क्वांटम कंप्यूटिंग टाइमलाइन पर एक क्रिप्टोग्राफी इंजीनियर का नज़रिया

 (words.filippo.io)
6 पॉइंट द्वारा GN⁺ 2026-04-07 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • हालिया शोध परिणामों के कारण क्रिप्टोग्राफिक रूप से सार्थक क्वांटम कंप्यूटर (CRQC) के कुछ ही वर्षों में सामने आने की संभावना बढ़ गई है, जिससे पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) की तैनाती की तात्कालिकता तेज़ी से बढ़ गई है
  • Google और Oratomic के शोध से 256-बिट elliptic curve पर हमले के लिए आवश्यक संसाधनों में कमी दिखती है, जो हार्डवेयर और एल्गोरिद्मिक दक्षता में तेज़ सुधार की प्रवृत्ति की पुष्टि करती है
  • विशेषज्ञ 2029 को PQC migration की अंतिम समयसीमा बता रहे हैं और चेतावनी दे रहे हैं कि अब हम “इंकार न किए जा सकने वाले खतरे के चरण” में प्रवेश कर चुके हैं
  • जवाबी उपाय के तौर पर ML-DSA और ML-KEM को तुरंत अपनाने, गैर-PQ प्रणालियों को चरणबद्ध तरीके से हटाने, और हाइब्रिड authentication को बाहर रखने का प्रस्ताव है
  • निष्कर्षतः, CRQC अब केवल एक परिकल्पना नहीं बल्कि वास्तविक जोखिम है, और 2029 से पहले पूर्ण PQC transition अनिवार्य है

क्वांटम कंप्यूटिंग टाइमलाइन पर एक क्रिप्टोग्राफी इंजीनियर का नज़रिया

  • हाल के समय में पोस्ट-क्वांटम क्रिप्टोग्राफी (PQC) की तैनाती की तात्कालिकता तेज़ी से बढ़ गई है
    • कुछ ही महीने पहले तक यह माना जा रहा था कि अभी समय है, लेकिन हालिया शोध परिणामों ने स्थिति को तेज़ी से बदल दिया है
    • संकेत मिल रहे हैं कि क्रिप्टोग्राफिक रूप से सार्थक क्वांटम कंप्यूटर (CRQC) के आने की संभावना अब कुछ वर्षों के भीतर सिमट गई है

हाल ही में प्रकाशित दो शोध परिणाम

  • Google research team ने 256-बिट elliptic curve (NIST P-256, secp256k1 आदि) को तोड़ने के लिए आवश्यक logical qubits और gate count को काफी कम करने वाला शोधपत्र प्रकाशित किया
    • superconducting qubit आधारित तेज़ clock architecture में कुछ ही मिनटों में हमला संभव होने का अनुमान दिया गया है
    • शोधपत्र भले ही cryptocurrency संदर्भ में लिखा गया हो, लेकिन वास्तव में इसका WebPKI man-in-the-middle attack के लिए और भी गंभीर अर्थ है
  • Oratomic research team ने non-local connectivity वाले neutral atom system में सिर्फ 10,000 physical qubits से 256-बिट elliptic curve तोड़ने का परिदृश्य प्रस्तुत किया
    • गति धीमी है, लेकिन यदि महीने में एक बार भी key टूट सके तो विनाशकारी परिणाम हो सकते हैं
  • दोनों शोधों में हार्डवेयर प्रदर्शन में सुधार, एल्गोरिद्मिक दक्षता में वृद्धि, और error correction की आवश्यकता में कमी जैसी समान प्रवृत्तियाँ दिखती हैं

विशेषज्ञों की चेतावनी और समयसीमा में बदलाव

  • Google की Heather Adkins और Sophie Schmieg ने कहा कि “क्वांटम सीमा हमारी अपेक्षा से कहीं अधिक निकट है” और 2029 को migration की अंतिम समयसीमा के रूप में रखा
    • यह केवल 33 महीने दूर की समयसीमा है, और अब तक सामने आई सबसे आक्रामक समयरेखा है
  • Scott Aaronson ने इसकी तुलना “1939~1940 में उस समय से” की जब नाभिकीय विखंडन पर शोध सार्वजनिक रूप से रुक गया था, और गैर-प्रकाशित क्रांतिकारी प्रगति की संभावना को लेकर चेतावनी दी
  • RWPQC 2026 में प्रस्तुत समयरेखा भी कुछ ही हफ्तों में पुरानी पड़ गई, और “क्वांटम कंप्यूटर हमेशा 10 साल दूर हैं” वाला मज़ाक अब लागू नहीं होता
  • विशेषज्ञों का साझा संदेश यह है कि “अब हम ऐसे खतरे के चरण में हैं जिसे नकारा नहीं जा सकता

