Обновить

Лонгрид о реалистичности квантовой угрозы для криптовалют и проблемах “пророчества 2027”

Децентрализованные сетиКриптографияНаучно-популярноеКриптовалютыКвантовые технологии
Рейтинг +15
Количество просмотров 12k Добавить в закладки 44 Читать комментарии 38
Комментарии 38
Есть множество публикаций о гипотетических возможностях квантовых компьютеров, а также множество громких заявлений о строительстве новых — ещё более мощных моделей.
И ни одной публикации о реально решенной практической задачи!!! А таких задач намного больше чем взлом биткоина.
Например вояки хотят новое оружие — чтоб из под земли доставало, медики — микстуру от всего и сразу, программисты хотят настоящий искусственный интеллект — им тоже нужны рабы, энергетикам новые источники энергии — и желательно вечные… Список бесконечный.
И? ничего.
Не все сразу. Быстро только кошки родятся да бабло пилится.
Ящитаю, что квантовый компьютинг не представляет угрозы для современной криптографии, т.к. достижение количества кубитов, необходимых для взлома современных шифров, как симметричных, так и асимметричных находится за практическими и местами даже за фундаментальными пределами, ограничивающими конструирование квантовой аппаратуры.
Например, доцент Финансового университета при правительстве РФ Владимир Гисин заявил, что блокчейн биткоина может быть взломан в мире, где существуют 100-кубитовые квантовые компьютеры.
Вы солидарны с доцентом Гисиным. Вот только сто-кубитный квантовый компьютер можно хоть в гараже собрать. Например, на этом курсе показывается «реальный» КК, решающий Дойча.

Собрать из подручных материалов сотню кубитов — не проблема. Квантовое превосходство сейчас сковывается проблемами с декогеренцией, связываемостью, ошибками.
Вы солидарны с доцентом Гисиным.

Вы читать умеете? Доцент Гисин несет какую-то дичь про возможность «взлома блокчейна», при том, что сам блокчейн — это всего лишь инкрементный лог, безопасность и аутентичность которого обеспечивается криптографическими алгоритмами.

В случае с биткойном — это ECDSA и SHA. Насколько я в курсе, для квантового взлома этих алгоритмов требуется число кубитов, сопоставимое с разрядностью алгоритма, т.е. не менее 256.
А если мы говорим про факторизацию RSA — там необходимо несколько тысяч кубитов.
Поэтому я категорически несогласен с доцентом Гисиным.

Собрать из подручных материалов сотню кубитов — не проблема.

Вообще-то проблема. Прежде всего финансовая и материаловедческая.

Квантовое превосходство сейчас сковывается проблемами с декогеренцией, связываемостью, ошибками.

И проблема с декогеренцией — фундаментальная, и с ростом количества кубитов эта проблема встает всё острее.
Мда, с доцентом Гисиным, слегка промахнулся. Хотя как экономист он вполне себе ничего.
Вы читать умеете?
Коллега, зачем же так?

Доцент Гисин: блокчейн биткоина может быть взломан в мире, где существуют 100-кубитовые квантовые компьютеры
ne_kotin: достижение количества кубитов, необходимых для взлома… находится за… пределами, ограничивающими конструирование квантовой аппаратуры
В обоих сообщениях авторы концентрируют внимание на количестве кубитов (в контексте решения разных задач), начисто игнорируя остальные проблемы.

Собрать из подручных материалов сотню кубитов — не проблема.
Вообще-то проблема. Прежде всего финансовая и материаловедческая.
Я вам продублирую ссылку где лектор лепит кубиты из подручных материалов. И собрать сотню таких кубитов может любой стартап в гараже. Может и тысячу, если места хватит. Гигант вроде Google/IBM может их миллионами клепать, только вот сделать с ними ничего толкового не сможет.

Квантовое превосходство сейчас сковывается проблемами с декогеренцией, связываемостью, ошибками.
И проблема с декогеренцией — фундаментальная, и с ростом количества кубитов эта проблема встает всё острее.
Видите, мы с вами пришли к согласию. Проблема именно что фундаментальная. Есть, правда, попытки эту проблему частично обойти.
В обоих сообщениях авторы концентрируют внимание на количестве кубитов

Потому что это существенный количественный показатель. Только доцент Гисин утверждает, что создание КК, пригодного для взлома — возможно. А я — наоборот. И ниже, сопцна доводы.

