<div dir="ltr">Greetings!<div><br></div><div>I just stumbled on <a href="http://phys.org/news/2014-11-largest-factored-quantum-device.html">an article from phys.org</a> and it got me thinking.</div><div><br></div><div>If they managed to factor 56 153 with adiabatic quantum computations, i.e. optimisation, using only 4 qbits,  </div><div>then it follows that D-Wave, which is designed to solve optimization problems and has 512 bits, is capable of  <br></div><div>factoring 512 bit long composite numbers.  </div><div><br></div><div>Furthermore, since Shor's algorithm <a href="http://en.wikipedia.org/wiki/Shor%27s_algorithm#Discrete_logarithms">can be applied to the discrete logarithm problem</a>, it follows that anything which  </div><div>uses DLP as an underlying security function, like DHKE, ElGamal, or ECC, is insecure with key lengths less than 512 bits.</div><div><br></div><div>In addition, also take into consideration that the square-root attacks on the DLP, which halve the security margin, make even 1024 bit ECC keys insecure.</div><div>As of the moment, 256 bit ECC keys seem to be the standard.</div><div>  </div><div>Even more complicated is the issue with the RSA plaintext encryption, which is essentially a transformed DLP.  </div><div><br></div><div>Considering the square root attacks and the RSA encryption function, it can be proven that any RSA ciphertext with </div><div>less than 1024 bits modulus is vulnerable to quantum computations carried out by the 512 bit D-Wave computer.</div><div>  </div><div><br></div><div>With best regards,</div><div>Mattias Aabmets</div></div>