जोखिम की समझ और प्रतिक्रिया की आवश्यकता

  • मूल प्रश्न यह नहीं है कि “क्या 2030 तक CRQC मौजूद होगा?” बल्कि यह है कि “क्या आपको पूरा भरोसा है कि 2030 तक CRQC मौजूद नहीं होगा?
    • उपयोगकर्ता सुरक्षा की ज़िम्मेदारी वाले दृष्टिकोण से, 1% से कम संभावना को भी नज़रअंदाज़ नहीं किया जा सकता
  • “अभी बहुत समय है” जैसी शंकाएँ विशेषज्ञता की कमी का संकेत मानी जा रही हैं
    • Scott Aaronson ने कहा कि क्वांटम fault tolerance को समझने के बाद “आप 35 को कब factor करेंगे?” पूछना वैसा है जैसे 1943 के Manhattan Project के भौतिकशास्त्री से पूछना कि “आप छोटा परमाणु विस्फोट कब बनाएँगे?”
  • अनुमान गलत भी हो सकते हैं, लेकिन अब गलत होने की संभावना से अधिक सही होने की संभावना महत्वपूर्ण है, और वर्तमान जोखिम अस्वीकार्य स्तर पर पहुँच चुका है

अभी क्या करना चाहिए

  • तुरंत तैनाती (Ship Now) की ज़रूरत है
    • पूर्णता का इंतज़ार किए बिना अभी उपलब्ध PQC को तुरंत अपनाना चाहिए
    • ML-DSA signatures को मौजूदा ECDSA की जगह लागू किया जाना चाहिए, और WebPKI के लिए Merkle Tree Certificates पर काम पहले से काफ़ी आगे बढ़ चुका है
  • पहले यह माना जाता था कि “protocol को signature size के अनुसार समायोजित करने का समय है”, लेकिन 2029 की deadline के साथ अब कोई गुंजाइश नहीं बची है

key exchange और authentication प्रणाली का transition

  • ML-KEM आधारित PQ key exchange सुचारु रूप से आगे बढ़ रहा है, लेकिन आगे ये कदम आवश्यक हैं
    1. गैर-PQ key exchange को तुरंत active attack risk माना जाए, और OpenSSH की तरह उपयोगकर्ताओं को चेतावनी दी जाए
    2. non-interactive key exchange (NIKE) को फिलहाल छोड़ दिया जाए, और केवल KEM-आधारित one-way authentication का उपयोग किया जाए

  • नई गैर-PQ क्रिप्टो प्रणालियों की तैनाती पर रोक

    • ECDSA, pairings, ID-based cryptography आदि अब व्यावहारिक नहीं हैं
    • hybrid authentication (classic+PQ) अनावश्यक है, और शुद्ध ML-DSA-44 पर जाना चाहिए
    • hybrid signatures जटिलता और समय की बर्बादी हैं, और ML-DSA के पारंपरिक रूप से टूटने की संभावना, CRQC के आने की संभावना से कम है
    • हालांकि, जिन protocols में पहले से multi-signature संरचना समर्थित है, वहाँ अपवादस्वरूप “2-of-2” शैली की सरल hybrid signature संभव है

symmetric cryptography और Grover algorithm

  • symmetric cryptography में बदलाव की आवश्यकता नहीं

    • Grover algorithm की अतिसरलीकृत व्याख्या के कारण “256-बिट key चाहिए” जैसी गलतफहमी मौजूद है
    • वास्तविकता में 128-बिट key भी पर्याप्त है, क्योंकि Grover का quantum speedup parallelize नहीं किया जा सकता
    • अनावश्यक 256-बिट मांग interoperability को नुकसान पहुँचा सकती है और PQC transition में देरी कर सकती है

software और hardware ecosystem पर प्रभाव

  • Go standard library का आधे से अधिक हिस्सा जल्द ही असुरक्षित स्थिति में पहुँच सकता है
    • downgrade attacks और backward compatibility के बीच संतुलन नई चुनौती बनेगा
    • SHA-1 → SHA-256 transition की तुलना में कहीं अधिक बड़ा व्यवधान अपेक्षित है

