Questa replica al mio post attacca posizioni che non ho preso e presenta sviluppi tecnici senza il contesto appropriato. 1) Il mio post non afferma che le firme/blockchain siano "meno vulnerabili" rispetto alla crittografia. Gli stessi algoritmi che rompono una rompono l'altra. Dice che una transizione post-quantistica per la crittografia è più urgente a causa degli attacchi HNDL. Questo non può essere in discussione: chiunque transiti a firme PQ prima che arrivi un computer quantistico rilevante dal punto di vista crittografico (CRQC) non può essere attaccato, ma questo non è il caso per la crittografia a causa di HNDL. 2) Il mio post non sostiene che le blockchain avranno la stessa facilità di transizione delle entità centralizzate. Non sono sicuro del perché questo venga sollevato come qualcosa su cui ho preso una posizione. Il mio post afferma che la maggior parte delle blockchain è più facile da aggiornare rispetto all'infrastruttura di internet — che è un'affermazione molto diversa da "aggiornare le blockchain è facile." 3) L'array di qubit a atomi neutri da 6.100 intrappola semplicemente e trattiene coerentemente gli atomi — non è un computer quantistico a modello di gate da 6.100 qubit e non dimostra porte di intreccio, correzione degli errori quantistici o calcoli algoritmici a una scala simile. Presentare questo come se avessimo ora un computer quantistico da 6.100 qubit è esattamente il tipo di comunicazione fuorviante che porta le persone a pensare che un CRQC sia molto più vicino di quanto non sia in realtà, e va oltre anche l'usuale sovra-enfasi sui conteggi di qubit. 4) La "riduzione di 20 volte" nei qubit stimati per Shor (da 20M a ~1M) è citata nel mio post. Alcuni contesti aggiuntivi: Queste stime assumono parametri hardware che nessun sistema esistente raggiunge: tassi di errore di gate a due qubit dello 0,1%, tempi di ciclo di 1 μs e latenza di feedback di 10 μs su larga scala. Gli attuali gate a due qubit superconduttori sono ~0,5% al meglio. I sistemi superconduttori si avvicinano ai tempi di ciclo richiesti ma affrontano gravi colli di bottiglia nella criogenica e nel cablaggio. I sistemi a atomi neutri potrebbero plausibilmente scalare verso 1M di qubit ma hanno tempi di ciclo ordini di grandezza più lenti. Abbiamo centinaia di qubit oggi, non un milione. I miglioramenti teorici delle stime delle risorse non colmano questo divario. 5) La replica cita lavori recenti sui codici di superficie e sui codici di colore come prova di "progresso incredibilmente rapido" sulla distillazione degli stati magici e sulle porte non-Clifford ad alta fedeltà. Questi articoli ottengono miglioramenti significativi nei costi delle risorse di tali fabbriche, ma non dimostrano una porta non-Clifford corretta per gli errori, e non rimuovono il colli di bottiglia delle risorse dominante: l'enorme sovraccarico delle fabbriche di stati magici. Strutturalmente, nei codici rilevanti, le porte Clifford sono "facili" (possono essere implementate trasversalmente o con basso sovraccarico), mentre le porte non-Clifford come le porte T sono "difficili" e devono essere realizzate tramite stati magici. Modificare le costruzioni dei codici di superficie o di colore non rende improvvisamente le porte T trasversali o economiche. Le fabbriche stesse rimangono un collo di bottiglia fondamentale, e l'immagine complessiva delle risorse è ancora dominata dal sovraccarico non-Clifford. Citare questi articoli come prova che questo collo di bottiglia è stato risolto, o è vicino alla risoluzione, esagera ciò che effettivamente realizzano. È anche importante notare che i lavori citati nella replica sono articoli di analisi di protocollo e risorse, non dimostrazioni hardware o roadmap. Analizzano, tramite simulazioni numeriche, le risorse necessarie per generare gli stati magici ad alta fedeltà richiesti nei calcoli su scala Shor, assumendo l'esistenza di una macchina di superficie/codice di colore molto grande e a basso errore che implementa molti qubit logici a una distanza di codice sostanziale. Al contrario, come evidenziato nel mio post, le roadmap hardware pubbliche tipicamente pubblicizzano "qubit logici" insieme a conteggi di porte logiche non differenziati (essenzialmente per carichi di lavoro dominati da Clifford), senza affrontare se questi budget possano effettivamente supportare le fabbriche di T ad alta intensità di risorse e il sovraccarico non-Clifford associato richiesto per le esecuzioni Shor rilevanti dal punto di vista crittografico. Quel divario rimane una delle ragioni chiave per cui le tempistiche per un CRQC sono sovrastimate. 6) Non vedo alcun disaccordo reale con le mie raccomandazioni — il mio post chiede esplicitamente di avviare i processi di governance e pianificazione ora, proprio perché sono lenti. 7) Il mio post non dice che i progressi stanno procedendo lentamente. Si stanno muovendo abbastanza velocemente da generare entusiasmo. Ma il divario tra dove siamo oggi (basato su dati pubblici) e un computer quantistico rilevante dal punto di vista crittografico è così vasto che anche con progressi rapidi, un CRQC prima del 2030 è altamente improbabile. Gli sviluppi citati in questa risposta non cambiano quella valutazione, che ho esaminato con più esperti prima di pubblicare.