Рамблер
Все новости
Чемпионат мира по футболу 2026Личный опытНовости путешествийРынкиЛюдиИсторииБезумный мирБиатлонВ миреПриродаПрофессииПорядокЗОЖВоспитаниеЧто делать, еслиГаджетыМузыкаФинансовая грамотностьФильмы и сериалыНовости МосквыСтиль жизниНоутбуки и ПКГосуслугиПитомцыБолезниОтношенияКиноКредитыОтдых в РоссииФутболПолитикаПомощьСемейный бюджетИнструкцииЗдоровое питаниеТрудовое правоСериалыСофтВкладыОтдых за границейХоккейОбществоГероиЦифрыБезопасностьРемонт и стройкаБеременностьКнигиИнвестицииЛекарстваПоиск работыЛайфхакиАктерыЕдаПроисшествияЛичный опытНаучпопКрасотаМалышиТеатрыВыгодаПродуктивностьМебель и декорБокс/MMAНаука и техникаЗаконыДача и садПсихологияОбразованиеВыставки и музеиШкольникиКарты и платежиАвтоспортПсихологияШоу-бизнесЗащитаДетское здоровьеПрогулкиКарьерный ростБытовая техникаТеннисВоенные новостиХоббиЭкономикаБаскетболТрендыИгрыАналитикаТуризмКомпанииЛичный счетНедвижимостьФигурное катаниеДетиБиатлон/ЛыжиДом и садШахматыЛетние виды спортаЗимние виды спортаВолейболОколо спорта
Личные финансы
Женский
Кино
Спорт
Aвто
Развлечения и отдых
Здоровье
Путешествия
Помощь
Полная версия

Квантовая угроза криптографии, или Почему ждать Q-day уже поздно

В конце марта этого года Google объявил, что переведет свои сервисы аутентификации на постквантовую криптографию (PQC, Post-Quantum Cryptography) к 2029 году — на шесть лет раньше, чем рекомендовал британский NCSC (National Cyber Security Centre), ранее указавший в качестве ориентира 2035 год. Поводом для такого решения стали данные собственного исследовательского подразделения Google Quantum AI, которые показали, что оптимизированная реализация алгоритма Шора способна взломать криптографическую защиту на эллиптических кривых (ECC — Elliptic Curve Cryptography, которая применяется, например, в алгоритмах блокчейн у Bitcoin и Ethereum) с помощью квантового компьютера менее чем с 1200 логических кубитов. По сути, это означает, что порог «вычислительной стоимости» атаки за год снизился на порядок.

Давайте попытаемся разобраться, насколько эта угроза реальна для российского бизнеса и что можно сделать уже сейчас.

«Гонка вооружений» по двум фронтам

Угроза квантового взлома развивается одновременно по двум направлениям. На аппаратном направлении IBM, Google, PsiQuantum и ряд китайских лабораторий наращивают число кубитов и повышают качество коррекции ошибок. Процессор IBM Condor достиг величины в 1121 физический кубит, а российский ФИАН представил 70-кубитный процессор с точностью однокубитных операций в 99,98%. Google Willow со 105 кубитами сам по себе не пугает взломом, но с учетом прогресса в квантовой коррекции ошибок он сокращает дистанцию к появлению CRQC (Cryptographically Relevant Quantum Computer) — квантовому компьютеру, который будет способен взламывать существующие шифры за приемлемое время.

Квантово-устойчивая криптография — один из главных технологических трендов

Второе направление — алгоритмическое, и оно сейчас развивается даже быстрее аппаратного. Препринт Caltech-Berkeley (март 2026) показывает, что алгоритм Шора можно реализовать на 10 000–20 000 атомных кубитов, а система примерно из 26 000 кубитов способна взломать ECC-ключ Bitcoin всего за несколько дней. В марте Google Quantum AI опубликовал 57-страничный white paper, доказывающий, что для атаки на ECC нужно в 20 раз меньше кубитов, чем считалось ранее. Тогда говорилось о миллионах физических кубитов; теперь речь идет уже о сотнях тысяч, а при применении оптимизированных сценариев — даже о десятках тысяч.

«Собери сейчас — расшифруй потом»

Главная угроза для бизнеса не в том, что завтра появится CRQC, а в том, что данные, которые он сможет расшифровать завтра, уже перехвачены сегодня! Стратегия HNDL (Harvest Now, Decrypt Later) уже активно применяется хакерами в разных странах. По данным InfoSecurity Magazine, злоумышленники — от криминальных групп до подразделений спецслужб на уровне государств и правительств — перехватывают и накапливают зашифрованный трафик в расчете на будущее вскрытие шифров после «квантового скачка». По оценке замглавы Департамента кибербезопасности Госдепартамента США Гэруна Лейси, похищенные зашифрованные данные могут пережить не одну смену руководства государственных органов, создавая риски, растянутые на десятилетия.

Под ударом отрасли, где данные долго сохраняют свою ценность: финансы (ключи к счетам, история транзакций), медицина (истории болезней, данные геномов), госсектор (секретные сведения, рассчитанные на длительное хранение под грифом) и телекоммуникации. Европол и Quantum Safe Financial Forum уже призывают финансовый сектор безотлагательно строить планы миграции на квантово-устойчивые механизмы криптографической защиты.

Стандарты NIST и в чем их значение для России

В августе 2024 года NIST (National Institute of Standards and Technology, государственное агентство США, которое по факту определяет «правила игры» для всего мира) окончательно утвердило три стандарта постквантовой криптографии: ML-KEM (FIPS 203) для обмена ключами на математических решетках, ML-DSA (FIPS 204) для цифровой подписи на решетках и SLH-DSA (FIPS 205) для подписи на основе хеш-функций. В августе 2025 года NIST представил на утверждение проект стандарта FN-DSA (FIPS 206) — стандартизированное название алгоритма FALCON на основе решеток над полиномиальными кольцами (NTRU — N-th degree TRUNCated polynomial ring). Cloudflare по умолчанию включил гибридный ML-KEM для TLS на своей периферии, и более половины трафика через сеть компании уже использует постквантовое согласование ключей. AWS внедрила гибридный постквантовый TLS в AWS KMS, Certificate Manager и Secrets Manager. Google интегрирует ML-DSA в операционную систему Android 17.

