“Квантовые компьютеры уже не гипотетическая угроза. Они медленно, но приближаются к тому моменту, когда классические криптосистемы, охраняющие наши данные сегодня, станут просто бесполезными стеклянными замками. Пока инженеры ломают голову над стабильностью кубитов и охлаждением, криптографы уже несколько лет ведут реальную войну. Их поле боя – это наборы чисел и уравнения, а победитель должен быть избран ещё до того, как противник наберёт силу. Конкурс NIST – это не просто академическое упражнение, это попытка опередить время и выбрать новые стандарты безопасности для мира, который меняется слишком быстро.”
Что стоит на пути квантовой угрозы
Алгоритмы с открытым ключом, такие как RSA или ECC (Elliptic Curve Cryptography), работают на математических задачах, которые очень сложно решить на обычных компьютерах. Для RSA это факторизация больших чисел, для ECC – задача нахождения дискретного логарифма на эллиптической кривых. Квантовый компьютер, благодаря алгоритму Шора, способен решить эти задачи в разы быстрее. Ключевое слово здесь – «способен». Сегодняшние квантовые системы пока не имеют достаточного количества стабильных кубитов (quantum bits) для криптографически значимых вычислений. Однако прогресс в этой области измеряется не годами, а скорее десятилетиями, и создание постквантовых стандартов – это стратегическая подготовка к неизбежному.
Конкурс по постквантовой криптографии (Post-Quantum Cryptography, PQC) от NIST начался в 2016 году. Его цель – найти и стандартизировать алгоритмы, устойчивые к атакам с помощью квантового компьютера. Первые стандарты были опубликованы в 2022 году: это алгоритмы цифровых подписей CRYSTALS-Dilithium, Falcon и SPHINCS+, и алгоритмы шифрования с открытым ключом CRYSTALS-Kyber. Но конкурс продолжается, так как нужны альтернативы и дополнительные подходы.
Лагеря кандидатов: математическое разнообразие
Все кандидаты NIST PQC основаны на разных математических структурах, которые, по мнению криптографов, должны оставаться сложными даже для квантового компьютера.
- Алгоритмы на решётках (Lattice-based). Это самый популярный и, на данный момент, самый успешный класс. CRYSTALS-Dilithium и CRYSTALS-Kyber относятся к нему. Их безопасность основывается на сложности решения задач поиска кратчайшего вектора в решётке (Shortest Vector Problem, SVP) или задачи обучения с ошибками (Learning With Errors, LWE). Решётки предоставляют хороший баланс между эффективностью и предполагаемой стойностью.
- Алгоритмы на основе многомерных квадратичных уравнений (MQ). Здесь безопасность связана с сложностью решения систем случайных квадратичных уравнений над конечным полем. Эти алгоритмы часто имеют очень большие размеры ключей.
- Алгоритмы на основе кодов (Code-based). Используют сложность декодирования линейных кодов. Classic McEliece, один из кандидатов, относится к этому классу и считается чрезвычайно устойчивым, но его ключи огромны.
- Алгоритмы на основе изогений (Isogeny-based). Используют математику эллиптических кривых, но в другом ключе – через сложность вычисления изогений между кривыми. Это сравнительно новый и менее изученный подход.
- Алгоритмы на основе симметричных криптосистем (Hash-based). SPHINCS+ является примером. Его безопасность зависит только от стойкости хэш-функции, что делает его очень консервативным и безопасным, но менее эффективным для частого использования.
Не все классы представлены в текущих финалистах или альтернативах, но они показывают спектр возможных направлений.
Стойкость: не просто «больше битов»
При сравнении кандидатов часто говорят о «уровнях безопасности», например, Level 1, Level 3, Level 5. Эти уровни соответствуют определённым требованиям NIST и выражаются в классической и квантовой стойкости.
Стойкость против классических атак оценивается аналогично современным алгоритмам: сколько операций потребуется для взлома. Квантовую стойкость оценивают с учётом потенциала алгоритма Шора и других квантовых алгоритмов.
| Параметр сравнения | Что оценивает | Пример для кандидатов |
|---|---|---|
| Уровень безопасности (NIST) | Минимальная стойкость против классических и квантовых атак. Level 1 примерно соответствует 128 битам классической стойкости. | CRYSTALS-Kyber-512 предоставляет Level 1, Kyber-768 – Level 3, Kyber-1024 – Level 5. |
| Размеры ключей и данных | Практическая применимость. Большие клюши занимают память, увеличивают нагрузку на сеть. | Classic McEliece имеет ключи порядка мегабайтов, тогда как Kyber – несколько килобайтов. |
| Скорость работы | Время генерации ключей, шифрования/дешифрования, создания/ проверки подписи. | Алгоритмы на решётках (Kyber, Dilithium) обычно быстрее алгоритмов на кодах или хэш-подписей. |
| Устойчивость к побочным атакам | Защита от атак по сторонним каналам (timing attacks, power analysis) и возможность безопасной реализации. | Реализации некоторых алгоритмов требуют особой внимательности к константному времени выполнения операций. |
Победители и их особенности
Алгоритм CRYSTALS-Kyber был выбран как стандарт для шифрования с открытым ключом (KEM – Key Encapsulation Mechanism). Его основные преимущества: относительно малые размеры ключей и шифротекстов, высокая скорость работы и хорошая изученность решётчатой криптографии. Но и у него есть свои тонкости. Его безопасность основана на LWE, и хотя эта задача считается устойчивой к квантовым атакам, есть определённые математические вопросы о её долгосрочной устойчивости при очень больших параметрах.
