最近更新的量子计算进展调查可能是最好的，这次是为了考虑@CraigGidney最新的论文，论文的结尾一句是： "我更喜欢安全性不依赖于进展缓慢" 讽刺的是，这是一种有争议的信念。

完整结论，以免我引用时失去上下文： 在这篇论文中，我将破解RSA2048所需的预期量子比特数量从2000万减少到100万。我通过结合和简化[CFS24]、[Gid+25]和[GSJ24]的结果实现了这一点。我的希望是，这为当前量子因式分解的最新进展提供了一个指示，并告知量子安全加密系统应多快部署。在不改变本文所做的物理假设的情况下，我看不到将量子比特数量再减少一个数量级的办法。我无法合理地声称一个2048位的RSA整数可以用十万个噪声量子比特进行因式分解。但在密码学中有一句话：“攻击总是会变得更好”[Sch09]。在过去的十年中，这一说法在量子因式分解中得到了验证。展望未来，我同意NIST内部报告关于过渡到后量子密码标准的初步公开草案[Moo+24]：脆弱的系统应在2030年后被淘汰，并在2035年后被禁止。这并不是因为我预计到2030年会有足够大的量子计算机存在，而是因为我更倾向于安全性不依赖于进展缓慢。

@CraigGidney @lopp 我想你之前对这个情节表示过兴趣：