Битва между криптовалютами и квантовыми вычислениями: ждать ли победителя?

Для российских организаций вопрос ориентации на западные стандарты не является праздным. Технический комитет ТК № 26 при Росстандарте ведет разработку отечественных постквантовых алгоритмов под рабочими названиями «Гиперикум», «Облепиха» и «Земляника». Пока ни один из них не утвержден в качестве ГОСТа, речь идет лишь о методических материалах и пилотной апробации. Формально российские компании обязаны использовать сертифицированные ФСТЭК и ФСБ средства криптографической защиты, но сертифицированных постквантовых решений на рынке пока нет. И это один из главных барьеров для возможной миграции.

Впрочем, наш финансовый сектор уже сделал первые шаги. По данным Ассоциации «ФинТех», НСПК (Национальная система платежных карт) завершила три пилотных проекта по постквантовой криптографии, «Газпромбанк» — пять (первый был запущен еще в 2020 году), еще один — Московская биржа. QApp и «С-Терра» создали первый в России квантово-устойчивый TLS-шлюз. В рамках пилота QApp совместно с НСПК и «Газпромбанком» был разработано программное обеспечение PQC PAY (Post-Quantum Cryptography PAY) для квантово-устойчивых платежей через протокол BLE с подписью «Гиперикум».

Что мешает переходу на постквантовые алгоритмы

На практике таких барьеров несколько. Во-первых, пока нет сертифицированных ФСТЭК средств защиты, работающих на постквантовых алгоритмах. Во-вторых, заметен дефицит компетенций, поскольку эта тема требует одновременно и криптографической, и инфраструктурной экспертизы. Для руководства многих компаний квантовая угроза не является приоритетом, поскольку воспринимается все еще слишком абстрактно, слишком далеко по времени. PQC-алгоритмы имеют значительно больший размер ключей и подписей, чем RSA или ECC. Подпись SLH-DSA может быть в сотни раз больше по размеру, чем подписи ECDSA, а это создает повышенную нагрузку на сети, шлюзы и прокси.

Оптимальной траекторией внедрения должна стать гибридная, когда в течение некоторого времени работают пары «классический алгоритм + PQC», чтобы не утратить обратную совместимость. Британский NCSC предлагает трехфазный подход: к 2028 году — инвентаризация алгоритмов и подготовка планов, к 2031-му — миграция приоритетных и критически важных систем, к 2035-му — массовое завершение квантового перехода, под которым понимается готовность бизнеса к наступлению эпохи квантовых вычислений. Но Google, как мы видим, определил для себя в качестве горизонта 2029-й.

С чего компаниям нужно начать

Практический порядок действий для компании, которая только начинает думать о квантовом переходе, выглядит так.

Первый этап требует проведения полной инвентаризации, то есть составления реестра используемых криптографических алгоритмов, протоколов и сертификатов и определение, какие данные имеют длительный жизненный цикл. Второй этап — оценка рисков. Нужно сопоставить срок жизни данных с прогнозами появления CRQC. Если данные должны оставаться защищенными в течение 10+ лет, то они уже находятся под угрозой HNDL. Третий этап — разработка пилотного проекта, для которого нужно выбрать контур для гибридного внедрения PQC и протестировать на нем совместимость и нагрузку.

Главной задачей должна стать криптографическая гибкость — способность ИT-систем переходить с одного алгоритма шифрования на другой без полной перестройки всей инфраструктуры. Для всех новых систем этот принцип становится обязательным архитектурным требованием.

Квантовое распределение ключей — не альтернатива PQC

Параллельно с постквантовой криптографией (PQC) развивается квантовое распределение ключей (QKD, Quantum Key Distribution). Если PQC опирается на математическую сложность новых задач, то QKD основан на физических принципах квантовой механики — протокол BB84 был разработан еще в 1984 году. QKD обеспечивает физическую невозможность перехвата ключа без обнаружения, однако решает только задачу защищенной доставки ключей, не затрагивая ни шифрование данных, ни цифровую подпись.

Кроме того, технология требует выделенной инфраструктуры — как правило, отдельных оптоволоконных линий, — ограничена по дальности и скорости передачи и остается дорогостоящей. Поэтому QKD и PQC не конкурируют, а решают разные задачи: первый — это нишевый инструмент для госструктур с особыми требованиями к защите каналов связи, второй — практический путь для коммерческого сектора.

Где граница между плановой подготовкой и авралом

Грань между разумной осторожностью и преждевременной паникой опирается на один главный критерий, а именно на жизненный цикл ваших данных. Если он короче горизонта появления CRQC (по разным оценкам между 2029–2035), то угроза HNDL имеет для вас абстрактный характер. Если же дольше, то ваши данные уже находятся под прицелом злоумышленников.

Разница между компанией, которая успеет подготовиться к изменившейся реальности, и той, которой придется действовать в пожарном режиме, определяется не бюджетом, а тем, начаты ли мероприятия по инвентаризации средств и инструментов криптографии. Пока отечественные стандарты еще не утверждены, единственный разумный шаг — начать встраивать криптографическую гибкость в архитектуру всех новых систем и запускать пилотные проекты с имеющимися доступными гибридными решениями. Ждать завершения стандартизации — значит гарантировать себе через три-пять лет переход в режим работы пожарной команды.