Nie jestem pewien, czy większość osób w przestrzeni prywatności jest w pełni świadoma ataku harvest-now-decrypt-later. Wciąż mówimy, że mamy jeszcze n lat, zanim pierwszy dojrzały komputer kwantowy uruchomi algorytm Shora w rzeczywistym przypadku. Bezpieczeństwo post-kwantowe nie jest przyszłym luksusem, szczególnie dla systemów prywatności. Model zagrożeń już się zmienił: przeciwnicy nie potrzebują dzisiaj komputera kwantowego, aby złamać twoje dane jutro. Muszą tylko je zebrać. Każda zaszyfrowana transakcja, wiadomość lub dowód, który trafia do publicznego mempoola lub łańcucha, może być archiwizowany w nieskończoność. W momencie, gdy pojawi się wystarczająco potężna maszyna kwantowa, wszystko, co jest zaszyfrowane na podstawie klasycznych założeń krzywych eliptycznych, staje się tekstem jawnym. To jest problem harvest-now-decrypt-later, który cicho zabija gwarancję, że "zaszyfrowane dzisiaj oznacza prywatne na zawsze." Protokoły prywatności muszą traktować to jako kluczowe ograniczenie projektowe. Jeśli twój system opiera się na ECDH, podpisach secp256k1 do wyprowadzania kluczy lub jakimkolwiek szyfrowaniu opartym na krzywych eliptycznych w twojej warstwie prywatności, już narażasz swoich użytkowników na opóźnione naruszenie. Lubimy myśleć, że prywatność jest właściwością natychmiastową, ale w rzeczywistości jest to właściwość trwała: musi przetrwać czas, postęp technologiczny oraz przeciwników z długą pamięcią i tanim przechowywaniem. Dlatego bezpieczeństwo post-kwantowe ma znacznie większe znaczenie dla prywatności niż dla ogólnej autoryzacji czy konsensusu. Podpis można obrócić. Klucz walidatora można przenieść. Ale szyfrogramy, raz opublikowane, są trwałe. A "deszyfrowanie" to nie błąd, który można naprawić. (Wizualizacja: Peter Shor)