Re : la menace quantique pour Bitcoin et les blockchains, il y a deux grandes opinions : (1) La quantique ne sera pas pertinente avant longtemps, donc il n'y a pas besoin d'urgence. (2) La quantique est déjà pertinente, et nous devons agir avec urgence. Pour info, les véritables physiciens quantiques et experts en sécurité sont de plus en plus dans le monde (2). Les personnes qui croient que nous sommes dans le monde (1) sont soit armées de mauvaises informations, de mauvaises hypothèses, soit ne veulent tout simplement pas réfléchir de manière critique à l'impact. 🧵

1/ Exposition 1 : Le dernier article de blog de Google par Hartmut Neven (responsable de @GoogleQuantumAI) et Kent Walker (responsable des affaires publiques pour Google/Alphabet) présente la transition vers la cryptographie post-quantique comme urgente, systémique, nécessitant une action coordonnée maintenant pour "accélérer le progrès" et l'adoption.

2/ L'argument de Google est simple : les ordinateurs quantiques briseront la cryptographie qui sécurise Internet. Les méthodes cryptographiques actuelles reposent sur des problèmes que les ordinateurs classiques ne peuvent pas résoudre efficacement. La quantique brise ce paradigme, et ne sera pas "pour toujours à une décennie".

3/ Et ils ne font pas que théoriser. Des chercheurs de Google viennent de publier des travaux montrant que briser le chiffrement RSA de 2048 bits nécessite environ 1 million de qubits bruyants, et non les milliards estimés précédemment. Les exigences en ressources diminuent plus rapidement que prévu, donc le calendrier se resserre.

4/ (Au fait, pour les commentateurs qui pourraient faire remarquer que Bitcoin n'utilise pas RSA, je réponds de manière préventive que l'ECDSA pourrait être plus facile à casser que RSA-2048 parce que l'algorithme de Shor fonctionne en temps polynomial par rapport à la longueur de la clé, et les clés de courbe elliptique sont beaucoup plus courtes que les clés RSA, ce qui pourrait rendre cela encore plus urgent).

5/ Question : Pourquoi Google investirait-il massivement dans l'accélération de l'adoption de la cryptographie post-quantique pour ses propres systèmes s'ils étaient pessimistes quant aux progrès quantiques ? Réponse : Ils observent leurs propres courbes de capacité et agissent en conséquence.

6/ Même en supposant que ce qui est public soit à la pointe de la technologie (ce n'est pas le cas), la position de Google est rationnelle : se préparer à la capacité avant qu'elle n'arrive, car une fois qu'elle est là, vous êtes déjà en retard. Posture de défense classique. Ce n'est pas seulement Google. Les entreprises leaders qui priorisent la sécurité (comme @Cloudflare et @Apple) mettent la sécurité post-quantique en priorité sur leurs feuilles de route. Quelle raison ont-elles de prioriser cela que nous n'avons pas ?

7/ Exposition 2 : Scott Aaronson, l'un des plus éminents sceptiques de l'informatique quantique et un physicien connu pour dénoncer l'engouement quantique, a reconnu les progrès réels réalisés au cours des deux dernières années tout en soulignant l'incertitude concernant les délais futurs. @preskill a fait des observations similaires. Voici Scott :

8/ Lorsque des personnes à ce niveau, qui ont construit leur réputation sur le scepticisme quantique et l'intégrité académique, disent que les progrès sont réels et que les délais pourraient s'accélérer, cela devrait faire réfléchir tout le monde. Parier la sécurité de trillions d'actifs sur "ce sera lent" est imprudent.

9/ Exposition 3 : Le gouvernement américain a ordonné que tous les systèmes critiques doivent migrer vers la cryptographie post-quantique d'ici 2030. Le NIST a finalisé les normes de PQC en 2024. La NSA est évidemment un facteur majeur dans la détermination de ces délais, travaillant à rebours à partir des renseignements sur les menaces. S'ils exigent une migration d'ici 2030, ils voient potentiellement des délais de capacité qui justifient cette urgence. Ils peuvent savoir des choses que nous ne savons pas.

10/ En résumé, le consensus des experts, provenant de personnes qui construisent réellement des ordinateurs quantiques ou d'organisations ayant beaucoup à perdre, est le suivant : les progrès se sont accélérés, les délais sont incertains, la préparation est essentielle et les enjeux sont élevés.

11/ Maintenant, contrastons cela avec le camp des "ne rien faire". Leurs preuves sont souvent auto-référentielles, ignorent complètement les experts en quantum et répètent des affirmations empiriquement fausses dans une chambre d'écho. Étude de cas : le rapport @coinshares (publié le même jour que le billet de blog de Google mentionné ci-dessus). Décomposons les erreurs dans ce post car c'est un exemple illustratif.

12/ Erreur n°1 : L'auteur affirme que seulement ~1,6M BTC est vulnérable, avec peut-être 10 200 BTC capables de provoquer une perturbation du marché. Les calculs ici sont tout simplement faux.

