Остерегайтесь биткоина: квантовые компьютеры, способные взламывать криптографию, могут оказаться ближе, чем ожидалось, говорит Caltech

Кратко

• Исследователи из Caltech утверждают, что для взлома современной криптографии квантовым компьютерам может потребоваться всего лишь 10 000–20 000 кубитов.
• В работе описан новый подход к коррекции ошибок для квантовых компьютеров на нейтральных атомах.
• Этот прорыв может ускорить сроки появления машин, способных запускать алгоритм Шора, который ставит под угрозу широко используемую криптографию.

Квантовые компьютеры, способные взломать современную криптографию, могут требовать значительно меньше кубитов, чем считалось ранее, согласно новым исследованиям Калифорнийского технологического института. В исследовании, опубликованном в понедельник, Caltech работал с базирующейся в Пасадене компанией Oratomic — стартапом по квантовым вычислениям, основанным исследователями из Caltech, — чтобы разработать новую систему на нейтральных атомах, в которой отдельные атомы удерживаются и управляются лазерами, чтобы выступать в роли кубитов. Это может позволить отказоустойчивому квантовому компьютеру запускать алгоритм Шора, который мог бы выводить приватные ключи из публичных ключей, используемых в эллиптической-кривой криптографии, применяемой в Bitcoin, — всего лишь с 10 000 перенастраиваемых атомных кубитов. Сооснователь и генеральный директор Oratomic Долев Блувстейн (Dolev Bluvstein), приглашенный научный сотрудник по физике в Caltech, сказал, что прогресс в квантовых вычислениях ускоряет сроки появления практических машин и усиливает давление на переход к криптографии, устойчивой к квантовым атакам. «Люди привыкли к мысли, что квантовые компьютеры всегда находятся в 10 годах от нас», — рассказал Блувстейн _Decrypt. _«Но когда вы смотрите, где мы были чуть более десяти лет назад, лучшие оценки того, что требовалось для алгоритма Шора, предполагали миллиард кубитов, в то время как лучшие системы, которые у нас были в лаборатории, были примерно пять кубитов».

 Сегодня наиболее распространенные системы коррекции ошибок часто требуют примерно 1 000 физических кубитов, чтобы создать один надежный, логический кубит — единицу с исправленными ошибками, используемую для выполнения вычислений. Этот накладной расход помог сдвинуть оценки для практических отказоустойчивых систем в диапазон миллионов кубитов, замедляя прогресс к созданию машин, способных запускать алгоритмы, которые могут поставить под угрозу RSA и эллиптическую-кривую криптографию, применяемую в Bitcoin и Ethereum. Блувстейн отметил, что текущие лабораторные системы уже приближаются — а в некоторых случаях и превышают — 6 000 физических кубитов. Иными словами, риск для криптографии может наступить намного раньше, чем ожидали эксперты. «Можно действительно видеть, как размер системы и управляемость растут со временем, по мере того как требуемый размер системы уменьшается», — сказал он.

В сентябре исследователи Caltech сообщили о нейтрально-атомном квантовом компьютере, работающем с 6 100 кубитами при точности 99,98% и временах когерентности 13 секунд. Это стало вехой на пути к квантовым машинам с исправленными ошибками, а также вновь подняло опасения по поводу будущих угроз Bitcoin со стороны алгоритма Шора. Эта угроза побудила правительства и технологические компании начать миграцию к постквантовой криптографии — то есть к шифрованию, разработанному для противодействия квантовым атакам. Однако исследователи предостерегают, что сохраняются серьезные инженерные проблемы, включая масштабирование квантовых систем при поддержании крайне низких уровней ошибок. «Просто наличие 10 000 физических кубитов — это то, что может произойти в течение года», — сказал Блувстейн. «Но это на самом деле не тот ориентир, который, как думают люди. Это не то же самое, как когда вы проектируете компьютер: вы просто размещаете транзисторы на чипе, моете руки и говорите, что все готово. На самом деле задача крайне нетривиальная, крайне сложная — взять и реально построить одну из таких машин». Несмотря на это, Блувстейн сказал, что практический квантовый компьютер может появиться до конца этого десятилетия. Новость выходит на фоне того, что в Google сообщили о новых результатах во вторник, предполагающих, что будущие квантовые компьютеры смогут взламывать криптографию на эллиптических кривых с меньшими ресурсами, чем считалось ранее. Это добавило срочности призывам перейти к постквантовой криптографии до того, как такие машины станут работоспособными. Хотя криптовалютная индустрия все чаще начала фокусироваться на квантовых рисках, Блувстейн отметил, что эти риски выходят далеко за пределы сетей блокчейна и требуют изменений во многих частях современного цифрового мира. «Я думаю, вся цифровая инфраструктура мира. Это не только блокчейн. Это интернет вещей, устройства, интернет-коммуникации, маршрутизаторы, спутники», — сказал он. «Это охватывает всю глобальную цифровую инфраструктуру, и это сложно».