Наверное, лучший обзор прогресса в квантовых вычислениях был недавно обновлён, на этот раз с учётом новой статьи @CraigGidney, в которой заключительная строка звучит: "Я предпочитаю, чтобы безопасность не зависела от медленного прогресса" Иронично, что это спорное мнение.

Полное заключение, чтобы я не цитировал вне контекста: В этой статье я уменьшил ожидаемое количество кубитов, необходимых для взлома RSA2048, с 20 миллионов до 1 миллиона. Я сделал это, объединив и оптимизировав результаты из [CFS24], [Gid+25] и [GSJ24]. Надеюсь, это даст ориентир для текущего состояния искусства в квантовом факторинге и проинформирует о том, как быстро следует развертывать квантово-устойчивые криптосистемы. Не меняя физические предположения, сделанные в этой статье, я не вижу способа уменьшить количество кубитов еще на один порядок величины. Я не могу правдоподобно утверждать, что 2048-битное целое RSA может быть разложено с помощью ста тысяч шумных кубитов. Но в криптографии есть поговорка: "атаки всегда становятся лучше" [Sch09]. За последнее десятилетие это было верно для квантового факторинга. Смотрю в будущее, я согласен с первоначальным публичным проектом внутреннего отчета NIST о переходе к стандартам постквантовой криптографии [Moo+24]: уязвимые системы должны быть выведены из эксплуатации после 2030 года и запрещены после 2035 года. Не потому, что я ожидаю, что достаточно большие квантовые компьютеры появятся к 2030 году, а потому, что я предпочитаю, чтобы безопасность не зависела от медленного прогресса.

@CraigGidney @lopp Я думаю, вы ранее выражали интерес к этому участку: