Wahrscheinlich die beste Übersicht über den Fortschritt der Quantencomputing-Forschung wurde kürzlich aktualisiert, diesmal um das neueste Papier von @CraigGidney zu berücksichtigen, dessen abschließender Satz im Papier lautet: "Ich bevorzuge, dass Sicherheit nicht davon abhängt, dass der Fortschritt langsam ist." Ironisch, dass es ein umstrittenes Glaubensbekenntnis ist.

Vollständige Schlussfolgerung, damit ich nicht aus dem Kontext zitiere: In diesem Papier habe ich die erwartete Anzahl an Qubits, die benötigt wird, um RSA2048 zu brechen, von 20 Millionen auf 1 Million reduziert. Ich habe dies erreicht, indem ich Ergebnisse aus [CFS24], [Gid+25] und [GSJ24] kombiniert und optimiert habe. Meine Hoffnung ist, dass dies einen Wegweiser für den aktuellen Stand der Technik im quantenbasierten Faktorisieren bietet und darüber informiert, wie schnell quantensichere Kryptosysteme implementiert werden sollten. Ohne die physikalischen Annahmen, die in diesem Papier gemacht wurden, zu ändern, sehe ich keinen Weg, die Qubit-Anzahl um einen weiteren Faktor zu reduzieren. Ich kann nicht plausibel behaupten, dass eine 2048-Bit-RSA-Zahl mit hunderttausend rauschenden Qubits faktorisierbar wäre. Aber es gibt ein Sprichwort in der Kryptographie: "Angriffe werden immer besser" [Sch09]. In den letzten zehn Jahren hat sich das im Bereich des quantenbasierten Faktorisierens bewahrheitet. Ausblickend stimme ich dem ersten öffentlichen Entwurf des internen Berichts von NIST über den Übergang zu post-quanten Kryptographiestandards [Moo+24] zu: Verwundbare Systeme sollten nach 2030 abgelehnt und nach 2035 verboten werden. Nicht, weil ich erwarte, dass bis 2030 ausreichend große Quantencomputer existieren, sondern weil ich es bevorzuge, dass Sicherheit nicht von einem langsamen Fortschritt abhängt.

@CraigGidney @lopp Ich denke, du hast zuvor Interesse an diesem Grundstück bekundet: