1/ Kvanteberegningsprediksjoner varierer i det siste fra «offentlig nøkkelkryptografi vil være ødelagt om 2 år» til «det er et århundre unna.» Begge er feil. Mitt siste innlegg forklarer hva offentlig kjent fremgang faktisk støtter — og hva blokkjeder bør gjøre med det. Tråd nedenfor 🧵

2/ En kryptografisk relevant kvantedatamaskin (CRQC) på 2020-tallet er svært usannsynlig. Selv midten av 2030-tallet er ambisiøst. Systemer med 1000+ qubits finnes, men rå qubit-tall er misvisende: vi trenger tusenvis av feilkorrigerte logiske qubits og enorme T-gate-budsjetter—langt utover i dag.

3/ En stor kilde til forvirring: selskaper kaller qubits for «feilkorrigerte logiske qubits» når de ikke støtter ikke-Clifford-operasjoner, eller i noen alvorlige tilfeller ikke engang kan rette feil. Dette har alvorlig villedet selv sofistikerte observatører om hvor nær vi er CRQC.

4/ En vanlig feil når man diskuterer kvantetrusler: å behandle alle kryptografiske primitive likt. Kryptering, signaturer og SNARK-er står overfor svært forskjellige risikoprofiler.

5/ Den tydeligste kortsiktige risikoen er Harvest-Now-Decrypt-Later (HNDL): motstandere registrerer kryptert trafikk nå for å dekryptere når en CRQC eksisterer.

6/ Derfor må post-kvante (PQ) kryptering sendes nå, til tross for kostnader og risiko. Chrome+Cloudflare implementerte hybride (PQ+klassiske) skjemaer for TLS; iMessage og Signal for meldinger. HNDL gir ikke noe valg for data som trenger langsiktig konfidensialitet, selv om kvantum ligger flere tiår unna.

7/ Signaturer er annerledes: det er ingen konfidensialitet knyttet til «høsting». En signatur opprettet før en CRQC eksisterer kan ikke forfalskes retroaktivt. Forskjellig risiko ⇒ ulik hastverk.

8/ Blokkjeder bruker i dag signaturer for autorisasjon, ikke kryptering. Uten HNDL-eksponering kan vi være bevisste på PQ-signaturmigrasjon.

9/ Dagens PQ-signaturer etterlater mye å ønske: ML-DSA ≈2,4–4,6 KB, Falcon ≈666 B–1,3 KB (men vanskelig å implementere riktig), SPHINCS+ ≈7–8 KB+. Til sammenligning er ECDSA bare ~64 byte. Større/tregere/mer kompleks ⇒ høyere risiko for insekter.

10/ Forsiktighet er nødvendig: Rainbow (MQ-basert) og SIKE/SIDH (isogeni-basert) ble klassisk brutt under NISTs prosess. For tidlig utplassering kan slå tilbake.

11/ Nett-PKI-en satser på kryptering først, signaturer senere av nettopp disse grunnene. Blokkjeder bør følge etter.

12/ zkSNARKs? Gode nyheter: selv ikke-PQ SNARK-er har post-kvante-nullkunnskap. Ingenting om vitnet blir avslørt, selv ikke for kvantemotstandere. Det som blir sårbart etter CRQC er holdbarhet (å forfalske nye falske bevis), ikke konfidensialitet eller holdbarheten av tidligere bevis.

13/ Et viktig poeng: i årene som kommer vil feil og implementeringsangrep (sidekanaler, feilinjeksjon) utgjøre større risiko enn CRQC-er. Dette gjelder for SNARK-er, signaturaggregeringsordninger og til og med selve signaturene. Invester i revisjoner, fuzzing og formelle metoder.

14/ Bitcoins spesielle utfordringer: treg styring, ingen passiv migrasjon, og en ikke-triviel forlatt forsyning på høyt verdifulle kvante-sårbare adresser.

15/ Det finnes ingen enkel løsning. Bitcoin må ta trusselen på alvor — ikke fordi CRQC-er kommer før 2030, men fordi det krever mange års koordinering å løse disse hovedsakelig ikke-tekniske problemene.

16/ Hva du bør gjøre: ✅ Implementer hybrid PQ-kryptering nå ✅ Bruk hybride hash-baserte signaturer nå der størrelsen er akseptabel (firmware/programvareoppdateringer) ✅ For blokkjededer: ikke skynd deg med PQ-signaturer—men planlegg migrasjonsveier

17/ Personvernkjeder som krypterer transaksjonsdetaljer bør prioritere PQ-kryptering (eller design som unngår on-chain dekrypterbare hemmeligheter) for å redusere HNDL-risikoen. Signatur-sentriske kjeder kan fase inn PQ-signaturer etter hvert som aggregeringsteknikker og implementasjoner modnes.

18/ Behold perspektiv: paradoksalt nok ≠ hyppige kunngjøringer av kvantemilepæler nærhet til CRQC. De fremhever hvor mange broer som gjenstår å krysse.

19/ Bunnlinjen: match hastverk med faktiske trusler. Kryptering: hastende (HNDL). Signaturer: bevisst. SNARKs: ZK-eiendommen holdes sikre; soliditet, sårbar etter CRQC. Og fremfor alt er insekter fortsatt den største risikoen på kort sikt.