«Без квантового компьютера можно взломать RSA, а с ним — можно взломать быстрее. Но пароли взламывают не алгоритмом Шора, а кучей видеокарт. Основная угроза — не твои пароли, а сертификаты и подписи в государственных системах и банках. Устойчивые алгоритмы появятся не как ответ на взлом, а как бюрократический процесс, за которым стоит поспевать» .
Крипография и хакеры
Представление о взломе паролей через интерфейс ввода — иллюзия. Реальная работа происходит в другом слое, где пароли уже превращены в математические объекты. Система оперирует не «qwerty123», а его хэшем — результатом односторонней функции вроде SHA-256 или ГОСТ Р 34.11-2012 «Стрибог». Этот хэш и хранится в базе, с ним же сравнивается при аутентификации.
Взлом, будь то подбор по словарю или перебор (brute-force),, это атака на хэш-функцию. Её стойкость определяется не тем, насколько сложен пароль, а тем, насколько сложно найти коллизию или восстановить исходные данные по выходному значению. Пароль — лишь отправная точка для криптографического преобразования, и ломается именно это преобразование.
Не просто быстрее
Квантовые компьютеры — не просто более мощные версии классических. Они решают определённый класс задач, экспоненциально недоступный традиционным системам. Речь идёт о задачах, основанных на факторизации больших чисел и дискретном логарифмировании. Для большинства рутинных операций квантовое ускорение либо незначительно, либо отсутствует.
Однако почти вся современная криптография с открытым ключом (асимметричная) построена как раз на этих «трудных» математических задачах. Их сложность для классических компьютеров — краеугольный камин доверия в цифровом мире. Квантовый компьютер превращает задачу, на решение которой ушли бы миллиарды лет, в задачу, решаемую за часы или дни.
Уязвимые алгоритмы
Алгоритмы, составляющие основу инфраструктуры PKI (Public Key Infrastructure), такие как RSA и ECC (эллиптические кривые), становятся бесполезными перед лицом алгоритма Шора, работающего на квантовом компьютере достаточной мощности.
| Алгоритм | Математическая основа | Что ломает квантовый компьютер | Где используется |
|---|---|---|---|
| RSA | Факторизация больших чисел | Алгоритм Шора | Сертификаты TLS/SSL, шифрование, электронная подпись |
| ECC (ECDSA, ECDH) | Дискретный логарифм на эллиптической кривой | Алгоритм Шора | Аналоги RSA, но с меньшими ключами; популярен в мобильных и IoT-устройствах |
| Дискретный логарифм в конечном поле | Алгоритм Шора | Протоколы обмена ключами, старые системы электронной подписи |
Это означает, что под угрозой не просто «шифрование файлов», а механизмы, обеспечивающие доверие: аутентификация серверов в интернете (HTTPS), цифровые подписи в системах электронного документооборота (ЭДО), защищённые каналы связи в госсекторе.
Неуязвимые алгоритмы
Не вся криптография рухнет. Симметричное шифрование (AES, ГОСТ 28147-89) и хэш-функции (SHA-256/512, «Стрибог») основаны на других принципах — перемешивании и подстановке. Алгоритм Гровера даёт квантовое ускорение для поиска ключа, но лишь квадратичное.
Проще говоря, если для взлома AES-256 классическому компьютеру нужно условно 2256 операций, то квантовому — около 2128. Это по-прежнему астрономически большое число. Угроза здесь управляема: увеличение длины ключа с 128 до 256 бит нейтрализует преимущество Гровера. Для хэш-функций защита — в увеличении длины выхода (переход с SHA-256 на SHA-512).
Именно поэтому пароли, хранимые с использованием современных адаптивных хэш-функций (bcrypt, scrypt, Argon2), останутся защищёнными даже в квантовую эру. Их взламывают не Шором, а фермами видеокарт, и это сегодняшняя, а не завтрашняя проблема.
Стек устойчивости
Ни одна система не работает на одном алгоритме. Возьмём TLS-соединение: сначала используется RSA или ECC для аутентификации сервера и выработки сеансового ключа (это слабое звено), а затем всё дальнейшее шифрование трафика идёт на быстром AES (стойкое звено).
Получается гибридная модель: квантово-уязвимый алгоритм устанавливает доверие, а квантово-стойкий — защищает данные. Сломав первое, атакующий может выдать себя за сервер (атака «человек посередине»), но не сможет расшифровать ранее перехваченный трафик, зашифрованный AES.
Другие угрозы
Угроза — не в существовании квантового компьютера, а в его качестве. Для взлома RSA-2048 нужна машина с тысячами, а возможно, и миллионами стабильных логических кубитов с крайне низким уровнем ошибок. Современные прототипы оперируют сотнями шумных кубитов, что на порядки меньше необходимого.
Более реальная угроза называется «harvest now, decrypt later» («собрать сейчас, расшифровать позже»). Противник может сегодня перехватывать и архивировать зашифрованную информацию (например, криптовалютные транзакции или дипломатическую переписку), чтобы расшифровать её через 10-15 лет, когда квантовые компьютеры созреют. Это делает долгосрочную конфиденциальность данных иллюзией.
Стратегии защиты: постквантовая криптография
Ответ — переход на алгоритмы, криптостойкость которых основана на задачах, остающихся сложными и для квантовых компьютеров. Это не один алгоритм, а целые семейства:
- Криптография на решётках (Lattice-based): наиболее перспективное направление, лежит в основе нескольких финалистов конкурса NIST.
- Кодовая криптография (Code-based): основана на сложности декодирования произвольных линейных кодов. Алгоритмы, как правило, имеют большие размеры ключей.
- Многомерная криптография (Multivariate): основана на сложности решения систем нелинейных уравнений.
В России работа в этом направлении ведётся в рамках развития линейки ГОСТ. Ожидается появление новых отечественных алгоритмов или адаптация проверенных международных подходов с их последующей стандартизацией ФСТЭК и ФСБ.
Что делать сейчас
Паниковать рано, но готовиться пора. Задачи для ИТ-специалиста и регуляторика:
- Инвентаризация. Составить криптографический паспорт инфраструктуры: где используются RSA, ECDSA, Диффи-Хеллман. Особое внимание — системам ЭДО, СКЗИ, УЦ, VPN-шлюзам.
- Гибридные схемы. При планировании новых внедрений рассматривать решения, поддерживающие гибридный режим работы, где наряду с классическим алгоритмом используется постквантовый. Это обеспечивает обратную совместимость и плавный переход.
- Актуализация политик. Заложить в политики информационной безопасности требования к криптографической гибкости (crypto-agility) — возможности замены криптографических алгоритмов в разумные сроки без полной переделки системы.
- Мониторинг стандартов. Следить за выходом российских стандартов постквантовой криптографии и рекомендациями регуляторов. Первыми под замену, скорее всего, пойдут алгоритмы, используемые для квалифицированной электронной подписи и защиты гостайны.
Сроки
Переход не будет одномоментным. Это многоэтапный процесс: 1. Стандартизация (NIST уже определил первые алгоритмы, в России этот процесс займёт дополнительные годы). 2. Реализация в библиотеках (OpenSSL, криптопровайдеры). 3. Внедрение в аппаратные СКЗИ и программные продукты. 4. Обновление инфраструктуры и отзыв старых сертификатов.
Ориентировочный горизонт появления первых реальных требований от российских регуляторов — вторая половина этого десятилетия. Но архитектурные решения, закладываемые в проекты сегодня, должны эту возможность учитывать. Неготовность к переходу в будущем может привести не к взлому, а к несоответствию требованиям и остановке критически важных систем.