Angående kvanthotet mot Bitcoin och blockkedjor finns det två breda synpunkter: (1) Kvantämne kommer inte att vara relevant på länge, därför finns det inget behov av brådska. (2) Kvantum är redan relevant, och vi måste agera med brådska. För vad det är värt, är de faktiska kvantfysikerna och säkerhetsexperterna alltmer ute i världen (2). Människor som tror att vi lever i en värld (1) är antingen beväpnade med dåliga fakta, dåliga antaganden eller vill helt enkelt inte tänka kritiskt kring konsekvenserna. 🧵

1/ Bevis 1: Googles senaste blogginlägg av Hartmut Neven (chef för @GoogleQuantumAI) och Kent Walker (chef för Public Affairs på Google/Alphabet) ramar in övergången till postkvantkryptografi som brådskande, systematisk, som kräver samordnade åtgärder nu för att "påskynda framsteg" och adoption.

2/ Googles argument är enkelt: kvantdatorer kommer att bryta kryptografin som säkrar internet. Nuvarande kryptografiska metoder bygger på problem som klassiska datorer inte kan lösa effektivt. Quantum bryter det paradigmet och kommer inte att vara "för alltid ett decennium bort".

3/ Och de teoretiserar inte bara. Google-forskare har nyligen publicerat arbete som visar att brytning av 2048-bitars RSA-kryptering kräver ~1 miljon brusiga qubits, inte de miljarder som tidigare uppskattats. Resursbehovet minskar snabbare än väntat, vilket gör att tidslinjen komprimeras.

4/ (Förresten, för de kommentatorer som kanske påpekar att Bitcoin inte använder RSA, svarar jag i förväg att ECDSA kan vara lättare att bryta än RSA-2048 eftersom Shors algoritm körs i tidspolynom i nyckellängden, och nycklar med elliptisk kurva är mycket kortare än RSA-nycklar, vilket potentiellt gör detta ännu mer brådskande).

5/ Fråga: Varför skulle Google investera kraftigt i att påskynda användningen av postkvantkryptografi för sina egna system om de var pessimistiska till kvantframsteg? Svar: De ser sina egna kapacitetskurvor och agerar därefter.

6/ Även om vi antar att det som är offentligt är toppmodern (vilket det inte är), är Googles ståndpunkt rationell: förbered dig på kapaciteten innan den kommer, för när den väl är här ligger du redan efter. Klassisk försvarsställning. Det här är inte bara Google heller. Ledande företag som prioriterar säkerhet (som @Cloudflare och @Apple) prioriterar post-kvantsäkerhet på sina färdplaner. Vilken anledning har de att prioritera detta som vi inte gör?

7/ Exempel 2: Scott Aaronson, en av kvantdatorernas mest framstående skeptiker och fysiker känd för att påpeka kvanthype, har erkänt de verkliga framsteg som gjorts under de senaste två åren samtidigt som han betonar osäkerheten kring framtida tidslinjer. @preskill har gjort liknande observationer. Här är Scott:

8/ När personer på denna nivå, som byggt sitt rykte på kvantskepticism och akademisk integritet, säger att framsteg är verkliga och att tidsplaner kan accelerera, borde det få alla att stanna upp. Att satsa säkerheten hos biljoner i tillgångar på att "det kommer att gå långsamt" är vårdslöst.

9/ Bevis 3: Den amerikanska regeringen har föreskrivit att alla kritiska system måste migrera till postkvantkryptografi senast 2030. NIST färdigställde PQC-standarder år 2024. NSA är uppenbarligen en viktig faktor bakåt för dessa deadlines, och arbetar baklänges från hotinformation. Om de kräver migration senast 2030 ser de potentiellt kapacitetstidslinjer som motiverar den brådskan. De kanske vet saker vi inte vet.

10/ Kort sagt, expertkonsensus bland personer som faktiskt bygger kvantdatorer, eller från organisationer som har mycket på spel, är: framstegen har accelererat, tidsplanerna är osäkra, förberedelser är avgörande och insatserna är höga.

11/ Jämför det nu med lägret "gör ingenting". Deras bevis är ofta självrefererande, ignorerar kvantexperter helt och hållet och upprepar empiriskt felaktiga påståenden i en ekokammare. Fallstudie: @coinshares rapport (publicerad samma dag som Googles blogginlägg som nämns ovan). Låt oss bryta ner misstagen i det inlägget eftersom det är ett illustrativt exempel.

12/ Misstag #1: Författaren hävdar att endast ~1,6 miljoner BTC är sårbara, med kanske 10 200 BTC som kan orsaka marknadsstörningar. Matematiken här är helt enkelt fel.