  • TEE (trusted execution environment) — Intel SGX, AMD SEV-SNP आदि PQ keys के समर्थन के बिना भरोसेमंद नहीं

    • हार्डवेयर स्तर की गति सीमाओं के कारण PQ transition संभव नहीं, इसलिए इन्हें “defense in depth” स्तर तक सीमित करना होगा

cryptography-आधारित ecosystem और file encryption

  • cryptography-आधारित identity systems** (जैसे atproto, cryptocurrency आदि) में** तुरंत migration शुरू करना होगा

    • यदि CRQC के आने से पहले migration पूरा नहीं हुआ, तो उपयोगकर्ता समझौते या account retirement में से एक चुनना पड़ सकता है
    • file encryption “store-now-decrypt-later” हमलों के प्रति विशेष रूप से संवेदनशील है
    • गैर-PQ age recipient types के लिए चेतावनी और block फीचर जोड़े जाने की योजना है
    • PQ recipients पहली बार age 1.3.0 version में जोड़े गए थे

शिक्षा और पीढ़ीगत बदलाव

  • Bologna University के cryptography PhD course में RSA, ECDSA, ECDH को केवल legacy algorithms के रूप में पढ़ाया जाता है
    • छात्र अपने वास्तविक करियर में इन्हें “पुरानी तकनीक” के रूप में ही देखेंगे
    • यह PQC transition के पीढ़ीगत turning point को दर्शाता है

प्रायोजन और open source रखरखाव

  • Geomys Go ecosystem के लिए एक विशेष maintenance organization है, जिसे Ava Labs, Teleport, Tailscale, और Sentry का समर्थन प्राप्त है
    • ये संगठन open source cryptographic protocols के स्थायी रखरखाव और सुरक्षा सुनिश्चित करने में मदद करते हैं
    • Teleport user account takeover और phishing से बचाव के लिए access control को मजबूत करने पर ज़ोर देता है, जबकि Ava Labs blockchain cryptographic protocols की दीर्घकालिक विश्वसनीयता पर बल देता है

निष्कर्ष

  • CRQC के उभरने की संभावना अब मात्र परिकल्पना नहीं, बल्कि वास्तविक जोखिम है
  • 2029 से पहले पूर्ण PQC transition अनिवार्य है
  • ML-KEM और ML-DSA को तुरंत तैनात करना होगा, और गैर-PQ प्रणालियों को चरणबद्ध तरीके से हटाना होगा
  • क्रिप्टोग्राफी practitioners और decision-makers दोनों के लिए अब कार्रवाई का समय है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-04-07
Hacker News की राय

  • अगर quantum computer के व्यावहारिक होने का समय करीब आ रहा है, तो FIPS 203(ML-KEM) को TLS या SSH जैसे protocol के session key exchange में प्राथमिकता से लागू करना चाहिए
    ML-KEM मौजूदा Diffie-Hellman (classical और elliptic-curve दोनों) को replace करने वाला है
    इसे इस्तेमाल न करने पर हमलावर अभी data store करके बाद में उसे decrypt कर सकते हैं
    दूसरी ओर, certificate या digital signature को अतीत में जाकर forge नहीं किया जा सकता, इसलिए उनकी urgency कम है
    लेकिन कानूनी प्रभाव वाले digital document जैसे मामलों में, जहाँ forgery मायने रखती है, future-safe signature scheme की ज़रूरत होती है
    OpenSSH, OpenSSL जैसी प्रमुख libraries पहले से ML-KEM support करती हैं, इसलिए authentication system बदले बिना भी personal server स्तर पर इसे आसानी से लागू किया जा सकता है

