm keys for general use. Because of this, DES was replaced in most security applications by Triple DES, which has 112 bits of security when using 168-bit keys (triple key).^[1]

มาตรฐานการเข้ารหัสขั้นสูง (AES)ที่เผยแพร่ในปี 2544 ใช้ขนาดคีย์ 128, 192 หรือ 256 บิต ผู้สังเกตการณ์หลายคนพิจารณาว่า 128 บิตเพียงพอสำหรับอนาคตอันใกล้สำหรับอัลกอริธึมสมมาตรที่มีคุณภาพของAES จนกว่า คอมพิวเตอร์ควอนตัมจะพร้อมใช้งาน อย่างไรก็ตาม ในปี 2558 สำนักงานความมั่นคงแห่งชาติ ของสหรัฐอเมริกา ได้ออกคำแนะนำว่ามีแผนจะเปลี่ยนไปใช้อัลกอริธึมที่ทนต่อคอมพิวเตอร์ควอนตัม และขณะนี้กำหนดให้ใช้คีย์ AES 256 บิตสำหรับข้อมูลที่จัดอยู่ในระดับความลับสูงสุด^{[ 10 ]}

ในปี พ.ศ. 2546 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติของสหรัฐอเมริกา(NIST)เสนอให้ทยอยเลิกใช้คีย์ 80 บิตภายในปี พ.ศ. 2548 โดยในปี พ.ศ. 2548 อนุญาตให้ใช้คีย์ 80 บิตได้จนถึงปี พ.ศ. 2553 เท่านั้น^{[ 11 ]}

ตั้งแต่ปี 2015 แนวทางของ NIST ระบุว่า "การใช้คีย์ที่มี ความแข็งแกร่งด้านความปลอดภัยน้อยกว่า 112 บิตสำหรับการตกลงคีย์นั้นไม่ได้รับอนุญาตอีกต่อไป" อัลกอริทึมการเข้ารหัสแบบสมมาตรที่ได้รับการอนุมัติจาก NIST ได้แก่Triple DES แบบ สามคีย์ และAESการอนุมัติสำหรับ Triple DES แบบสองคีย์และSkipjackถูกเพิกถอนในปี 2015 อัลกอริทึม Skipjack ของNSA ที่ใช้ในโปรแกรม Fortezzaใช้คีย์ 80 บิต^{[ 1 ]}

ประสิทธิภาพของระบบเข้ารหัสแบบกุญแจสาธารณะขึ้นอยู่กับความยากลำบาก (ทั้งในเชิงคำนวณและเชิงทฤษฎี) ของปัญหาทางคณิตศาสตร์บางอย่าง เช่นการแยกตัวประกอบจำนวนเต็มปัญหาเหล่านี้ใช้เวลานานในการแก้ แต่โดยทั่วไปแล้วจะเร็วกว่าการลองใช้กุญแจที่เป็นไปได้ทั้งหมดด้วยวิธีเดาแบบสุ่ม ดังนั้นกุญแจแบบไม่สมมาตร จะต้องยาวกว่าเพื่อให้มีความต้านทานต่อการโจมตีเทียบเท่ากับกุญแจแบบสมมาตร วิธีการที่ใช้กันทั่วไปส่วนใหญ่คาดว่าจะอ่อนแอต่อ คอมพิวเตอร์ควอนตัมที่มีประสิทธิภาพสูงในอนาคต

ตั้งแต่ปี 2015 NIST แนะนำคีย์ขั้นต่ำ 2048 บิตสำหรับRSA [ ^{12 ] ซึ่งเป็นการปรับปรุงคำ แนะนำ}ที่ได้รับการยอมรับอย่างกว้างขวางเกี่ยวกับคีย์ขั้นต่ำ 1024 บิตตั้งแต่ปี 2002 เป็นอย่างน้อย^{[ 13 ]}

