几年前，谷歌和瑞典皇家理工学院(KTH Royal Institute of Technology)的研究人员估计，一台由2000万个量子比特(qubit)组成的量子计算机需要大约8个小时才能破解目前的2048位RSA安全算法。目前最先进的机器远不及这个尺寸:迄今为止最大的量子计算机是由IBM制造的，去年首次亮相，拥有433个量子比特。

　　网络安全公司Keyfactor的联合创始人、计算机科学家泰德?肖特(Ted Shorter)表示，RSA是否会立即面临量子攻击的风险，在很大程度上取决于你问的是谁。他看到了研究加密数学的理论家和从事实现工作的密码学家之间的文化鸿沟。

　　对一些人来说，末日似乎就在眼前。肖特说:“如果你和理论计算机科学家交谈，他们会说，是的，RSA完蛋了，因为他们能想象得到。”他补充说，对他们来说，肖尔算法的存在意味着我们所知道的加密技术的终结。

　　许多正在实施现实世界安全系统的密码学家对量子未来的担忧，要少于对当今最聪明的黑客的担忧。毕竟，几千年来人们一直在尝试有效地分解因子，而现在唯一已知的方法需要一台不存在的计算机。

　　比利时鲁汶大学(KU Leuven)的密码学家托马斯·德克鲁(Thomas Decru)表示，必须认真对待量子威胁，但很难知道RSA是否会在五年或更长时间内落入量子计算机之手，或者永远不会。“只要量子计算机还不存在，你所说的关于它们的一切在某种程度上都是推测，”他说。帕斯对这种威胁更加确定:“可以肯定地说，这种量子算法的存在意味着问题存在漏洞，对吗?”

　　但我们必须为任何事情做好准备，管理NIST加密技术小组并致力于制定后量子加密标准的数学家Lily Chen说。无论未来3年还是30年，量子计算机都即将问世，RSA、Diffie-Hellman和其他加密方案可能会变得脆弱。

　　找到一个抗量子的加密方案并不容易。过去30年，网络安全领域没有一个难以计算的数学问题，就像一场越来越复杂的游戏，研究人员不断地构建和突破——或者试图突破——新的候选对象。

　　这种推拉已经在NIST的后量子项目中出现了。2022年2月，密码学家在Rainbow中发现了一个致命的漏洞，这个算法在NIST的三轮分析中幸存了下来。几个月后，在NIST的名单再次筛选之后，Decru和他在鲁汶大学的同事Wouter Castryck宣布，他们破解了另一个入围的算法，一个名为SIKE的算法。