Probabilmente il miglior sondaggio sui progressi del calcolo quantistico è stato aggiornato di recente, questa volta per tenere conto del nuovo articolo di @CraigGidney, la cui frase conclusiva nell'articolo recita: "Preferisco che la sicurezza non dipenda dal fatto che i progressi siano lenti" Ironico che sia una convinzione controversa.

Conclusione completa così non cito fuori contesto: In questo documento, ho ridotto il numero previsto di qubit necessari per rompere RSA2048 da 20 milioni a 1 milione. Ho fatto questo combinando e semplificando i risultati di [CFS24], [Gid+25] e [GSJ24]. La mia speranza è che questo fornisca un punto di riferimento per lo stato attuale dell'arte nella fattorizzazione quantistica e informi su quanto rapidamente i sistemi crittografici a prova di quantistica dovrebbero essere implementati. Senza cambiare le assunzioni fisiche fatte da questo documento, non vedo alcun modo per ridurre il conteggio dei qubit di un altro ordine di grandezza. Non posso plausibilmente affermare che un intero RSA a 2048 bit potrebbe essere fattorizzato con centomila qubit rumorosi. Ma c'è un detto nella crittografia: "gli attacchi migliorano sempre" [Sch09]. Negli ultimi dieci anni, questo si è rivelato vero per la fattorizzazione quantistica. Guardando avanti, concordo con la bozza pubblica iniziale del rapporto interno NIST sulla transizione agli standard di crittografia post-quantistica [Moo+24]: i sistemi vulnerabili dovrebbero essere deprecati dopo il 2030 e vietati dopo il 2035. Non perché mi aspetto che esistano computer quantistici sufficientemente grandi entro il 2030, ma perché preferisco che la sicurezza non dipenda dal fatto che i progressi siano lenti.

@CraigGidney @lopp Penso che tu abbia espresso interesse per questo grafico in precedenza: