Probablement la meilleure enquête sur les progrès de l'informatique quantique a été mise à jour récemment, cette fois pour tenir compte du dernier article de @CraigGidney, dont la ligne de conclusion dans l'article se lit : "Je préfère que la sécurité ne dépende pas d'un progrès lent" Ironique que ce soit une croyance controversée.

Conclusion complète pour ne pas sortir de son contexte : Dans cet article, j'ai réduit le nombre attendu de qubits nécessaires pour casser RSA2048 de 20 millions à 1 million. J'ai fait cela en combinant et en rationalisant les résultats de [CFS24], [Gid+25] et [GSJ24]. J'espère que cela fournira un point de repère pour l'état actuel de l'art en matière de factorisation quantique, et informe de la rapidité avec laquelle les systèmes cryptographiques résistants aux quantiques devraient être déployés. Sans changer les hypothèses physiques formulées dans cet article, je ne vois aucun moyen de réduire le nombre de qubits d'un autre ordre de grandeur. Je ne peux pas raisonnablement prétendre qu'un entier RSA de 2048 bits pourrait être factorisé avec cent mille qubits bruyants. Mais il y a un dicton en cryptographie : "les attaques s'améliorent toujours" [Sch09]. Au cours de la dernière décennie, cela s'est avéré vrai pour la factorisation quantique. En regardant vers l'avenir, je suis d'accord avec le projet public initial du rapport interne du NIST sur la transition vers des normes de cryptographie post-quantique [Moo+24] : les systèmes vulnérables devraient être dépréciés après 2030 et interdits après 2035. Non pas parce que je m'attends à ce que des ordinateurs quantiques suffisamment puissants existent d'ici 2030, mais parce que je préfère que la sécurité ne dépende pas d'un progrès lent.

@CraigGidney @lopp Je pense que vous avez exprimé de l'intérêt pour ce graphique précédemment :