Shors algoritme: ressourcekravet til at knække RSA-2048 faldt en størrelsesorden på under et år

Den kryptering, der beskytter moderne digital infrastruktur, bryder ikke sammen i det øjeblik, en kvantecomputer bygges. Den bryder sammen i det øjeblik, modstandere erhverver tilstrækkelig kvantekapacitet til at dekryptere data, de allerede har indsamlet. Denne tidsmæssige inversion — truslen kommer før maskinen — definerer Q-Day-problemets reelle struktur og forklarer, hvorfor den beredskabskløft, der måles i dag, direkte omsættes til et sikkerhedsbrud målt i år.

Den mekanisme, der er i farezonen, er ikke obskur. RSA-kryptering, den dominerende standard for asymmetrisk kryptografi, hviler på en enkelt matematisk asymmetri: at multiplicere to store primtal er beregningsteknisk trivielt, men at genvinde dem fra deres produkt skalerer i vanskelighed så stejlt, at ingen klassisk computer kan vende operationen for nøglelængder på 2048 bit eller mere inden for nogen praktisk tidsramme. TLS-håndtryk, der sikrer webtrafik, certifikatmyndigheder, der autentificerer identiteter, digitale signaturer, der validerer finansielle transaktioner: hele arkitekturen for betroet digital kommunikation hviler på denne asymmetri.

Shors algoritme, formaliseret i 1994, beviste, at kvanteberegning opløser denne asymmetri fuldstændigt. Ved at udnytte kvanteoverlæg og kvantefouriertransformationer til at finde perioden for en modulær aritmetisk funktion, der koder faktoriseringsproblemet, ville en tilstrækkeligt stor kvantecomputer kunne genvinde RSA-privatnøgler på timer, ikke de milliarder af år en klassisk maskine ville kræve. Algoritmen har været kendt i tre årtier. Hvad der ændrede sig i det forgangne år, er ressourceestimatet for at køre den.

Du vil måske også kunne lideDragonkin: The Banished og fremvæksten af fællesskabsformet RPG-udvikling

Hardwarekravene til en kryptografisk relevant kvantecomputer var indtil for nylig så enorme, at de fungerede som en praktisk barriere. Tidlige estimater placerede antallet af fysiske qubitter, der er nødvendige for at faktorisere RSA-2048, på omkring en milliard. I 2021 havde Gidney og Ekerå reduceret dette estimat til cirka tyve millioner qubitter i otte timers drift. Derefter, på under tolv måneder mellem 2024 og 2025, kollapsede tre algoritmiske fremskridt estimatet med endnu en størrelsesorden.

Det første var en omstrukturering af, hvordan modulær eksponentiering — den centrale beregningsoperation i Shors algoritme — udføres. Den klassiske tilgang krævede kvanteregistre, der var store nok til simultant at holde 2048-bit heltal. Approksimativ modulær aritmetik, udviklet af Chevignard, Fouque og Schrottenloher, erstattede dette med en segmenteret tilgang, der beregner eksponentiering i stykker ved hjælp af langt mindre registre og tolererer kontrollerede fejl, der kan rettes efterfølgende. Det andet fremskridt rettede sig mod den dominerende omkostningsflaskehals i fejltolerant kvanteberegning: at generere de specielle kvanteressourcetilstande, der er nødvendige for ikke-fejlrettelige gateoperationer. Magic state cultivation, udviklet hos Google Quantum AI, dyrker tilstande med høj trofasthed fra tilstande af lavere kvalitet med drastisk reduceret overhead sammenlignet med traditionel destillation. Det tredje fremskridt, syntetiseret i Craig Gidneys artikel fra 2025, kombinerede begge teknikker og reducerede det samlede antal påkrævede Toffoli-gateoperationer fra circa to billioner til circa 6,5 milliarder, en mere end hundredefolds forbedring i beregningseffektivitet.

Det kombinerede resultat: at faktorisere RSA-2048 synes nu teknisk gennemførligt med cirka en million fysiske qubitter i omtrent en uges drift. Hardwarekløften mellem dette krav og eksisterende systemer er fortsat reel, men kompressionsbanen har ændret sig kvalitativt. At reducere fra en milliard til tyve millioner qubitter tog tolv år; at reducere fra tyve millioner til under en million tog mindre end ét år. Denne acceleration er det analytisk vigtige signal.

Parallelle hardwareframskridt styrker denne bane. Googles Willow-chip, demonstreret i slutningen af 2024, leverede den første eksperimentelle bekræftelse af, at kvantefejlkorrektion kan undertrykke støj under overfladekodens tærskel. IBMs offentliggjorte køreplan projekterer den første storskala fejltolerante kvantecomputer med cirka 200 logiske qubitter til 2029. Flere uafhængige platforme har demonstreret to-qubit-gatetrofasthed på 99,9% eller derover. Kløften mellem teoretiske ressourcekrav og demonstreret hardwarekapacitet er komprimeret fra flere størrelsesordener til noget tæt på én.

Denne kompression giver materiel hast til en trussel, der hidtil er blevet behandlet som bekvemt fjern: indsamle nu, dekryptere senere. Statslige og sofistikerede ikke-statslige aktører, der har indsamlet krypteret netværkstrafik i årevis, besidder kryptotext, der bliver læsbar i det øjeblik, en kryptografisk relevant kvantecomputer eksisterer. Den rette tidsramme for at vurdere Q-Day-risikoen er ikke, hvornår kvantecomputere vil blive bygget, men hvor længe data, der krypteres i dag, skal forblive fortrolige.

