Esta resposta ao meu post ataca posições que eu não adotei e apresenta desenvolvimentos técnicos sem o contexto adequado. 1) Meu post não diz que assinaturas/blockchains são "menos vulneráveis" que a criptografia. Os mesmos algoritmos que quebram um quebram o outro. Diz que uma transição pós-quântica para criptografia é mais urgente devido a ataques HNDL. Isso não pode ser contestado: qualquer pessoa que faça a transição para assinaturas PQ antes da chegada de um computador quântico criptograficamente relevante (CRQC) não pode ser atacada, mas esse não é o caso da criptografia devido ao HNDL. 2) Meu post não argumenta que blockchains terão uma transição tão fácil quanto entidades centralizadas. Não sei por que isso está sendo mencionado como algo sobre o qual eu já adotei uma posição. Meu post diz que a maioria das blockchains é mais fácil de atualizar do que a infraestrutura da internet — o que é uma afirmação bem diferente de "atualizar blockchains é fácil." 3) O arranjo de 6.100 qubits de átomos neutros apenas prende e mantém coerentemente os átomos — não é um computador quântico modelo de portas de 6.100 qubits e não demonstra portas entrelaçadas, correção de erros quânticos ou cálculos algorítmicos nessa escala. Apresentar isso como se agora tivéssemos um computador quântico de 6.100 qubits é exatamente o tipo de comunicação enganosa que leva as pessoas a pensar que um CRQC está muito mais próximo do que realmente é, e vai além até mesmo da ênfase excessiva usual na contagem de qubits. 4) A "redução de 20x" nos qubits estimados para Shor (de 20M para ~1M) é citada no meu post. Um pouco de contexto adicional: Essas estimativas assumem parâmetros de hardware que nenhum sistema existente atinge: taxas de erro de porta de dois qubits de 0,1%, tempos de ciclo de 1 μs e latência de feedback de 10 μs em escala. Portas supercondutoras de dois qubits atuais são ~0,5% no máximo. Sistemas supercondutores se aproximam dos tempos de ciclo necessários, mas enfrentam gargalos severos de escala em criogenia e fiação. Sistemas de átomos neutros podem, plausivelmente, escalar para 1M qubits, mas ter ciclos vezes ordens de magnitude mais lentos. Hoje temos centenas de qubits, não um milhão. Melhorias teóricas na estimativa de recursos não diminuem essa lacuna. 5) A refutação cita trabalhos recentes sobre códigos de superfície e códigos de cores como evidência de "progresso incrivelmente rápido" na destilação de estados mágicos e portas de alta fidelidade não-Clifford. Esses artigos alcançam melhorias significativas de fator constante no custo de recursos dessas fábricas, mas não demonstram um portão não Clifford corrigido por erros, nem removem o gargalo dominante de recursos: o enorme custo de operações das fábricas de estado mágico. Estruturalmente, nos códigos relevantes, portas de Clifford são "fáceis" (podem ser implementadas transversalmente ou com baixo overhead), enquanto portas não-Clifford, como as portas T, são "difíceis" e devem ser realizadas por meio de estados mágicos. Ajustar construções de superfícies ou cores não torna as portas T transversais ou baratas de repente. As próprias fábricas continuam sendo um gargalo fundamental, e o panorama geral dos recursos ainda é dominado por custos não relacionados à Clifford. Citar esses artigos como evidência de que esse gargalo foi resolvido, ou está próximo de ser resolvido, exagera o que eles realmente alcançam. Também é importante que os trabalhos citados na refutação sejam artigos de análise de protocolos e recursos, não demonstrações de hardware ou roteiros. Eles analisam, por meio de simulações numéricas, os recursos necessários para gerar os estados mágicos de alta fidelidade exigidos em cálculos em escala de Shor, assumindo a existência de uma máquina muito grande, de baixo erro e com código de superfície/cor, que implementa muitos qubits lógicos a distâncias substanciais de código. Em contraste, como meu post destaca, os roadmaps de hardware público normalmente anunciam "qubits lógicos" junto com contagens de portas lógicas indiferenciadas (essencialmente para cargas de trabalho dominadas por Clifford), sem abordar se esses orçamentos realmente podem suportar as T-fábricas intensivas em recursos e a sobrecarga associada não-Clifford necessária para execuções criptograficamente relevantes do Shor. Essa diferença continua sendo uma das principais razões pelas quais os prazos para um CRQC estão sendo superestimados. 6) Não vejo nenhuma discordância real com minhas recomendações — meu post pede explicitamente para iniciar processos de governança e planejamento agora, justamente porque eles são lentos. 7) Meu post não diz que o progresso está avançando devagar. Está se movendo rápido o suficiente para gerar empolgação. Mas a diferença entre onde estamos hoje (com base em dados públicos) e um computador quântico criptograficamente relevante é tão grande que, mesmo com avanços rápidos, um CRQC antes de 2030 é altamente improvável. Os desenvolvimentos citados nesta resposta não alteram essa avaliação, que revisei com vários especialistas antes de publicar.

1/ As previsões da computação quântica ultimamente variam de "criptografia de chave pública será quebrada em 2 anos" a "falta um século." Ambos estão errados. Meu post mais recente explica o que o progresso de conhecimento público realmente apoia — e o que as blockchains devem fazer a respeito. Tópico abaixo 🧵

1/ Nova pesquisa: A verificação de soma é tudo o que você precisa. Acabei de postar uma pesquisa sobre os princípios de design por trás do Jolt e dos SNARKs de provador rápido de forma mais ampla. É sem dúvida a primeira vez que as ideias centrais foram todas escritas em um só lugar.