Этот ответ на мой пост атакует позиции, которые я не занимал, и представляет технические разработки без соответствующего контекста. 1) Мой пост не утверждает, что подписи/блокчейны "менее уязвимы" чем шифрование. Одни и те же алгоритмы, которые ломают одно, ломают и другое. Он говорит о том, что переход на пост-квантовое шифрование более срочен из-за атак HNDL. Это не может быть оспорено: любой, кто перейдет на PQ-подписи до появления криптографически значимого квантового компьютера (CRQC), не может быть атакован, но это не так для шифрования из-за HNDL. 2) Мой пост не утверждает, что блокчейны будут так же легко переходить, как централизованные сущности. Я не уверен, почему это поднимается как что-то, по поводу чего я занял позицию. Мой пост говорит, что большинство блокчейнов легче обновлять, чем интернет-инфраструктуру — что является совершенно другим утверждением, чем "обновление блокчейнов легко". 3) Массив из 6,100 нейтральных атомных кубитов просто захватывает и когерентно удерживает атомы — это не квантовый компьютер с моделью гейта на 6,100 кубитов и не демонстрирует запутывающие гейты, квантовую коррекцию ошибок или алгоритмические вычисления на чем-то подобном этом масштабе. Представление этого как если бы у нас теперь был квантовый компьютер на 6,100 кубитов — это именно тот вид вводящей в заблуждение коммуникации, который заставляет людей думать, что CRQC гораздо ближе, чем на самом деле, и это выходит за рамки даже обычного преувеличения количества кубитов. 4) "Снижение в 20 раз" в оценках кубитов для алгоритма Шора (с 20M до ~1M) упоминается в моем посте. Немного дополнительного контекста: Эти оценки предполагают аппаратные параметры, которые ни одна существующая система не достигает: 0.1% ошибки двухкубитных гейтов, 1 мкс циклы, и 10 мкс задержка обратной связи в масштабе. Текущие сверхпроводящие двухкубитные гейты имеют ~0.5% в лучшем случае. Сверхпроводящие системы приближаются к необходимым циклам, но сталкиваются с серьезными узкими местами в криогениках и проводке. Нейтральные атомные системы могут правдоподобно масштабироваться до 1M кубитов, но имеют циклы на порядки медленнее. У нас сегодня сотни кубитов, а не миллион. Теоретические улучшения оценки ресурсов не закрывают этот разрыв. 5) Ответ ссылается на недавние работы по поверхностным кодам и цветным кодам как на доказательство "невероятно быстрого прогресса" в дистилляции магических состояний и высококачественных неклиффордных гейтов. Эти статьи достигают значительных постоянных улучшений в ресурсных затратах таких фабрик, но они не демонстрируют неклиффордный гейт с коррекцией ошибок и не устраняют доминирующее ресурсное узкое место: огромные накладные расходы на магические состояния. Структурно, в соответствующих кодах, гейты Клиффорда "легкие" (их можно реализовать трансверсально или с низкими накладными расходами), в то время как неклиффордные гейты, такие как T-гейты, "трудные" и должны быть реализованы через магические состояния. Настройка конструкций поверхностных или цветных кодов не делает T-гейты трансверсальными или дешевыми. Сами фабрики остаются фундаментальным узким местом, и общая картина ресурсов все еще доминируется накладными расходами неклиффорда. Упоминание этих статей как доказательства того, что это узкое место было решено или близко к решению, преувеличивает то, что они на самом деле достигают. Также важно, что работы, упомянутые в ответе, являются статьями по анализу протоколов и ресурсов, а не демонстрациями оборудования или дорожными картами. Они анализируют, с помощью численных симуляций, ресурсы, необходимые для генерации высококачественных магических состояний, необходимых для вычислений масштаба Шора, предполагая существование очень большой, низкоошибочной машины с поверхностным/цветным кодом, реализующей множество логических кубитов на значительном расстоянии кода. В отличие от этого, как подчеркивает мой пост, публичные дорожные карты оборудования обычно рекламируют "логические кубиты" вместе с недифференцированными количествами логических гейтов (по сути, для нагрузок, доминируемых Клифордом), не рассматривая, могут ли эти бюджеты на самом деле поддерживать ресурсоемкие T-фабрики и связанные с ними накладные расходы неклиффорда, необходимые для криптографически значимых запусков Шора. Этот разрыв остается ключевой причиной, почему сроки появления CRQC преувеличиваются. 6) Я не вижу никаких реальных разногласий с моими рекомендациями — мой пост явно призывает начать процессы управления и планирования сейчас, именно потому, что они медленные. 7) Мой пост не говорит, что прогресс движется медленно. Он движется достаточно быстро, чтобы вызвать волнение. Но разрыв между тем, где мы находимся сегодня (на основе публичных данных), и криптографически значимым квантовым компьютером настолько велик, что даже при быстром прогрессе, CRQC до 2030 года крайне маловероятен. Разработки, упомянутые в этом ответе, не меняют эту оценку, которую я обсудил с несколькими экспертами перед публикацией.

1/ Прогнозы квантовых вычислений в последнее время варьируются от «криптография с открытым ключом будет сломана через 2 года» до «это через столетие». Оба варианта ошибочны. В моём последнем посте объясняется, что именно поддерживает публично известный прогресс — и что блокчейны должны с этим делать. Тема ниже 🧵

1/ Новый опрос: Sum-check — это все, что вам нужно. Только что опубликован опрос о принципах дизайна, лежащих в основе Jolt и более широких fast-prover SNARK. Можно утверждать, что это, пожалуй, первый раз, когда основные идеи были записаны в одном месте.