Я вам продублирую ссылку где лектор лепит кубиты из подручных материалов.

Вы оставили ссылку на целый курс. Мне его весь вдумчиво пересматривать в поисках наколеношных кубитов? Или вас таки не затруднит указать конкретную лекцию?
Но таки да, единичный кубит сам по себе бесполезен — мы же про КК. Там нужны сотни связанных кубитов, и когда я вижу микрофото джозефсоновского кубита, я прекрасно понимаю, что в гараже его сделать сложновато, не говоря уже о криогенном оборудовании.
Наколеношные и практически бесполезные кубиты тут: «Квантовый компьютер на фотонах».

В остальном: да, реальные кубиты реально сложны, как и сопутствующие проблемы. Видимо, желтая пресса (которая обычно пишет только про количество кубитов) задрала настолько, что я начал на людей кидаться. Пардон муа.
Довольно опасное дело — предсказывать, что нечто не возможно.
Там по ходу аргументация еще есть, можете ознакомиться.
… блокчейн биткоина может быть взломан в мире, где существуют 100-кубитовые квантовые компьютеры.
При этом с алгоритмами коррекции ошибок 100 логических кубитов потребуют несколько сотен тысяч физических (сейчас у гугла 51 физический). Так что это очень далекое будущее.

Усугублю:


  • У гугла 51 физический кубит в схеме "квантового отжига", что соотносится с универсальным квантовым вычислителем (пожалуй) как изобретение арабских цифр с созданием калькулятора.
  • Схемы коррекции требуют не просто много кубитов, а много сильно связанных кубитов. Разница как между мешком детекторых приемников и ядром Intel386.
  • Чтобы "взломать" SHA256 "грубой квантовой силой" (алгоритмом Гровера) нужно не менее 256 кубитов чтобы просто задать входные данные и считать результат (на самом деле больше, но уже не важно) и 2^127 шагов алгоритма (Солнце погаснет раньше).

Короче, при случае спросите у доцента где он грибы собирает и что при этом курит.

Гугловский процессор не имеет никакого отношения к квантовому отжигу.

Действительно так.


Гугл и DWare так много говорили о своем "отжиге", а потом о 51-кубитном симуляторе, что я перестал следить за новостями от них.


Более того, я (пока еще) не до конца верю в их 51-кубитный вычислитель. Логично предположить что они сделали аналогичный по-параметрам симулятор именно для верификации реального вычислителя. Но возникает глупое сомнение — может они и считали на симуляторе ;)

Можно посмотреть в интернете, что они сделали. Статья утекла и выложена. Можно спросить специалистов.
Посмотрите Рис. 4 в статье. Там явно показано, какие вычисления они смогли проверить на классическом компьютере, а какие оказались слишком сложными (но квантовые данные есть при этом).
А доцент Владимир Гисин на основании чего говорит о угрозе 100 кубитов?
Тут не понятно как математические вычисления в общем виде можно выполнять на квантовом компе, а он уже дает количественные оценки быстродействия. Да и цифра «100» напоминает гадание на кишках барана.
Первое, что сделают, когда квантовые компьютеры появятся в широкой доступности, так это новые майнеры криптовалют

Думаю даже в такой популярной статье стоит различать (и давать понимание читателям) квантовый отжиг и универсальный квантовый компьютер.


Первое (Quantum annealing) имеет успешные практические реализации и перспективы роста в кратко- и средне-срочной перспективе, но полностью безопасно для современной до-квантовой криптографии и (тем более) пост-квантовой. В частности, к этой категории относится 51-кубитный "квантовый компьютер" построенный D-Wave для Google.


