因此,一个位于澳大利亚悉尼的研究小组发表了一篇预印本论文,对Shor算法的资源需求进行了新的估算。他们声称,如果使用LDPC码而非表面码,破解RSA-2048加密所需的物理量子比特数量级将低于10万个,这比我博客好友Craig Gidney之前的估算提高了一个数量级。现在我已经收到了足够多的咨询,所以我觉得有必要在博客上详细讨论一下。
简单说几句,之后我们可以在评论区继续讨论:
- 是的,这是一项严肃的工作。在我看来,这个说法完全合情合理,尽管我还没有核实其中的细节。我主要的担忧在于,LDPC码比表面码更难设计(尤其是对于超导量子比特而言,对于囚禁离子而言则稍好一些),因为你需要对误差综合征进行高度非局域的测量。专家们(如果吉德尼本人愿意的话!)欢迎在评论区发表意见。
- 我不知道这能将量子计算机上破解 RSA-2048 的时间缩短多少。几个月?不知道。就我个人而言,我之前已经“默认”使用更好的纠错码肯定还能进一步改进。但能明确地弄清楚这一点总是好的。
- 我在Facebook上思考,或许QC社区应该开始讨论一下,像这样的研究成果是否应该继续公开发表——我的QC工程团队的朋友们也表达过同样的担忧。我的老朋友、密码学家Nadia Heninger对此提出了强烈的反对意见。她告诉我,加密社区几十年来一直在讨论这个问题,并且坚定地支持公开发表,尽管通常会设置“负责任的披露”等待期,一般为90天。虽然RSA-2048被完全破解的风险肯定非常高,但Nadia认为,这其中的基本原则并没有什么不同。Nadia的观点让我意识到,那些对Shor算法的资源需求进行进一步改进的团队,或许应该直接公开他们的研究成果,加密社区会支持他们,因为他们认为,按照几十年来积累的经验去做是正确的。当然,这种披露可能会给黑客带来任何优势,他们可以利用新的 Shor 电路,并将其提交给功能越来越强大的量子计算机(这些计算机将通过云服务逐步上线),但这种优势需要与世界将获得的响亮、清晰、公开的警告相平衡,即世界将更快地迁移到抗量子加密。
- 据说,如今最实际的应用是破解椭圆曲线密码学,而不是破解迪菲-赫尔曼密码学或RSA密码学。颇具讽刺意味的是,椭圆曲线密码学很可能比RSA和迪菲-赫尔曼密码学更早被量子计算机破解,因为椭圆曲线密码学“更好的安全性”(指的是抵御经典攻击的能力)促使人们使用256位密钥而不是2048位密钥,而肖尔算法主要关注的正是密钥长度。
- 在论文的致谢部分,他们感谢我“对标题提出了宝贵的意见”。事实上,他们最初的标题是关于用10万个物理量子比特“破解RSA-2048”。当他们把草稿发给我时,我指出他们需要修改标题,因为记者很可能会误解,以为他们已经成功破解了RSA-2048,而实际上我的意思只是说破解RSA-2048是可行的。