Komentář Juraje Fedora reaguje na diskusní esej T. Novotného a K. Roszak. Autor navazuje vlastní úvahou o reálnosti tzv. „kryptografické hrozby“ – tedy možnosti, že by kvantové počítače v dohledné době prolomily současné šifrovací systémy, zejména RSA. Fedor podrobuje kritické analýze často opakovaný scénář, v němž Shorův algoritmus ohrozí bezpečnost internetové komunikace, a upozorňuje, že takový vývoj je v praxi velmi vzdálený.
Škoda, že esej T. Novotného a K. Roszak nemá formu petície alebo manifestu – rovno by som sa pod jej obsah mohol podpísať. Môžem si iba priať, aby sa vo verejnom priestore objavovalo čo najviac takto triezvych zhodnotení problematiky kvantových technológií. Takých, ktoré neobsahujú bombastické tvrdenia a nafúknuté očakávania, ale zároveň je z nich cítiť nadšenie pre danú tému. To nadšenie neoslabuje ani zdravý skepticizmus voči tomu, „či k želanému prielomu vôbec niekedy dôjde“. Dovolím si byť ešte o niečo väčší skeptik a pridať krátku úvahu o kryptografickej hrozbe zo strany kvantových počítačov.
Naratív o Shorovom algoritme a o lámaní RSA šifrovania pomocou kvantového počítača samozrejme nesmie chýbať v žiadnom popularizačnom texte alebo prednáške. Okamžite zaujme. Akonáhle má ale niečo také ovplyvniť rozhodnutia na veľkej škále, napríklad prechod na nové kryptografické systémy, je čas na analýzu rizík. Vďaka písaniu grantov sme sa aj my, akademické krysy, naučili, že u každého rizikového faktoru treba vziať do úvahy jednak jeho dopad a jednak pravdepodobnosť, že toto riziko nastane.
Poďme na to. Riziko: podarí sa zostrojiť kvantový počítač, ktorý bude schopný Shorovým algoritmom faktorizovať prvočísla bežne používané v šifrovaní internetovej komunikácie (v súčasnosti RSA s 2048bitovým kľúčom, čo je v desiatkovej sústave zhruba 600ciferné číslo). Enormný dopad rizika je jasný. Aká je pravdepodobnosť, že to nastane?
Riziko: podarí sa zostrojiť kvantový počítač, ktorý bude schopný Shorovým algoritmom faktorizovať prvočísla bežne používané v šifrovaní internetovej komunikácie … Aká je pravdepodobnosť, že to nastane?
Najprv si zosumarizujme, čo je k tomu potrebné. Kvantový počítač pracuje s kvantovými bitmi (qubitmi), na ktorých vykonáva operácie (kvantové hradlá). Hradlami mení stav qubitov, postupnosť hradiel definuje algoritmus, ktorý počítač realizuje. Na realizáciu každého algoritmu potrebujeme mať istý počet qubitov a istý počet hradiel. Odhady toho, koľko qubitov a operácií hypoteticky potrebujeme na faktorizáciu 600ciferného čísla, sa rôznia, práca Craiga Gidneyho z Googlu z júna 2025 operuje s tým, že počítač s jedným miliónom qubitov by potreboval na túto úlohu približne týždeň. Dôležitý predpoklad jeho práce je, že qubity budú mať funkčnú korekciu kvantových chýb, ktorej cyklus bude trvať jednu mikrosekundu (dobrá správa je, že nevyžaduje kvantovo preväzovať ľubovoľné qubity a stačí interakcia fyzicky susediacich qubitov). Kontrolná elektronika má v jeho odhade reakčnú dobu 10 mikrosekúnd.
Teraz si zosumarizujme, čo momentálne máme. Najväčšie číslo, ktoré sa doteraz podarilo faktorizovať Shorovým algoritmom, je 21. (Dá sa nájsť veľa tvrdení o rozklade väčších čísel na kvantových počítačoch, tie ale boli realizované inými algoritmami, ktoré sa škálujú omnoho horšie s veľkosťou problému, alebo fungujú iba pre niekoľko vybraných vstupov, takže v kryptografii by boli nepoužiteľné. Číslo 21 drží rekord od roku 2012, keď bolo rozložené na fotónovom kvantovom počítači. Na IBM počítači zo supravodivými qubitmi sa 21 podarilo rozložiť v roku 2019. Akurát, keď sa autori tým istým postupom pokúsili faktorizovať číslo 35, tak neuspeli, kvôli „kumulovaným chybám, ktoré vznikli vďaka zvyšujúcemu sa počtu dvojqubitových hradiel“.) Dôvodom je, že dokážeme vyrobiť zariadenia, ktoré majú desiatky qubitov (ak sú tieto realizované zachytenými iónmi), prípadne stovky až tisícky qubitov (ak sú realizované supravodivými obvodmi). Takže od milióna qubitov sme zhruba milión qubitov ďaleko. Dobré je si uvedomiť aj to, že samotný počet qubitov je ničnehovoriace číslo, dôležitejšie je, aké sú kvalitné, a to, aké operácie na nich vieme robiť.
