Wetenschappers ruziën of huidige kwantumcomputer RSA-sleutel kan kraken

Vervolgens schoffelde kwantumprominent Scott Aaronson het Chinese artikel onderuit met een constatering die de Chinese onderzoekers zelf in het artikel hebben gezet.

De Chinese onderzoeker publiceerden vorige week een wetenschappelijk artikel met de kop 'Factoring integers with sublinear resources on a superconducting quantum processor'. In het artikel suggereren ze dat met het recent door Claus Peter Schnorr beschreven factoring algoritme in combinatie met een quantum approximate optimization algorithm (QAOA) het mogelijk moet zijn met slechts 372 niet-fouttolerante qubits - ook wel noisy intermediate scale quantum of NISQ genoemd - assymetrische RSA-2048 encryptie te kraken.

Dat klinkt intimiderend, maar het komt erop neer dat de veelgebruikte manier om gegevens te beschermen nu al nagenoeg waardeloos zou zijn met de inzet van nog de erg foutgevoelige kwantumcomputers die nu bestaan. Bijvoorbeeld IBM heeft al een werkende kwantumcomputer die beschikt over 433 van die NISQ-qubits.

Bedreiging of niet?

De bevindingen van de Chinese onderzoekers zouden daarmee een enorme schok zijn voor de IT-beveiligingswereld. Er wordt vanuit gegaan dat kwantumcomputers inderdaad de RSA-gebaseerde versleuteling makkelijk kan kraken. In 2019 werd bijvoorbeeld theoretisch bewijs aangevoerd (pdf) dat een 2048 bits RSA-sleutel in ongeveer acht uur kan worden gekraakt. Maar daarvoor is een kwantumcomputer met maar liefst 20 miljoen van dergelijke 'noisy' qubits nodig. Het duurt nog zeker wel een jaar of tien tot vijftien voordat die er is, hoewel dergelijke voorspellingen lastig te maken zijn. Dit bewijs is gebaseerd op het gebruik van het al langer bekende algoritme van Peter Schor - dus niet te verwarren met het recent beschreven algoritme van Claus Peter Schnorr.

'Wel serieus nemen'

Het Chinese wetenschappelijk artikel werd vorige week behandeld in een blog van Bruce Schneier, die door The Register werd opgepikt, die zich wel zorgen maakt over de mogelijke versnelling die de Chinese onderzoekers met hun artikel suggereren. Hij houdt zich op de vlakte over de juistheid ervan, maar stelt wel in zijn blog: "Dit is iets dat serieus genomen moet worden."

Of toch maar niet?

Scott Aaronson, hoofd van de afdeling computer science en directeur van het Quantum Information Center van The University of Texas, laat echter geen spaan heel van het Chinese artikel. Hij wijst erop dat de auteurs zelf in het artikel hebben opgeschreven dat het maar de vraag is of het uitvoeren van het algoritme van Schnorr - dat op zich nog omstreden is - op een kwantumcomputer wel een versnelling oplevert. Hij noemt het een enorm understatement. En als RSA met dat algoritme op een laptop kan worden gekraakt, is het niet nodig dat op een kwantumcomputer te doen, stelt Aaronson. En als het met een laptop kan, was het al gebeurd. Aaronson noemt het Chinese artikel het meest misleidende artikel op het gebied van kwantumcomputing dat hij de afgelopen 25 jaar heeft gezien. "... en ik heb er veel gezien", zegt hij.