Scusate ma come fate a dire che mentre noi qui stiamo parlando di 10/30 anni qualcuno da qualche parte non ha cominciato a ricavare chiavi private? Personalmente dal momento che si è sollevato il problema, ed è chiaro che un problema c'è, credo che sia necessario giocare d'anticipo (oltre al fatto che sarebbe una grande dimostrazione di serietà)
la cosa divertente è che, mentre prosperano le teorie complottistiche su improbabili computer quantistici segreti in mano all'NSA, proprio dall'NSA arrivano linee guida per una transizione dalla Suite B di algoritmi crittografici ad algoritmi ritenuti "quantum resistant":
https://www.nsa.gov/ia/programs/suiteb_cryptography/Viene menzionato specificamente anche ECDSA, suggerendo di usare la Curva P-384 per dati classificati fino a TOP SECRET. Non so se questo sia sufficiente a dedurre che quello specifico algoritmo, derivato da quello di Shor, sia in grado di attaccare secp256k1 ma invece inefficace con altre curve, purtroppo non ho mai avuto il tempo di approfondire la crittografia ellittica.
Ad ogni modo 1000-1500 qubits, se a qualcuno possono sembrare pochi, in realtà sono e saranno ancora per molti anni qualcosa di fantascientifico: se non ricordo male, l'esperimento funzionante più eclatante sull'algoritmo di Shor è consistito nella fattorizzazione del numero 21