Ein Quantum-AI-Postdoc in Berlin (Doktorand, spezialisiert auf theoretische Mathematik für Fehlerkorrektur) sagte mir bei einem Kaffee, es gebe keine Möglichkeit, dass Shors Algorithmus vor 2035 Kryptographie bricht. Er sagte, die Physiker, die er kennt und die daran arbeiten, bräuchten noch erhebliche Zeit, um die Dinge zu verstehen, und könnten daher nicht einmal Zeitlinien angeben. Ingenieure können nicht bauen, was Physiker noch nicht gelöst haben.
Dann zeigte ich ihm die Scanner-Ausgabe von pqprobe. Er sagte, er wisse nicht, was TLS ist, oder warum 1.0 schwach ist.
Die Lücke
Das ist kein Gotcha-Post. Seine Referenzen sind echt und beeindruckend. Fehlerkorrekturmathematik für Quantencomputing ist wirklich schwierig, wirklich wichtige Arbeit, und er versteht sein Fach eindeutig. Aber ein Forscher, der selbstbewusst genug ist zu sagen, Shors Algorithmus sei noch weit weg — der aber nicht weiß, für welches Protokoll er ankommt — trifft eine Risikoaussage mit nur einigen der Variablen. Er kennt den geschätzten Zeitplan der Waffe. Er kennt nicht die Angriffsfläche, nicht die Zeit, die es braucht, diese Fläche zu härten, und nicht die Akteure, die bereits heute Daten leaken, um sie später zu entschlüsseln.
TLS ist das Protokoll, über das Ihr Browser, Ihr E-Mail-Server, Ihre Datenbank, Ihr VPN und Ihr Zahlungssystem Verschlüsselung aushandeln. TLS 1.0, seit 2021 offiziell veraltet, läuft immer noch auf Produktionsinfrastruktur bei Fortune-500-Unternehmen. Der Abstand zwischen „Ich weiß, wann Shors Algorithmus kommt“ und „Ich weiß nicht, was Shors Algorithmus trifft“ ist der Abstand zwischen theoretischer Physik und operativer Sicherheit. Beides sind valide Disziplinen. Nur eine davon entscheidet, ob Ihre Organisation bereit ist.
Googles eigene Zahlen
Die „noch sehr langer Weg“-Darstellung des Postdocs passt nicht zur Entwicklung der Forschung des Fachgebiets selbst. Craig Gidney bei Google Quantum AI veröffentlichte eine aktualisierte Analyse, die zeigt, dass RSA-2048 in weniger als einer Woche mit weniger als einer Million verrauschter Qubits gebrochen werden könnte. Das ist eine Reduktion um 95% gegenüber seiner eigenen Schätzung von 2019 mit 20 Millionen Qubits. Der Ressourcenbedarf ist in diesen sechs Jahren nicht schrittweise gesunken. Er ist kollabiert.
Im Februar 2026 veröffentlichte Iceberg Quantum ihre Pinnacle Architecture mit der Behauptung, weniger als 100.000 physische Qubits könnten RSA-2048 faktorisieren — unter Verwendung von Quanten-LDPC-Codes anstelle von Surface Codes. Eine weitere Größenordnung unter Gidneys bereits reduzierter Schätzung. Das sind keine Randbehauptungen — es sind peer-reviewte Architekturvorschläge unter realistischen Fehlerannahmen, mit Fehlerraten, die führende Hardware-Plattformen bereits erreichen.
Die Millionen-Qubit-Zahl des Postdocs ist bereits veraltet.
Die Hardware konvergiert auf 2029
Der Postdoc beschrieb das Tempo als langsam. Die öffentlichen Roadmaps sagen etwas anderes.
