มุมมองของวิศวกรคริปโตกราฟีต่อช่วงเวลาของควอนตัมคอมพิวติ้ง

 (words.filippo.io)
6 คะแนน โดย GN⁺ 24 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • จากผลการวิจัยล่าสุด ความเป็นไปได้ที่ คอมพิวเตอร์ควอนตัมที่มีนัยสำคัญทางคริปโตกราฟี (CRQC) จะเกิดขึ้นได้ถูกเลื่อนให้เร็วขึ้นมาอยู่ในระดับไม่กี่ปี ทำให้ความเร่งด่วนในการนำ การเข้ารหัสทนทานต่อควอนตัม (PQC) ไปใช้งานเพิ่มสูงขึ้นอย่างรวดเร็ว
  • งานวิจัยของ Google และ Oratomic แสดงให้เห็นว่า ทรัพยากรที่ต้องใช้ในการโจมตีเส้นโค้งวงรี 256 บิตลดลง และยืนยันแนวโน้มว่าประสิทธิภาพทั้งฮาร์ดแวร์และอัลกอริทึมกำลังดีขึ้นอย่างรวดเร็ว
  • ผู้เชี่ยวชาญเสนอว่า ปี 2029 เป็นเส้นตายของการย้ายระบบไปสู่ PQC และเตือนว่าขณะนี้เราได้เข้าสู่ “ระยะภัยคุกคามที่ปฏิเสธไม่ได้” แล้ว
  • แนวทางรับมือที่ถูกเสนอคือ นำ ML-DSA และ ML-KEM มาใช้ทันที, ทยอยเลิกใช้ระบบที่ไม่ใช่ PQ, และ ไม่ใช้การยืนยันตัวตนแบบไฮบริด
  • โดยสรุป CRQC ไม่ใช่สมมติฐานอีกต่อไป แต่เป็นความเสี่ยงที่เกิดขึ้นได้จริง และ จำเป็นต้องเปลี่ยนผ่านสู่ PQC อย่างสมบูรณ์ก่อนปี 2029

มุมมองของวิศวกรคริปโตกราฟีต่อช่วงเวลาของควอนตัมคอมพิวติ้ง

  • ความเร่งด่วนในการนำ การเข้ารหัสทนทานต่อควอนตัม (PQC) ไปใช้งานเพิ่มสูงขึ้นอย่างรวดเร็วในช่วงหลัง
    • เพียงไม่กี่เดือนก่อนยังเชื่อกันว่าพอมีเวลาเหลืออยู่ แต่ผลวิจัยล่าสุดทำให้สถานการณ์เปลี่ยนไปอย่างฉับพลัน
    • มีสัญญาณว่าความเป็นไปได้ของการเกิด คอมพิวเตอร์ควอนตัมที่มีนัยสำคัญทางคริปโตกราฟี (CRQC) ถูกเลื่อนให้เร็วขึ้นมาอยู่ในระดับไม่กี่ปี

ผลวิจัยสองชิ้นที่เพิ่งเผยแพร่

  • ทีมวิจัยของ Google เผยแพร่บทความที่ลดจำนวน ลอจิคัลคิวบิตและจำนวนเกตที่ต้องใช้ในการเจาะเส้นโค้งวงรี 256 บิต (เช่น NIST P-256, secp256k1) ได้อย่างมาก
    • ระบุการคำนวณว่าในสถาปัตยกรรมคล็อกความเร็วสูงที่ใช้ซูเปอร์คอนดักติงคิวบิต อาจโจมตีได้ภายในเวลาไม่กี่นาที
    • แม้งานวิจัยจะเขียนในบริบทของคริปโตเคอร์เรนซี แต่ในความเป็นจริงมีนัยร้ายแรงกว่าต่อ การโจมตีแบบ man-in-the-middle ต่อ WebPKI
  • ทีมวิจัยของ Oratomic เสนอ สถานการณ์ที่สามารถเจาะเส้นโค้งวงรี 256 บิตได้ด้วยฟิสิคัลคิวบิตเพียง 10,000 ตัว ในระบบอะตอมเป็นกลางที่มี การเชื่อมต่อแบบไม่เป็นเฉพาะที่ (non-local connectivity)
    • แม้จะช้ากว่า แต่หากสามารถทำลายกุญแจได้แม้เพียงเดือนละครั้ง ก็อาจนำไปสู่ ผลลัพธ์ที่ร้ายแรงถึงขั้นวิกฤต
  • งานวิจัยทั้งสองชิ้นแสดงแนวโน้มร่วมกันคือ สมรรถนะฮาร์ดแวร์ดีขึ้น, ประสิทธิภาพอัลกอริทึมสูงขึ้น, และความต้องการด้านการแก้ไขข้อผิดพลาดลดลง

