1/ Kom ihåg: "logiska qubits" i meddelanden och färdplaner ≠ logiska qubits som behövs för Shor. Folk har inte insett hur mycket denna förvirring har förvrängt uppfattningen om kvantframsteg. Sam Jaques tar upp detta i ett föredrag värt att se.

I mars lade jag upp prestandascener för zkVMs. I slutet av 2026 bör vi nå "Steg 2": 10 000x prover-overhead i förhållande till inhemsk exekvering. Och det är då det blir intressant för applikationer bortom blockkedjor.

Detta motargument till mitt inlägg attackerar ståndpunkter som jag inte tog, och presenterar tekniska utvecklingar utan lämplig kontext. 1) Mitt inlägg säger inte att signaturer/blockkedjor är "mindre sårbara" än kryptering. Samma algoritmer som bryter den ena bryter den andra. Det säger att en post-kvantöverföring för kryptering är mer brådskande på grund av HNDL-attacker. Detta kan inte ifrågasättas: den som övergår till PQ-signaturer innan en kryptografiskt relevant kvantdator (CRQC) anländer kan inte attackeras, men så är inte fallet för kryptering på grund av HNDL. 2) Mitt inlägg hävdar inte att blockkedjor kommer att ha lika lätt att övergå som centraliserade enheter. Jag är inte säker på varför detta tas upp som något jag tagit ställning till. Mitt inlägg säger att de flesta blockkedjor är lättare att uppgradera än internetinfrastruktur – vilket är ett helt annat påstående än att "uppgradera blockkedjor är enkelt." 3) Den 6 100 neutrala atomers qubitarrayen fångar bara och håller koherent atomerna — det är inte en 6 100-qubits grindmodell kvantdator och demonstrerar inte sammanflätningsgrindar, kvantfelkorrigering eller algoritmiska beräkningar i någon form av den skalan. Att presentera detta som om vi nu har en kvantdator med 6 100 kubits är precis den typ av vilseledande kommunikation som får folk att tro att en CRQC är mycket närmare än den faktiskt är, och det går bortom även den vanliga överbetoningen av qubit-antal. 4) Den "20x minskningen" av uppskattade qubits för Shors (från 20M till ~1M) nämns i mitt inlägg. Lite ytterligare kontext: Dessa uppskattningar antar hårdvaruparametrar som inget befintligt system uppnår: 0,1 % felfrekvens för två-qubit-grindar, 1 μs cykeltid och 10 μs återkopplingslatens i stor skala. Nuvarande supraledande två-qubit-grindar är högst ~0,5 %. Supraledande system närmar sig de nödvändiga cykeltiderna men möter allvarliga flaskhalsar i kryogenik och kabeldragning. Neutralatomsystem kan rimligen skala mot 1 M qubits men har cykeltider som är flera storleksordningar långsammare. Vi har hundratals qubits idag, inte en miljon. Teoretiska förbättringar av resursuppskattning täpper inte till detta gap. 5) Motargumentet hänvisar till nyligen arbetat arbete med ytkoder och färgkoder som bevis på "otroligt snabba framsteg" inom magisk tillståndsdestillation och högupplösta icke-Clifford-portar. Dessa artiklar uppnår meningsfulla konstanta faktorförbättringar i resurskostnaden för sådana fabriker, men de visar inte på en felkorrigerad icke-Clifford-grind, och de tar inte bort den dominerande resursflaskhalsen: den enorma omkostnadskostnaden för magistat-fabriker. Strukturellt är Clifford-grindar "lätta" i relevanta koder (de kan implementeras tvärs eller med låg överhead), medan icke-Clifford-grindar som T-grindar är "svåra" och måste realiseras via magiska tillstånd. Att justera yt- eller färgkodskonstruktioner gör inte plötsligt T-grindar transversala eller billiga. Fabrikerna själva utgör fortfarande en grundläggande flaskhals, och den övergripande resursprofilen domineras fortfarande av icke-Clifford-kostnader. Att hänvisa till dessa artiklar som bevis på att denna flaskhals har lösts, eller är nära en lösning, överdriver vad de faktiskt åstadkommer. Det är också viktigt att de arbeten som citeras i motargumentet är protokoll- och resursanalysartiklar, inte hårdvarudemonstrationer eller färdplaner. De analyserar, via numeriska simuleringar, de resurser som behövs för att generera de högupplösta magiska tillstånd som krävs i Shor-skalans beräkningar, under antagandet att det finns en mycket stor, felfri yta/färgkodsmaskin som implementerar många logiska qubits på betydande kodavstånd. Däremot, som mitt inlägg lyfter fram, annonserar offentliga hårdvarufärdplaner vanligtvis "logiska qubits" tillsammans med odifferentierade logiska grindräkningar (i princip för Clifford-dominerade arbetsbelastningar), utan att ta hänsyn till om dessa budgetar faktiskt kan stödja de resursintensiva T-fabrikerna och den tillhörande icke-Clifford-överhead som krävs för kryptografiskt relevanta Shor-körningar. Det gapet är fortfarande en viktig anledning till att tidslinjer till en CRQC överskattas. 6) Jag ser ingen verklig oenighet med mina rekommendationer – mitt inlägg uppmanar uttryckligen till att man ska starta styrnings- och planeringsprocesser nu, just för att de är långsamma. 7) Mitt inlägg säger inte att framstegen går långsamt. Den går tillräckligt snabbt för att skapa spänning. Men klyftan mellan var vi befinner oss idag (baserat på offentliga data) och en kryptografiskt relevant kvantdator är så stor att även med snabba framsteg är en CRQC före 2030 mycket osannolik. De utvecklingar som nämns i detta svar förändrar inte den bedömningen, som jag granskade med flera experter innan jag publicerade.