Samozrejme, jadrom môjho argumentu nemôže byť súčasný stav techológie. To by bolo príliš krátkozraké a postavilo by ma to na úroveň predpovede z roku 1949, keď časopis Popular Mechanics písal: „Kým počítač ENIAC má 18 000 elektróniek a váži 30 ton, v budúcnosti počítače môžu mať iba 1000 elektróniek a vážiť iba jeden a pol tony.“
…každá zo súčasných realizácií qubitov a hradiel má limity škálovateľnosti a nevieme o cestách, ako tieto limity prekonať.
Jadrom môjho argumentu je to, že každá zo súčasných realizácií qubitov a hradiel má limity škálovateľnosti a nevieme o cestách, ako tieto limity prekonať. Pri technológii zachytených iónov, ktorá víťazí v mnohých kvantových benchmarkoch, je jasný problém: ak máme iónov v jednej pasci priveľa, ich diskrétne pohybové stavy sú príliš blízko seba a nedokážeme ich energeticky rozlíšiť. To rozlíšenie je ale nutné na to, aby sme mohli vykonávať jednu z kritických operácií: qubity kvantovo preväzovať. Technológia supravodivých obvodov (to sú tie kvantové počítače, ktoré na každom obrázku vyzerajú, že visia dole hlavou) je momentálnym víťazom v kategórii počtu qubitov. Majú ale limitované možnosti kvantového previazania. Až nedávno, začiatkom roku 2025, sa firme Google podarilo na tomto type qubitov prvýkrát realizovať korekciu kvantových chýb a vytvoriť logický qubit. K tomu sa pridáva „wiring problem“: množstvo signálov, ktoré treba ku každému fyzickému qubitu priviesť na jeho kontrolu. Topologické qubity na báze Majoranových fermiónov zostávajú, napriek marketingu Microsoftu, stále iba teoretickým konštruktom. A nakoniec, ako podotkli aj autori eseje, svet sa teraz s nádejou pozerá smerom k neutrálnym atómom manipulovaným pomocou optických pinziet. Výsledky s malým počtom logických qubitov sú fantastické, ale v škálovateľnosti sa črtá veľa problémov, hlavne straty atómov z pinziet kvôli zrážkam.
Ja osobne teda nepokladám kryptografickú hrozbu zo strany kvantových počítačov za niečo, k čomu smerujeme. Rôzne bezpečnostné agentúry sú zjavne iného názoru a odporúčajú prechod na iné kryptografické systémy, prípadne varujú pred stratégiou harvest-now-decrypt-later. Prekvapuje ma to – aj keď mi je jasné, že tieto agentúry budú plné expertov iného rangu, ako som ja.
Predpoveď z roku 1949 o jedenapoltonových počítačoch bola zlá. Prečo? Lebo dnešné notebooky a tablety umožnil nástup polovodičových tranzistorov a integrovaných obvodov – a to je typ objavu, ktorý sa predpovedať nedá. Autorom toho článku treba uznať jedno: na základe vákuových elektróniek by zariadenie ako notebook možné nebolo. Ja teda môžem tak maximálne predpovedať, že na základe zachytených iónov, supravodivých obvodov, Rydbergových atómov, atď. kryptografická hrozba nehrozí. Možno príde objav – nová realizácia qubitu – ktorý to celé postaví na hlavu. Ale fakt máme teraz investovať úsilie, čas a prostriedky, aby sme sa na to pripravovali? (Pripravovať sa kľudne môžeme. Omnoho menej sa totiž hovorí o inom riziku: nekvantovom ohrození súčasných kryptosystémov. Nie je vylúčené, že nejaký matematik vynájde úplne nový klasický algoritmus rozkladu na prvočísla, ktorý bude efektívny aj pre veľké vstupy. Tým pádom by RSA ohrozili klasické superpočítače. Aká je pravdepodobnosť tohto rizika? Platí to isté, čo u otázky, či nejaký fyzik vynájde úplne novú realizáciu qubitu. Taká pravdepodobnosť sa nedá vyčísliť.)
…na základe zachytených iónov, supravodivých obvodov, Rydbergových atómov, atď. kryptografická hrozba nehrozí.
Z možnosti manipulácie kvantových objektov a stavov som nadšený do tej miery, že jej venujem časť svojich vlastných výskumných aktivít. Myslím si ale, že kvantová faktorizácia veľkých čísel je cieľom príliš vzdialeným. Čo by ma potešilo najviac? To, že ak si niekto tento článok prečíta za dvadsať rokov, dostane záchvat smiechu z toho, ako som sa mýlil. A to, že by si ten dotyčný čitateľ musel povedať niečo v zmysle „ako sa mohol tak veľmi mýliť, veď jeho a Slodičkove experimenty s molekulárnymi iónmi prispeli k realizácii GKP protokolu pomocou rotácií, ktorý potom…“, tak to už je vízia z ríše snov.