คำเตือนจากผู้เชี่ยวชาญและการเปลี่ยนแปลงของกรอบเวลา

  • Heather Adkins และ Sophie Schmieg จาก Google กล่าวว่า “เส้นแบ่งของยุคควอนตัมอยู่ใกล้กว่าที่คาดไว้มาก” และเสนอให้ ปี 2029 เป็นเส้นตายของการย้ายระบบ
    • นั่นหมายถึงเหลือเวลาเพียง 33 เดือน ซึ่งเป็นกรอบเวลาที่ดุดันที่สุดเท่าที่เคยมีการเสนอมา
  • Scott Aaronson เปรียบเทียบกับ “ช่วงปี 1939~1940 ที่งานวิจัยเรื่องฟิชชันหยุดเผยแพร่ต่อสาธารณะ” เพื่อเตือนถึง ความเป็นไปได้ของความก้าวหน้าแบบก้าวกระโดดที่ยังไม่เปิดเผย
  • กำหนดการที่นำเสนอใน RWPQC 2026 ก็ล้าสมัยไปแล้วภายในเวลาเพียงไม่กี่สัปดาห์ และมุกที่ว่า “คอมพิวเตอร์ควอนตัมจะมาในอีก 10 ปีเสมอ” ก็ใช้ไม่ได้อีกต่อไป
  • ข้อความร่วมกันจากผู้เชี่ยวชาญคือ “ตอนนี้เราอยู่ในระยะภัยคุกคามที่ปฏิเสธไม่ได้

การตระหนักถึงความเสี่ยงและความจำเป็นในการรับมือ

  • คำถามสำคัญไม่ใช่ว่า “ในปี 2030 จะมี CRQC หรือไม่?” แต่คือ “คุณมั่นใจได้หรือไม่ว่าในปี 2030 จะไม่มี CRQC?
    • ในฐานะผู้รับผิดชอบด้านความปลอดภัยของผู้ใช้ ต่อให้โอกาสต่ำกว่า 1% ก็ไม่อาจมองข้ามได้
  • มุมมองแบบสงสัยว่า “มันยังอีกไกล” ถูกมองว่าเป็น สัญญาณของการขาดความเชี่ยวชาญ
    • Scott Aaronson เปรียบว่า “หลังจากเข้าใจ quantum fault tolerance แล้ว การถามว่าเมื่อไรจะสามารถแยกตัวประกอบ 35 ได้ ก็เหมือนกับไปถามนักฟิสิกส์ในโครงการ Manhattan ปี 1943 ว่าเมื่อไรจะทำระเบิดนิวเคลียร์ลูกเล็กได้”
  • แม้การคาดการณ์อาจผิดพลาดได้ แต่ ตอนนี้ความเป็นไปได้ที่จะคาดถูกสำคัญกว่าความเป็นไปได้ที่จะคาดผิด และ ระดับความเสี่ยงในเวลานี้ไม่อาจยอมรับได้

สิ่งที่ต้องทำตอนนี้

  • จำเป็นต้อง นำออกใช้งานทันที (Ship Now)
    • แม้ยังไม่สมบูรณ์แบบ ก็ต้อง นำ PQC ที่ใช้งานได้ในปัจจุบันมาใช้ทันที
    • ควรใช้ ลายเซ็น ML-DSA แทน ECDSA เดิม และ Merkle Tree Certificates สำหรับ WebPKI ก็มีความคืบหน้าเพียงพอแล้ว
  • ในอดีตเคยประเมินว่า “ยังมีเวลาปรับโปรโตคอลให้รองรับขนาดลายเซ็น” แต่เมื่อมี เส้นตายปี 2029 ก็ไม่มีเวลาผ่อนอีกแล้ว