13/ Fait : L'entité considérée comme Satoshi détient seule 1 096 152 BTC répartis sur 21 924 adresses. Toutes vulnérables. Et ce ne sont pas seulement des adresses P2PK. Toute adresse qui a signé une transaction une fois (et a laissé des fonds résiduels) est vulnérable à une attaque quantique. Cela inclut de nombreuses plus grandes adresses BTC aujourd'hui.

14/ Nous maintenons un suivi constamment mis à jour des vulnérabilités quantiques de Bitcoin ici : Vérifiez avec le rapport technique excellent de @ChaincodeLabs sur les menaces quantiques pour Bitcoin ici : Dans tous les cas, l'exposition est bien plus grande que ce que le rapport de @coinshares suggère.

15/ Erreur n°2 : Leur "preuve" que le quantique est loin est une citation du CTO de Ledger. Je respecte cette personne et n'ai rien contre lui, mais c'est un pur appel à l'autorité avec un biais évident. Si des signatures résistantes au quantique sont adoptées, chaque appareil @Ledger existant devient potentiellement obsolète. Alors considérez l'incitation et considérez la source. Au minimum, nous devrions reconnaître qu'il s'agit d'un point de vue unique, et potentiellement "choisi" pour un biais de confirmation.

16/ Erreur n°3 : Bien que des non-experts soient consultés sur leur expertise dans le domaine quantique, aucun effort n'est fait pour comprendre l'effort ou la complexité unique à l'application de solutions post-quantiques à une blockchain existante déjà déployée. Cela inclut : - des millions de clés distribuées qui doivent chacune être migrées séparément - pas d'autorité de décision centralisée - propriété des actifs entièrement sur la base d'une signature numérique (pas de solution de repli)

17/ Selon des recherches évaluées par des pairs, la blockchain BTC devrait être arrêtée pendant 76 jours pour traiter les transactions de migration pour l'ensemble UTXO existant. C'est le meilleur des cas.

18/ Erreur n°4 : L'auteur rejette quiconque sensibilise aux menaces quantiques en les qualifiant de "grifters". Si un ordinateur quantique brisant la fondation cryptographique de $ trillions d'actifs numériques n'est pas un problème sérieux, je ne sais pas ce que c'est. Caricaturer les chercheurs et les bâtisseurs en tant que grifters est contre-productif.

19/ Même si vous prenez la déclaration "10 ans de moins" au pied de la lettre (et il y a de bonnes raisons de ne pas le faire), cela semble lointain jusqu'à ce que vous réalisiez que c'est : - l'estimation optimiste qui a maintenant quelques années, et les besoins en ressources diminuent plus rapidement que prévu, et - le défi technique de la migration de ces systèmes est beaucoup plus complexe que ce que les gens s'attendent.

20/ La bonne nouvelle, c'est que nous pouvons résoudre ce problème. Les blockchains peuvent s'adapter. La cryptographie post-quantique existe. Mais ignorer les avertissements des experts en quantum parce que la menace semble lointaine, c'est exactement comment on se retrouve pris au dépourvu.

21/ Les gens aiment la certitude. Malheureusement, la seule certitude concernant les ordinateurs quantiques pertinents sur le plan cryptographique est qu'ils briseront Bitcoin et presque tous les autres réseaux d'actifs numériques. Prédire exactement quand ce moment arrivera est une tâche futile. Mais il n'y a aucune raison pour que cela n'arrive pas plus tôt que prévu, tout comme les progrès de l'IA ont régulièrement défié les délais pessimistes grâce à des avancées exponentielles.

22/ Je préfère que la sécurité des blockchains ne soit pas fondée sur l'hypothèse que les progrès de l'informatique quantique seront lents. /Fin

En ce qui concerne les timelines quantiques, la raison pour laquelle je pense personnellement qu'il y a un décalage, c'est que les gens ne comprennent pas la non-linéarité du progrès ici. Pour faire simple, les ordinateurs quantiques seront soit incapables de faire quoi que ce soit de cryptographiquement significatif (aujourd'hui), soit ils seront capables de tous les algorithmes asymétriques classiques déployés. Il n'y a aucune raison d'investir dans la construction d'un système pour le terrain d'entente. La principale différence entre l'un et l'autre est la capacité de correction d'erreurs. **C'est** pourquoi vous voyez tous les investissements et efforts appliqués là-bas. Parce qu'une fois que cela sera résolu, mettre ces systèmes à l'échelle pour qu'ils aient une pertinence cryptographique ne sera pas si difficile. Rien, puis tout à la fois.

@reardencode @dallairedemers @Ethan_Heilman De plus, il y a toutes les raisons de croire qu'au fur et à mesure que les choses avancent, il y a beaucoup moins de raisons de rendre public l'état de l'art. En fait, cela pourrait déjà être en train de se produire.