Постквантовая криптография: что менять в инфраструктуре уже сейчас

от

«Постквантовая криптография, это не про будущее. Это про то, что уже сегодня в вашей инфраструктуре лежат данные, которые станут уязвимыми через несколько лет. И защищать их нужно сейчас, потому что алгоритмы, которые мы используем сегодня, не переживут появления квантового компьютера. Но паниковать не стоит — есть конкретные шаги, которые можно и нужно делать уже сейчас.»

Что такое постквантовый кризис и почему он касается вас

Когда говорят о квантовых компьютерах, часто представляют далёкое будущее. Реальность иная: угроза существует уже сегодня. Это называется «собрать сейчас — расшифровать позже». Злоумышленник может перехватить и сохранить зашифрованные данные — например, трафик VPN, зашифрованные диски, архив с персональными данными — в ожидании, когда квантовый компьютер станет достаточно мощным, чтобы взломать использованные алгоритмы шифрования. Срок жизни таких данных может составлять десятилетия. Если сегодня утекли зашифрованные медицинские записи или государственные секреты, через 10–15 лет их можно будет прочитать.

Классическая криптография, такая как RSA и ECC, основана на сложности определённых математических задач — факторизации больших чисел и дискретного логарифмирования. Квантовый компьютер, используя алгоритм Шора, теоретически способен решить эти задачи за полиномиальное время, сделав такую защиту бесполезной. Симметричное шифрование (например, AES) и хеш-функции (SHA-256) более устойчивы, но для них потребуется увеличение длины ключа.

проблема не в том, что квантовый компьютер уже стоит в соседней комнате. Проблема в том, что инфраструктура, развёрнутая сегодня, должна быть рассчитана на защиту информации на весь её жизненный цикл. Игнорирование постквантового перехода, это осознанный риск.

Алгоритмы, которые не переживут квантовую эру

Первым делом нужно понять, какие именно компоненты вашей инфраструктуры окажутся под ударом. Это не вся криптография целиком, а конкретные механизмы.

  • Алгоритмы с открытым ключом (асимметричные): RSA, DSA, ECDSA, ECDH (используемые в TLS, SSH, цифровых подписях, шифровании PGP/GPG). Их стойкость основана на задачах, которые квантовый компьютер решит.
  • Протоколы, зависящие от этих алгоритмов: подавляющее большинство современных протоколов. TLS-рукопожатие, аутентификация по SSH-ключам, подпись кода и обновлений ПО, инфраструктура открытых ключей (PKI).

Симметричное шифрование (AES-256) и хеш-функции (SHA-384, SHA-512) считаются относительно безопасными, но с оговоркой: для сохранения сопоставимого уровня стойкости против квантовой атаки Гровера размер ключа AES нужно удвоить (например, перейти с AES-128 на AES-256).

Постквантовые кандидаты: что предлагают вместо RSA

Национальный институт стандартов и технологий США (NIST) уже несколько лет проводит конкурс по стандартизации постквантовых алгоритмов. Процесс близок к завершению, и первые стандарты уже опубликованы. Новые алгоритмы основаны на других математических задачах, устойчивых как к классическим, так и к квантовым атакам.

Основные семейства алгоритмов-финалистов:

  • Кристаллография на решётках (Lattice-based): Алгоритмы CRYSTALS-Kyber (для шифрования) и CRYSTALS-Dilithium (для цифровых подписей). Считаются одними из наиболее перспективных из-за хорошего баланса между размером ключей, скоростью работы и проверенной стойкостью. Kyber уже стандартизирован NIST для общего шифрования.
  • Кодовая криптография (Code-based): Классический алгоритм McEliece и его модификации. Известен десятилетиями, обладает доказанной стойкостью, но страдает от очень больших размеров открытых ключей (сотни килобайт), что ограничивает применение в некоторых протоколах.
  • Многомерные квадратичные уравнения (Multivariate): Алгоритмы вроде Rainbow. Меньшие размеры ключей, но история криптоатак против подобных схем заставляет относиться к ним с осторожностью.

Важный нюанс: переход не будет означать простую замену «RSA на Dilithium». Потребуется поддержка гибридных режимов, когда одновременно используются и классический, и постквантовый алгоритм. Это обеспечивает обратную совместимость и защиту на переходный период.

Практические шаги: что менять в инфраструктуре прямо сейчас

Полный переход займёт годы, но подготовку нельзя откладывать. Действовать нужно по плану, начиная с инвентаризации и оценки.

1. Криптографическая инвентаризация

Вы не сможете защитить то, о чём не знаете. Необходимо составить полную карту использования криптографии в вашей организации.

  • Где используется асимметричная криптография? Внешние и внутренние TLS-сервисы, VPN-шлюзы, SSH-доступ к серверам и сетевым устройствам, инфраструктура PKI (корневые и промежуточные УЦ), подпись ПО и обновлений, S/MIME для почты.
  • Какие алгоритмы и длины ключей? Проверьте конфигурации серверов (например, с помощью инструментов вроде testssl.sh), политики центров сертификации, настройки VPN.
  • Какое ПО и оборудование? Составьте список аппаратных модулей безопасности (HSM), сетевого оборудования (маршрутизаторы, межсетевые экраны), которые генерируют ключи или выполняют криптооперации. Уточните, поддерживают ли они обновления микрокода для постквантовых алгоритмов.