การเปลี่ยนผ่านระบบแลกเปลี่ยนกุญแจและการยืนยันตัวตน

  • การแลกเปลี่ยนกุญแจแบบ PQ ที่อิง ML-KEM กำลังดำเนินไปอย่างราบรื่น แต่ยังต้องทำสิ่งต่อไปนี้
    1. ต้องมอง การแลกเปลี่ยนกุญแจที่ไม่ใช่ PQ ว่าเป็น ความเสี่ยงจากการโจมตีแบบ active ทันที และควรแจ้งเตือนผู้ใช้เหมือนที่ OpenSSH ทำ
    2. ควรเลิกใช้ การแลกเปลี่ยนกุญแจแบบไม่โต้ตอบ (NIKE) ไปก่อนชั่วคราว และใช้ได้เฉพาะ รูปแบบการยืนยันตัวตนทางเดียวที่อิง KEM

  • ห้ามนำระบบคริปโตกราฟีที่ไม่ใช่ PQ แบบใหม่มาใช้งาน

    • ECDSA, pairing, การเข้ารหัสแบบอิงตัวตน (ID-based cryptography) และอื่น ๆ ไม่ได้มีความเป็นจริงเชิงปฏิบัติอีกต่อไป
    • การยืนยันตัวตนแบบไฮบริด (คลาสสิก+PQ) ไม่จำเป็น และควรเปลี่ยนไปใช้ ML-DSA-44 แบบล้วน
    • ลายเซ็นไฮบริดเป็นทั้งความซับซ้อนและการเสียเวลาโดยเปล่าประโยชน์ และ โอกาสที่ ML-DSA จะถูกทำลายด้วยวิธีคลาสสิกต่ำกว่าโอกาสที่ CRQC จะเกิดขึ้นจริง
    • อย่างไรก็ตาม ในโปรโตคอลที่รองรับโครงสร้าง multi-signature อยู่แล้ว อาจยกเว้นให้ใช้ลายเซ็นไฮบริดแบบง่ายในลักษณะ “2-of-2” ได้

การเข้ารหัสแบบสมมาตรและอัลกอริทึมของ Grover

  • การเข้ารหัสแบบสมมาตรไม่จำเป็นต้องเปลี่ยน

    • การอธิบายอัลกอริทึมของ Grover แบบง่ายเกินไป ทำให้เกิดความเข้าใจผิดว่า “ต้องใช้กุญแจ 256 บิต”
    • ในความเป็นจริง กุญแจ 128 บิตก็เพียงพอ และความเร็วที่ได้จากควอนตัมของ Grover ไม่สามารถขนานงานได้
    • การบังคับใช้ 256 บิตโดยไม่จำเป็นเสี่ยงต่อ การลดความสามารถในการทำงานร่วมกันและทำให้การเปลี่ยนผ่านสู่ PQC ล่าช้า

ผลกระทบต่อซอฟต์แวร์และระบบนิเวศฮาร์ดแวร์

  • มีความเป็นไปได้ว่า มากกว่าครึ่งของ Go standard library จะกลายเป็น อยู่ในสถานะไม่ปลอดภัย ในไม่ช้า
    • การหาสมดุลระหว่าง การโจมตีแบบ downgrade กับ ความเข้ากันได้ย้อนหลัง จะกลายเป็นโจทย์ใหม่
    • คาดว่าความวุ่นวายจะรุนแรงกว่าการเปลี่ยนจาก SHA-1 ไปสู่ SHA-256 มาก

  • TEE (Trusted Execution Environment)**— เช่น Intel SGX, AMD SEV-SNP เป็นต้น—**ไม่อาจเชื่อถือได้ เพราะไม่รองรับกุญแจ PQ

    • ด้วยข้อจำกัดด้านความเร็วในระดับฮาร์ดแวร์ ทำให้ ไม่สามารถเปลี่ยนผ่านสู่ PQ ได้ และควรถูกลดบทบาทลงเหลือเพียงระดับ “การป้องกันซ้อนชั้น (defense in depth)” เท่านั้น

ระบบนิเวศที่อิงคริปโตกราฟีและการเข้ารหัสไฟล์

  • ระบบยืนยันตัวตนที่อิงคริปโตกราฟี** (เช่น atproto, คริปโตเคอร์เรนซี เป็นต้น) จำเป็นต้องเริ่มย้ายระบบทันที