คีย์ RSA 1024 บิตมีความแข็งแกร่งเทียบเท่ากับคีย์สมมาตร 80 บิต คีย์ RSA 2048 บิตเทียบเท่ากับคีย์สมมาตร 112 บิต คีย์ RSA 3072 บิตเทียบเท่ากับคีย์สมมาตร 128 บิต และคีย์ RSA 15360 บิตเทียบเท่ากับคีย์สมมาตร 256 บิต^{[ 14 ]}ในปี 2546 RSA Securityอ้างว่าคีย์ 1024 บิตมีแนวโน้มที่จะถูกเจาะได้ในช่วงระหว่างปี 2549 ถึง 2553 ในขณะที่คีย์ 2048 บิตยังคงใช้งานได้จนถึงปี 2533 ^{[ 15 ]}ณ ปี 2563 คีย์ RSA ที่ใหญ่ที่สุดที่ทราบกันดีว่าถูกเจาะได้คือRSA-250ซึ่งมี 829 บิต^{[ 16 ]}

The Finite Field Diffie-Hellman algorithm has roughly the same key strength as RSA for the same key sizes. The work factor for breaking Diffie-Hellman is based on the discrete logarithm problem, which is related to the integer factorization problem on which RSA's strength is based. Thus, a 2048-bit Diffie-Hellman key has about the same strength as a 2048-bit RSA key.

Elliptic-curve cryptography (ECC) is an alternative set of asymmetric algorithms that is equivalently secure with shorter keys, requiring only approximately twice the bits as the equivalent symmetric algorithm. A 256-bit Elliptic-curve Diffie–Hellman (ECDH) key has approximately the same safety factor as a 128-bit AES key.^[12] A message encrypted with an elliptic key algorithm using a 109-bit long key was broken in 2004.^[17]

The NSA previously recommended 256-bit ECC for protecting classified information up to the SECRET level, and 384-bit for TOP SECRET;^[10] In 2015 it announced plans to transition to quantum-resistant algorithms by 2024, and until then recommends 384-bit for all classified information.^[18]

The two best known quantum computing attacks are based on Shor's algorithm and Grover's algorithm. Of the two, Shor's offers the greater risk to current security systems.

มีการคาดการณ์กันอย่างกว้างขวางว่าอัลกอริทึมของ Shor ที่พัฒนาต่อยอดมานั้นมีประสิทธิภาพในการโจมตีอัลกอริทึมการเข้ารหัสแบบกุญแจสาธารณะหลักๆ ทั้งหมด รวมถึงRSA , Diffie-Hellmanและการเข้ารหัสแบบวงรีตามที่ศาสตราจารย์ Gilles Brassardผู้เชี่ยวชาญด้านคอมพิวเตอร์ควอนตัมกล่าวว่า "เวลาที่ใช้ในการแยกตัวประกอบจำนวนเต็ม RSA นั้นมีลำดับเวลาเดียวกับเวลาที่ใช้ในการใช้จำนวนเต็มนั้นเป็นโมดูลัสสำหรับการเข้ารหัส RSA เพียงครั้งเดียว กล่าวอีกนัยหนึ่งคือ การถอดรหัส RSA บนคอมพิวเตอร์ควอนตัม (โดยมีค่าคงที่ตัวคูณ) ใช้เวลาไม่นานไปกว่าการใช้งานอย่างถูกต้องบนคอมพิวเตอร์แบบคลาสสิก" โดยทั่วไปแล้วมีความเห็นพ้องกันว่าอัลกอริทึมการเข้ารหัสแบบกุญแจสาธารณะเหล่านี้ไม่ปลอดภัยไม่ว่าขนาดกุญแจจะเป็นเท่าใด หากมีคอมพิวเตอร์ควอนตัมขนาดใหญ่พอที่จะใช้งานอัลกอริทึมของ Shor ได้ ผลกระทบของการโจมตีนี้คือ ข้อมูลทั้งหมดที่เข้ารหัสโดยใช้ระบบรักษาความปลอดภัยตามมาตรฐานปัจจุบัน เช่นSSLที่ใช้กันอย่างแพร่หลายในการปกป้องอีคอมเมิร์ซและการธนาคารทางอินเทอร์เน็ต และSSHที่ใช้ในการปกป้องการเข้าถึงระบบคอมพิวเตอร์ที่ละเอียดอ่อนนั้นมีความเสี่ยง ข้อมูลที่เข้ารหัสซึ่งได้รับการปกป้องโดยใช้อัลกอริธึมกุญแจสาธารณะสามารถจัดเก็บและถอดรหัสได้ในภายหลัง ซึ่งโดยทั่วไปเรียกว่าการถอดรหัสย้อนหลัง หรือ " เก็บเกี่ยวข้อมูลตอนนี้ ถอดรหัสในภายหลัง "