IBMs Quanten-Roadmap zielt mit Starling auf 2029: 200 logische Qubits, 100 Millionen Quantengatter, untergebracht in einem neuen Rechenzentrum in Poughkeepsie, New York. Bis 2033 skaliert Bluejay auf 2.000 logische Qubits und eine Milliarde Gatter — Spezifikationen, die über das hinausgehen, was aktuelle Schätzungen für Kryptoanalyse benötigen. IBMs eigene Formulierung: „Es ist jetzt eine Frage der Ingenieurskunst, nicht der Wissenschaft.“
Quantinuums Apollo-System, ebenfalls auf 2029 ausgerichtet, soll der erste universelle, vollständig fehlertolerante Quantencomputer werden. Sie haben die niedrigsten Fehlerraten der Branche demonstriert und den vollständigen fehlertoleranten Gattersatz abgeschlossen — was das Feld als „die letzte große Hürde“ bezeichnet. DARPA wählte Quantinuum für seine Quantum Benchmarking Initiative, mit einem konkreten Pfad zu nutzbarem Quantencomputing bis 2033.
Google selbst hat die ersten zwei Meilensteine seiner eigenen Sechs-Meilenstein-Roadmap abgeschlossen: überklassische Berechnung 2019 und fehlerkorrigierter Qubit-Prototyp 2023. Mit Willow 2024 überschritten sie die Schwelle zur Fehlerkorrektur unterhalb des Schwellenwerts — den Punkt, an dem das Hinzufügen weiterer Qubits Fehler reduziert statt verstärkt. Das ist präzise der Übergang von Physik zu Ingenieurskunst, von dem der Postdoc sagte, er sei noch nicht eingetreten. Er ist bereits eingetreten.
Microsoft und Atom Computing planen, 2026 einen fehlerkorrigierten Quantencomputer nach Dänemark zu liefern. QuEra liefert fehlerkorrekturbereite Hardware an Japans AIST. Ein Artikel in Science im Januar 2026 beschrieb den aktuellen Moment als den „Transistor-Moment“ des Quantencomputings — funktionale Systeme existieren und Skalierung ist jetzt eine Ingenieurherausforderung.
Drei Unternehmen mit Zieldatum 2029 für Fehlertoleranz. Mehrere unabhängige Teams bestätigen, dass Fehlerkorrektur funktioniert. Nature berichtet von einem „Stimmungswandel“ unter Forschern hin zu nutzbaren Quantencomputern innerhalb eines Jahrzehnts, nicht mehrerer Jahrzehnte. Die Sicht von der Theoriebank und die Sicht von der Hardware-Roadmap divergieren schnell.
Shors Algorithmus ist nicht das einzige Bedrohungsmodell
Selbst wenn der Postdoc genau recht hat — selbst wenn voller Shor auf echter Hardware nicht vor 2035 kommt — begrenzt diese Zuversicht nicht die tatsächliche Angriffsfläche.
Shors Algorithmus stammt von 1994. Er ist die kanonische Quantenbedrohung für Public-Key-Kryptographie, aber nicht die einzig mögliche. Hybride quantenklassische Ansätze werden ständig verfeinert. Das Shanghai-Faktorisierungspapier und der JVG-Algorithmus von Anfang dieses Monats hielten beide der Überprüfung nicht stand, aber die Forschungsrichtung — Berechnung auf klassische Systeme auslagern und Quantenhardware für einen engeren Schritt nutzen — produziert weiterhin neue Vorschläge.
Die Ressourcenschätzungen selbst sind der deutlichste Beweis gegen Zuversicht bei festen Daten. Vor sechs Jahren lag die Zahl bei 20 Millionen Qubits. Heute liegt sie unter einer Million, möglicherweise unter 100.000 mit neueren Architekturen. Ein Forscher, der behauptet „keine Möglichkeit vor 2035“, behauptet Stabilität in einer Variable, die in der Zeit um 95% gefallen ist, die er für seinen Postdoc gebraucht hat.
Und dann gibt es die geheime Dimension. Die NSA hat CNSA-2.0-Fristen gesetzt, die Post-Quanten-Kryptographie in neuen Produkten der nationalen Sicherheit bis 2027 verlangen, mit RSA-Abschaffung bis 2030 und RSA-Verbot bis 2035. Die G7 Cyber Expert Group identifizierte 2035 als Abschlussziel, mit Priorisierung kritischer Systeme für 2030–2032. Die Europäische Kommission setzte Meilensteine bis 2035. Australien zielt auf 2030 für die RSA-Abschaffung.