    • หากทำไม่เสร็จก่อน CRQC ปรากฏ จะต้องเผชิญกับทางเลือกระหว่าง ให้ผู้ใช้เสียหาย หรือ ทิ้งบัญชีผู้ใช้
    • การเข้ารหัสไฟล์ มีความเปราะบางเป็นพิเศษต่อการโจมตีแบบ “เก็บไว้ตอนนี้แล้วถอดรหัสทีหลัง (store-now-decrypt-later)”
    • มีแผนจะเพิ่มฟังก์ชันเตือนและบล็อกสำหรับ ชนิดผู้รับของ age ที่ไม่ใช่ PQ
    • ผู้รับแบบ PQ ถูกเพิ่มเข้ามาเป็นครั้งแรกใน age เวอร์ชัน 1.3.0

การศึกษาและการเปลี่ยนผ่านระหว่างรุ่น

  • ใน หลักสูตรปริญญาเอกด้านคริปโตกราฟี ของมหาวิทยาลัยโบโลญญา RSA, ECDSA, ECDH ถูกสอนในฐานะอัลกอริทึมแบบ legacy เท่านั้น
    • นักศึกษาจะได้พบเทคโนโลยีเหล่านี้ในอาชีพจริงในฐานะ “เทคโนโลยีของอดีต”
    • สิ่งนี้สะท้อนว่า การเปลี่ยนผ่านสู่ PQC คือ จุดเปลี่ยนระดับรุ่น

การสนับสนุนและการดูแลโอเพนซอร์ส

  • Geomys เป็นองค์กรดูแลรักษาเฉพาะทางของระบบนิเวศ Go โดยได้รับการสนับสนุนจาก Ava Labs, Teleport, Tailscale, Sentry
    • พวกเขาช่วยสนับสนุน การดูแลอย่างยั่งยืนและการรับประกันความปลอดภัย ของโปรโตคอลคริปโตกราฟีโอเพนซอร์ส
    • Teleport เน้น การเสริมการควบคุมการเข้าถึงเพื่อป้องกันการยึดบัญชีผู้ใช้และฟิชชิง ส่วน Ava Labs เน้น การรักษาความน่าเชื่อถือระยะยาวของโปรโตคอลคริปโตกราฟีบนบล็อกเชน

บทสรุป

  • ความเป็นไปได้ในการเกิด CRQC ไม่ใช่สมมติฐานอีกต่อไป แต่เป็นความเสี่ยงที่เป็นจริง
  • จำเป็นต้องเปลี่ยนผ่านสู่ PQC อย่างสมบูรณ์ก่อนปี 2029
  • ต้อง นำ ML-KEM และ ML-DSA มาใช้งานทันที และ ทยอยเลิกใช้ระบบที่ไม่ใช่ PQ
  • ถึงเวลาแล้วที่ ทั้งผู้ปฏิบัติงานคริปโตกราฟีและผู้มีอำนาจตัดสินใจ ต้องลงมือทำเดี๋ยวนี้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 24 일 전
ความคิดเห็นจาก Hacker News

  • หากช่วงเวลาที่คอมพิวเตอร์ควอนตัมจะใช้งานได้จริงใกล้เข้ามา สิ่งที่ควรทำก่อนคือใช้ FIPS 203(ML-KEM) กับการแลกเปลี่ยน session key ของโปรโตคอลอย่าง TLS หรือ SSH
    ML-KEM ถูกวางให้มาแทน Diffie-Hellman แบบเดิมทั้งชนิดคลาสสิกและแบบเส้นโค้งวงรี
    ถ้าไม่ใช้ ผู้โจมตีอาจเก็บข้อมูลไว้ตอนนี้แล้วค่อยถอดรหัสในภายหลังได้
    ในทางกลับกัน ใบรับรองหรือ ลายเซ็นดิจิทัล ไม่สามารถย้อนกลับไปปลอมแปลงในอดีตได้ จึงเร่งด่วนน้อยกว่า
    แต่ในกรณีที่การปลอมแปลงมีความหมาย เช่น เอกสารดิจิทัลที่มีผลทางกฎหมาย ก็ยังต้องการรูปแบบลายเซ็นที่ปลอดภัยในอนาคต
    ไลบรารีหลักอย่าง OpenSSH และ OpenSSL รองรับ ML-KEM แล้ว จึงนำไปใช้ได้ค่อนข้างง่ายในระดับเซิร์ฟเวอร์ส่วนตัวโดยไม่ต้องเปลี่ยนระบบยืนยันตัวตน