การเข้ารหัสแบบสมมาตรกระแสหลัก (เช่นAESหรือTwofish ) และฟังก์ชันแฮชที่ทนต่อการชนกัน (เช่นSHA ) เป็นที่คาดการณ์กันอย่างกว้างขวางว่าให้ความปลอดภัยที่มากกว่าต่อการโจมตีคอมพิวเตอร์ควอนตัมที่เป็นที่รู้จัก พวกมันถูกมองว่ามีความเสี่ยงมากที่สุดต่ออัลกอริทึมของ Grover Bennett, Bernstein, Brassard และ Vazirani พิสูจน์ในปี 1996 ว่าการค้นหาคีย์แบบ brute-force บนคอมพิวเตอร์ควอนตัมไม่สามารถเร็วกว่าการเรียกใช้อัลกอริทึมการเข้ารหัสพื้นฐาน ประมาณ 2 ^{n /2 ครั้ง เมื่อเทียบกับประมาณ 2 n}ในกรณีคลาสสิก^{[ 19 ]}ดังนั้นในกรณีที่มีคอมพิวเตอร์ควอนตัมขนาดใหญ่ คีย์ nบิตสามารถให้ความปลอดภัยได้อย่างน้อยn /2 บิต การโจมตีแบบ brute-force ในควอนตัมสามารถเอาชนะได้ง่ายโดยการเพิ่มความยาวของคีย์เป็นสองเท่า ซึ่งมีต้นทุนการคำนวณเพิ่มเติมเพียงเล็กน้อยในการใช้งานทั่วไป นี่หมายความว่าต้องใช้คีย์สมมาตรอย่างน้อย 256 บิตเพื่อให้ได้ระดับความปลอดภัย 128 บิตต่อคอมพิวเตอร์ควอนตัม ตามที่กล่าวไว้ข้างต้น NSA ประกาศในปี 2015 ว่ามีแผนจะเปลี่ยนไปใช้อัลกอริธึมที่ทนต่อควอนตัม^{[ 10 ]}

ในการตอบคำถามเกี่ยวกับคอมพิวเตอร์ควอนตัมประจำปี 2016 หน่วยงานความมั่นคงแห่งชาติของสหรัฐฯ (NSA) ได้ยืนยันว่า:

“หากสร้างคอมพิวเตอร์ควอนตัมขนาดใหญ่ได้ มันจะสามารถบ่อนทำลายอัลกอริธึมกุญแจสาธารณะที่ใช้กันอย่างแพร่หลายสำหรับการสร้างกุญแจและลายเซ็นดิจิทัลได้ [...] โดยทั่วไปเป็นที่ยอมรับกันว่าเทคนิคการคำนวณควอนตัมมีประสิทธิภาพน้อยกว่ามากเมื่อเทียบกับอัลกอริธึมแบบสมมาตรเมื่อเทียบกับอัลกอริธึมกุญแจสาธารณะที่ใช้กันอย่างแพร่หลายในปัจจุบัน ในขณะที่การเข้ารหัสกุญแจสาธารณะจำเป็นต้องมีการเปลี่ยนแปลงในการออกแบบพื้นฐานเพื่อป้องกันคอมพิวเตอร์ควอนตัมในอนาคต อัลกอริธึมกุญแจแบบสมมาตรนั้นเชื่อว่ามีความปลอดภัยหากใช้ขนาดกุญแจที่ใหญ่เพียงพอ [...] อัลกอริธึมกุญแจสาธารณะ ( RSA , Diffie-Hellman , ECDHและECDSA ) ล้วนมีความเสี่ยงต่อการโจมตีโดยคอมพิวเตอร์ควอนตัมขนาดใหญ่ [...] แม้ว่าจะมีอัลกอริธึมกุญแจสาธารณะที่ทนทานต่อควอนตัมที่น่าสนใจจำนวนหนึ่งได้รับการเสนอจากภายนอก NSA แต่ก็ยังไม่มีการกำหนดมาตรฐานใด ๆ โดยNISTและ NSA ก็ไม่ได้ระบุอัลกอริธึมที่ทนทานต่อควอนตัมเชิงพาณิชย์ใด ๆ มาตรฐานในเวลานี้ NSA คาดหวังว่า NIST จะมีบทบาทสำคัญในการพัฒนาชุดอัลกอริธึมที่ทนทานต่อควอนตัมซึ่งเป็นที่ยอมรับอย่างกว้างขวางและเป็นมาตรฐาน [...] เมื่อพิจารณาถึงระดับความสนใจในชุมชนการเข้ารหัส เราหวังว่าจะมีอัลกอริธึมที่ทนทานต่อควอนตัมให้ใช้งานได้อย่างแพร่หลายในทศวรรษหน้า [...] อัลกอริธึม AES-256 และ SHA-384 เป็นแบบสมมาตร และเชื่อว่าปลอดภัยจากการโจมตีโดยคอมพิวเตอร์ควอนตัมขนาดใหญ่” ^{[ 20 ]}