    • पिछले साल तक मेरी भी यही राय थी और industry में साझा सहमति भी यही थी
      लेकिन timeline 2035 की जगह 2029 तक आगे आ सकती है, इसलिए authentication system migration भी साथ-साथ शुरू करने का समय आ गया है
      ML-KEM deployment पहले से अच्छी तरह चल रहा है, लेकिन अब non-quantum key exchange को संभावित risk माना जाना चाहिए
      यानी, अगर कोई data 3 साल से ज़्यादा समय तक stored रहता है, तो उसे warning level पर देखना चाहिए
    • अहम बात यह है कि मौजूदा Diffie-Hellman को पूरी तरह replace न किया जाए, बल्कि hybrid key exchange के साथ parallel चलाया जाए
      इससे हमला करने के लिए classical cryptography और quantum-resistant cryptography दोनों को तोड़ना पड़ेगा
      ML-KEM भी एक नया algorithm है, इसलिए इसके टूटने का risk है; इसी वजह से hybrid एक व्यावहारिक defense है
      Dan Bernstein(djb) जैसे experts भी ज़ोर देकर कहते हैं कि hybrid न चुनना गैर-जिम्मेदाराना फैसला है
    • वास्तव में legal documents या cryptographic timestamp पहले से RSA या EC आधारित signature से sign किए जाते हैं
      ऐसे मामलों में future forgery रोकने के लिए quantum-resistant signature पर migrate करने की ज़रूरत है

  • यह चर्चा कुछ non-linear लगती है
    RSA के मामले में 8-bit, 64-bit, 256-bit तक difficulty धीरे-धीरे बढ़ी थी, लेकिन quantum computer ने पिछले 10 सालों में RSA या EC पर कोई प्रगति नहीं दिखाई है
    ऐसे में अचानक यह कहना कि कुछ ही सालों में सारी public-key cryptography टूट जाएगी, अजीब लगता है
    कम से कम lab में RSA-256 टूटते हुए देखने से पहले जल्दबाज़ी में निष्कर्ष निकालना मुश्किल है

    • Bas Westerbaan की पोस्ट और Scott Aaronson की टिप्पणी देखें, तो असली मुद्दा error correction है
      यह संभव होते ही 32-bit RSA से 2048-bit RSA तक जाना कोई बड़ा फर्क नहीं रह जाता
      जैसे nuclear chain reaction एक बार self-sustaining हो जाए, तो bomb का size बढ़ाना उतना कठिन नहीं रहता
      experts इसी वजह से timeline को तेज मान रहे हैं
    • वास्तव में पिछले 10 सालों में gate accuracy और qubit count कई गुना बढ़े हैं, और error correction efficiency भी तेज़ी से सुधरी है
      पिछले 4 सालों में इस क्षेत्र की प्रगति विस्फोटक रही है
    • इस लेख का मुख्य बिंदु यह है कि public-key exchange risk में है, न कि उसके बाद होने वाली symmetric encryption खुद risk में है
    • संदर्भ के लिए, अब तक quantum computer से factor की गई सबसे बड़ी संख्या 21 है

  • मुझे यह एक अच्छा लेख लगा
    HPKE hybrid recipient standardization में CFRG की देरी के कारण 2 साल लग गए, यह बात खास लगी
    IETF को इस तरह की process problem पर अंदरूनी समीक्षा करनी चाहिए

    • लेख में दिया गया anti-hybrid तर्क मुझे गलत लगता है
      भले ही CRQC अभी मौजूद हो, hybrid algorithm attack cost को कम से कम 10 लाख डॉलर के स्तर तक बढ़ा देता है
      यह देखते हुए कि PQC round 3 के कुछ candidates laptop पर भी तोड़े जा सकते थे, यह कहीं बेहतर विकल्प है
    • हाल की CRFG meeting में आपको न देखकर अफ़सोस हुआ

  • इस लेख की वजह से “quantum computer अभी बहुत दूर हैं और RSA ठीक है” वाली मेरी राय थोड़ी बदली है
    skeptical लोगों के लिए भी risk को यथार्थवादी तरीके से समझाने के लिए धन्यवाद

    • Scott Aaronson की बात खास तौर पर प्रभावशाली लगी
      “अगर आप quantum fault tolerance को समझते हैं, तो ‘35 को कब factor करेंगे?’ पूछना 1943 के Manhattan Project के scientist से ‘छोटा nuclear blast कब बना लोगे?’ पूछने जैसा है” — इस उपमा ने मेरी सोच पूरी तरह बदल दी

  • hybrid key को छोड़ देने की दलील खतरनाक है
    नए algorithms अभी real-world validation से पूरी तरह नहीं गुज़रे हैं, इसलिए एक साधारण flaw भी बड़े पैमाने पर नुकसान कर सकता है

