Wymagania algorytmu Shora dla złamania RSA-2048 spadły o rząd wielkości w czasie krótszym niż rok

Szyfrowanie chroniące nowoczesną infrastrukturę cyfrową nie upada w chwili zbudowania komputera kwantowego. Upada w chwili, gdy przeciwnicy zdobędą wystarczającą zdolność obliczeniową do odszyfrowania danych już zebranych. To odwrócenie czasowe — zagrożenie pojawia się przed maszyną — definiuje rzeczywistą strukturę problemu Q-Day i wyjaśnia, dlaczego luka w przygotowaniu mierzona dziś przekłada się bezpośrednio na naruszenie bezpieczeństwa mierzone w latach.

Mechanizm zagrożony nie jest obscuryjny. Szyfrowanie RSA, dominujący standard kryptografii klucza publicznego, opiera się na jednej asymetrii matematycznej: pomnożenie dwóch dużych liczb pierwszych jest obliczeniowo trywialne, lecz odzyskanie tych czynników z ich iloczynu skaluje się w trudności tak gwałtownie, że żaden klasyczny komputer nie może odwrócić operacji dla kluczy o rozmiarze 2048 bitów lub więcej w praktycznym czasie. Uzgodnienia TLS chroniące ruch sieciowy, urzędy certyfikacji uwierzytelniające tożsamości, podpisy cyfrowe walidujące transakcje finansowe: cała architektura zaufanej komunikacji cyfrowej spoczywa na tej asymetrii.

Algorytm Shora, sformalizowany w 1994 roku, dowiódł, że obliczenia kwantowe całkowicie rozwiązują tę asymetrię. Wykorzystując superpozycję kwantową i kwantowe transformaty Fouriera do znalezienia okresu funkcji arytmetyki modularnej kodującej problem faktoryzacji, wystarczająco duży komputer kwantowy mógłby odzyskać prywatne klucze RSA w godzinach, a nie miliardach lat wymaganych przez maszynę klasyczną. Algorytm jest znany od trzech dekad. Zmieniło się w ubiegłym roku oszacowanie zasobów potrzebnych do jego wykonania.

Może Ci się spodobaćSamsung Galaxy Tab S11: naj­bar­dziej przekonująca alternatywa Samsunga dla iPada Pro

Wymagania sprzętowe kryptograficznie relewantnego komputera kwantowego były do niedawna tak ogromne, że funkcjonowały jako praktyczna bariera. Wczesne szacunki umieszczały liczbę fizycznych qubitów potrzebnych do faktoryzacji RSA-2048 w okolicach miliarda. Do 2021 roku Gidney i Ekerå zredukowali tę szacunkową wartość do około dwudziestu milionów qubitów działających przez osiem godzin. Następnie, w mniej niż dwunastu miesiącach między 2024 a 2025 rokiem, trzy postępy algorytmiczne spowodowały załamanie szacunków o kolejny rząd wielkości.

Pierwszym była restrukturyzacja sposobu wykonywania potęgowania modularnego, centralnej operacji obliczeniowej w algorytmie Shora. Klasyczne podejście wymagało rejestrów kwantowych wystarczająco dużych, by jednocześnie przechowywać 2048-bitowe liczby całkowite. Przybliżona arytmetyka modularna, opracowana przez Chevignarda, Fouque’a i Schrottenloher, zastąpiła to segmentowanym podejściem obliczającym potęgowanie w częściach przy użyciu znacznie mniejszych rejestrów, tolerując kontrolowane błędy, które można poprawić później. Komputer kwantowy nie musi już przechowywać całego problemu w pamięci naraz. Drugi postęp zajął się dominującym wąskim gardłem kosztowym w odpornych na błędy obliczeniach kwantowych: generowaniem specjalnych kwantowych stanów zasobów potrzebnych do operacji bramkowych nie podlegających korekcji błędów. Magic state cultivation, opracowana w Google Quantum AI, hoduje stany wysokiej wierności z niższej jakości stanów przy drastycznie zmniejszonym narzucie w porównaniu z tradycyjną destylacją. Trzeci postęp, zsyntezowany w artykule Craiga Gidneya z 2025 roku, połączył obie techniki i zredukował całkowitą liczbę wymaganych operacji bramki Toffoli z około dwóch bilionów do około 6,5 miliarda, ponad stukrotna poprawa wydajności obliczeniowej.

