<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, May 4, 2024 at 4:04 PM Peter Gutmann <<a href="mailto:pgut001@cs.auckland.ac.nz">pgut001@cs.auckland.ac.nz</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Without using a search engine, is the headline "Google launches $5m prize to<br>
find actual uses for quantum computers" (a) clever satire from The Onion or<br>
(b) real news from New Scientist?<br>
<br>
(Posted here because it's at least somewhat relevant to the cryptography<br>
field, given the obsession with post-magic cryptography).<br>
<br>
Peter.<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">There is no shortage of applications for a real quantum computer.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Finding an application for the devices IBM and Google have managed to make is a different matter entirely. Adding QBits is easy, keeping coherence long enough to make actual use of them is hard.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">As far as I am aware, every 'quantum supremacy' claim so far has been demolished within 24 months by someone developing a better conventional algorithm.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">OK, so writing standards is an exercise in pedantry and so is the interpretation of quantum mechanics at this level. Just like the economists, the physicists tend to believe that their models are reality rather than an approximation of reality. I was an experimentalist and what made our day was proving the theory bods wrong...</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">I remain skeptical as to large scale quantum computing even being possible. The standard model describes all the observed behaviors of the known particles on a small scale. But remains incompatible with relativity. Recently someone was asking *WHY* light slows down in a dense medium. Had a dozen physicists trying to answer that and nobody managed it, every 'explanation' turned out to merely be a restatement of 'WHAT'.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The untested hypothesis here is that quantum systems are capable of infinite entanglement. Well, what if there is a limit? What if the Heizenberg interpretation is merely a consequence of that limit?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The issues are even more murky when we are dealing with superconducting supercomputers which are not even quantum systems. No, sorry, what you have there is a macro system that exhibits similar properties to a quantum system. You are not demonstrating an ability to superscale beyond what conventional VLSI can do because you have far more atoms than you have possible system states.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">Of course we should investigate quantum computing. But don't mistake it for an engineering exercise, it is not, it is basic research.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">From the point of view of cryptography there are only three questions that we need to ask.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">1) What would the consequences of a CRQC being built without transitioning to PQC?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">This is an eschaton level threat, basically the whole global financial system is under threat. Consequences are in the 'too bad to estimate'</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">2) What is the probability of that risk being realized within the next X years?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The supercold machines don't scale, each doubling in capability is costing a lot more than double. But trapped ion machines are capable of superscaling in principle. If someone ever builds one, we are in trouble. That is still at least ten years out and might well remain ten years out indefinitely. But there is always that 1% chance of a CRQC.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">3) How much does it cost to deploy PQC algorithms in critical systems in the next ten years?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">At this point, the cost is pretty minimal. None of the really critical systems are constrained performance devices. For the few applications that are, we can employ techniques that employ hybrid symmetric/asymmetric schemes like the ones I developed when I was at VeriSign, the patents should be running out on those.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">The bigger problem is actually the systems that have never had cryptographic security but desperately need it, systems like CANBUS.</div></div></div>