А они… чижика съели

Раз уж зашла речь про алго­ритм шиф­ро­ва­ния RSA. Его сек­рет­ность зиждет­ся, повто­рюсь, на том, что чис­ло, полу­чен­ное пере­мно­же­ни­ем доста­точ­но длин­ных про­стых чисел, уму­ча­ешь­ся рас­кла­ды­вать на мно­жи­те­ли. Неве­ря­щие могут попро­бо­вать раз­ло­жить в уме (да мож­но даже с обыч­ным каль­ку­ля­то­ром) чис­ло 7081. Если не знать, что это 73×97, то при­дёт­ся пере­би­рать про­стые чис­ла до пол­но­го поси­не­ния.

Ну, не совсем пря­мо «до пол­но­го поси­не­ния», конеч­но — нет смыс­ла пере­би­рать мно­жи­те­ли >√(7081)≈84. Но всё рав­но — про­стых чисел мень­ше 83 (а 83 — наи­боль­шее про­стое чис­ло, мень­шее 84) доволь­но мно­го.

Ну, а реаль­ная крип­то­гра­фия, конеч­но, рабо­та­ет не на четы­рёх­знач­ных чис­лах, а на чис­лах с сот­ня­ми зна­ков — что поз­во­ля­ет нам без­опас­но пере­да­вать номер кре­дит­ки при покуп­ках накле­е­чек с коти­ка­ми в ентом вашем Ёнтер­не­те.

Несколь­ко лет назад всех вдруг накры­ла кван­то­вая пани­ка. Мол, да вот при­дут кван­то­вые ком­пью­те­ры, да на них рабо­та­ет алго­ритм Шора, и все эти ваши RSA, DH, ECDH, ECDSA, и про­чие умные сло­ва — поле­тят на свал­ку исто­рии. Ну да, ну да, поле­тят, как же. Вот толь­ко шнур­ки погла­дят — и сра­зу поле­тят.

Мир крип­то­гра­фии в лице NIST (и при актив­ной под­держ­ке Мик­ро­соф­та, надо отдать им долж­ное) в шухер­ном режи­ме стан­дар­ти­зи­ро­вал кван­то­во-устой­чи­вые алго­рит­мы крип­то­гра­фии, и сей­час у нас есть то, что не лома­ет­ся даже на ентих ваших куби­тах со всей их кван­то­вой запу­тан­но­стью и про­чей непо­нят­ной про­стым смерт­ным тео­ри­ей.

А на деле мы име­ем что? А на деле в 2001 году, с огром­ной пом­пой, кван­то­вый ком­пью­тер сумел-таки нако­нец раз­ло­жить на мно­жи­те­ли… чис­ло 15. Ага, пят­на­дцать. 3×5.

С тех пор были и дру­гие демон­стра­ции — 21, 35, ещё несколь­ко акку­рат­но подо­бран­ных чисел. Ино­гда с клас­си­че­ской «помо­щью», ино­гда с зара­нее извест­ной струк­ту­рой. Это важ­ные науч­ные шаги — никто не спо­рит. Но это не «взлом тра­ди­ци­он­ной крип­то­гра­фии к соот­вет­ству­ю­щей мате­ри». Это под­твер­жде­ние тео­рии в лабо­ра­тор­ных усло­ви­ях.

Дело в том, что алго­ритм Шора для взло­ма RSA-2048 тре­бу­ет поряд­ка несколь­ких тысяч логи­че­ских куби­тов, а каж­дый логи­че­ский кубит — это тыся­чи физи­че­ских куби­тов, пото­му что кван­то­вая тео­рия — это вам не тран­зи­стор, это крайне обид­чи­вая киса, и нор­маль­но рабо­та­ет она толь­ко при тем­пе­ра­ту­ре, близ­кой к абсо­лют­но­му нулю. Совре­мен­ные кван­то­вые ком­пью­те­ры — это несколь­ко сотен физи­че­ских куби­тов без пол­но­вес­ной кор­рек­ции оши­бок. А логи­че­ских, устой­чи­вых к шуму, — в прак­ти­че­ском смыс­ле пока нет.

Кван­то­вая угро­за реаль­на. Но она инже­нер­ная, а не маги­че­ская.
Меж­ду кра­си­вой тео­ре­мой Шора и маши­ной, спо­соб­ной ломать бан­ков­скую крип­то­гра­фию, лежат деся­ти­ле­тия про­ры­вов в физи­ке и инже­не­рии. Так что отста­вить пани­ку! До кван­то­во­го апо­ка­лип­си­са ещё очень дале­ко. Може­те пока спо­кой­но про­дол­жать поку­пать свои накле­еч­ки. С коти­ка­ми.

PS: Для тех, кто хочет коп­нуть глуб­же в совре­мен­ные оцен­ки и архи­тек­тур­ные огра­ни­че­ния кван­то­вых устройств, см. рабо­ту 2025 года на arXiv: https://arxiv.org/pdf/2410.14397v1