Машина с одним миллионом кбит может взломать 2048-битный RSA за семь дней, показало исследование

Препринт с сайта Google Quantum AI пересматривает ожидания относительно аппаратного обеспечения, необходимого для взлома широко распространенного 2048-битного шифрования RSA. Команда демонстрирует на бумаге, что будет достаточно примерно одного миллиона шумящих кубитов, работающих непрерывно в течение семи дней. Предыдущие оценки приближались к 20 миллионам кубитов, поэтому новая цифра уменьшает промежуток между теорией и практической угрозой.

Этому способствуют два достижения. Во-первых, исследователи усовершенствовали алгоритм факторизации Шора, используя аппроксимацию, а не точное модульное экспонирование, что позволило сократить количество логических кубитов без неоправданного увеличения времени выполнения. Во-вторых, более плотные схемы коррекции ошибок - игольчатые поверхностные коды с "выращиванием магических состояний" - втрое увеличивают плотность хранения незадействованных логических кубитов, контролируя при этом уровень ошибок. В совокупности эти техники сокращают требования к физическим кубитам в двадцать раз по сравнению с прогнозами 2019 года.

Однако аппаратное обеспечение все еще отстает от гипотетической машины, о которой идет речь в исследовании. Сегодняшние ведущие процессоры, такие как 1 121-кубитный Condor от IBM и 53-кубитный Sycamore от Google, по-прежнему на порядки меньше. Дорожные карты существуют: IBM планирует создать систему на 100 000 кубитов к 2033 году, а Quantinuum стремится создать полностью отказоустойчивую платформу к 2029 году. Но даже в этом случае поддержание миллиона кубитов с достаточно низким уровнем ошибок и координация миллиардов логических операций в течение пяти непрерывных дней остается сложной инженерной задачей.

RSA, эллиптическая кривая Диффи-Хеллмана и подобные асимметричные схемы являются основой большей части современных безопасных коммуникаций. Поскольку шифротекст, собранный сейчас, может быть расшифрован позже, NIST настоятельно рекомендует перейти на алгоритмы постквантовой криптографии (PQC), при этом уязвимые системы будут сняты с производства после 2030 года и запрещены после 2035 года. Google уже интегрировал механизм инкапсуляции ключей ML-KEM в Chrome и свои внутренние сети, сигнализируя о переходе индустрии на квантовоустойчивые стандарты.

Эта работа предлагает конкретную модель угроз как для разработчиков аппаратного обеспечения, так и для разработчиков политики. По мере развития квантовых алгоритмов и уменьшения частоты ошибок разрыв между лабораторными возможностями и криптоаналитическими атаками сокращается.