1/ Les prédictions sur l'informatique quantique vont récemment de "la cryptographie à clé publique sera brisée dans 2 ans" à "c'est à un siècle d'ici." Les deux sont faux. Mon dernier post explique quel progrès connu publiquement est réellement soutenu — et ce que les blockchains devraient en faire. Fil ci-dessous 🧵

2/ Un ordinateur quantique pertinent sur le plan cryptographique (CRQC) dans les années 2020 est très peu probable. Même le milieu des années 2030 est ambitieux. Des systèmes avec plus de 1000 qubits existent, mais le nombre brut de qubits est trompeur : nous avons besoin de milliers de qubits logiques corrigés d'erreurs et de budgets T-gate énormes—bien au-delà d'aujourd'hui.

3/ Une source majeure de confusion : des entreprises appelant les qubits "qubits logiques corrigés d'erreurs" alors qu'ils ne supportent pas les opérations non-Clifford, ou dans certains cas flagrants, ne peuvent même pas corriger les erreurs. Cela a sérieusement induit en erreur même des observateurs sophistiqués sur la proximité de la CRQC.

4/ Une erreur courante lors de la discussion des menaces quantiques : traiter tous les primitives cryptographiques de la même manière. Le chiffrement, les signatures et les SNARKs font face à des profils de risque très différents.

5/ Le risque le plus clair à court terme est Harvest-Now-Decrypt-Later (HNDL) : les adversaires enregistrent le trafic chiffré maintenant pour le déchiffrer lorsqu'un CRQC existe.

6/ C'est pourquoi le chiffrement post-quantique (PQ) doit être déployé maintenant, malgré les coûts/risques. Chrome+Cloudflare ont déployé des schémas hybrides (PQ+classique) pour TLS ; iMessage et Signal pour la messagerie. HNDL ne laisse aucun choix pour les données nécessitant une confidentialité à long terme, même si le quantique est à des décennies.

7/ Les signatures sont différentes : il n'y a pas de confidentialité à "récolter". Une signature créée avant l'existence d'un CRQC ne peut pas être falsifiée rétroactivement. Risque différent ⇒ urgence différente.

8/ Les blockchains d'aujourd'hui utilisent des signatures pour l'autorisation, pas pour le chiffrement. Sans exposition à HNDL, nous pouvons être délibérés concernant la migration des signatures PQ.

9/ Les signatures PQ d'aujourd'hui laissent beaucoup à désirer : ML-DSA ≈2,4–4,6 Ko, Falcon ≈666 O–1,3 Ko (mais difficile à mettre en œuvre correctement), SPHINCS+ ≈7–8 Ko+. Pour comparaison, l'ECDSA ne fait qu'environ 64 octets. Plus grand/lent/complexe ⇒ risque de bogue plus élevé.

10/ Une prudence est de mise : Rainbow (basé sur MQ) et SIKE/SIDH (basé sur l'isogénie) ont été cassés classiquement lors du processus de NIST. Un déploiement prématuré peut avoir des conséquences négatives.

11/ La PKI web adopte une approche de chiffrement d'abord, signatures ensuite, pour ces raisons précises. Les blockchains devraient faire de même.

12/ zkSNARKs ? Bonne nouvelle : même les SNARKs non-PQ ont une connaissance zéro post-quantique. Rien sur le témoin n'est révélé, même aux adversaires quantiques. Ce qui devient vulnérable après le CRQC, c'est la solidité (forger de nouvelles fausses preuves), pas la confidentialité ou la solidité des preuves passées.

13/ Un point clé : pendant des années à venir, les bugs et les attaques d'implémentation (canaux auxiliaires, injection de fautes) représenteront des risques plus importants que les CRQCs. Cela s'applique aux SNARKs, aux schémas d'agrégation de signatures, et même aux signatures elles-mêmes. Investissez dans des audits, du fuzzing et des méthodes formelles.

14/ Les défis particuliers de Bitcoin : une gouvernance lente, pas de migration passive, et un approvisionnement abandonné non trivial à des adresses vulnérables aux quantiques de haute valeur.

15/ Il n'y a pas de solution facile. Bitcoin doit prendre la menace au sérieux — non pas parce que les CRQC arrivent avant 2030, mais parce que s'attaquer à ces problèmes principalement non techniques nécessite des années de coordination.

16/ Que faire : ✅ Déployez dès maintenant le chiffrement hybride PQ ✅ Utilisez dès maintenant des signatures hybrides basées sur des hachages lorsque la taille est tolérable (mises à jour de firmware/logiciel) ✅ Pour les blockchains : ne vous précipitez pas sur les signatures PQ, mais planifiez des chemins de migration.

17/ Les chaînes de confidentialité qui encryptent les détails des transactions devraient prioriser le chiffrement PQ (ou des conceptions évitant les secrets déchiffrables sur la chaîne) pour réduire le risque HNDL. Les chaînes centrées sur les signatures peuvent introduire progressivement des signatures PQ à mesure que les techniques et les implémentations d'agrégation mûrissent.

18/ Gardez du recul : paradoxalement, des annonces fréquentes de jalons quantiques ≠ proximité avec le CRQC. Elles soulignent combien de ponts restent à franchir.

19/ En résumé : faites correspondre l'urgence aux menaces réelles. Chiffrement : urgent (HNDL). Signatures : délibérées. SNARKs : la propriété ZK reste sécurisée ; la solidité est vulnérable après le CRQC. Et surtout, les bugs restent le plus grand risque à court terme.