13/ Fakta: Den enhet som tros vara Satoshi innehar ensam 1 096 152 BTC fördelat på 21 924 adresser. Alla sårbara. Och det är inte bara P2PK-adresser. Alla adresser som har signerat en transaktion en gång (och lämnat kvarvarande medel där) är sårbara för kvantattacker. Det inkluderar många av de största BTC-adresserna idag.

14/ Vi underhåller en ständigt uppdaterad tracker över kvantkänsliga Bitcoin här: Korsreferens med @ChaincodeLabs utmärkta tekniska rapport om kvanthot mot Bitcoin här: I båda fallen är exponeringen mycket större än vad @coinshares rapporten antyder.

15/ Misstag #2: Deras "bevis" för att kvantteknik är långt borta är ett citat från Ledgers CTO. Jag respekterar den personen och har inget emot honom, men detta är ren hänvisning till auktoritet med uppenbar partiskhet. Om kvantresistenta signaturer antas kan varje befintlig @Ledger enhet bli föråldrad. Så överväg incitamentet och källan. Minst av allt bör vi erkänna att detta är en enda syn, och en som potentiellt är "utvald" för bekräftelsebias.

16/ Misstag #3: Även om icke-experter konsulteras om sin kvantdomänexpertis, görs inget försök att förstå den ansträngning eller komplexitet som är unik för att tillämpa post-kvantlösningar på en befintlig, redan implementerad blockkedja. Dessa inkluderar: - miljontals distribuerade nycklar som var och en behöver migreras separat - ingen centraliserad beslutsfattande myndighet - ägande av tillgångar helt baserat på digital signatur (ingen reservplan)

17/ Enligt granskad forskning skulle BTC-blockkedjan behöva stängas ner i 76 dagar för att kunna hantera migreringstransaktioner för den befintliga UTXO-uppsättningen. Det är det bästa scenariot.

18/ Misstag #4: Författaren avfärdar alla som uppmärksammar kvanthot som "bedragare." Om det inte är ett allvarligt problem att en kvantdator bryter den kryptografiska grunden med biljoner dollar i digitala tillgångar, så vet jag inte vad som är det. Karikatyrer forskare och byggare som bedragare är självdestruktivt.

19/ Även om du tar påståendet "10 år bort" bokstavligt (och det finns goda skäl att inte göra det), låter det avlägset tills du inser att det är: - den optimistiska uppskattningen som nu är ett par år gammal, och resursbehovet minskar snabbare än förutspått, och - den tekniska utmaningen med att migrera dessa system är betydligt mer omfattande än vad man tror.

20/ Den goda nyheten är att vi kan lösa det här problemet. Blockkedjor kan anpassa sig. Postkvantkryptografi existerar. Men att avfärda varningar från kvantexperter för att hotet känns avlägset är precis hur man blir tagen på sängen.

21/ Folk gillar säkerhet. Tyvärr är den enda säkra frågan om kryptografiskt relevanta kvantdatorer att de kommer att förstöra Bitcoin och nästan alla andra digitala tillgångsnätverk. Att förutsäga exakt när det ögonblicket kommer är ett fåfängt uppdrag. Men det finns ingen anledning till att den inte skulle kunna komma tidigare än väntat, precis som AI:s framsteg upprepade gånger trotsat pessimistiska tidslinjer genom exponentiell utveckling.

22/ Jag vill hellre att blockkedjesäkerheten inte bygger på antagandet att framstegen inom kvantdatorer kommer att gå långsamt. /Slut

När det gäller kvanttidslinjer är anledningen till att jag personligen tycker att det finns en koppling att folk inte förstår icke-linjäriteten i framsteg här. Enkelt uttryckt kommer kvantdatorer antingen inte att kunna göra något kryptografiskt meningsfullt (idag), eller så kommer de att kunna utföra alla klassiska asymmetriska algoritmer som implementerats. Det finns ingen anledning att investera i att bygga ett system för mellanvägen. Den viktigaste skillnaden mellan den ena och den andra är felkorrigeringsfunktionen. **Det är därför** du ser all investering och ansträngning som läggs ner där. För när det väl är knäckt kommer det inte vara så svårt att skala dessa system till kryptografisk relevans. Inget, och sedan allt på en gång.

@reardencode @dallairedemers @Ethan_Heilman Det finns också all anledning att tro att ju längre saker går, desto mindre anledning att offentliggöra det senaste inom konsten. Faktum är att det kanske redan är på väg att hända.