Ta odpowiedź na mój post atakuje stanowiska, których nie zajmowałem, i przedstawia rozwój techniczny bez odpowiedniego kontekstu. 1) Mój post nie mówi, że podpisy/blockchainy są „mniej podatne” niż szyfrowanie. Te same algorytmy, które łamią jedno, łamią drugie. Mówi, że przejście na szyfrowanie post-kwantowe jest bardziej pilne z powodu ataków HNDL. To nie może być kwestionowane: każdy, kto przechodzi na podpisy PQ przed przybyciem kryptograficznie istotnego komputera kwantowego (CRQC), nie może być zaatakowany, ale nie jest to prawdą w przypadku szyfrowania z powodu HNDL. 2) Mój post nie twierdzi, że blockchainy będą miały tak łatwe przejście jak podmioty scentralizowane. Nie jestem pewien, dlaczego to jest poruszane jako coś, co zajmowałem stanowisko. Mój post mówi, że większość blockchainów jest łatwiejsza do aktualizacji niż infrastruktura internetowa — co jest bardzo innym twierdzeniem niż „aktualizacja blockchainów jest łatwa”. 3) Układ qubitów z 6,100 neutralnych atomów jedynie łapie i koherentnie utrzymuje atomy — nie jest to komputer kwantowy modelu bramkowego z 6,100 qubitami i nie demonstruje splątanych bramek, korekcji błędów kwantowych ani obliczeń algorytmicznych na taką skalę. Przedstawianie tego, jakbyśmy teraz mieli komputer kwantowy z 6,100 qubitami, jest dokładnie tym rodzajem mylącej komunikacji, która prowadzi ludzi do myślenia, że CRQC jest znacznie bliżej, niż w rzeczywistości jest, i wykracza to nawet poza zwykłe nadmierne podkreślanie liczby qubitów. 4) „Redukcja 20x” w szacunkach qubitów dla algorytmu Shora (z 20M do ~1M) jest cytowana w moim poście. Trochę dodatkowego kontekstu: Te szacunki zakładają parametry sprzętowe, których żaden istniejący system nie osiąga: 0,1% błędów bramek dwu-qubitowych, 1 μs czasy cyklu i 10 μs opóźnienia sprzężenia zwrotnego na dużą skalę. Obecne bramki dwu-qubitowe w systemach nadprzewodzących mają ~0,5% w najlepszym przypadku. Systemy nadprzewodzące zbliżają się do wymaganych czasów cyklu, ale napotykają poważne wąskie gardła w kriogenice i okablowaniu. Systemy neutralnych atomów mogą prawdopodobnie skalować się do 1M qubitów, ale mają czasy cyklu o rzędy wielkości wolniejsze. Mamy dzisiaj setki qubitów, a nie milion. Teoretyczne poprawki w szacunkach zasobów nie zamykają tej luki. 5) Odpowiedź cytuje niedawne prace na temat kodów powierzchniowych i kodów kolorowych jako dowód „niesamowicie szybkiego postępu” w destylacji stanów magicznych i bramkach nie-Clifforda o wysokiej wierności. Te prace osiągają znaczące poprawy w kosztach zasobów takich fabryk, ale nie demonstrują bramki nie-Clifforda z korekcją błędów i nie usuwają dominującego wąskiego gardła zasobów: ogromnego nadmiaru fabryk stanów magicznych. Strukturalnie, w odpowiednich kodach, bramki Clifforda są „łatwe” (mogą być implementowane transwersalnie lub z niskim nadmiarem), podczas gdy bramki nie-Clifforda, takie jak bramki T, są „trudne” i muszą być realizowane za pomocą stanów magicznych. Dostosowanie konstrukcji kodów powierzchniowych lub kolorowych nie sprawia, że bramki T stają się transwersalne lub tanie. Same fabryki pozostają fundamentalnym wąskim gardłem, a ogólny obraz zasobów wciąż jest zdominowany przez nadmiar nie-Clifforda. Cytowanie tych prac jako dowodu, że to wąskie gardło zostało rozwiązane lub jest bliskie rozwiązania, przecenia to, co one faktycznie osiągają. Ważne jest również, że prace cytowane w odpowiedzi są pracami analizy protokołów i zasobów, a nie demonstracjami sprzętowymi czy mapami drogowymi. Analizują, za pomocą symulacji numerycznych, zasoby potrzebne do generowania wysokiej wierności stanów magicznych wymaganych w obliczeniach na skalę Shora, zakładając istnienie bardzo dużej, niskobłędnej maszyny powierzchniowej/kodowej implementującej wiele logicznych qubitów na znacznej odległości kodowej. W przeciwieństwie do tego, jak podkreśla mój post, publiczne mapy drogowe sprzętowe zazwyczaj reklamują „logiczne qubity” razem z nieodróżnionymi liczbami bramek logicznych (w zasadzie dla obciążeń zdominowanych przez Clifforda), nie odnosząc się do tego, czy te budżety mogą faktycznie wspierać zasoby intensywne fabryki T i związany z nimi nadmiar nie-Clifforda wymagany do kryptograficznie istotnych uruchomień Shora. Ta luka pozostaje kluczowym powodem, dla którego harmonogramy dotyczące CRQC są przeceniane. 6) Nie widzę żadnych rzeczywistych nieporozumień w moich zaleceniach — mój post wyraźnie wzywa do rozpoczęcia procesów zarządzania i planowania teraz, dokładnie dlatego, że są one powolne. 7) Mój post nie mówi, że postęp idzie powoli. Idzie wystarczająco szybko, aby generować ekscytację. Ale luka między tym, gdzie jesteśmy dzisiaj (na podstawie publicznych danych), a kryptograficznie istotnym komputerem kwantowym jest tak ogromna, że nawet przy szybkim postępie, CRQC przed 2030 rokiem jest mało prawdopodobne. Rozwój cytowany w tej odpowiedzi nie zmienia tej oceny, którą przeglądałem z wieloma ekspertami przed publikacją.