Jeg er ikke sikker på at de fleste i personvernmiljøet er fullt klar over angrepet «høst nå-dekrypter-senere». Vi sier stadig at vi fortsatt har n år igjen før den første modne kvantedatamaskinen kjører Shors algoritme på et reelt tilfelle. Post-kvantesikkerhet er ikke en fremtidig luksus, spesielt ikke for personvernsystemer. Trusselmodellen har allerede endret seg: motstandere trenger ikke en kvantedatamaskin i dag for å bryte dataene dine i morgen. De trenger bare å hente den. Hver kryptert transaksjon, melding eller bevis som når den offentlige mempoolen eller kjeden kan arkiveres på ubestemt tid. I det øyeblikket en tilstrekkelig kraftig kvantemaskin ankommer, blir alt som er kryptert under klassiske antakelser om elliptiske kurver klartekst. Dette er problemet med høst-nå-dekrypter-senere, og det dreper stille garantien om at «kryptert i dag betyr privat for alltid.» Personvernprotokoller må behandle dette som en førsteklasses designbegrensning. Hvis systemet ditt er avhengig av ECDH, secp256k1-signaturer for å utlede nøkler, eller enhver elliptisk kurve-basert kryptering inne i personvernlaget ditt, utsetter du allerede brukerne dine for et forsinket brudd. Vi liker å tro at personvern er en øyeblikkelig egenskap, men i virkeligheten er det en varig en: den må overleve tid, fremskritt i maskinvare og motstandere med lang hukommelse og billig lagring. Dette er grunnen til at post-kvante-sikkerhet er så mye viktigere for personvern enn for generell autentisering eller konsensus. En signatur kan roteres. En validatornøkkel kan migreres. Men chiffertekster, når de først er publisert, er permanente. Og «dekryptering» er ikke en feil du kan rette opp. (Visuell: Peter Shor)