Eine Gruppe von Ingenieurprofessoren und PQC-Hardware-Führungskräften behauptet, einen Quantenalgorithmus entwickelt zu haben, der RSA-2048 in 11 Stunden mit weniger als 5.000 Qubits brechen kann. Ihre Pressemitteilung nennt es eine „Cybersecurity-Apokalypse in 2026.“ SecurityWeek hat es veröffentlicht. Yahoo Finance hat es syndiziert. Quantum Zeitgeist hat darüber berichtet.
Die Behauptung hält einer technischen Prüfung nicht stand. Aber die Episode offenbart etwas Wichtiges darüber, wie die PQC-Migration durch kommerzielle Anreize verzerrt wird.
Was JVG tatsächlich tut
Der JVG-Algorithmus (benannt nach seinen drei Autoren: Jesse Van Griensven Thé, Victor Oliveira Santos und Bahram Gharabaghi) restrukturiert Shors Ganzzahl-Faktorisierungspipeline. Er lagert die modulare Exponentiation — Shors ressourcenintensivste Phase — auf klassische Prozessoren aus und ersetzt die Quanten-Fourier-Transformation (QFT) durch eine Quanten-Number-Theoretic-Transform (QNTT) für die Periodensuche.
Das Paper berichtet Simulationsergebnisse, die etwa 99% Reduktionen bei Gate-Anzahl und Speicherverbrauch gegenüber Basis-Shor-Implementierungen zeigen, und demonstriert die Ausführung auf realer IBM-Quantenhardware. Dies sind messbare Ergebnisse für die getesteten Kompositzahlen.
Die getesteten Kompositzahlen sind 15, 21, 143, 1.363 und 67.297 — alle kleiner als 17 Bit. Die RSA-2048-Projektionen (11 Stunden Laufzeit, weniger als 5.000 Qubits) sind Extrapolationen aus Log-Log-Trendlinien, die an diese fünf Datenpunkte angepasst wurden. Das Paper wurde keinem Peer-Review unterzogen.
Drei ungelöste technische Probleme
1. Die Kosten der Zustandsvorbereitung sind in den Benchmarks nicht enthalten.
Shors Algorithmus führt modulare Exponentiation in Quanten-Superposition durch — das ist die Quelle seines exponentiellen Vorteils. JVG verlagert diesen Schritt auf klassische Berechnung und kodiert die Ergebnisse dann über Amplituden-Kodierung in ein Quantenregister. Das ist ein Tausch von Zeit gegen Daten. Um 2^n klassische Werte in einen Quantenzustand zu kodieren (wobei n = 2048), braucht man einen Kodierungsschaltkreis mit entweder 2^n Tiefe oder 2^n Breite. Für kleine Kompositzahlen ist dieser Aufwand trivial. Für RSA-2048 ist er astronomisch.
Es gibt ein tieferliegendes Problem. Wenn man die modularen Exponentiationsergebnisse für jeden möglichen Exponenten bereits klassisch berechnet hat, hat man nicht nur den Quantenschaltkreis vorbereitet — man hat das Faktorisierungsproblem bereits klassisch gelöst. An diesem Punkt braucht man keinen Quantencomputer. Man braucht eine sehr große Datenbank. Das Paper beginnt seine Quanten-Ressourcen-Benchmarks nach Abschluss der Zustandsvorbereitung und schließt damit den Schritt aus, in dem die eigentlichen Rechenkosten anfallen.
2. Fünf Datenpunkte im Spielzeugmaßstab projizieren nicht auf RSA-2048.
Sub-17-Bit-Kompositzahlen, über Trendlinien auf 2.048-Bit-Schlüssel projiziert, ohne formalen asymptotischen Komplexitätsbeweis. Das Paper beschreibt diese als „indikative Trends“ — ein Vorbehalt, den die Pressemitteilung vollständig weglässt. Rauschskalierung und Fehlerakkumulation in Quantenschaltkreisen verhalten sich nichtlinear, wenn die Schaltkreise tiefer werden. NISQ-Ära-Algorithmen stoßen routinemäßig auf exponentielle Wände bei Skalierung, die Small-Number-Benchmarks nicht offenbaren.