Das sind keine Daten, die von Optimisten oder Anbietern gesetzt werden. Sie werden von Behörden mit geheimen Erkenntnissen über gegnerische Fähigkeiten gesetzt. Wenn die NSA der Verteidigungsindustrie sagt, bis 2030 auf RSA zu verzichten, verschwenden sie entweder Steuergelder für eine verfrühte Migration oder sie wissen etwas. Die Sicht des Postdocs spiegelt eine Bank in einem Labor wider. Die Fristen spiegeln Fort Meade, Canberra, Brüssel und Bonn wider.
Der limitierende Faktor ist nicht Shors Algorithmus
Das Wichtigste, was die Darstellung des Postdocs übersieht: Selbst wenn er recht hat, ändert sich die operative Schlussfolgerung nicht.
Die Harvest-Now-Decrypt-Later-Bedrohung erfordert keinen kryptoanalytisch relevanten Quantencomputer, der heute existiert. Sie erfordert, dass Angreifer verschlüsselten Datenverkehr jetzt sammeln und speichern, bis sie ihn später entschlüsseln können. Die Frage ist nicht, wann Shors Algorithmus läuft. Die Frage ist, ob die Haltbarkeit Ihrer Geheimnisse die Zeit übersteigt, bis Entschlüsselung möglich wird, abzüglich der Zeit, die Ihre Organisation für die Migration braucht.
Großangelegte kryptographische Migrationen dauern bei komplexen Unternehmen fünf bis zehn Jahre. Organisationen, die heute beginnen, erfüllen die 2035-Frist bei den konservativsten Schätzungen gerade noch.
Wenn Ihre Daten ein Jahrzehnt lang vertraulich bleiben müssen — Finanzdaten, Gesundheitsdaten, geheime Kommunikation, geistiges Eigentum — und die Migration fünf bis zehn Jahre dauert, sind Sie bei jedem glaubwürdigen Zeitplan bereits im Rückstand.
Das misst pqprobe. Nicht ob Shors Algorithmus heute läuft, sondern ob Ihre Organisation messbaren Fortschritt bei der Migration macht — Verbesserung, Verschlechterung, Stabilität oder Oszillation gegen die Fristen, die von Behörden mit geheimen Bedrohungseinschätzungen gesetzt wurden. Die Zuversicht des Postdocs, wann die Flut kommt, ist eine Physikfrage. Ob Ihre Mauern schnell genug hochgezogen werden, ist eine Ingenieur- und Organisationsfrage. Das ist die Frage, die zählt.
Der Turing Award weiß es
Am 18. März 2026 — diese Woche — ging der A.M. Turing Award an Charles Bennett und Gilles Brassard für ihre Arbeit von 1984 zur Quantenschlüsselverteilung. BB84, das Protokoll, das sie erfunden haben, wurde entwickelt, um genau gegen die Bedrohung zu schützen, die Quantencomputing für klassische Kryptographie darstellt. Sie bauten die Verteidigung, bevor die Waffe existierte.
Das Timing ist bezeichnend. Die höchste Auszeichnung der Informatik, verliehen für Arbeit, die die Quantenbedrohung vor 42 Jahren vorwegnahm, im selben Monat, in dem Ressourcenschätzungen für Quantenfaktorisierung um eine weitere Größenordnung fallen und drei Unternehmen öffentlich auf fehlertolerante Maschinen bis 2029 konvergieren.
Bennett und Brassard warteten nicht, bis der Quantencomputer existierte, um die Gegenmaßnahme zu entwickeln. Sie zogen die Mauern hoch, bevor die Flut kam. Der Postdoc stimmte mir in diesem Punkt zu — die Migration sollte unabhängig vom Vertrauen in Zeitlinien stattfinden. Was seine Behauptung eines festen Datums operativ irrelevant macht. Ob Shors Algorithmus 2032 oder 2038 kommt — die Mauern werden jetzt hochgezogen.
Die Frage ist, welche Organisationen ihren Fortschritt messen.
Das beantwortet pqprobe.