2. Оценка критичности и создание плана перехода

Не всё нужно менять одновременно. Определите приоритеты на основе двух факторов: срок жизни защищаемой информации и сложность замены компонента.

Высокий приоритет следует отдать системам, которые:

  • Защищают данные с длительным сроком хранения (государственная тайна, персональные данные, нотариальные архивы, коммерческая тайна).
  • Используют долгоживущие ключи (корневые сертификаты УЦ, ключи для подписи кода с длительным сроком действия).
  • Являются критически важными для инфраструктуры (корневая PKI, системы управления обновлениями).

Для каждого компонента из инвентаризации определите путь миграции: обновление ПО, замена оборудования, изменение конфигурации.

3. Тестирование и пилотное внедрение

Прежде чем менять что-то в промышленной среде, необходимо протестировать новые алгоритмы.

  • Лабораторный стенд: Разверните тестовые сервисы (веб-сервер, VPN, SSH) с поддержкой постквантовых алгоритмов. Проверьте совместимость с гибридными режимами.
  • Производительность: Измерьте нагрузку на ЦПУ, latency, размер передаваемых данных (постквантовые ключи и подписи часто больше классических). Это особенно важно для высоконагруженных систем и устройств с ограниченными ресурсами (IoT).
  • Совместимость: Убедитесь, что обновлённые сервисы корректно работают с существующими клиентами (браузерами, ОС) в гибридном режиме.

4. Работа с поставщиками и вендорами

Вы не сможете выполнить переход в одиночку. Активно вовлекайте своих поставщиков.

  • Запрос дорожных карт: Уточните у вендоров ПО, операционных систем, сетевого и криптографического оборудования сроки и планы по добавлению поддержки постквантовых алгоритмов.
  • Участие в бета-тестировании: Если ваш вендор предлагает ранний доступ к постквантовым функциям, участвуйте. Это даст вам преимущество во времени.
  • Требования к закупкам Включайте поддержку постквантовой криптографии (или возможность её добавления через обновление) в технические требования для нового закупаемого оборудования и ПО.

Особенности российского контекста и регуляторики

В России тема постквантовой криптографии находится в активной разработке. Пока нет прямых предписаний ФСТЭК или ФСБ о немедленном переходе, но вектор движения очевиден.

  • Криптографические средства, имеющие сертификаты ФСБ: Сертифицированные средства криптографической защиты информации (СКЗИ) используют отечественные алгоритмы (ГОСТ). Вопрос стойкости российских алгоритмов (таких как ГОСТ Р 34.10-2012 на эллиптических кривых) к квантовым атакам изучается. Вероятен сценарий, при котором регулятор будет рекомендовать или требовать переход на новые, постквантовые отечественные алгоритмы, когда они будут разработаны и стандартизированы.
  • Долгосрочное планирование: При построении систем защиты информации, особенно для гостайны или критической информационной инфраструктуры (КИИ), уже сейчас необходимо закладывать возможность криптографической миграции. Это должно отражаться в технических заданиях и проектах.
  • Гибридные схемы: В переходный период наиболее реалистичным представляется использование гибридных решений, где, например, электронная подпись формируется одновременно по действующему ГОСТу и по новому постквантовому алгоритму. Это потребует изменений в регламентах и ПО.

Чего делать не стоит: типичные ошибки

В стремлении подготовиться к будущему легко совершить ошибки, которые усложнят переход или создадут ложное чувство безопасности.

  • Паника и поспешные замены: Не начинайте массово отказываться от текущих алгоритмов до появления стабильных, стандартизированных и поддерживаемых вендорами реализаций постквантовых замен. Это может нарушить работу инфраструктуры.
  • Игнорирование из-за отсутствия прямых указаний регулятора: Ожидание официального приказа — плохая стратегия. К моменту его выхода времени на плавный переход может не остаться. Действуйте проактивно в рамках оценки рисков.
  • Фокус только на внешнем периметре: Уязвимыми окажутся не только веб-сервисы, но и внутренние системы: доменные сертификаты, SSH-ключи администрирования, зашифрованные внутренние хранилища данных. Инвентаризация должна быть полной.
  • Забывать о ключах длительного действия: Если сегодня вы выпустили корневой сертификат УЦ на 25 лет с использованием RSA, то через 10 лет вся выстроенная на нём инфраструктура окажется под угрозой. Для долгоживущих ключей переход на постквантовые алгоритмы или гибридные схемы нужен в первую очередь.

Итог: начать сегодня, чтобы не экстренно менять всё завтра

Постквантовый переход, это не единовременное событие, а длительный процесс, сравнимый по масштабу с переходом с SHA-1 на SHA-2 или с IPv4 на IPv6. Ключевое отличие — в последствиях промедления. Если с IPv4 можно было работать годами через костыли, то слом криптографии означает прямую утечку данных.

Сейчас самое время для подготовительных работ: провести криптоинвентаризацию, определить приоритеты, начать диалог с вендорами и развернуть тестовые среды. Когда стандарты окончательно утвердят и поддержка появится в основных операционных системах и библиотеках (OpenSSL, liboqs), вы будете готовы к плановой, управляемой миграции, а не к авральному пожаротушению.

Задача специалиста по безопасности сегодня — не ждать квантового апокалипсиса, а начать строить мост к криптографии, которая его переживёт.

Оставьте комментарий