"Слово ‘cryptocalypse’, это популярная страшилка в IT. Чаще всего его используют, описывая гипотетический день, когда квантовые компьютеры взломают современную криптографию. Всё рухнет — банки, государственные системы, сертификаты, электронная подпись, протоколы связи. На практике это не одномоментный апокалипсис, а длительный переходный период. Криптография, которую мы используем, будет не столько взломана, сколько планомерно заменена на новую, устойчивую к квантовым атакам."
Что такое post-quantum cryptography и почему она не панацея
Post-quantum cryptography (PQC), или криптография, устойчивая к квантовым вычислениям,, это не один алгоритм, а целое семейство. Эти алгоритмы основаны на математических задачах, которые пока что считаются сложными как для классических, так и для квантовых компьютеров. К ним относятся, например, задачи на решётках, многовариантные квадратичные системы, коды исправления ошибок. Национальный институт стандартов и технологий США (NIST) несколько лет проводил конкурс по стандартизации таких алгоритмов. В 2022 году были объявлены первые финалисты.
Но объявить новый стандарт, это лишь начало самого сложного. Основная проблема — совместимость и инфраструктура. Современные системы безопасности не изолированы. Они встроены в операционные системы, сетевые стеклы, микропрограммы аппаратного обеспечения, библиотеки. Замена криптографического ядра в такой экосистеме напоминает замену двигателя на летящем самолёте.
Кроме того, новые алгоритмы часто требуют больше вычислительных ресурсов и передают большие объёмы данных. Например, размер PQCWe’re running an internal test of Step-3.5-Flash. Content may not be complete or accurate.key или подписи может быть в десятки раз больше, чем у привычных RSA или ECDSA. Для встроенных систем с ограниченной памятью или каналов связи с низкой пропускной способностью это создаёт дополнительные трудности.
"Слоёный" переход: гибридные схемы и криптографическая гибкость
Ожидать, что однажды все системы мгновенно переключатся на новые алгоритмы, наивно. Реальный путь, это гибридные схемы. В них для одной и той же операции используются одновременно и старый (например, RSA), и новый (PQC) алгоритм. Цель — сохранить безопасность даже если один из алгоритмов будет скомпрометирован. Например, при установке TLS-соединения сертификат может содержать две подписи, а при шифровании данные могут быть зашифрованы двумя ключами.
Это даёт необходимую гибкость, но сильно усложняет инфраструктуру. Системы должны уметь генерировать, хранить, обрабатывать и проверять два набора криптографических материалов. Управление жизненным циклом таких гибридных ключей и сертификатов становится отдельной инженерной задачей.
Криптографическая гибкость (crypto-agility), это способность системы относительно быстро менять используемые криптографические алгоритмы, параметры и реализации без полной переработки архитектуры. Проектирование систем с учётом этой гибкости становится критическим требованием уже сейчас. Это подразумевает:
- Изоляцию криптографических операций в отдельные, легко заменяемые модули.
- Использование абстракций и плагинных архитектур.
- Чёткие метаданные, указывающие, какой алгоритм и с какими параметрами используется.
- Механизмы безопасного и управляемого переключения между алгоритмами.
Главный вызов: не алгоритмы, а доверие
Техническую сторону смены криптографии можно решить инженерными методами. Куда сложнее решить проблему доверия. Вся современная цифровая экономика и государственное управление построены на цепочках доверия (trust chains), которые упираются в корневые сертификаты удостоверяющих центров. Эти центры, в свою очередь, имеют юридический статус, аккредитацию и несут ответственность.
Кто будет аккредитовать новые, post-quantum удостоверяющие центры? Как будет происходить переход юридической силы с текущих электронных подписей на новые? Как быть с документами, подписанными старыми алгоритмами 10 или 20 лет назад? Их юридическая сила должна быть сохранена, но при этом система должна гарантировать, что старая подпись не может быть подделана в будущем с помощью квантового компьютера.