    • จนถึงปีก่อนผมก็คิดแบบเดียวกัน และนั่นก็เป็น ฉันทามติร่วม ของวงการ
      แต่ตอนนี้มีความเป็นไปได้ว่ากำหนดเวลาจะขยับจาก 2035 มาเป็น 2029 ทำให้ถึงเวลาที่ต้องเดินหน้าการเปลี่ยนระบบยืนยันตัวตนไปพร้อมกัน
      การกระจายใช้งาน ML-KEM กำลังไปได้ดีอยู่แล้ว แต่ตอนนี้เราควรมอง การแลกเปลี่ยนกุญแจที่ไม่ทนทานต่อควอนตัม ว่าเป็นความเสี่ยงแฝง
      กล่าวคือ ถ้ามีข้อมูลใดถูกเก็บไว้นานเกิน 3 ปี ก็ควรถือว่าอยู่ในระดับเตือนภัย
    • ประเด็นสำคัญคืออย่า แทนที่ Diffie-Hellman เดิมทั้งหมด แต่ให้ใช้ การแลกเปลี่ยนกุญแจแบบไฮบริด ควบคู่กัน
      แบบนี้ผู้โจมตีต้องทำลายทั้งคริปโตแบบดั้งเดิมและแบบทนทานต่อควอนตัมจึงจะโจมตีได้
      ML-KEM เองก็เป็นอัลกอริทึมใหม่และยังมีความเสี่ยงที่จะถูกเจาะ ดังนั้นไฮบริดจึงเป็นแนวป้องกันที่สมจริง
      ผู้เชี่ยวชาญอย่าง Dan Bernstein(djb) ก็ย้ำว่าการไม่ใช้ไฮบริดเป็น การตัดสินใจที่ไร้ความรับผิดชอบ
    • ในทางปฏิบัติ เอกสารทางกฎหมายหรือ timestamp แบบเข้ารหัส นั้นถูกลงลายเซ็นด้วย RSA หรือ EC อยู่แล้ว
      กรณีแบบนี้จึงจำเป็นต้องเปลี่ยนไปใช้ลายเซ็นที่ทนทานต่อควอนตัมเพื่อป้องกันการปลอมแปลงในอนาคต

  • การถกเถียงนี้ให้ความรู้สึกไม่เป็นเชิงเส้น
    สำหรับ RSA ระดับความยากเพิ่มขึ้นแบบค่อยเป็นค่อยไปจาก 8 บิต เป็น 64 บิต และ 256 บิต แต่คอมพิวเตอร์ควอนตัมในช่วง 10 ปีที่ผ่านมาไม่ได้ทำให้ RSA หรือ EC คืบหน้าไปไหนเลย
    อยู่ ๆ จะบอกว่าอีกไม่กี่ปีจะทำลายคริปโตแบบกุญแจสาธารณะทั้งหมดได้ก็ดูแปลก
    อย่างน้อยก็คงยากจะสรุปเร็วเกินไปจนกว่าจะได้เห็นแม้แต่การเจาะ RSA-256 ในห้องแล็บจริง ๆ

    • หากดู บทความของ Bas Westerbaan และ คอมเมนต์ของ Scott Aaronson แก่นสำคัญคือ การแก้ไขข้อผิดพลาด (error correction)
      ทันทีที่ทำสิ่งนี้ได้ การขยับจาก RSA 32 บิตไปเป็น RSA 2048 บิตก็ไม่ได้ต่างกันมากนัก
      คล้ายกับเมื่อปฏิกิริยาลูกโซ่นิวเคลียร์เกิดได้อย่างยั่งยืนแล้ว การเพิ่มขนาดระเบิดก็ไม่ใช่เรื่องยาก
      นี่คือเหตุผลที่ผู้เชี่ยวชาญบอกว่ากำหนดเวลาอาจมาเร็วกว่าที่คิด
    • ในช่วง 10 ปีที่ผ่านมา ความแม่นยำของเกตและจำนวนคิวบิต เพิ่มขึ้นหลายสิบเท่า และประสิทธิภาพของการแก้ไขข้อผิดพลาดก็ดีขึ้นอย่างรวดเร็ว
      ความก้าวหน้าในช่วง 4 ปีหลังถือว่ารุนแรงมาก
    • ใจความของบทความนี้คือการแลกเปลี่ยนกุญแจสาธารณะมีความเสี่ยง ไม่ใช่ว่าการเข้ารหัสแบบสมมาตรหลังจากนั้นตัวมันเองมีความเสี่ยง
    • อ้างอิงไว้ด้วยว่า จนถึงตอนนี้ จำนวนที่มากที่สุดที่ถูกแยกตัวประกอบด้วยคอมพิวเตอร์ควอนตัมคือ 21