Det kryptografiske svar på denne trussel har et navn, et sæt standarder og en overholdelsesskema. Postkvantkryptografi erstatter de heltalssfaktoriserings- og diskrete logaritmeproblemer, der ligger til grund for RSA og elliptisk kurve-kryptografi, med matematiske strukturer, der anses for resistente over for både klassiske og kvantangreb. Den primære familie, der er vedtaget af globale standardiseringsorganer, er gitterbaseret kryptografi, der begrunder sin sikkerhed i sværhedsgraden af det korteste vektorproblem og relaterede geometriske udfordringer i højtdimensionale rum. I august 2024 afsluttede NIST tre postkvantkryptografistandarder. I marts 2025 blev en femte algoritme, HQC, udvalgt som et kodebaseret alternativ til ML-KEM.

Anbefalet læsningIntelligensens nye fysik: Termodynamisk databehandling og enden på det digitale deterministiske paradigme

Eksistensen af standarder løser ikke migreringsproblemet. Det indleder det. Kryptografiske overgange i denne skala har historisk krævet femten til tyve år for fuld infrastrukturpenetration, og denne migrering er strukturelt mere kompleks end noget tidligere eksempel. Den offentlige nøgleinfrastruktur skal omdesignes på hvert lag. Hardwaresikkerhedsmoduler, der gemmer og administrerer nøgler, skal udskiftes eller opgraderes; certifikatmyndigheder skal udstede nye legitimationshierarkier; TLS-implementationer på milliarder af slutpunkter skal opdateres; protokoller indlejret i indlejrede systemer, industriel styreinfrastruktur og langlivede finansielle systemer skal revideres og erstattes.

Den nordiske tradition for åben videnskabsdata, bæredygtig digital forvaltning og langsigtet teknologisk ansvarlighed giver Danmark og de øvrige skandinaviske lande et specifikt incitament til at behandle kryptografisk agilitet som et infrastrukturdesignprincip frem for en eftertanke. Det regulatoriske rammeværk har svaret med en komprimeret tidsplan, der afspejler hardwarens banens hast. NSA’s CNSA 2.0 kræver, at alle nye nationale sikkerhedssystemer er quantum-safe inden januar 2027. EU’s NIS-samarbejdsgruppe offentliggjorde i 2025 en koordineret implementeringsköreplan. IBM Institute for Business Values kvantesikkerhedsberedskabsvurdering fra 2025 fandt en global gennemsnitsscore på blot 25 ud af 100.

Det praktiske råd, der fremgår af dette tekniske landskab, er ikke panik, men gradueret, prioriteret handling. Kryptografisk opgørelse er forudsætningen. Systemer, der håndterer data med lange fortrolighedshorisonter, skal prioriteres til tidlig migrering. Hybride kryptografiske udrulninger, der kombinerer ML-KEM med klassiske nøgleudvekslingsalgoritmer parallelt, tilbyder en praktisk bro: data beskyttet af et hybridskema kræver, at en modstander simultant bryder de klassiske og postkvantkryptografiske komponenter, hvilket i væsentlig grad hæver omkostningerne ved ethvert indsamlings- og dekrypteringsangreb.

Hvad de algoritmiske fremskridt fra 2024 og 2025 fundamentalt har ændret, er usikkerhedsfordelingen around Q-Day. Den foregående konsensus placerede bekvemt kryptografisk relevant kvanteberegning i 2030’erne, med betydelige fejlmargener, der strakte sig mod 2040’erne. Kompressionen af ressourceestimater til under en million qubitter, kombineret med IBMs køreplan for 2029 og Googles eksperimentelle bekræftelse af fejlkorrektion under tærsklen, har forskudt troværdige estimater meningsfuldt fremad og indsnævret usikkerhedsintervallet.

Overgangen til postkvantkryptografi slutter ikke med udrulningen af gitterbaserede algoritmer. Den skaber en ny kryptografisk overflade, hvis langsigtede sikkerhed afhænger af antagelser om vanskeligheden ved geometriske problemer i højtdimensionale rum — antagelser, der har modstået årtier med klassisk kryptoanalyse, men som endnu ikke er blevet sat på prøve af de kvantecomputere, der til sidst vil eksistere i stor skala. Hvad det nuværende øjeblik kræver, er ikke vished om, hvornår kvanteberegning vil modnes, men en klar vurdering af, hvad det betyder at bygge en institution, hvis sikkerhedsposition stadig er funderet på antagelsen om, at faktorisering af store primtal er svært. Den antagelse har en udløbsdato.

Flere som denne

Suncatcher-Gambitten: Indblik i Googles plan for at erobre KI-fremtiden

Roland-Garros eSeries og fremvæksten af mobil-esport i den digitale sportskultur

Samsung Galaxy Tab S11: Samsungs mest overbevisende alternativ til iPad Pro

Det identitetslag, som internettet aldrig har haft, bygges nu — under syntetisk pres

Den algoritmiske seance: Sorg, dataisme og endelighedens død

Siliciumrevisorens fremmarch: hvordan AI udfordrer den publicerede fysiks autoritet