Den förmodligen bästa översikten över utvecklingen av kvantdatorer uppdaterades nyligen, den här gången för att ta hänsyn till @CraigGidney senaste artikeln, vars avslutande rad i artikeln lyder: "Jag föredrar säkerhet framför att inte vara beroende av att utvecklingen går långsamt" Ironiskt att det är en kontroversiell tro.

Fullständig slutsats så att jag inte citerar ur sitt sammanhang: I den här artikeln minskade jag det förväntade antalet kvantbitar som behövs för att bryta RSA2048 från 20 miljoner till 1 miljon. Jag gjorde detta genom att kombinera och effektivisera resultat från [CFS24], [Gid+25] och [GSJ24]. Min förhoppning är att detta ger en vägvisare för den nuvarande tekniken inom kvantfaktorisering, och informerar om hur snabbt kvantsäkra kryptosystem bör införas. Utan att ändra de fysikaliska antaganden som görs i det här dokumentet ser jag inget sätt att minska kvantbiten med en annan storleksordning. Jag kan inte på ett trovärdigt sätt hävda att ett 2048 bitars RSA-heltal skulle kunna faktoriseras med hundratusen bullriga kvantbitar. Men det finns ett talesätt inom kryptografi: "attacker alltid bli bättre" [Sch09]. Under det senaste decenniet har detta gällt för kvantfaktorisering. Titta instämmer jag i det ursprungliga offentliga utkastet till NIST:s interna rapport om övergången till standarder för kvantkryptografi [Moo+24]: sårbara system bör fasas ut efter 2030 och förbjudna efter 2035. Inte för att jag förväntar mig att tillräckligt stora kvantdatorer ska finnas 2030, men eftersom jag föredrar att säkerhet inte är beroende av att utvecklingen går långsamt

@CraigGidney @lopp Jag tror att du har uttryckt intresse för den här handlingen tidigare: