«Страх перед квантовым взломом паролей, это во многом искажённый нарратив, отвлекающий от реальных и актуальных угроз. Пока все смотрят на далёкий горизонт с квантовыми машинами, киберпреступники взламывают базы с хешами обычными видеокартами и словарями на 10 миллионов записей. Настоящая уязвимость — в привычке полагаться на один фактор аутентификации и в непонимании, какую именно криптографию атакует квантовый компьютер.»
Разбор мифа: что квантовый компьютер взломает, а что — нет
Угроза квантовых вычислений для шифрования — не монолитна. Она делится на две принципиально разные атаки, направленные на разные слои защиты.
- Алгоритм Шора, это экспоненциальное ускорение для решения задач факторизации чисел и дискретного логарифма. Эти задачи — основа современной асимметричной криптографии: алгоритмов RSA, ECC (эллиптических кривых), Diffie-Hellman. Именно они защищают установление сессии (TLS/SSL), цифровые подписи (например, в ГОСТ Р 34.10-2012) и обмен ключами. Их взлом позволит пассивно перехватывать и расшифровывать трафик, подделывать сертификаты.
- Алгоритм Гровера — даёт лишь квадратичное ускорение для задач полного перебора, включая поиск прообраза для хеш-функций. Это угроза для симметричной криптографии (AES) и хеширования. Ускорение существенно, но не катастрофично: для компенсации достаточно удвоить длину ключа или пароля. Так, 128-битный ключ AES под атакой Гровера будет иметь эффективную стойкость ~64 бита, что требует перехода на AES-256.
фраза «квантовый компьютер взломает ваши пароли» технически некорректна. Он может в будущем поставить под угрозу канал, по которому пароль передаётся. Но сами хеши паролей в базе данных он не «взломает» мгновенно.
Почему хеши паролей останутся крепким орешком
В корректно спроектированных системах пароль никогда не хранится и не сравнивается в открытом виде. Вместо этого хранится результат работы стойкой ключевой функции формирования (KDF), такой как bcrypt, scrypt или Argon2. Их специфика — в намеренном замедлении вычислений и требовании большого объёма памяти, что сводит на нет преимущество массового параллельного перебора, включая потенциальный квантовый.
Алгоритм Гровера теоретически ускорит проверку одного кандидата, но каждая такая проверка в случае с Argon2 будет по-прежнему требовать значительного времени и памяти. Квадратичное ускорение перебора 10 миллиардов вариантов превратится в необходимость провести 100 тысяч операций, но каждая из этих операций останется намеренно тяжёлой. Практическая осуществимость такой атаки на устойчивые KDF в обозримом будущем стремится к нулю.
Реальная опасность исходит от устаревших или некорректных реализаций: хранение паролей в MD5 или SHA-1 без «соли», использование быстрых хеш-функций для этих целей. Их уязвимость к классическим атакам на видеокартах (GPU) и специализированных ASIC на порядки выше гипотетической квантовой угрозы.
Лавина технических барьеров для квантового взлома
Разговоры о скором появлении машины, способной выполнить алгоритм Шора для RSA-2048, игнорируют фундаментальные физические и инженерные сложности.
- Логические vs физические кубиты. Кубиты крайне нестабильны. Для коррекции ошибок, возникающих из-за декогеренции и шума, один надёжный логический кубит создаётся из массива в сотни или даже тысячи физических. Оценки для взлома RSA-2048 варьируются от 20 до 200 миллионов физических кубитов. Современные квантовые процессоры имеют порядка нескольких сотен физических кубитов с высоким уровнем ошибок.
- Проблема связности и синхронизации. Для выполнения сложных алгоритмов тысячи логических кубитов должны поддерживать когерентное взаимодействие на протяжении всего вычисления, которое может длиться часы. Это задача беспрецедентной сложности, решение которой пока не найдено.
временной горизонт появления такой машины измеряется не годами, а скорее десятилетиями. Это даёт криптографическому сообществу критически важный запас времени.
Постквантовая криптография: не ожидание, а активный переход
Пока физики работают над машиной, криптографы меняют математический фундамент, делая его невосприимчивым к атаке Шора. Речь идёт о разработке и стандартизации алгоритмов, основанных на иных сложных задачах.
| Класс алгоритмов | Основа | Примеры (финалисты NIST) | Статус в РФ |
|---|---|---|---|
| Криптография на решётках | Задача нахождения кратчайшего вектора в решётке | CRYSTALS-Kyber (KEM), CRYSTALS-Dilithium (подписи) | Активно изучается, ведутся НИР по разработке отечественных аналогов. |
| Кодовая криптография | Задача декодирования произвольного линейного кода | Classic McEliece | Менее приоритетное направление ввиду больших размеров ключей. |
| Многомерные квадратичные системы | Задача решения системы нелинейных уравнений | Rainbow (подвергнут атакам) | Интерес снизился после взлома ряда схем. |
В России ФСТЭК и Центр защиты информации ФСБ координируют работу по анализу устойчивости отечественных криптографических стандартов (ГОСТ серии 34.10, 34.11) и разработке постквантовых дополнений или новых стандартов. Ключевая задача — не просто выбрать алгоритм, а обеспечить его безопасную реализацию и плавную интеграцию в существующую инфраструктуру, включая средства электронной подписи и шифрования, сертифицированные по требованиям 152-ФЗ и приказов ФСТЭК.
Стратегия действий: от гигиены до криптоагностики
Ожидание «квантового дня X» не должно парализовать, но должно структурировать действия по приоритетам.
- Ликвидируйте текущие уязвимости. 99% инцидентов связаны с классическими атаками. Убедитесь, что пароли хранятся с использованием современных KDF (Argon2id, scrypt), включено 2FA, ПО обновлено, а права доступа минимизированы. Это даёт наибольший возврат инвестиций в безопасность.
- Начните инвентаризацию криптографии. Составьте реестр всех систем, где используется долгосрочная асимметричная криптография: TLS-сертификаты, ключи электронной подписи, VPN. Определите их сроки жизни. Приоритет — системы, где зашифрованные данные перехватываются и хранятся сегодня для расшифровки в будущем.
- Экспериментируйте с гибридными схемами. Наиболее прагматичный подход на переходный период — гибридное шифрование. Например, в TLS-соединении одновременно используются и классический алгоритм (ECC), и постквантовый (Kyber). Так защита гарантируется, пока хотя бы один из алгоритмов устойчив. Тестируйте такие решения в пилотных проектах.
- Следите за регуляторной повесткой. Мониторьте рекомендации ФСТЭК и Банка России относительно постквантовой криптографии. Участвуйте в отраслевых обсуждениях. Планируйте бюджет и roadmap для будущей миграции, которая займёт годы.
Квантовый компьютер, это не внезапный взрыв, а медленно наступающий прилив. Угроза реальна, но её характер и сроки позволяют действовать рационально. Паника — плохой советчик. Систематическая работа по усилению криптографии и устранению базовых уязвимостей — единственная разумная стратегия. Пока одни ждут волшебную машину для взлома, другие должны построить новую стену, используя для этого время, которое у нас ещё есть.