  • คิดว่าเป็นบทความที่ดี
    น่าสนใจที่การทำมาตรฐานผู้รับแบบไฮบริดของ HPKE ใช้เวลาถึง 2 ปีเพราะ ความล่าช้าของ CFRG
    IETF ควรย้อนกลับมาทบทวนปัญหาเชิงกระบวนการแบบนี้ภายในองค์กร

    • ผมคิดว่าเหตุผล ต่อต้านไฮบริด ที่บทความยกมานั้นผิด
      ต่อให้มี CRQC อยู่ตอนนี้ อัลกอริทึมแบบไฮบริดก็ยังเพิ่มต้นทุนการโจมตีขึ้นไปอย่างน้อยระดับ 1 ล้านดอลลาร์
      ถ้านึกถึงว่าผู้สมัครบางตัวใน PQC รอบที่ 3 เคยถูกเจาะได้ด้วยโน้ตบุ๊ก แบบนี้ก็ดีกว่ามาก
    • เสียดายที่ไม่ได้เจอคุณในประชุม CRFG ครั้งล่าสุด

  • บทความนี้ทำให้ผมเปลี่ยนมุมมองจากเดิมที่คิดว่า “คอมพิวเตอร์ควอนตัมยังอีกไกล และ RSA ยังโอเค” ไปบ้าง
    ขอบคุณที่ อธิบายความเสี่ยงแบบสมจริง จนแม้แต่คนที่ยังสงสัยก็เข้าใจได้

    • คำพูดของ Scott Aaronson โดยเฉพาะที่น่าประทับใจ
      เขาเปรียบว่า “ถ้าเข้าใจ quantum fault tolerance แล้ว การถามว่า ‘เมื่อไรจะสามารถแยกตัวประกอบ 35 ได้’ ก็เหมือนถามนักวิทยาศาสตร์โครงการแมนฮัตตันในปี 1943 ว่า ‘เมื่อไรจะสร้างการระเบิดนิวเคลียร์ลูกเล็กได้’” ซึ่งทำให้ผมเปลี่ยนความคิดไปเลย

  • ข้อเสนอให้ตัดกุญแจแบบไฮบริดออก เป็นเรื่องอันตราย
    อัลกอริทึมใหม่ ๆ ยังผ่านการพิสูจน์ในภาคสนามไม่มากพอ ดังนั้นข้อบกพร่องเพียงจุดเดียวก็อาจสร้างความเสียหายวงกว้างได้

  • ควอนตัมคอมพิวติ้งอาจถูกใช้เพื่อ เร่งการฝึก LLM ได้ด้วย ดังนั้นการที่ Google ลงทุนในเรื่องนี้จึงถือว่าฉลาด
    ปีที่แล้ว Google และ SoftBank ลงทุนไป 230 ล้านดอลลาร์ และ Microsoft, IBM, Google รวมกันใช้ไป 15 พันล้านดอลลาร์ตลอด 20 ปีที่ผ่านมา
    แต่เมื่อเทียบกับการลงทุนศูนย์ข้อมูลของ Google ต่อปีที่ 1.5 แสนล้านดอลลาร์ มันก็อาจเป็น สัญญาณว่ายังห่างไกลจากการใช้งานจริง

  • มีความเป็นไปได้มากว่ารัฐบาลกำลังพัฒนาซูเปอร์คอมพิวเตอร์สำหรับเจาะรหัสอยู่
    เหมือนโครงการแมนฮัตตัน หลักการเป็นที่รู้กันแล้วและ เหลือเพียงปัญหาทางวิศวกรรม
    รัฐบาลเก่งเรื่องระดมเงิน จึงอาจกำลังเดินหน้าเรื่องนี้อยู่จริงก็ได้

