Diese Erwiderung auf meinen Beitrag greift Positionen an, die ich nicht eingenommen habe, und präsentiert technische Entwicklungen ohne angemessenen Kontext. 1) Mein Beitrag sagt nicht, dass Signaturen/Blockchains "weniger anfällig" sind als Verschlüsselung. Die gleichen Algorithmen, die das eine brechen, brechen auch das andere. Er besagt, dass ein Übergang zu post-quantum Verschlüsselung aufgrund von HNDL-Angriffen dringlicher ist. Das kann nicht bestritten werden: Jeder, der zu PQ-Signaturen wechselt, bevor ein kryptographisch relevantes Quantencomputer (CRQC) eintrifft, kann nicht angegriffen werden, aber das ist bei der Verschlüsselung aufgrund von HNDL nicht der Fall. 2) Mein Beitrag argumentiert nicht, dass Blockchains einen ebenso einfachen Übergang haben werden wie zentralisierte Entitäten. Ich bin mir nicht sicher, warum dies als etwas angeführt wird, zu dem ich eine Position eingenommen habe. Mein Beitrag sagt, dass die meisten Blockchains einfacher zu aktualisieren sind als die Internetinfrastruktur — was eine sehr andere Behauptung ist als "Blockchains zu aktualisieren ist einfach." 3) Das 6.100 neutrale-Atom-Qubit-Array fängt lediglich die Atome ein und hält sie kohärent — es ist kein 6.100-Qubit-Gate-Modell-Quantencomputer und demonstriert keine verschränkten Tore, Quantenfehlerkorrektur oder algorithmische Berechnungen in einem solchen Maßstab. Dies so darzustellen, als hätten wir jetzt einen 6.100-Qubit-Quantencomputer, ist genau die Art von irreführender Kommunikation, die die Menschen glauben lässt, dass ein CRQC viel näher ist, als es tatsächlich ist, und es geht über die übliche Überbetonung der Qubit-Zahlen hinaus. 4) Die "20-fache Reduktion" der geschätzten Qubits für Shor's (von 20M auf ~1M) wird in meinem Beitrag zitiert. Ein zusätzlicher Kontext: Diese Schätzungen gehen von Hardwareparametern aus, die kein bestehendes System erreicht: 0,1% Fehlerquoten bei Zwei-Qubit-Gattern, 1 μs Zykluszeiten und 10 μs Rückkopplungsverzögerung im großen Maßstab. Aktuelle supraleitende Zwei-Qubit-Gatter liegen bestenfalls bei ~0,5%. Supraleitende Systeme nähern sich den erforderlichen Zykluszeiten, haben jedoch erhebliche Skalierungsengpässe in der Kryogenik und Verkabelung. Neutrale-Atom-Systeme könnten plausibel auf 1M Qubits skalieren, haben jedoch Zykluszeiten, die um Größenordnungen langsamer sind. Wir haben heute Hunderte von Qubits, nicht eine Million. Theoretische Verbesserungen der Ressourcenschätzungen schließen diese Lücke nicht. 5) Die Erwiderung zitiert aktuelle Arbeiten zu Oberflächen- und Farbencodes als Beweis für "unglaublich schnelle Fortschritte" bei der Magie-Zustands-Destillation und hochpräzisen Nicht-Clifford-Gattern. Diese Arbeiten erzielen bedeutende konstante Verbesserungen der Ressourcenkosten solcher Fabriken, demonstrieren jedoch kein fehlerkorrigiertes Nicht-Clifford-Gatter und beseitigen nicht den dominierenden Ressourcenengpass: die enorme Überlastung von Magie-Zustands-Fabriken. Strukturell sind in den relevanten Codes Clifford-Gatter "einfach" (sie können transversal oder mit geringer Überlastung implementiert werden), während Nicht-Clifford-Gatter wie T-Gatter "schwierig" sind und über magische Zustände realisiert werden müssen. Das Anpassen von Oberflächen- oder Farbencode-Konstruktionen macht T-Gatter nicht plötzlich transversal oder billig. Die Fabriken selbst bleiben ein grundlegender Engpass, und das gesamte Ressourcenbild wird weiterhin von der Nicht-Clifford-Überlastung dominiert. Diese Arbeiten als Beweis dafür zu zitieren, dass dieser Engpass gelöst oder kurz vor der Lösung steht, übertreibt, was sie tatsächlich erreichen. Es ist auch wichtig, dass die in der Erwiderung zitierten Arbeiten Protokoll- und Ressourcenanalysen sind, keine Hardware-Demonstrationen oder Fahrpläne. Sie analysieren, mittels numerischer Simulationen, die Ressourcen, die benötigt werden, um die hochpräzisen magischen Zustände zu erzeugen, die in Shor-Skalierungsberechnungen erforderlich sind, und gehen von der Existenz einer sehr großen, fehlerarmen Oberflächen-/Farbencode-Maschine aus, die viele logische Qubits bei erheblichem Code-Abstand implementiert. Im Gegensatz dazu, wie mein Beitrag hervorhebt, werben öffentliche Hardware-Fahrpläne typischerweise für "logische Qubits" zusammen mit undifferenzierten logischen Gatterzahlen (im Wesentlichen für Clifford-dominierte Arbeitslasten), ohne zu klären, ob diese Budgets tatsächlich die ressourcenintensiven T-Fabriken und die damit verbundene Nicht-Clifford-Überlastung unterstützen können, die für kryptographisch relevante Shor-Läufe erforderlich sind. Diese Lücke bleibt ein wesentlicher Grund, warum Zeitpläne für ein CRQC übertrieben werden. 6) Ich sehe keine tatsächliche Meinungsverschiedenheit mit meinen Empfehlungen — mein Beitrag fordert ausdrücklich dazu auf, jetzt mit Governance- und Planungsprozessen zu beginnen, genau weil sie langsam sind. 7) Mein Beitrag sagt nicht, dass der Fortschritt langsam voranschreitet. Er schreitet schnell genug voran, um Aufregung zu erzeugen. Aber die Lücke zwischen dem, wo wir heute stehen (basierend auf öffentlichen Daten), und einem kryptographisch relevanten Quantencomputer ist so groß, dass selbst bei schnellem Fortschritt ein CRQC vor 2030 höchst unwahrscheinlich ist. Die in dieser Antwort zitierten Entwicklungen ändern diese Einschätzung nicht, die ich vor der Veröffentlichung mit mehreren Experten überprüft habe.