RSA больше не вечен: миллион кубитов — и неделя на взлом

Компания Google опубликовала исследование, согласно которому взлом RSA-шифрования с длиной ключа 2048 бит может стать возможным менее чем за неделю при наличии квантового компьютера с менее чем миллионом физических (noisy qubits, шумных) кубитов. Работа под руководством Крейга Гидни размещена на arXiv и в блоге Google Security .

Ранее считалось, что для факторизации такого ключа потребуется около 20 миллионов кубитов. Новая оценка опирается на недавние усовершенствования в квантовых алгоритмах и методах коррекции ошибок и существенно снижает планку.

Хотя квантовые компьютеры с миллионом кубитов пока не существуют, темпы развития отрасли указывают, что переход к квантоустойчивой криптографии больше нельзя считать отдалённой перспективой. Исследование предлагает реалистичную модель того, как может выглядеть потенциальная квантовая атака, и служит ориентиром для инженеров и регуляторов.

Прорыв стал возможен за счёт внедрения approximate modular exponentiation — приближённого модульного возведения в степень, что позволило значительно сократить число логических кубитов. Кроме того, применена более плотная модель размещения кубитов с коррекцией ошибок, в том числе с использованием yoked surface codes (модифицированных поверхностных кодов с объединённой структурой) и дистилляции магических состояний — техники, необходимой для реализации универсальных квантовых операций.

Тем не менее, такой квантовый компьютер остаётся теоретическим. Современные системы оперируют сотнями или тысячами кубитов: Google Sycamore — 53 кубита, IBM Condor — 1121. В модели, описанной исследованием, потребуется непрерывная работа системы на протяжении пяти суток при сверхнизком уровне ошибок и синхронизации миллиардов логических операций.

Крупнейшие компании уже обозначили амбициозные цели. IBM в партнёрстве с Токийским университетом и Университетом Чикаго планирует создать квантовый компьютер на 100 тысяч кубитов к 2033 году. Компания Quantinuum намерена достичь полной отказоустойчивости и универсальности к 2029 году с помощью системы Apollo.

RSA и аналогичные схемы факторизации лежат в основе защищённых цифровых коммуникаций — от онлайн-банкинга до электронных подписей. Исследование подтверждает необходимость перехода на постквантовую криптографию (PQC). В 2024 году Национальный институт стандартов и технологий США (NIST) утвердил первые стандарты PQC и рекомендовал полностью отказаться от уязвимых алгоритмов после 2030 года.

Работа Гидни не утверждает, что атака на RSA возможна уже сегодня. Но она задаёт конкретную, достижимую цель для разработчиков и стратегов. Это также подтверждает ключевой принцип криптографии: по мере развития технологий методы взлома неотвратимо совершенствуются — и защиту необходимо обновлять проактивно.