Una macchina da un milione di qubit potrebbe decifrare l'RSA a 2048 bit in sette giorni, secondo uno studio

Un preprint di Google Quantum AI ricalibra le le aspettative sull'hardware necessario per decifrare la crittografia RSA a 2048 bit, ampiamente diffusa. Il team dimostra, sulla carta, che circa un milione di qubit rumorosi, funzionanti ininterrottamente per circa sette giorni, sarebbero sufficienti. Le stime precedenti si aggiravano intorno ai 20 milioni di qubit, quindi la nuova cifra riduce la finestra tra la teoria e la minaccia pratica.

La riduzione è dovuta a due progressi. In primo luogo, i ricercatori hanno perfezionato l'algoritmo di fattorizzazione di Shor utilizzando l'approssimazione piuttosto che l'esponenziazione modulare esatta, tagliando il numero di qubit logici senza gonfiare irragionevolmente il tempo di esecuzione. In secondo luogo, gli schemi di correzione degli errori più densi - codici di superficie a nodi stratificati con "coltivazione di stati magici" - triplicano la densità di archiviazione per i qubit logici inattivi, controllando al contempo i tassi di errore. Insieme, queste tecniche riducono i requisiti dei qubit fisici di un fattore venti rispetto alle proiezioni del 2019.

L'hardware, tuttavia, è ancora in ritardo rispetto alla macchina ipotetica dello studio. I processori leader di oggi, come Condor di IBM da 1.121-qubit e Sycamore di Google da 53-qubit, rimangono ordini di grandezza più piccoli. Le tabelle di marcia esistono: IBM punta a un sistema da 100.000 qubit entro il 2033, e Quantinuum mira a una piattaforma completamente tollerante ai guasti entro il 2029. Tuttavia, sostenere un milione di qubit con tassi di errore sufficientemente bassi e coordinare miliardi di operazioni logiche nell'arco di cinque giorni continui rimane un ostacolo ingegneristico.

RSA, Elliptic Curve Diffie-Hellman e schemi asimmetrici simili sono alla base di gran parte delle comunicazioni sicure di oggi. Poiché il testo cifrato raccolto ora potrebbe essere decifrato in seguito, il NIST esorta a migrare verso algoritmi di crittografia post-quantistica (PQC), con sistemi vulnerabili deprecati dopo il 2030 e non consentiti dopo il 2035. Google ha già integrato il meccanismo di incapsulamento delle chiavi ML-KEM in Chrome e nelle sue reti interne, segnalando un cambiamento del settore verso standard resistenti ai quanti.

Il lavoro offre un modello concreto di minaccia sia per i progettisti di hardware che per i responsabili delle politiche. Man mano che gli algoritmi quantistici maturano e il tasso di errore si riduce, il divario tra la capacità di laboratorio e l'attacco crittoanalitico si riduce.