  • quantum computing का इस्तेमाल LLM training को तेज़ करने में भी हो सकता है, इसलिए Google का इसमें निवेश करना समझदारी है
    Google और SoftBank ने पिछले साल 230 million dollar निवेश किए थे, और Microsoft·IBM·Google ने पिछले 20 सालों में कुल 15 billion dollar खर्च किए हैं
    लेकिन Google का annual data center investment 150 billion dollar है, इसे देखें तो यह अब भी practical adoption दूर होने का संकेत भी हो सकता है

  • यह पूरी संभावना है कि सरकारें cryptography तोड़ने वाले supercomputer पर काम कर रही हों
    Manhattan Project की तरह, सिद्धांत पहले से जाना हुआ है और अब केवल engineering problems बची हैं
    सरकारें funding जुटाने में सक्षम होती हैं, इसलिए संभव है कि इस पर वास्तव में काम चल रहा हो

    • उस समय uranium bomb(Little Boy) की रचना इतनी सरल थी कि परीक्षण के बिना भी सफलता का भरोसा था
      जबकि plutonium bomb(Fat Man) कहीं अधिक जटिल था, लेकिन ज़्यादा कुशल था और nuclear missile technology की बुनियाद बना
      Little Boy, Fat Man के design आज भी रोचक लगते हैं
    • quantum computer ultimate zero-day जैसा है
      यह ऐसी technology है जिसे अभी तुरंत इस्तेमाल नहीं किया जाता, बल्कि निर्णायक क्षण के लिए बचाकर रखा जाता है
    • यह मानना कठिन है कि सरकारें चुपचाप ऐसी technology विकसित नहीं कर रहीं
      उदाहरण के लिए XKeyscore जैसा मामला पहले से मौजूद है
    • हालाँकि Manhattan Project अमेरिका की आबादी के बड़े हिस्से को शामिल करने वाला एक विशाल industrial project था
      इतनी बड़ी स्तर की mobilization शायद फिर देखने को न मिले

  • यह पढ़कर symmetric encryption के महत्व का एहसास फिर से हुआ
    जब तक PQE पूरी तरह स्थापित नहीं हो जाता, कुछ महत्वपूर्ण systems में pre-shared key(PSK) आधारित symmetric cryptography से पूरक सुरक्षा दी जा सकती है
    उदाहरण के लिए, अगर WireGuard VPN को PSK के साथ चलाया जाए, तो key manually distribute करनी पड़ेगी, लेकिन capture किया गया traffic बेकार हो जाएगा
    यह approach scalable नहीं है, लेकिन तुरंत लागू की जा सकने वाली यथार्थवादी security layer बन सकती है
    अंततः PQE सबसे अच्छा रास्ता है, लेकिन नई mathematics और systems अभी कम verify हुए हैं, इसलिए parallel तैयारी ज़रूरी है

  • समझ नहीं आता कि लेखक AES-128 पर इतना ज़ोर क्यों दे रहा है
    AES-256 की cost में लगभग कोई फर्क नहीं है, और यह store-now-decrypt-later attack के खिलाफ भी ज़्यादा सुरक्षित है
    industry standard 256-bit key recommend करता है, इसलिए वही follow करना चाहिए
    Age जैसे tools को भी default में 256-bit file key इस्तेमाल करनी चाहिए

    • लेकिन NIST और BSI साफ़ कहते हैं कि AES-128, 196, 256 तीनों post-quantum के बाद भी सुरक्षित हैं
      AES-128 पर्याप्त है, यही industry की सामान्य सहमति है
      ऐसा कोई scenario मौजूद नहीं है जिसमें CRQC symmetric cryptography को खतरे में डाल दे
    • लेखक ने साफ़ कहा है कि AES-128 अभी तत्काल जोखिम में नहीं है
      256 पर ज़बरदस्ती migration कराने से उल्टा वास्तव में महत्वपूर्ण migration work से ध्यान भटक सकता है

  • quantum computing entanglement पर आधारित होने की वजह से ऐसा लग सकता है कि यह प्रकाश से तेज़ प्रभाव पैदा करता है, लेकिन वास्तव में यह भौतिकी के नियमों का उल्लंघन नहीं करता
    इसलिए इसे science fiction से ज़्यादा, एक बेहद कठिन engineering challenge के रूप में देखना सही है