CRYSTALS-Dilithium стал основным стандартом для цифровых подписей. Он также основан на решётках, используя задачи связанные с модульными решётками. Он предлагает баланс между размером подписи, скоростью и стойностью. Falcon был выбран как альтернативный стандарт для подписей, предлагая значительно меньшие размеры подписей, но его реализация сложнее и требует вычислений с вещественными числами, что может быть проблемой для некоторых платформ.
SPHINCS+ был включён как дополнительный, консервативный вариант для подписей. Его стойкость зависит только от хэш-функции (SHA-2 или SHA-3), что делает его очень безопасным, но медленным и с большими подписями. Он предназначен для случаев, где доверие к новым математическим конструкциям ограничено.
Альтернативные кандидаты: зачем нужны другие варианты
Выбор решётчатых алгоритмов как основных стандартов не означает, что другие подходы бесполезны. Наоборот, продолжение конкурса и анализ альтернатив – это стратегия диверсификации рисков.
Classic McEliece (code-based) является одним из самых старых и изученных постквантовых алгоритмов. Его математическая основа – задача декодирования в линейных кодах – считается чрезвычайно устойчивой. Однако его практическое применение ограничено огромными размерами публичных ключей (сотни килобайт или даже мегабайты). Он рассматривается для нишевых применений, где размер не является критическим ограничением, но требуется максимальная уверенность в стойкости.
Алгоритмы на основе изогений представляют собой интересный математический подход. Они предлагают очень малые размеры ключей, но их криптографическая стойкость менее изучена в долгосрочной перспективе, и существуют специализированные классические атаки на некоторые варианты. Их развитие важно как резервный путь, если в решётчатой криптографии будут обнаружены серьёзные слабости.
Алгоритмы на основе многомерных квадратичных уравнений часто страдают от огромных размеров ключей и относительно низкой скорости. Их развитие пока не привело к кандидатам, которые могли бы конкурировать с решётчатыми алгоритмами по совокупности параметров.
Что это значит для российского IT и регуляторики
В России стандарты криптографии регулируются в рамках требований ФСТЭК и 152-ФЗ. Пока квантовые компьютеры не стали практической угрозой, переход на постквантовые алгоритмы не является обязательным. Однако процесс уже начался.
Криптографические библиотеки, используемые в российском IT, постепенно добавляют поддержку новых алгоритмов NIST. Например, поддержка Kyber и Dilithium уже появляется в популярных библиотеках. Для разработчиков это означает необходимость изучать новые API и особенности реализации.
С точки зрения регуляторики, новые стандарты – это не просто «более новые» алгоритмы. Они основаны на другой математике, и их имплементация требует проверки на соответствие требованиям к криптографическим модулям. Особое внимание нужно уделять защите от побочных канальных атак, так как многие постквантовые алгоритмы выполняют более сложные математические операции, которые могут быть более чувствительными к таким атакам.
Стандарты ФСТЭК пока не предписывают обязательное использование постквантовой криптографии, но в технических рекомендациях и методических документах уже начинают появляться ссылки на необходимость оценки устойчивости к криптоанализу с учётом развития квантовых вычислений.
Итоги анализа: выбор на десятилетия
Сравнительный анализ кандидатов NIST показывает, что выбор сделан в пользу практичности и относительно хорошо изученной математики – решёток. CRYSTALS-Kyber и Dilithium станут основой постквантовой криптографии в ближайшие годы в большинстве применений.
Но конкурс продолжается именно потому, что криптография – это область, где монополия на один математический подход рискованна. Наличие альтернатив на основе кодов, хэш -функций или изогений создаёт необходимую диверсификацию. Если в будущем будут обнаружены фундаментальные слабости в решётчатых схемах, мир не останется без защитных инструментов.
Для инженеров и регуляторов сейчас важно не просто внедрить новые алгоритмы, но и понять их внутреннюю логику, ограничения и тонкости реализации. Переход от RSA и ECC к постквантовой криптографии – это не просто обновление библиотеки, это изменение фундаментальных предположений о безопасности.