Łączny wynik: faktoryzacja RSA-2048 wydaje się teraz technicznie wykonalna przy użyciu około miliona fizycznych qubitów działających przez około tydzień. Luka sprzętowa między tym wymaganiem a istniejącymi systemami pozostaje realna, ale trajektoria kompresji zmieniła się jakościowo. Redukcja z miliarda do dwudziestu milionów qubitów zajęła dwanaście lat; redukcja z dwudziestu milionów do mniej niż miliona zajęła mniej niż jeden rok. To przyspieszenie jest analitycznie istotnym sygnałem.

Równoległe postępy sprzętowe wzmacniają tę trajektorię. Chip Willow firmy Google, zaprezentowany pod koniec 2024 roku, dostarczył pierwszego eksperymentalnego potwierdzenia, że kwantowa korekcja błędów może stłumić szum poniżej progu kodu powierzchniowego. Opublikowany plan drogi IBM przewiduje pierwszy wielkoskalowy odporny na błędy komputer kwantowy, z około 200 logicznymi qubitami, na 2029 rok. Wiele niezależnych platform wykazało wierność bramek dwu-qubitowych na poziomie 99,9% lub wyższym. Luka między teoretycznymi wymaganiami zasobów a wykazaną zdolnością sprzętową skompresowała się z wielu rzędów wielkości do czegoś bliskiego jednemu.

Ta kompresja nadaje materialną pilność zagrożeniu dotąd traktowanemu jako wygodnie odległe: zbierać teraz, deszyfrować później. Zaawansowani aktorzy państwowi i niepaństwowi zbierający zaszyfrowany ruch sieciowy od lat posiadają szyfrogramy, które stają się czytelne w chwili istnienia kryptograficznie relewantnego komputera kwantowego. Właściwą ramą czasową oceny ryzyka Q-Day nie jest kiedy komputery kwantowe zostaną zbudowane, ale jak długo dane szyfrowane dziś muszą pozostać poufne.

Kryptograficzna odpowiedź na to zagrożenie ma nazwę, zestaw standardów i harmonogram zgodności. Kryptografia postkwantowa zastępuje problemy faktoryzacji liczb całkowitych i logarytmów dyskretnych leżące u podstaw RSA i kryptografii krzywych eliptycznych strukturami matematycznymi uważanymi za odporne na ataki klasyczne i kwantowe. Główna rodzina przyjęta przez globalne organy normalizacyjne to kryptografia oparta na kratach, opierająca bezpieczeństwo na trudności problemu najkrótszego wektora i powiązanych wyzwaniach geometrycznych w przestrzeniach wielowymiarowych. W sierpniu 2024 roku NIST sfinalizował trzy postkwantowe standardy kryptograficzne. W marcu 2025 roku wybrano piąty algorytm, HQC, jako alternatywę opartą na kodach dla ML-KEM.

Polecane lekturyEndflame ogłasza Silent Road: Psychologiczny horror osadzony w Japonii

Istnienie standardów nie rozwiązuje problemu migracji. Inicjuje go. Przejścia kryptograficzne tej skali wymagały historycznie od piętnastu do dwudziestu lat na pełną penetrację infrastruktury, a ta migracja jest strukturalnie bardziej złożona niż jakikolwiek precedens. Infrastruktura kluczy publicznych musi zostać prze-architekturowana na każdej warstwie. Sprzętowe moduły bezpieczeństwa muszą zostać wymienione lub zmodernizowane; urzędy certyfikacji muszą wydawać nowe hierarchie danych uwierzytelniających; implementacje TLS na miliardach punktów końcowych muszą zostać zaktualizowane; protokoły osadzone w systemach wbudowanych, przemysłowej infrastrukturze sterowania i długowiecznych systemach finansowych muszą zostać poddane audytowi i wymienione.