3. Die Zahl „5.000 Qubits“ vermischt logische und physische Qubits.
Die Zahl bezieht sich auf die algorithmische Registerbreite — logische Qubits. Die zuverlässige Ausführung eines tiefen Quantenschaltkreises auf realer Hardware erfordert Quanten-Fehlerkorrektur, die Hunderte bis Tausende physischer Qubits pro logischem Qubit gruppiert. Peer-reviewte Schätzungen für das Brechen von RSA-2048 über Shors Algorithmus reichen von 4 bis 20 Millionen physischer Qubits, abhängig vom Fehlerkorrekturverfahren. Die „5.000“ in der Pressemitteilung übergeht diese Unterscheidung.
Es stellt sich auch die Frage, was die 99%-Gate-Reduktion tatsächlich misst. Das Paper behauptet, QNTT sei „rauschtoleranter“ als QFT, weil es komplexe Rotationen vermeidet. Aber QNTT führt modulare Arithmetik — Multiplizierer und Addierer — innerhalb des Quantenschaltkreises ein. Die Implementierung modularer Arithmetik auf Quantenhardware ist notorisch gate-intensiv. Die berichtete 99%-Reduktion vergleicht wahrscheinlich mathematische Operationen statt der physischen Gate-Implementierungen, die für die Ausführung dieser Operationen auf einem realen Prozessor erforderlich sind. Bei RSA-2048-Skalierung könnten die physischen Gate-Kosten der QNTT-modularen Arithmetik den behaupteten Vorteil verringern oder eliminieren.
Wer diese Behauptungen aufgestellt hat
Prof. Van Griensven Thé ist außerplanmäßiger Professor für Maschinenbau und Mechatronik an der University of Waterloo, wo er Quantencomputing und Künstliche Intelligenz auf Doktorandenniveau unterrichtet. Seine veröffentlichte Forschungskarriere erstreckt sich über Umwelttechnik, Luftqualitätsmodellierung und computergestützte Strömungsmechanik. Er hat ein Springer-Lehrbuch über Quantencomputing und Quanten-Machine-Learning mitverfasst. Er ist außerdem CEO von EigenQ, das Post-Quanten-Kryptographie-Hardware entwickelt und verkauft, und Gründer von TAURIA, einem weiteren PQC-Unternehmen. EigenQ hat Partnerschaften mit HPE und WNC, ist Mitglied des NVIDIA Inception Program und führt derzeit eine Crowdfunding-Kampagne auf Republic durch.
Prof. Gharabaghi ist ordentlicher Professor an der School of Engineering der University of Guelph mit über 250 Veröffentlichungen — vorwiegend in Hydrologie, Wassergütemodellierung und Einzugsgebietsmanagement.
Das „Advanced Quantum Technologies Institute“ — das sich in seiner eigenen Pressemitteilung abwechselnd als „Applied“ bezeichnet — hat eine minimale öffentliche Präsenz. Seine Domain wurde Monate vor dem Erscheinen des Papers registriert, und es taucht nicht in etablierten Quanten-Forschungsverzeichnissen auf. Das Paper wurde nicht auf arXiv veröffentlicht, dem Standard-Preprint-Server für Quantencomputing und Kryptographie. AQTI scheint als interne Marke für die eigene Gruppe der Autoren zu fungieren, nicht als unabhängige Forschungseinrichtung.
Die Autoren haben legitime akademische Affiliationen und eine reale kommerzielle Präsenz in PQC. Sie haben auch ein direktes finanzielles Interesse an der Schlussfolgerung, dass Quantenbedrohungen unmittelbarer sind, als der aktuelle Konsens nahelegt. Dieses Muster hat Präzedenzfälle. Schnorrs Behauptung von 2021, RSA über Gittermethoden gebrochen zu haben, wurde über die Presse verstärkt, bevor die Community stillschweigend fatale Skalierungsfehler identifizierte. Das chinesische QAOA-Faktorisierungspaper von 2022 erzeugte ähnliche Schlagzeilen, bevor unabhängige Analysen zeigten, dass es nicht auf kryptographisch relevante Schlüsselgrößen skalieren konnte. In jedem Fall wurden dramatische Behauptungen aufgestellt, mediale Aufmerksamkeit folgte, und die geduldige Prüfung der Community trennte schließlich Signal von Rauschen.
Die einzige externe Bestätigung
Die einzige externe Stimme, die in der Medienberichterstattung zitiert wird, ist Nir Ben-David, CEO von Qombat Ltd, einem in Israel ansässigen Quanten-Verteidigungsunternehmen, das im selben kommerziellen PQC-Ökosystem wie EigenQ und TAURIA operiert. Unabhängige Kryptographie- oder Quantencomputing-Forscher haben die JVG-Behauptungen zum Zeitpunkt dieser Veröffentlichung nicht öffentlich validiert oder sich damit auseinandergesetzt.