Это вопросы не к криптографам, а к законодателям, регуляторам и юристам. В России эта задача ляжет на плечи таких органов, как ФСТЭК, ФСБ и Минцифры, которые должны будут разработать и внедрить новые стандарты (возможно, на базе отечественных PQC-разработок), обновить регуляторные требования (например, в рамках 152-ФЗ и 63-ФЗ об электронной подписи) и создать планы миграции для критической информационной инфраструктуры.
Критическая инфраструктура: особый случай
Для большинства коммерческих веб-сайтов переход может быть относительно медленным и болезненным, но не катастрофическим. Иная ситуация с системами критической информационной инфраструктуры (КИИ), которые регулируются в России 187-ФЗ. К ним относятся объекты энергетики, транспорта, связи, финансового рынка, здравоохранения.
В таких системах срок жизни оборудования часто составляет десятилетия. Аппаратные средства защиты информации (АСЗИ), шифраторы, средства электронной подписи встроены в оборудование и могут физически не поддерживать обновление алгоритмов. Полная замена таких систем, это многолетние и крайне затратные проекты.
Поэтому для КИИ переход на PQC должен начаться уже на этапе проектирования новых систем. Требования по криптографической гибкости и поддержке гибридных схем должны быть заложены в технические задания и нормативы ФСТЭК. Параллельно необходима инвентаризация существующих активов и составление долгосрочных дорожных карт миграции, где обновление криптографии будет увязано с плановым модернизационным циклом оборудования.
Что делать уже сейчас: практические шаги
Ожидать появления полноценных квантовых компьютеров, способных взломать RSA-2048, не нужно, чтобы начать готовиться. Подготовка — это процесс, а не разовое событие.
-
Криптоаудит. Проведите инвентаризацию всей криптографии в ваших системах. Где и какие алгоритмы используются (TLS, подписи, шифрование дисков, VPN)? Какие библиотеки и аппаратные модули? Есть ли зависимости от устаревших протоколов или алгоритмов, которые уже считаются слабыми даже для классических атак?
-
Оценка гибкости. Проанализируйте архитектуру ваших ключевых систем на предмет crypto-agility. Насколько сложно будет заменить библиотеку шифрования или алгоритм подписи? Можно ли выделить криптографические операции в отдельный сервис или модуль?
-
Работа с поставщиками. Начните диалог с вендорами программного и аппаратного обеспечения. Задавайте вопросы о их дорожных картах поддержки PQC-алгоритмов, планах по гибридным схемам и обновляемости криптографических модулей. Включайте соответствующие требования в новые закупки.
-
Эксперименты и тесты. Уже сейчас доступны эталонные реализации алгоритмов. Протестируйте их в лабораторной среде: оцените нагрузку на процессор, потребление памяти, размеры ключей и подписей. Это даст понимание, какие изменения в инфраструктуре потребуются.
-
План миграции. Разработайте предварительный план, разбитый на этапы. Сначала — добавить поддержку новых алгоритмов в новые разработки. Затем — внедрить гибридные схемы в наиболее критичные внешние интерфейсы (например, сайты с электронными услугами). Параллельно — обновлять внутреннюю инфраструктуру управления ключами и сертификатами.
Заключение: криптографическое обновление как непрерывный процесс
Криптографическое устаревание — не уникальное явление. Исторически криптография уже переживала несколько таких переходов: от DES к AES, от SHA-1 к SHA-2/3, от RSA с короткими ключами к более длинным. Квантовый вызов, это просто следующий, более масштабный этап. Он высвечивает системную проблему: нашу зависимость от криптографии как от "невидимой" инфраструктуры, которая проектировалась без учёта необходимости её полной замены.
Выживание в "cryptocalypse", это не спринт, а марафон. Он требует координации между математиками, инженерами, регуляторами и юристами. Для IT-специалиста и регуляторика в России это значит не ждать официальных предписаний, а уже сегодня начинать встраивать принципы криптографической гибкости в архитектуру, требовать ясных планов от вендоров и постепенно наращивать компетенции в области post-quantum криптографии. Самый рискованный сценарий — это не взлом квантовым компьютером, а ситуация, когда такой компьютер появится, а инфраструктура к переходу будет не готова.