Nur 10.000 Quantenbits erforderlich, 6,9 Millionen schlafende Bitcoin stehen vor dem „Öffnen-der-Box“-Countdown

Laut dem Monitoring von 1M AI News wurde am selben Tag, an dem das Google-Whitepaper zur Quanten-KI veröffentlicht wurde, von der neutral-atomaren Quanten-Computing-Startup Oratomic auf arXiv ein Paper publiziert. Darin heißt es, dass bereits mit etwa 10.000 rekonfigurierbaren atomaren Quanten-Bits Berechnungen des Shor-Algorithmus in kryptografiebezogenem Maßstab laufen können. Das Paper nutzt direkt die von Google optimierten Low-Depth-Shor-Schaltkreise als Eingabe. Darauf aufbauend optimiert es eine weitere Ebene des Quanten-Computing-Stacks: Google komprimiert die Anzahl der logischen Qubits, die der Algorithmus benötigt (von mehreren Tausend auf etwa 1.200). Oratomic komprimiert dagegen die Anzahl der physikalischen Qubits, die für jedes logische Qubit erforderlich ist. In Kombination drücken beide Optimierungen gemeinsam die Hardware-Größe, die zum Brechen der Verschlüsselung nötig ist, auf einen bislang unerreichten Tiefpunkt.

Der zentrale Ansatz von Oratomic besteht darin, traditionelle Oberflächen-Codes durch qLDPC-Codes mit hoher Codier-Rate zu ersetzen. Oberflächen-Codes sind derzeit der gängige Ansatz für Quantenfehlerkorrektur; Googles Supraleiter-Design verwendet sie, allerdings mit niedriger Kodierungseffizienz: Jedes logische Qubit benötigt etwa 400 physikalische Qubits, insgesamt also rund 500.000. Die Codier-Rate von qLDPC-Codes liegt bei etwa 30%. Damit lassen sich mit deutlich weniger physikalischen Qubits dieselbe Anzahl an logischen Qubits schützen, wodurch der Gesamtbedarf von einer Größenordnung im Millionenbereich um etwa zwei Größenordnungen reduziert wird.

Das Paper liefert mehrere Architekturvorschläge (unter der Annahme einer stabilen Messperiode der Stabilisatoren von 1 Millisekunde):

1. Mit etwa 10.000 physikalischen Qubits kann der Shor-Algorithmus laufen, um 256-Bit-Elliptic-Curve-Verschlüsselung zu knacken (Kryptosysteme, die von Bitcoin und Ethereum verwendet werden). Die Laufzeit hängt von der Parallelität ab
2. Bei einer Konfiguration von etwa 26.000 physikalischen Qubits liegt die Laufzeit zum Knacken der Elliptic-Curve-Verschlüsselung bei etwa 10 Tagen
3. Bei einer Konfiguration von etwa 102.000 physikalischen Qubits liegt die Laufzeit zum Knacken von RSA-2048 bei etwa 97 Tagen

Der Preis ist Geschwindigkeit: Die Taktfrequenz neutraler Atome ist deutlich niedriger als die von supraleitenden Ansätzen; ein Durchlauf dauert mehrere Tage statt nur wenige Minuten. Das bedeutet jedoch nicht, dass die Bedrohung kleiner ist. Das Supraleiter-Setup von Google (500.000 Qubits, 9 Minuten) eignet sich, um laufende Echtzeit-Transaktionen, die gerade ausgesendet werden, zu kapern. Oratomics neutral-atomarer Ansatz (10.000–26.000 Qubits, mehrere Tage) eignet sich dagegen für Angriffe auf Cold Wallets, deren öffentliche Schlüssel bereits offengelegt wurden, und bei solchen Angriffen muss keine Zeit gewonnen werden. Das Google-Whitepaper schätzt, dass etwa 6,9 Millionen Bitcoin in diese Kategorie fallen.

Der Hardware-Vorsprung wird kleiner. Das Paper weist darauf hin, dass neutrale-Atom-Experimente bereits mehr als 6.100 physikalische Fang-Arrays von Qubits demonstriert haben, diese Arrays jedoch noch keine Quantenberechnung ermöglichen. Neutrale-Atom-Systeme, die fehlertolerantes Rechnen können, liegen derzeit bei etwa 500 Qubits. Von 500 bis zu den im Paper benötigten 10.000 beträgt die Lücke etwa dem 20-fachen, also deutlich weniger als der etwa 5.000-fache Vorsprung in Googles Supraleiter-Roadmap (aktuell etwa 100 vs. benötigt etwa 500.000). Die Autoren des Papers stammen von Oratomic und sind außerdem an das California Institute of Technology angebunden. Zu den Mitgliedern gehören die Quanten-Computing-Experten John Preskill und Manuel Endres; der Korrespondenzautor ist Dolev Bluvstein. Am Ende des Papers heißt es, dass die nachfolgende Beschleunigung der Hardware sowie Verbesserungen bei der Fehlerkorrektur die Laufzeit um eine weitere Größenordnung und sogar auf Stunden- oder Minuten-Niveau reduzieren könnten.