ในแถลงการณ์ข่าวเมื่อปี 2022 หน่วยงานความมั่นคงแห่งชาติ (NSA) ได้แจ้งว่า:

"คอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการวิเคราะห์รหัส (CRQC) จะมีศักยภาพในการทำลายระบบกุญแจสาธารณะ (บางครั้งเรียกว่าการเข้ารหัสแบบไม่สมมาตร) ที่ใช้ในปัจจุบัน เมื่อพิจารณาถึงความพยายามของต่างประเทศในการคำนวณควอนตัม ตอนนี้จึงเป็นเวลาที่จะวางแผน เตรียมการ และจัดงบประมาณสำหรับการเปลี่ยนไปใช้อัลกอริธึม QR ที่ทนต่อควอนตัม เพื่อให้มั่นใจถึงการปกป้องระบบความมั่นคงแห่งชาติ (NSS) และทรัพย์สินที่เกี่ยวข้องอย่างต่อเนื่อง ในกรณีที่ CRQC กลายเป็นความจริงที่สามารถทำได้" ^{[ 21 ]}

ตั้งแต่เดือนกันยายน พ.ศ. 2565 NSA ได้เปลี่ยนจากCommercial National Security Algorithm Suite (ปัจจุบันเรียกว่า CNSA 1.0) ซึ่งเปิดตัวครั้งแรกในเดือนมกราคม พ.ศ. 2559 ไปเป็น Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) ซึ่งสรุปไว้ด้านล่าง: ^{[ 22 ] [ b ]}

ซีเอ็นเอสเอ 2.0

ซีเอ็นเอสเอ 1.0

• การยืดกล้ามเนื้อที่สำคัญ

• คำแนะนำสำหรับการจัดการกุญแจสำคัญ — ตอนที่ 1: ทั่วไป,เก็บถาวรเมื่อวันที่ 12 กันยายน 2017 ที่ Wayback Machineเอกสารพิเศษของ NIST หมายเลข 800-57 มีนาคม 2007
• Blaze, Matt; Diffie, Whitfield; Rivest, Ronald L.; และคณะ "ความยาวกุญแจขั้นต่ำสำหรับการเข้ารหัสแบบสมมาตรเพื่อให้มีความปลอดภัยเพียงพอสำหรับการใช้งานเชิงพาณิชย์" มกราคม 1996
• Arjen K. Lenstra, Eric R. Verheul: การเลือกขนาดกุญแจเข้ารหัสลับ J. Cryptology 14(4): 255-293 (2001) — ลิงก์ Citeseer

• www.keylength.com: เครื่องคำนวณความยาวคีย์ออนไลน์
• บทความที่อภิปรายถึงผลกระทบของการคำนวณควอนตัม
• ชุดเครื่องมือการเข้ารหัสลับ ของ NIST ถูกเก็บถาวรเมื่อวันที่ 20 สิงหาคม 2015 ที่Wayback Machine
• เบิร์ต คาลิสกี : ขนาดคีย์ TWIRL และ RSA (พฤษภาคม 2546)