Tato odpověď na můj příspěvek útočí na postoje, které jsem nezastával, a představuje technický vývoj bez vhodného kontextu. 1) Můj příspěvek neříká, že podpisy/blockchainy jsou "méně zranitelné" než šifrování. Stejné algoritmy, které rozbíjejí jedno, rozbíjejí druhé. Uvádí, že postkvantový přechod na šifrování je naléhavější kvůli útokům HNDL. To není sporné: kdokoli, kdo přejde na PQ podpisy dříve, než dorazí kryptograficky relevantní kvantový počítač (CRQC), nemůže být napaden, ale to neplatí pro šifrování kvůli HNDL. 2) Můj příspěvek netvrdí, že blockchainy budou mít stejně snadný přechod jako centralizované entity. Nevím, proč se to zmiňuje jako něco, na co jsem zaujal stanovisko. Můj příspěvek říká, že většinu blockchainů je snazší upgradovat než internetovou infrastrukturu — což je velmi odlišné tvrzení než "upgradovat blockchainy je snadné." 3) Pole o 6 100 neutrálních qubitech pouze zachytává a koherentně drží atomy — není to kvantový počítač s 6 100 qubity a neprokazuje propletené hradla, kvantovou korekci chyb ani algoritmické výpočty v takovém měřítku. Prezentovat to tak, že máme nyní kvantový počítač s kapacitou 6 100 qubitů, je přesně ten druh zavádějící komunikace, která vede lidi k přesvědčení, že CRQC je mnohem blíže, než ve skutečnosti je, a jde to i za hranici obvyklého přehnaného zdůrazňování počtu qubitů. 4) V mém příspěvku je uvedeno "20x snížení" odhadovaných qubitů u Shoru (z 20M na ~1M). Trochu doplňujícího kontextu: Tyto odhady předpokládají hardwarové parametry, kterých žádný stávající systém nedosáhne: 0,1 % chybovost dvouqubitových hradel, cykly 1 μs a zpětnou vazbu 10 μs ve škále. Současná supravodivá dvouqubitová hradla jsou maximálně ~0,5 %. Supravodivé systémy se blíží požadovaným cyklickým časům, ale čelí vážným škálovacím úzkým místům v kryogenice a elektroinstalaci. Neutrální atomové systémy by mohly pravděpodobně škálovat k 1 milionu qubitů, ale mít cykly časy o řády pomalejší. Dnes máme stovky qubitů, ne milion. Teoretické zlepšení odhadů zdrojů tuto mezeru nevyrovná. 5) Odpověď uvádí nedávné práce o povrchových kódech a barevných kódech jako důkaz "neuvěřitelně rychlého pokroku" v destilaci magických stavů a vysoce věrných ne-Cliffordových branách. Tyto články dosahují významných konstantních faktorových zlepšení nákladů na zdroje v takových továrnách, ale neprokazují chybově opravovanou ne-Cliffordovu bránu a neodstraňují dominantní zdrojové úzké hrdlo: obrovské režijní náklady magických továren. Strukturálně jsou v příslušných kódech Cliffordovy brány "snadné" (mohou být implementovány příčně nebo s nízkou režie), zatímco ne-Cliffordovy brány jako T-brány jsou "těžké" a musí být realizovány pomocí magických stavů. Úprava povrchových nebo barevných konstrukcí náhle nečiní T-hradly příčnými nebo levnými. Samotné továrny zůstávají základním úzkým místem a celkový obraz zdrojů je stále ovládán ne-Cliffordovými náklady. Citovat tyto články jako důkaz, že tento úzký hrdlo bylo vyřešeno nebo je blízko vyřešení, přeceňuje to, čeho skutečně dosahují. Je také důležité, aby práce citované v protiargumentu byly články o protokolech a analýze zdrojů, nikoli hardwarové demonstrace nebo plány. Analyzují pomocí numerických simulací zdroje potřebné k generování vysoce věrných magických stavů potřebných pro výpočty v měřítku Shor, za předpokladu existence velmi velkého, nízkochybového stroje pro povrchové/barevné kódování, který implementuje mnoho logických kubitů na značnou vzdálenost kódu. Naopak, jak zdůrazňuje můj příspěvek, veřejné hardwarové roadmapy obvykle inzerují "logické qubity" spolu s nediferencovanými logickými počty bran (v podstatě pro pracovní zátěže dominované Cliffordem), aniž by řešily, zda tyto rozpočty skutečně dokážou podpořit náročné T-továrny a související ne-Cliffordovy režijní náklady potřebné pro kryptograficky relevantní Shorovy běhy. Tato mezera zůstává hlavním důvodem, proč jsou termíny pro CRQC nadhodnocovány. 6) Nevidím žádný skutečný nesouhlas s mými doporučeními — můj příspěvek výslovně vyzývá k zahájení procesů správy a plánování hned, právě proto, že jsou pomalé. 7) Můj příspěvek neříká, že pokrok jde pomalu. Pohybuje se dost rychle na to, aby vzbudil vzrušení. Ale rozdíl mezi současnou situací (na základě veřejných dat) a kryptograficky relevantním kvantovým počítačem je tak obrovský, že i při rychlém pokroku je CRQC před rokem 2030 velmi nepravděpodobné. Vývoj uvedený v této odpovědi toto hodnocení nemění, které jsem před zveřejněním konzultoval s několika odborníky.