Je ne suis pas sûr que la plupart des gens dans le domaine de la confidentialité soient pleinement conscients de l'attaque « récolter maintenant, déchiffrer plus tard ». Nous continuons à dire qu'il nous reste encore n années avant que le premier ordinateur quantique mature n'exécute l'algorithme de Shor sur un cas réel. La sécurité post-quantique n'est pas un luxe futur, surtout pour les systèmes de confidentialité. Le modèle de menace a déjà changé : les adversaires n'ont pas besoin d'un ordinateur quantique aujourd'hui pour compromettre vos données demain. Ils ont juste besoin de les collecter. Chaque transaction, message ou preuve chiffré qui atteint le mempool public ou la chaîne peut être archivé indéfiniment. Au moment où une machine quantique suffisamment puissante arrive, tout ce qui est chiffré sous des hypothèses classiques de courbes elliptiques devient du texte en clair. C'est le problème de « récolter maintenant, déchiffrer plus tard », et cela tue discrètement la garantie que « chiffré aujourd'hui signifie privé pour toujours ». Les protocoles de confidentialité doivent traiter cela comme une contrainte de conception de premier ordre. Si votre système repose sur ECDH, des signatures secp256k1 pour dériver des clés, ou tout chiffrement basé sur des courbes elliptiques à l'intérieur de votre couche de confidentialité, vous exposez déjà vos utilisateurs à une violation différée. Nous aimons penser que la confidentialité est une propriété instantanée, mais en réalité, c'est une propriété durable : elle doit survivre au temps, aux avancées matérielles et aux adversaires ayant une bonne mémoire et un stockage bon marché. C'est pourquoi la sécurité post-quantique est tellement plus importante pour la confidentialité que pour l'authentification générale ou le consensus. Une signature peut être renouvelée. Une clé de validateur peut être migrée. Mais les textes chiffrés, une fois publiés, sont permanents. Et « déchiffrement » n'est pas une erreur que vous pouvez réparer.