1/ Förutsägelser om kvantdatorer på sistone varierar från "offentlig nyckelkryptografi kommer att vara trasig om 2 år" till "det är ett sekel bort." Båda har fel. Mitt senaste inlägg förklarar vad offentligt kända framsteg faktiskt stödjer – och vad blockkedjor bör göra åt det. Tråd nedan 🧵

2/ En kryptografiskt relevant kvantdator (CRQC) på 2020-talet är mycket osannolik. Även mitten av 2030-talet är ambitiöst. System med 1000+ qubits finns, men råa qubit-antal är missvisande: vi behöver tusentals felkorrigerade logiska qubits och enorma T-gate-budgetar – långt bortom idag.

3/ En stor källa till förvirring: företag kallar qubits för "felkorrigerade logiska qubits" när de inte stödjer icke-Clifford-operationer, eller i vissa allvarliga fall inte ens kan rätta fel. Detta har allvarligt vilselett även sofistikerade observatörer om hur nära vi är CRQC.

4/ Ett vanligt misstag när man diskuterar kvanthot: att behandla alla kryptografiska primitiva likadant. Kryptering, signaturer och SNARK står inför mycket olika riskprofiler.

5/ Den tydligaste kortsiktiga risken är Harvest-Now-Decrypt-Later (HNDL): motståndare registrerar krypterad trafik nu för att dekryptera när en CRQC finns.

6/ Det är därför post-kvant-kryptering (PQ) måste levereras nu, trots kostnader/risker. Chrome+Cloudflare implementerade hybridscheman (PQ+klassiska) för TLS; iMessage och Signal för meddelanden. HNDL lämnar inget val för data som kräver långsiktig konfidentialitet, även om kvantvärdet ligger decennier bort.

7/ Signaturer är annorlunda: det finns ingen sekretess för att "skörda." En signatur skapad innan en CRQC existerar kan inte förfalskas retroaktivt. Olika risk ⇒ olika brådska.

8/ Blockkedjor använder idag signaturer för auktorisation, inte kryptering. Utan HNDL-exponering kan vi vara medvetna om PQ-signaturmigration.

9/ Dagens PQ-signaturer lämnar mycket övrigt att önska: ML-DSA ≈2,4–4,6 KB, Falcon ≈666 B–1,3 KB (men knepig att implementera korrekt), SPHINCS+ ≈7–8 KB+. Som jämförelse är ECDSA bara ~64 byte. Större/långsammare/mer komplex ⇒ högre risk för insekter.

10/ Försiktighet är motiverad: Rainbow (MQ-baserad) och SIKE/SIDH (isogenibaserad) bröts klassiskt under NIST:s process. För tidig utplacering kan slå tillbaka.

11/ Webb-PKI:n satsar på kryptering först och signaturer senare av just dessa skäl. Blockkedjor bör följa efter.

12/ zkSNARKs? Goda nyheter: även icke-PQ SNARKs har postkvant-nollkunskap. Inget om vittnet avslöjas, inte ens för kvantmotståndare. Det som blir sårbart efter CRQC är hållbarhet (att förfalska nya falska bevis), inte sekretessen eller tillförlitligheten i tidigare bevis.

13/ En viktig punkt: under många år framöver kommer buggar och implementationsattacker (sidokanaler, felinjektion) att vara större risker än CRQC. Detta gäller SNARKs, signaturaggregationsscheman och till och med signaturer själva. Investera i revisioner, fuzzing och formella metoder.

14/ Bitcoins särskilda utmaningar: långsam styrning, ingen passiv migration och en icke-trivial övergiven tillgång på högvärdiga kvantkänsliga adresser.

15/ Det finns ingen enkel lösning. Bitcoin måste ta hotet på allvar – inte för att CRQC:er kommer före 2030, utan för att hantera dessa huvudsakligen icke-tekniska problem kräver år av samordning.

16/ Vad man ska göra: ✅ Implementera hybrid PQ-kryptering nu ✅ Använd hybrid-hashbaserade signaturer nu där storleken är acceptabel (firmware-/mjukvaruuppdateringar) ✅ För blockkedjor: stressa inte PQ-signaturer – men planera migrationsvägar

17/ Integritetskedjor som krypterar transaktionsdetaljer bör prioritera PQ-kryptering (eller design som undviker on-chain-dekrypterbara hemligheter) för att minska HNDL-risken. Signaturcentrerade kedjor kan fasa in PQ-signaturer i takt med att aggregeringstekniker och implementationer mognar.

18/ Behåll perspektivet: paradoxalt nog ≠ frekventa tillkännagivanden av kvantmilstolpar närheten till CRQC. De belyser hur många broar som återstår att korsa.

19/ Slutsats: matcha brådska till faktiska hot. Kryptering: akut (HNDL). Signaturer: avsiktliga. SNARKs: ZK:s egendom förblir säker; Hållbarhet sårbar efter CRQC. Och framför allt är bakterier fortfarande den större kortsiktiga risken.