Reaktion der Community
Die Quanten-Sicherheitsforschungsgemeinschaft hat sich nicht engagiert. Kein arXiv-Kommentar, keine Antworten auf Kryptographie-Mailinglisten, keine Arbeitsgruppendiskussion. Marin Ivezic veröffentlichte eine detaillierte technische Widerlegung, die dieselben Zustandsvorbereitungs- und Extrapolationsprobleme identifiziert. Der Hacker-News-Thread ist einhellig skeptisch.
Dieses Schweigen beweist nicht, dass der Algorithmus falsch ist. Es sagt Ihnen, dass die Menschen, die ihre Karriere der Quanten-Faktorisierung widmen, keinen Grund sehen, ihre Modelle zu revidieren.
Zusammenfassung
| Behauptung | Die Realität | Der Haken |
|---|---|---|
| „11 Stunden Laufzeit“ | Zählt nur die Quanten-Periodensuchphase | Schließt die klassische Vorberechnung und Amplituden-Kodierung aus, die für RSA-2048 exponentiell skalieren |
| „5.000 Qubits“ | Bezieht sich auf logische Qubits, nicht auf physische Hardware | Würde immer noch Millionen physischer Qubits benötigen, um Rauschen bei dieser Schaltkreistiefe zu überstehen |
| „99% Gate-Reduktion“ | Beobachtet an Kompositzahlen kleiner als 17 Bit | QNTT-modulare Arithmetik ist auf realer Hardware gate-intensiv; Extrapolation auf 2.048 Bit ohne formalen Beweis |
Was unabhängig davon wahr ist
Algorithmen verbessern sich. Shor ist nicht das letzte Wort zur Quanten-Faktorisierung, und die QNTT-Substitution ist eine reale Idee, die es wert ist, durch ordentliches Peer-Review untersucht zu werden. Regevs Gitterreduktionsarbeit von 2023 zeigt, dass algorithmischer Fortschritt Quanten-Ressourcenanforderungen komprimieren kann — unabhängig von Hardware-Zeitplänen. Die Frage ist immer, ob eine spezifische Behauptung einer unabhängigen Validierung standhält.
Harvest-now-decrypt-later findet heute statt. Staatliche und kriminelle Akteure sammeln verschlüsselte Daten für zukünftige Entschlüsselung. PQC-Migration ist dringend, unabhängig davon, ob JVG oder ein anderer spezifischer Algorithmus reift.
Die empfohlenen Maßnahmen in der Schlussfolgerung des Papers — Public-Key-Nutzung inventarisieren, PQC-Roadmaps von Anbietern einfordern, krypto-agile Architekturen einsetzen — sind vernünftig. Sie sind vernünftig, seit NIST seinen PQC-Standardisierungsprozess begann. Dass der Rat korrekt ist, validiert nicht den damit verbundenen Alarm.
Die Kosten künstlicher Dringlichkeit
Jede künstlich erzeugte Krise untergräbt die Glaubwürdigkeit, die die PQC-Migration tatsächlich braucht. Ein Paper, das kein Peer-Review überstanden hat, herausgegeben von einem Institut, das vor sechs Monaten nicht existierte, verfasst von Führungskräften, die PQC-Hardware verkaufen, das eine „Cybersecurity-Apokalypse“ behauptet — so wird legitime Dringlichkeit in Hintergrundrauschen verwandelt.
Die Quantenbedrohung für klassische Kryptographie ist real. CNSA-2.0-Zeitpläne sind real: Software- und Firmware-Signaturen bis 2027, die meisten Systeme bis 2030, vollständige Abschaffung legacy Algorithmen bis 2035. BSI-TR-02102-Anforderungen sind real. Die Roadmap der G7 Cyber Expert Group ist real. Diese Fristen wurden von Leuten gesetzt, die keine PQC-Produkte zu verkaufen haben.
Die Frage, die zählt, ist nicht, ob RSA irgendwann fallen wird. Das wird es. Die Frage ist, ob Ihre Organisation messbaren Fortschritt bei der Ablösung macht — und ob dieser Fortschritt mit den veröffentlichten Fristen Schritt hält. Das ist ein Trajektorienproblem, kein Schlagzeilenproblem. Trajektorie ist das, was Sie messen sollten.