Ученые нашли способ обрушить безопасность интернета в ближайшие годы
Тридцать лет назад математик Питер Шор предложил алгоритм, который перевернул представление о безопасности в интернете. Он показал: задачи, на которых держится шифрование банков, почты и сайтов, квантовый компьютер сможет решать не за миллиарды лет, а за разумное время. С тех пор угрозу считали теоретической — слишком уж недосягаемой казалась нужная техника. Сейчас расстояние до неё заметно сократилось.
Долгое время оценки требовали фантастических масштабов: миллиарды кубитов, затем миллионы. Реальные устройства до сих пор оперируют сотнями. Разрыв выглядел непреодолимым. Но сразу две группы исследователей предложили решения, которые резко меняют картину.
Команда из Калифорнийского технологического института описала архитектуру квантового компьютера, способного взламывать шифрование RSA при помощи десятков тысяч кубитов, а не миллионов. Параллельно в Google пересмотрели сам алгоритм Шора и сделали его примерно в 10 раз эффективнее для практических задач. Ни у одной из сторон пока нет готовой машины, способной ломать современные шифры, но оценки стали гораздо ближе к реальности.
Работа группы из Калтеха началась с простого вопроса: какой минимальный квантовый компьютер сможет, например, вскрыть биткоин-кошелёк. Ответ потребовал свести вместе два направления, которые долго развивались независимо.
Первое — нейтральные атомы как основа кубитов. Физики научились удерживать отдельные атомы в лазерных ловушках и выстраивать их в произвольные конфигурации. Такие системы уже оперируют сотнями и тысячами элементов. Для сравнения, сверхпроводниковые кубиты, которые используют Google и IBM, работают быстрее, но жёстко привязаны к месту.
В лаборатории Михаила Лукина в Гарварде в 2023 году на массиве из 280 нейтральных атомов уже выполняли сложные квантовые алгоритмы. В Калтехе группа Мануэля Эндреса продемонстрировала управление 6100 атомами одновременно, пусть и без полноценного вычисления. Масштаб быстро растёт, и именно он делает нейтральные атомы удобной платформой для более сложных схем.
Второе направление — коррекция ошибок. Кубиты нестабильны: любое вычисление сопровождается сбоями, которые нужно постоянно отслеживать и исправлять. Классический подход — так называемый surface code. Кубиты располагают в сетке, и целый блок работает как один надёжный виртуальный кубит. Метод надёжен, но крайне затратен: тысячи физических кубитов уходят на один логический.
За последние годы появился другой класс кодов — qLDPC, низкоплотностные проверочные коды для квантовых систем. Они позволяют связать удалённые кубиты между собой и за счёт этого упаковать больше логических кубитов в ту же систему. Цена — усложнение архитектуры. Но для нейтральных атомов это не проблема: отдельные атомы можно перемещать внутри массива и связывать с удалёнными соседями.
Команда Калтеха попыталась совместить эти подходы и подобрать код под конкретную платформу. К работе подключились специалисты по квантовым кодам и теории, а также исследователи машинного обучения. Для поиска оптимальной конфигурации использовали большую языковую модель, которую обучили на математическом описании qLDPC-кодов.
Результат оказался неожиданно компактным. Новый код позволяет формировать один логический кубит всего из 4 физических и при этом выдерживает от 20 до 24 серьёзных ошибок. Для сравнения, предыдущие эффективные схемы требовали около 12 кубитов на один логический и переносили примерно вдвое меньше ошибок. Модель также подобрала декодер — алгоритм, который определяет тип сбоя и способ его исправления.
Дальше исследователи собрали полный набор протоколов: как перемещать атомы, как выполнять операции, как одновременно контролировать ошибки. После этого систему прогнали в симуляции и оценили, как быстро она справится с реальными криптографическими задачами.
Расчёты показали довольно жёсткую зависимость от масштаба. Массив из 10 тысяч атомов сможет взломать распространённый вариант RSA примерно за 100 лет. Увеличение до 100 тысяч сокращает срок до 3 месяцев. Шифрование на эллиптических кривых, которое считается более лёгкой целью, поддаётся быстрее: около 3 лет для 10 тысяч атомов или несколько дней для 26 тысяч.
Параллельно Google улучшала сам алгоритм. Ещё в 2019 году расчёты показывали: для взлома RSA за 8 часов потребуется около 20 миллионов кубитов. Затем планка упала до уровня ниже миллиона. Теперь компания представила отдельную процедуру для атак на эллиптические кривые, которая как минимум в 10 раз эффективнее прежних подходов. По их оценкам, большинство криптовалют можно будет вскрывать за минуты на машине с менее чем 500 тысячами кубитов.
Показательно, что часть деталей теперь начинают скрывать. Google впервые описала результат через доказательство с нулевым разглашением — метод, который позволяет подтвердить работоспособность алгоритма, не раскрывая его устройство. Подход отражает новый этап: разработки становятся чувствительными с точки зрения безопасности.
На этом фоне переход на постквантовую криптографию перестал быть отложенной задачей. В 2024 году Национальный институт стандартов и технологий США утвердил новые алгоритмы, устойчивые к атакам квантовых машин. Правительство США планирует полностью перейти на них к 2035 году, но крупные компании ускоряют график. Google, например, намерена отказаться от RSA и ECC уже к 2029 году.
При всей динамике остаётся много вопросов к реализации. В расчётах Калтеха заложены довольно агрессивные параметры. Например, полный цикл коррекции ошибок — обнаружение, анализ, исправление, замена вышедших из строя атомов — должен укладываться в одну миллисекунду и повторяться непрерывно в течение дней или недель. На практике никто ещё не показывал стабильную работу даже на уровне сотен или тысяч кубитов в таких режимах.
Часть специалистов считает оценки реалистичными, но подчёркивает зависимость от деталей. Другие указывают на необходимость экспериментальных подтверждений: сначала на системах с сотнями или тысячами кубитов, затем на более крупных установках.
Сами авторы не скрывают масштаб задачи. Проект требует серьёзной инженерной работы и объединения множества технологий в одной системе. При этом исследователи не видят принципиальных ограничений, которые делали бы задачу невозможной. Дальше всё упирается в практическую реализацию.
Если такие машины всё же удастся построить, завершится текущий этап квантовых вычислений, который принято называть эпохой шумных устройств среднего масштаба. Следующий шаг — полностью корректируемые системы, где можно запускать длительные и точные вычисления. Для криптографии последствия очевидны, но сами физики смотрят шире: подобные компьютеры позволят моделировать сложные квантовые процессы, искать новые материалы и разбираться в фундаментальных свойствах пространства и времени.