По данным исследования Google, для взлома широко используемого RSA-шифрования может хватить квантового компьютера с менее чем миллионом кубитов, даже если они работают с ошибками. Угроза существующим системам цифровой безопасности способна стать реальной раньше, чем предполагалось, ведь ещё несколько лет назад для этого требовалось, по оценкам, около 20 миллионов кубитов.
Хотя квантовый компьютер с миллионом кубитов пока не создан, темпы развития отрасли требуют активной подготовки к переходу на методы шифрования, устойчивые к квантовым атакам. Исследование Google под руководством Крейга Гидни (опубликовано на arXiv) описывает возможный сценарий атаки на 2048-битный ключ RSA. Это призыв к мировому сообществу готовиться к «постквантовой» эпохе. Гипотетической машине для взлома такого ключа потребовалось бы менее недели непрерывной работы с низким уровнем ошибок.
Требования к числу кубитов снизились благодаря новым квантовым алгоритмам (например, приближённому модульному возведению в степень) и улучшенным методам коррекции ошибок (включая «связанные поверхностные коды» и «выращивание магических состояний»). Теоретическую основу заложил ещё в 1994 году Питер Шор, показав способность квантовых компьютеров эффективно раскладывать большие числа на множители — ключевая операция для взлома RSA.
Существующие квантовые компьютеры, вроде Condor от IBM (1121 кубит) или Sycamore от Google (53 кубита), пока используют лишь сотни или тысячи кубитов, что далеко от миллиона. Однако ведущие компании отрасли планируют достичь таких масштабов в ближайшие десять лет. IBM, например, совместно с университетами Токио и Чикаго собирается создать 100-тысячекубитный квантовый компьютер к 2033 году. Quantinuum ставит целью выпуск полномасштабного отказоустойчивого компьютера Apollo к 2029 году.
Это имеет серьёзные последствия для безопасности, так как системы вроде RSA защищают мировые коммуникации, от банковских операций до цифровых подписей. Выводы исследования указывают на необходимость скорейшего перехода на постквантовую криптографию (PQC) — новые стандарты, устойчивые к квантовым атакам. Национальный институт стандартов и технологий США (NIST) в прошлом году уже опубликовал PQC-алгоритмы и рекомендовал отказаться от уязвимых систем после 2030 года.
Работа Гидни не означает, что квантовые компьютеры, способные взломать RSA, появятся немедленно. Она подчёркивает важность заблаговременного планирования и даёт более реалистичные ориентиры разработчикам и регуляторам. Исследование также подтверждает старый принцип криптографии: с развитием технологий совершенствуются и методы их взлома.