    • ตอนนั้น ระเบิดยูเรเนียม (Little Boy) มีโครงสร้างเรียบง่ายพอที่จะมั่นใจว่าจะสำเร็จได้โดยไม่ต้องทดสอบ
      ขณะที่ พลูโตเนียม (Fat Man) ซับซ้อนกว่ามากแต่มีประสิทธิภาพสูงกว่า และกลายเป็นพื้นฐานของเทคโนโลยีขีปนาวุธนิวเคลียร์
      แบบของ Little Boy และ Fat Man ยังน่าสนใจแม้มองด้วยสายตาปัจจุบัน
    • คอมพิวเตอร์ควอนตัมก็เหมือน ซีโร่เดย์ขั้นสุดยอด
      เป็นเทคโนโลยีที่ไม่ได้รีบใช้ทันที แต่เก็บไว้ใช้ในจังหวะชี้ขาด
    • ผมคิดว่ายากจะเชื่อว่ารัฐบาลไม่ได้พัฒนาเทคโนโลยีนี้แบบลับ ๆ
      ตัวอย่างเช่นเคยมีกรณีอย่าง XKeyscore มาแล้ว
    • แต่โครงการแมนฮัตตันเป็นโครงการอุตสาหกรรมขนาดมหึมาที่ดึงคนอเมริกันสัดส่วนสูงมากเข้ามามีส่วนร่วม
      การระดมทรัพยากรขนาดนั้นคงยากจะได้เห็นอีกครั้ง

  • บทความนี้ทำให้รู้สึกถึง ความสำคัญของการเข้ารหัสแบบสมมาตร อีกครั้ง
    ก่อนที่ PQE จะตั้งหลักได้เต็มที่ ระบบสำคัญบางส่วนสามารถเสริมด้วยคริปโตแบบสมมาตรที่อาศัย pre-shared key (PSK) ได้
    เช่น ถ้าใช้งาน WireGuard VPN ด้วย PSK ถึงจะต้องแจกจ่ายกุญแจแบบแมนนวล แต่ทราฟฟิกที่ถูกดักเก็บไว้ก็จะไร้ความหมาย
    วิธีแบบนี้ขยายระบบไม่ได้ดีนัก แต่เป็น ชั้นความปลอดภัยเชิงปฏิบัติที่ใช้ได้ทันที
    สุดท้าย PQE ยังเป็นทางเลือกที่ดีที่สุด แต่เพราะคณิตศาสตร์และระบบใหม่ยังผ่านการพิสูจน์ไม่มากพอ จึงควรเตรียมรับมือหลายทางควบคู่กันไป

  • ไม่เข้าใจว่าทำไมผู้เขียนถึงยืนยันจะใช้ AES-128
    AES-256 แทบไม่มีต้นทุนเพิ่มและปลอดภัยกว่าต่อการโจมตีแบบ store-now-decrypt-later
    มาตรฐานอุตสาหกรรมก็แนะนำคีย์ 256 บิตอยู่แล้ว จึงแค่ทำตามนั้นก็พอ
    เครื่องมืออย่าง Age ก็ควรใช้ file key 256 บิตเป็นค่าปริยาย

    • แต่ NIST และ BSI ระบุชัดว่า AES-128, 196, 256 ล้วน ปลอดภัยแม้ในยุคหลังควอนตัม
      การมองว่า AES-128 ก็เพียงพอเป็นฉันทามติทั่วไปของวงการ
      ไม่มีสถานการณ์ใดที่ CRQC จะคุกคามคริปโตแบบสมมาตรได้
    • ผู้เขียนก็พูดชัดว่า AES-128 ไม่ได้มีความเสี่ยงในทันที
      หากบังคับย้ายไป 256 ตอนนี้ อาจกลับกลายเป็นการ เบี่ยงความสนใจจากงานย้ายระบบที่สำคัญกว่า

  • แม้ควอนตัมคอมพิวติ้งจะอาศัย entanglement จนดูเหมือนให้ผลลัพธ์เร็วกว่าแสง แต่จริง ๆ แล้ว ไม่ได้ละเมิดกฎฟิสิกส์
    ดังนั้นแทนที่จะมองว่าเป็นเรื่องเพ้อฝัน ควรมองว่าเป็น ความท้าทายทางวิศวกรรมที่ยากมาก มากกว่า