Shors algoritm: resursbehovet för att knäcka RSA-2048 minskade med en tiopotens på under ett år

Den kryptering som skyddar modern digital infrastruktur fallerar inte i det ögonblick en kvantdator byggs. Den fallerar i det ögonblick motståndare förvärvar tillräcklig kvantkapacitet för att dekryptera data de redan har samlat in. Denna tidsliga inversion — hotet kommer före maskinen — definierar Q-Day-problemets verkliga struktur och förklarar varför den beredskapsklyfta som mäts idag direkt omsätts i ett säkerhetsintrång mätt i år.

Mekanismen som riskerar att brytas är inte obskyr. RSA-kryptering, den dominerande standarden för asymmetrisk kryptografi, vilar på en enda matematisk asymmetri: att multiplicera två stora primtal är beräkningsmässigt trivialt, men att återhämta dem från deras produkt skalerar i svårighet så brant att ingen klassisk dator kan vända operationen för nyckellängder på 2048 bitar eller mer inom någon praktisk tidsram. TLS-handskakningen som skyddar webbtrafik, certifikatmyndigheter som autentiserar identiteter, digitala signaturer som validerar finansiella transaktioner: hela arkitekturen för betrodd digital kommunikation vilar på denna asymmetri.

Shors algoritm, formaliserad 1994, bevisade att kvantberäkning löser upp denna asymmetri fullständigt. Genom att utnyttja kvantsuperposition och kvantfouriertransformer för att hitta perioden hos en modulär aritmetisk funktion som kodar faktoriseringsproblemet, skulle en tillräckligt stor kvantdator kunna återhämta RSA-privatnycklar på timmar, inte de miljarder år en klassisk maskin skulle kräva. Algoritmen har varit känd i tre decennier. Vad som förändrades under det gångna året är resursuppskattningen för att köra den.

Du kanske också gillarDragonkin: The Banished och framväxten av communityformad RPG-utveckling

Hårdvarukraven för en kryptografiskt relevant kvantdator var till nyligen så enorma att de fungerade som en praktisk barriär. Tidiga uppskattningar placerade antalet fysiska qubitar som behövs för att faktorisera RSA-2048 kring en miljard. Till 2021 hade Gidney och Ekerå reducerat den uppskattningen till ungefär tjugo miljoner qubitar i åtta timmars drift. Sedan, på mindre än tolv månader mellan 2024 och 2025, kollapsade tre algoritmiska genombrott uppskattningen ytterligare en tiopotens.

Det första var en omstrukturering av hur modulär exponentiering — den centrala beräkningsoperationen i Shors algoritm — utförs. Det klassiska tillvägagångssättet krävde kvantregister tillräckligt stora för att simultant hålla 2048-bitars heltal. Approximativ modulär aritmetik, utvecklad av Chevignard, Fouque och Schrottenloher, ersatte detta med ett segmenterat tillvägagångssätt som beräknar exponentiering i delar med mycket mindre register, tolererande kontrollerade fel som kan korrigeras senare. Det andra genomslagen adresserade det dominerande kostnadsflaskhalsen i feltoleranta kvantberäkningar: att generera de speciella kvantresursstillstånden som behövs för icke-felkorrigerbara grindoperationer. Magic state cultivation, utvecklad på Google Quantum AI, odlar tillstånd med hög trohet från tillstånd av lägre kvalitet med drastiskt reducerad overhead jämfört med traditionell destillation. Det tredje genomslaget, syntetiserat i Craig Gidneys artikel 2025, kombinerade båda teknikerna och reducerade det totala antalet krävda Toffoli-grindoperationer från ungefär två biljoner till ungefär 6,5 miljarder, en mer än hundrafaldigt förbättrad beräkningseffektivitet.

Det kombinerade resultatet: att faktorisera RSA-2048 verkar nu tekniskt genomförbart med ungefär en miljon fysiska qubitar i ungefär en veckas drift. Hårdvaruklyftan mellan detta krav och befintliga system kvarstår, men kompressionsbanan har förändrats kvalitativt. Att reducera från en miljard till tjugo miljoner qubitar tog tolv år; att reducera från tjugo miljoner till under en miljon tog mindre än ett år. Den accelerationen är den analytiskt viktiga signalen.

Parallella hårdvaruframsteg förstärker denna bana. Googles Willow-chip, demonstrerat i slutet av 2024, gav den första experimentella bekräftelsen att kvantfelkorrigering kan supprimera brus under ytkodens tröskel. IBMs publicerade färdplan projicerar den första storskaliga feltoleranta kvantdatorn med ungefär 200 logiska qubitar till 2029. Flera oberoende plattformar har demonstrerat tvåqubit-grindtrohet på 99,9% eller högre. Klyftan mellan teoretiska resurskrav och demonstrerad hårdvarukapacitet har komprimerats från flera tiopotenser till något nära en enda.

Denna kompression ger materiell angelägenhet till ett hot som hittills behandlades som bekvämt avlägset: samla nu, dekryptera senare. Statsliga och sofistikerade icke-statliga aktörer som har samlat krypterad nätverkstrafik i år innehar kryptotext som blir läsbar i det ögonblick en kryptografiskt relevant kvantdator existerar. Den rätta tidsramen för att bedöma Q-Day-risken är inte när kvantdatorer kommer att byggas, utan hur länge data som krypteras idag behöver förbli konfidentiell.

