В статье, опубликованной в конце прошлого месяца, 24 китайских исследователя предположили, что шифрование RSA-2048 можно взломать с помощью квантового компьютера с 372 физическими квантовыми битами.
Криптограф Брюс Шнайер на прошлой неделе обратил внимание на статью [PDF] в своем блоге, отметив, что IBM недавно анонсировала квантовый компьютер с 433 кубитами, что намного превышает заявленные исследователями требования. «Это то, к чему следует отнестись серьезно», — написал Шнайер. «Возможно, это неправильно, но это не очевидно неправильно».
В сообщении Шнайера цитируется консультант по безопасности Роджер А. Граймс, который сказал, что исследователи изучили предыдущие попытки взломать традиционное асимметричное шифрование и потерпели неудачу, но «поняли, что шаг, который убил все это, может быть решен с помощью небольших квантовых компьютеров. Поэтому они проверили это, и это сработало».
Тем не менее, Шнайер также отметил, что недавние результаты основаны на спорной статье Клауса Шнорра, которая «разваливается при больших размерах... Итак, если правда, что китайская статья зависит от этой техники Шнорра, которая не масштабируется, методы в этой китайской статье тоже не масштабируется».
Исследование получило название «активно вводящее в заблуждение»
В конце концов, отдельный пост в блоге эксперта по квантовым вычислениям Скотта Ааронсона убедил Шнайера и других в том, что в новом исследовании не о чем беспокоиться.
Проще говоря, написал Ааронсон: «Вот мой отзыв из трех слов: Нет. Просто нет».
Он процитировал одно предложение в рассматриваемой статье: «Следует отметить, что квантовое ускорение алгоритма неясно из-за неоднозначной сходимости QAOA [алгоритма квантовой приближенной оптимизации]».
Ответ Ааронсона: ««Неясно» — это мягко сказано. Мне кажется, что потребуется чудо, чтобы подход сюда принес хоть какую-то пользу.
«В целом, это одна из самых активно вводящих в заблуждение работ по квантовым вычислениям, которые я видел за 25 лет, а я видел... много», — написал Ааронсон.
Как заметил специалист по квантовым вычислениям Deloitte Итан Барнс в комментарии к сообщению Ааронсона: «Самая забавная часть статьи — это самое последнее предложение (стр. 32!), в котором говорится: «Однако сенсорный размер — это идеальная базовая ситуация, QAOA обычно работает более чем в один слой и требуется более глубокая цепь. Кроме того, квантовое ускорение неизвестно, до квантового взлома RSA еще далеко». Они в основном портят свою работу!»
Не сегодня, криптовзломщики
В отдельном отчете, опубликованном на прошлой неделе агентством Moody’s Analytics, выводы статьи также подвергались сомнению, но предполагалось, что он должен служить напоминанием о важности разработки стратегии постквантовой криптографии (PQC).
Руководитель отдела квантовых вычислений Moody’s Серджио Гаго написал в LinkedIn: «Наша команда оценила документ и его последствия, а также существующую литературу, и пришла к выводу, что исследование немного вводит в заблуждение, и нет непосредственной угрозы из-за сложностей конвергенции. КАОА».
«Нет никакой гарантии, что этот новый алгоритм сможет сократить предлагаемые сроки; однако мы рекомендуем следовать рекомендациям NSA/NIST и немедленно начать подготовку стратегии PQC, создав реестр криптографических ключей», — говорится в документе Moody’s.
Как сказал Гаго в ответ на комментарий к своему сообщению: «У криптовзломщиков будет свой день, но не сегодня...»
