Когда квантовые компьютеры взломают шифрование и что делать уже сейчас

от

«Нужно четко отделить апокалиптические заголовки от инженерной реальности. Угроза квантового взлома конкретна, но у неё есть имя, условия и сроки. Пока криптографы готовят защиту, регуляторы пишут требования, а бизнес пытается понять, что это значит для его ИБ. Главное — не впадать в панику из-за будущего и не игнорировать уже существующие риски.»

Что такое квантовый компьютер и почему он угрожает шифрованию

Обычный компьютер работает с битами — нулями и единицами. Всё, от текста до алгоритмов шифрования, в конечном итоге сводится к последовательностям этих битов. Квантовый компьютер оперирует кубитами. Кубит может находиться не только в состояниях 0 или 1, но и в их суперпозиции — одновременно и 0, и 1 с определённой вероятностью. Это позволяет выполнять некоторые вычисления принципиально иначе и в разы быстрее для определённых классов задач.

Угроза для шифрования исходит не от универсального «квантового превосходства», а от конкретных алгоритмов, которые могут быть запущены на таком компьютере. Самый известный — алгоритм Шора. Он эффективно решает задачу разложения больших чисел на простые множители и задачу дискретного логарифмирования. Именно на сложности этих математических задач держится безопасность большинства современных асимметричных криптоалгоритмов, таких как RSA, DSA, ECDSA и протоколов на их основе (TLS, SSH, GPG).

Второй значимый алгоритм — Гровера. Он ускоряет полный перебор (brute-force) для симметричных алгоритмов. Вместо 2^N операций классическому компьютеру потребуется примерно 2^(N/2) операций на квантовом. Это означает, что для сохранения прежнего уровня безопасности длину ключа симметричных шифров (например, AES) придется увеличить вдвое. Угроза от Гровера считается менее критичной, чем от Шора.

Криптография, которая падет первой: асимметричная

Асимметричная криптография использует пару ключей: открытый (public) и закрытый (private). Открытый ключ известен всем и используется для шифрования или проверки подписи. Закрытый хранится в тайне и используется для расшифровки или создания подписи. Магия в том, что по открытому ключу вычислить закрытый за приемлемое время считается невозможным.

Это «невозможно» основано на сложности конкретных математических задач:

  • RSA опирается на сложность факторизации — разложения произведения двух больших простых чисел на множители.
  • ECDSA (эллиптические кривые) и DSA используют сложность задачи дискретного логарифма.

Алгоритм Шора решает обе эти задачи на квантовом компьютере с полиномиальной сложностью. Это означает, что время взлома становится не астрономическим (миллиарды лет), а практически приемлемым — часы, дни, месяцы. С появлением достаточно мощного квантового компьютера текущие RSA-2048 или эллиптические кривые с длиной ключа 256 бит перестанут быть надёжными. Вся инфраструктура, построенная на них — сертификаты HTTPS, электронные подписи, ключи SSH, обмен ключами в VPN — окажется под угрозой.

Симметричная криптография и хеши: устойчивость выше, но не абсолютная

Симметричные алгоритмы, такие как AES, и хеш-функции, такие как SHA-256, находятся в лучшем положении. Алгоритм Гровера даёт лишь квадратичное ускорение перебора. Для компенсации этого достаточно увеличить длину ключа.

  • AES-128 будет иметь эффективную стойкость примерно как 64 бита против квантовой атаки. Это недостаточно.
  • AES-256 сохранит стойкость примерно на уровне 128 бит, что считается безопасным на обозримое будущее.

переход на AES-256 и SHA-384/SHA-512 решит проблему для симметричной части. Основная угроза и основная работа по миграции сосредоточены именно на асимметричных алгоритмах, которые являются фундаментом для установления доверия и обмена ключами.

Что такое «достаточно мощный» квантовый компьютер?

Чтобы реализовать алгоритм Шора для взлома RSA-2048, нужны не просто кубиты, а тысячи, а возможно, миллионы логических кубитов с высокой точностью (низким уровнем ошибок). Физические кубиты в современных прототипах нестабильны, подвержены шуму и декогеренции. Для коррекции ошибок и создания одного надёжного логического кубита требуется множество физических (возможно, сотни или тысячи).

Оценки количества стабильных кубитов, необходимых для взлоза RSA-2048, разнятся: от 20 миллионов по одним исследованиям до нескольких тысяч по другим, более оптимистичным. Суть в том, что сегодня самые продвинутые квантовые процессоры имеют порядка нескольких сотен физических кубитов, и до миллионов логических — технологическая пропасть.

Это не вопрос десяти законов Мура. Это инженерный вызов создания масштабируемой, стабильной и управляемой квантовой системы. Прогресс есть, но он не экспоненциальный в привычном смысле.

Когда ждать реальной угрозы? Оценки и хакерский фольклор

Прогнозы варьируются от «через 5 лет» до «никогда». Большинство экспертных оценок сходится на промежутке 15-30 лет. Госстандарты США (NIST) ведут многолетнюю программу по стандартизации постквантовой криптографии, предполагая, что угроза может материализоваться в течение 15-20 лет. Это не срок появления компьютера, а срок, к которому нужно быть готовым.

Существует более тонкая угроза — «собирай сейчас — расшифруй позже» (harvest now, decrypt later). Злоумышленник может уже сегодня перехватывать и архивировать зашифрованные данные (например, государственные секреты, коммерческую тайну), рассчитывая расшифровать их через 10-15 лет, когда появится необходимый квантовый компьютер. Это меняет парадигму долгосрочной конфиденциальности.

Для большинства оперативных данных (сессии, транзакции), которые теряют ценность через несколько лет, эта угроза второстепенна. Для данных с долгим сроком жизни секретности — первостепенна.

