Ймовірно, найкращий огляд прогресу в галузі квантових обчислень був оновлений нещодавно, цього разу @CraigGidney урахуванням найновішої статті, заключний рядок якої в статті звучить так: «Я вважаю за краще, щоб безпека не залежала від повільного прогресу» Іронія в тому, що це суперечливе переконання.

Повний висновок, щоб не цитувати поза контекстом: У цій статті я зменшив очікувану кількість кубітів, необхідних для подолання RSA2048, з 20 мільйонів до 1 млн. Я зробив це, об'єднавши та спростивши результати з [CFS24], [Gid+25] та [GSJ24]. Я сподіваюся, що це стане дороговказом для поточного стану техніки в галузі квантового факторингу, і інформує, наскільки швидко повинні бути розгорнуті квантово-безпечні криптосистеми. Не змінюючи фізичних припущень, зроблених цією статтею, я не бачу ніякого способу зменшити кубіт Порахуйте ще на порядок. Я не можу правдоподібно стверджувати, що 2048-бітне ціле число RSA може бути враховано зі ста тисячами галасливих кубітів. Але в криптографії є така приказка: «атаки завжди ставати краще" [Sch09]. За останнє десятиліття це справедливо і для квантового факторингу. Дивлячись вперед, я згоден з початковим публічним проектом внутрішнього звіту NIST про перехід до пост- Стандарти квантової криптографії [Moo+24]: вразливі системи мають бути визнані застарілими після 2030 року і заборонений після 2035 року. Не тому, що я очікую існування досить великих квантових комп'ютерів до 2030 року, а тому, що я вважаю за краще, щоб безпека не залежала від повільного прогресу

@CraigGidney @lopp Я думаю, ви раніше виявляли інтерес до цього сюжету: