Квантовый взлом подешевел на два порядка: почему алгоритм Шора реализуем уже в этом десятилетии
Почему квантовая угроза стала реальной: честный разбор новых оценок для взлома RSA и ECC
Вы каждое утро входите в банк по отпечатку пальца. Отправляете друзьям гифки в Telegram. Покупаете кофе по face pay. Всё это защищено шифрами, которые, как считалось, не взломать до конца вашей жизни. Но в марте 2025 года физики из Калтеха и компании Oratomic опубликовали работу, переворачивающую таймлайны. Больше не надо 20 миллионов кубитов. Хватит 10–100 тысяч. И это меняет всё.
Я веду технический блог уже шесть лет. Обычно такие новости — просто шум. Но тут пришлось перечитать статью дважды. Потому что цифры стали инженерно достижимыми.
В чём была проблема (и почему все успокоились)
Квантовый алгоритм Шора математически способен взломать RSA и ECC с 1994 года. Но физики говорили: «Для этого нужен компьютер с 20 миллионами физических кубитов». Создать такую машину — задача на полвека. Поэтому мир не спешил внедрять постквантовые стандарты.
Проблема упиралась в ошибки. Любой кубит живёт микросекунды. Тепло, излучение — всё вызывает декогеренцию. Чтобы выполнить длинный алгоритм, нужна коррекция ошибок. Раньше использовали «поверхностные коды» на сверхпроводящих чипах. Один логический кубит требовал до тысячи физических. Алгоритм Шора — тысячи логических кубитов. Итого миллионы физических. Казалось, безопасность гарантирована.
Но гарантии — штука хрупкая. Особенно когда инженеры меняют саму физику вычислений.
Как нейтральные атомы всё перевернули
Вместо застывших на кремнии сверхпроводников исследователи взяли нейтральные атомы — рубидий, иттербий. Каждый атом — идеальный кубит от природы. Никакого заводского брака. Атомы удерживаются лазерными лучами — оптическими пинцетами. Информация записывается в энергетические уровни.
Главный трюк — атомы можно перемещать. Лазеры двигают кубиты прямо во время счёта. Это даёт нелокальную связность: два любых атома могут взаимодействовать без длинных цепочек посредников. Вы просто подносите их друг к другу, выполняете операцию и разводите обратно.
Личное наблюдение: я последние два года следил за платформами на нейтральных атомах (например, стартап QuEra). Все говорили: «Перспективно, но до взлома криптографии далеко». А теперь — бац — и оценка ресурсов упала в 200 раз.
Пошагово: как это работает
- Атомы-кубиты хранятся в «зоне памяти» плотной упаковкой.
- Лазеры переносят нужные атомы в «процессорную зону» для логических вентилей.
- «Ресурсная зона» непрерывно фабрикует магические состояния — вспомогательные кубиты для сложных операций.
- «Операционная зона» измеряет вспомогательные кубиты, выявляя ошибки, не разрушая данные.
Эта архитектура позволила применить квантовые коды с малой плотностью проверок (qLDPC). Если старые поверхностные коды давали эффективность 0,1% (один логический кубит на 1000 физических), то qLDPC — до 30%. В одном блоке ученые разместили 1224 логических кубита, потратив всего 4350 атомов. Разница колоссальная.
Новые цифры: сколько кубитов и времени
Главный вопрос: когда это станет реальной угрозой? Вот сравнительная таблица на основе опубликованных расчётов.
| Шифр | Старая оценка (кубитов) | Новая оценка (кубитов) | Время взлома |
|---|---|---|---|
| ECC-256 (эллиптические кривые) | ~20 млн | 10 000 – 26 000 | ~10 дней |
| RSA-2048 (факторизация) | ~20 млн | ~102 000 | ~97 дней |
Да, тактовая частота на нейтральных атомах ниже (~1 мс против микросекунд у сверхпроводников). Но это компенсируется массовым параллелизмом. Вы просто запускаете тысячи операций одновременно по всему массиву. Итого — дни, а не годы.
Что это значит для ваших данных прямо сейчас
10–26 тысяч кубитов — это уже не лабораторная фантастика. Физики демонстрируют массивы до 6000 атомов. Интеграция 10 000 — вопрос нескольких лет. А алгоритм Шора не ждёт.
Моё мнение: внедрение постквантовых стандартов (например, CRYSTALS-Kyber, Dilithium) должно перейти из раздела «планы на 2030 год» в раздел «срочно пилотируем». Промедление обойдётся дороже любой миграции. Данные, которые злоумышленники собирают сегодня, могут быть расшифрованы завтра — как только появится квантовый компьютер с 100 000 кубитов.
Мы привыкли считать квантовую угрозу далёкой. Новая работа показывает: далёкое стало близким. Буквально на расстоянии одного инженерного цикла.
Резюме от автора. Не ждите, пока RSA рухнет. Требуйте от банков, мессенджеров и госсервисов дорожную карту перехода на устойчивые алгоритмы. Иначе однажды утром вы просто не сможете войти в свой кошелёк. А кто-то – сможет.