Ответ криптографов: постквантовая криптография (PQC)

Постквантовая криптография, это класс алгоритмов, стойких как к классическим, так и к квантовым атакам (в первую очередь, к алгоритму Шора). Они основаны на других математических задачах, которые пока не поддаются эффективному квантовому решению.

Основные семейства PQC-PKI алгоритмов, отобранные NIST для стандартизации:

  1. Криптография на решётках (Lattice-based). Стойкость основана на сложности решения задач на решётках (например, Learning With Errors — LWE). Алгоритмы CRYSTALS-Kyber (для шифрования) и CRYSTALS-Dilithium (для подписей) стали победителями основного отбора NIST.
  2. Кодовая криптография (Code-based). Основана на сложности декодирования случайных линейных кодов (синдромное декодирование). Классический алгоритм McEliece и его модернизированные версии (Classic McEliece).
  3. Криптография на многомерных квадратичных уравнениях (MQ) и другие.

Эти алгоритмы имеют свои недостатки: больший размер ключей и подписей (иногда в десятки раз больше, чем у RSA или ECC), большее время вычислений. Это создает практические трудности для встраивания в существующие протоколы и устройства с ограниченными ресурсами (IoT).

[КОД: Пример импорта и использования библиотеки для генерации постквантовых ключей (например, liboqs).]

Что уже делают регуляторы? ФСТЭК и 152-ФЗ в контексте PQC

Пока прямых требований по переходу на постквантовые алгоритмы в нормативных документах ФСТЭК для 152-ФЗ нет. Однако логика регуляторики подсказывает вектор:

  • Требования к криптографической защите информации (например, в приказах ФСТЭК) исторически следуют за международными и национальными стандартами (ГОСТ).
  • Как только постквантовые алгоритмы будут стандартизированы на уровне ГОСТ Р, их поддержка станет обязательной для средств криптографической защиты информации (СКЗИ), используемых для защиты государственной и критически важной информации.
  • Уже сейчас в рамках «Технических требований по обеспечению безопасности значимых объектов КИИ» есть указания на необходимость использования утверждённых криптоалгоритмов. Дальнейшее развитие этих требований неизбежно включит PQC.
  • Для коммерческих организаций, не попадающих под жёсткие требования ФСТЭК, переход будет мотивирован рекомендациями отраслевых стандартов, требованиями партнёров и осознанием риска «собирай сейчас — расшифруй позже» для долгосрочных данных.

Проактивная позиция — начать аудит инфраструктуры на предмет используемых криптографических алгоритмов, особенно в критичных цепочках доверия (корневые и промежуточные УЦ, механизмы обмена ключами).

Практические шаги для ИБ, не дожидаясь приказа

Ждать, пока регулятор официально потребует переход, — значит оказаться в хвосте волны, когда все ресурсы (СКЗИ, экспертиза) будут в дефиците. Что можно сделать уже сейчас:

  1. Криптографический инвентари. Составить полную карту использования криптографии: где используются RSA, ECC, протоколы обмена ключами (Diffie-Hellman), типы сертификатов. Особое внимание — долгосрочным архивным системам с шифрованием.
  2. Следить за стандартами. Мониторить процесс стандартизации NIST и его потенциальное отражение в ГОСТ. Изучить драфты стандартов PQC.
  3. Экспериментировать в тестовых средах. Протестировать ранние реализации PQC-алгоритмов (например, из проекта OpenQuantumSafe) в лабораторных условиях для оценки влияния на производительность и совместимость.
  4. Усилить симметричную составляющую. Уже сейчас мигрировать на AES-256 и SHA-384/SHA-512 там, где это технически возможно без больших затрат.
  5. Диалог с вендорами. Задавать поставщикам СКЗИ, VPN-решений, средств ЭП и УЦ вопросы о их дорожной карте по поддержке PQC.
  6. Планировать гибридные режимы. Наиболее вероятный сценарий перехода — гибридный, когда в одном сообщении или протоколе используются и классический, и постквантовый алгоритм одновременно для плавной миграции и обратной совместимости.

Квантовая угроза не отменяет текущих классических уязвимостей. Плохая реализация, утечки ключей или слабые случайные числа сломают систему быстрее любого гипотетического квантового компьютера. Работа над общей криптографической гигиеной остаётся первоочередной.

Мифы и реальность квантового взлома

  • Миф: «Завтра квантовый компьютер взломает все наши пароли и банковские системы». Реальность: Угроза целенаправленна (PKI), а сроки измеряются десятилетиями.
  • Миф: «Квантовые компьютеры сделают бессмысленной всю криптографию». Реальность: Симметричная криптография и хеши выживут после удвоения ключа. Криптография не умрёт, а эволюционирует.
  • Миф: «Эту проблему решат производители железа и софта, нам ничего делать не нужно». Реальность: Переход потребует координации всей ИТ-Bифраструктуры — от аппаратных модулей (HSM) до ПО и протоколов. Это массовая миграция, которую нужно планировать.
  • Миф: «Постквантовые алгоритмы уже есть, можно переходить прямо сейчас». Реальность: Стандарты находятся в финальной стадии, но не утверждены окончательно. Ранние реализации могут иметь неоткрытые уязвимости. Требуется осторожное поэтапное внедрение.

Главный вывод: игнорировать тему нельзя из-за риска «собирай сейчас — расшифруй позже» и долгого цикла миграции. Но и поддаваться панике из-за медийных заголовков не стоит. Проблема управляема, если подойти к ней как к долгосрочному технологическому и организационному проекту, а не как к внезапному апокалипсису.

Оставьте комментарий