Прочитал в Блумберге статью о том, что швейцарская компания Te | RUH8

Прочитал в Блумберге статью о том, что швейцарская компания Terra Quantum AG заявляет о том, что "уже через несколько лет" может быть будет взломан AES, с помощью квантового отжига. Сама компания обещает представить новый протокол QKD (квантовое распределение ключей). Запах змеиного масла сгустился настолько, что его можно резать ножом. Если бы они придумали "квантовый блокчейн", то получилось бы "бинго". Я просто хочу напомнить, что квантовые вычисления отнюдь не магия. И даже не вычисления в обычном понимании этого слова. Не каждую задачу можно решить с помощью квантового компьютера (который, для начала, еще нужно построить).

Quantum annealing ("отжиг") может ускорить задачи по минимизации. У вас есть кубиты монетки, которые после измерения находятся в одном из двух состояний - "орел" или "решка". Случайным образом. Чтобы сделать что-то полезное, монетки делают не честными (bias) и связывают между собой (coupling), и если получившуюся конструкцию из г̶о̶в̶н̶а̶ ̶и̶ ̶п̶а̶л̶о̶к̶ кубитов и унитарных операторов хорошенько "потрясти", то система попытается свернуться в наиболее энергетически выгодное состояние. Есть одно "но". Взлом симметричных шифров не сводится к минимизации. А алгоритм Гровера, на квантовых компьютерах (не основанных на отжиге) даёт квадратический прирост скорости (поэтому длину ключей удвоили). С практической точки зрения разницы между 150 и 140 битами нет никакой. Все равно, что пытаться складывать две бесконечности, почитайте "The Curse of Cryptography Numerology" и "Too much crypto". Если у Терры действительно есть новый способ и он к примеру улучшает атаку с 2^126 до 2^125 - это конечно любопытный и важный результат, но он и близко не подходит к громким заявлениям в прессе).

Еще интереснее с QKD. Тут Китай и РФ словно взбесились и клепают супер-надежные квантовые телефоны, как не в себя. АНБ же, напротив, говорят, что их больше интересует PQC, а не QKD. Во-первых, для QKD нужен классический аутентифицированный канал связи (чтобы сделать не-классический шифр понадобятся шифры классические), во-вторых, еще один выделенный линк, при этом уязвимый к denial of service (стоит только заглянуть в коробку с котом и он коллапсирует в дохлое состояние, что как бы влияет на надежность связи). В настоящий момент безопасность основана на законах математики, а не на физических эффектах. Квантовые чудеса (как и блокчейн) вещь нужная, полезная и крайне интересная, но применимая гораздо менее, чем везде. Что характерно, Google на вопросы Блумберг так и не ответил.