Det kryptografiska svaret på detta hot har ett namn, en uppsättning standarder och en tidsplan för efterlevnad. Postkvantkryptografi ersätter de heltalssfaktoriserings- och diskreta logaritmproblem som ligger till grund för RSA och elliptisk kurva-kryptografi med matematiska strukturer som bedöms vara resistenta mot både klassiska och kvantattacker. Den primära familjen antagen av globala standardiseringsorgan är gitterbaserad kryptografi, som grundar sin säkerhet på svårigheten hos det kortaste vektorproblemet och relaterade geometriska utmaningar i högdimensionella rum. I augusti 2024 finaliserade NIST tre postkvantkryptografistandarder. I mars 2025 valdes en femte algoritm, HQC, som ett kodbaserat alternativ till ML-KEM.

Rekommenderad läsningDen algoritmiska seansen: Sorg, dataism och ändlighetens död

Standardernas existens löser inte migrationsproblemet. Det inleder det. Kryptografiska övergångar av denna skala har historiskt krävt femton till tjugo år för fullständig infrastrukturpenetration, och denna migration är strukturellt mer komplex än något tidigare exempel. Infrastrukturen för publika nycklar måste omstruktureras på varje lager. Hårdvarusäkerhetsmoduler som lagrar och hanterar nycklar måste ersättas eller uppgraderas; certifikatmyndigheter måste utfärda nya autentiseringshierarkier; TLS-implementationer på miljarder slutpunkter måste uppdateras; protokoll inbäddade i inbyggda system, industriell styrningsmiljö och långlivade finansiella system måste granskas och ersättas.

Det nordiska samarbetet kring öppen vetenskaplig data, gemensamma forskningsinfrastrukturer och hållbar digital styrning ger Sverige och de skandinaviska länderna ett specifikt incitament: kryptografisk agilitet som designprincip stämmer väl överens med en tradition av teknisk förvaltning orienterad mot långsiktig samhällsnytta. Det regulatoriska ramverket har svarat med en komprimerad tidsplan som speglar hårdvarubanas angelägenhet. NSA:s CNSA 2.0 kräver att alla nya nationella säkerhetssystem är quantum-safe till januari 2027. EU:s NIS-samarbetsgrupp publicerade 2025 en samordnad implementeringsfärdplan. IBM Institute for Business Values kvantsäkerhetsberedskapsundersökning 2025 fann ett globalt genomsnittligt poäng på bara 25 av 100.

Det praktiska rådet som framkommer från detta tekniska landskap är inte panik, utan graderad, prioriterad handling. Kryptografisk inventering är förutsättningen. System som hanterar data med lång konfidentialitetshorisont måste prioriteras för tidig migration. Hybrida kryptografiska driftsättningar, som kombinerar ML-KEM med klassiska nyckelutbytesalgoritmer parallellt, erbjuder en praktisk brygga: data skyddad av ett hybridschema kräver att en motståndare simultant bryter de klassiska och postkvantkryptografiska komponenterna, vilket väsentligen höjer kostnaden för varje insamlings- och dekrypteringsangrepp.

Vad de algoritmiska utvecklingarna 2024 och 2025 fundamentalt har förändrat är osäkerhetsfördelningen kring Q-Day. Den tidigare konsensensen placerade bekvämt kryptografiskt relevant kvantberäkning i 2030-talet, med betydande felmarginaler som sträckte sig mot 2040-talet. Kompressionen av resursuppskattningar till under en miljon qubitar, kombinerat med IBMs färdplan för 2029 och Googles experimentella bekräftelse av felkorrigering under tröskeln, har förskjutit trovärdiga uppskattningar meningsfullt framåt och minskat osäkerhetsintervallet.

Övergången till postkvantkryptografi slutar inte med driftsättningen av gitterbaserade algoritmer. Den skapar en ny kryptografisk yta vars långsiktiga säkerhet beror på antaganden om svårigheten hos geometriska problem i högdimensionella rum — antaganden som har motstått decennier av klassisk kryptoanalys men som ännu inte har prövats av de kvantdatorer som i slutändan kommer att existera i stor skala. Vad det nuvarande ögonblicket kräver är inte visshet om när kvantberäkning kommer att mogna, utan en klar bedömning av vad det innebär att bygga en institution vars säkerhetsposition fortfarande är grundad på antagandet att faktorisering av stora primtal är svårt. Det antagandet har ett utgångsdatum.

Mer som detta

Tämjandet av gruppchatten: Hur WhatsApp omformar våra digitala sociala liv

Roland-Garros eSeries och mobil-esportens framväxt i den digitala sportkulturen

StoneHold avtäckt: En hybrid mellan action-MOBA och samlarkortspel

Destiny 2 avslöjar samarbete med Lucasfilm Games i expansionen Renegades

Spöket som styr: när autonom AI överträffar de system som är utformade för att hålla den i schack

Intelligensens nya fysik: Termodynamisk beräkning och slutet för det digitala deterministiska paradigmet