Второе (Quantum computing) имеет призрачные шансы на воплощение на ценном для практического применения уровне. Дело тут не только в количестве кубит, а в их связности и количество операций (шагов алгоритма), которые могут быть выполнены. Практическую ценность представляет "квантовый компьютер" с большим (>100) количеством кубит, с высокой связностью (в идеале непосредственное соединение каждого с каждым) и способный выполнить большое (>100) шагов алгоритма. Грубо говоря, произведение кол-ва связей на кол-во шагов и есть полезная вычислительная мощность квантового компьютера.


Проблема в том, что (даже если будут преодолена масса огромных технических сложностей по поддержанию 100 кубит и "соединения" их плотной сетью связей) при работе в нашей (а не отдельной) вселенной каждое "квантовое соединение" на каждом шаге алгоритма будет глючить с некоторой ненулевой вероятностью. Соответственно, вероятность получить правильный ответ от "компа" с M связями за N шагов равна Power(P, M * N), где P — вероятность правильного "срабатывания отдельной связи". Так вот, в свете современных познаний о природе вещей (квантовая механика) и математике (теория алгоритмом и теоретическая информатика), N и M обещают быть большими (>1000), а P маленькой (< 0.9). Проще говоря, вероятность получить верный ответ сопоставима с его угадыванием через генератор случайных чисел.


Поэтом IMHO нас "спасут" не квантовые вычисления, а только новые алгоритмы нацеленные на взлом конкретных схем, т.е. на эксплуатацию отдельных недочетов (а тут у SHA256 пока всё хорошо).

Люди нацелены на реализацию полноценных кодов коррекции ошибок. Это очень сложно, но почему нет?

Кроме того, остается открытым вопрос, можно ли делать что-то практически ценное без полной коррекции? Конечно, при условии наличия многих физических кубитов ( > 50) и малых ошибках операций.
Кстати, с квантовым отжигом тоже далеко не все радужно. Многие считают, что это тупиковая ветка.
Проблемы как принципиальные, так и технические. Они хотят за счет адиабатического изменения параметров пройти по основному состоянию или хотя бы низколежащим возбужденным. На деле, при изменении параметров энергии разных состояний (собственные значения гамильтониана) во многих точках сближаются очень близко (квазипересечения или антикроссинги в англ. литературе), так что можно легко перейти на более возбужденное состояние. Причем чем больше размер системы, тем меньше минимальные щели на таких квазиперечениях.

Теперь наложите на это кучу технических проблем — декогеренцию, неадиабатичность подкрутки параметров, невозможность точно выставить желаемые параметры и связи в системе, температурные флуктуации и т.д…

Можно верифицировать решение, в том числе переформулируя задачу (т.е. получая другой ландшафт вероятностей для локальных минимумов). С некоторой вероятностью это будет давать решение некоторой точности… Тем не менее, IMHO это видится более "перспективным" в сравнении с "универсальным вычислителем" (хайп похож на распил бюджетов на пост-квантовую криптографию).

С «некоторой точностью» можно получить 100500 методами на классическом компьютере. Есть множество довольно эффективных и изощренных подходов. Чтоб их перебить, нужна очень продвинутая квантовая система — а с этим есть большие сомнения, причем не только из-за несовершенства текущей технологии, а из-за принципиальных проблем, суть которых я выше описал.
Ящитаю, что квантовый компьютинг не представляет угрозы для криптовалют, потому, что через 15-20 лет человечество станет умнее, а технологии лучше, лохи вымрут и человечество перестанет страдать фигней типа форекса, биткоинов и ставок)
Уточните, а что общего между бикоином, форбсом и ставками? Прояните свою позицию относительно лохов. Очень интересно.
В чем проблема для криптовалют перейти на те же самые квантовые компьютеры?
они (квантовые компьютеры) непригодны для криптографии.
и, вероятно, не будут пригодны никогда.
Взломать криптографию можно, зашифровать нет?
А кто вам сказал, что взломать можно? Там выше веточка была, почитайте.
Стало любопытно, а квантовые компьютеры точнее квантовая технология как-нибудь повлияет на производительность в будущих играх?
Лишь в том случае, если удастся адаптировать вычислительные процессы для этого. Что маловероятно. Мы с вами не доживём до этого момента, если он наступит.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.