Polska, z jej wyróżniającą się tradycją w matematyce i informatyce — tradycją sięgającą od Kopernika przez Marię Curie po współczesną szkołę matematyczną, która wniosła kluczowy wkład w kryptologię drugiej wojny światowej — ma szczególny powód, by potraktować to przejście jako kwestię naukowej i strategicznej odpowiedzialności. Ramy regulacyjne odpowiedziały skróconym harmonogramem odzwierciedlającym pilność trajektorii sprzętowej. CNSA 2.0 NSA wymaga, by wszystkie nowe systemy bezpieczeństwa narodowego były quantum-safe do stycznia 2027 roku. Harmonogram wycofywania NIST przewiduje usunięcie algorytmów podatnych na ataki kwantowe z zatwierdzonych standardów po 2035 roku. Ocena gotowości kwantowej IBM Institute for Business Value z 2025 roku wykazała globalny średni wynik zaledwie 25 na 100.

Praktyczna rada wynikająca z tego technicznego krajobrazu to nie panika, lecz etapowe, priorytetyzowane działanie. Inwentaryzacja kryptograficzna jest warunkiem wstępnym. Systemy obsługujące dane o długich horyzontach poufności muszą być priorytetyzowane do wczesnej migracji. Hybrydowe wdrożenia kryptograficzne, łączące ML-KEM z klasycznymi algorytmami wymiany kluczy równolegle, oferują praktyczny pomost: dane chronione schematem hybrydowym wymagają od przeciwnika jednoczesnego złamania komponentów klasycznego i postkwantowego, istotnie podnosząc koszt każdego ataku zbierania i późniejszego deszyfrowania.

To, co postępy algorytmiczne z 2024 i 2025 roku fundamentalnie zmieniły, to rozkład niepewności wokół Q-Day. Poprzedni konsensus wygodnie umieszczał kryptograficznie relewantne obliczenia kwantowe w latach 30. XXI wieku, ze znacznymi marginesami błędu sięgającymi lat 40. Kompresja szacunków zasobów do poniżej miliona qubitów, połączona z planem drogi IBM na 2029 rok i eksperymentalnym potwierdzeniem przez Google korekcji błędów poniżej progu, przesunęła wiarygodne szacunki znacząco do przodu i zawęziła zakres niepewności.

Przejście do kryptografii postkwantowej nie kończy się wraz z wdrożeniem algorytmów opartych na kratach. Tworzy nową powierzchnię kryptograficzną, której długoterminowe bezpieczeństwo zależy od założeń dotyczących trudności problemów geometrycznych w przestrzeniach wielowymiarowych — założeń, które wytrzymały dekady klasycznej kryptoanalizy, ale nie zostały jeszcze poddane próbie komputerów kwantowych, które w końcu będą istnieć na dużą skalę. To, czego wymaga obecny moment, to nie pewność co do terminu dojrzałości obliczeń kwantowych, lecz trzeźwa ocena tego, co oznacza budowanie instytucji, której postawa bezpieczeństwa wciąż opiera się na założeniu, że faktoryzacja dużych liczb pierwszych jest trudna. To założenie ma datę ważności.

Więcej podobnych

StoneHold zapowiedziane. Tytuł łączy MOBA akcji z kolekcjonerską grą karcianą

Nowa fizyka inteligencji: Obliczenia termodynamiczne i koniec deterministycznego paradygmatu cyfrowego

Roland-Garros eSeries i rosnąca rola mobilnego esportu w cyfrowej kulturze sportu

Hexstrike-AI: Świt Ery Autonomicznej Eksploatacji Luk Zero-Day

Duch, który rządzi: gdy autonomiczna AI wyprzedza systemy zaprojektowane, by ją powstrzymać

Dragonkin: The Banished i wzrost znaczenia społeczności w rozwoju gier RPG