Мейнтейнер Go crypto: квантовые компьютеры могут взломать криптографию к 2029 году — мигрировать нужно сейчас

Мейнтейнер Go crypto Филиппо Вальсорда публично изменил позицию: миграция на постквантовые алгоритмы стала неотложной. Google установила дедлайн 2029 года.

Евгений Стребков
Обложка: Мейнтейнер Go crypto: квантовые компьютеры могут взломать криптографию к 2029 году — мигрировать нужно сейчас

Если вы работаете с криптографией — обратите внимание: дедлайн миграции на постквантовые алгоритмы сдвинулся с 2035 на 2029 год. Филиппо Вальсорда — криптографический инженер, мейнтейнер пакетов crypto в стандартной библиотеке Go — публично изменил свою позицию по срочности миграции на постквантовую криптографию.

Две научные статьи, опубликованные на прошлой неделе, радикально снизили оценки ресурсов, необходимых квантовому компьютеру для взлома современной криптографии. Вальсорда считает, что риск стал неприемлемым — и миграцию нужно начинать немедленно.

Ключевые выводы
  • Google снизила оценку ресурсов для взлома 256-битных эллиптических кривых — атака возможна за минуты
  • Oratomic показала: 10 000 физических кубитов могут быть достаточно (при неклассической связности)
  • Эксперты Google установили дедлайн миграции на постквантовую криптографию — 2029 год
  • ML-KEM и ML-DSA — алгоритмы, которые нужно внедрять прямо сейчас
  • Гибридная аутентификация больше не имеет смысла — нужно переходить сразу на ML-DSA-44
  • TEE (Intel SGX, AMD SEV-SNP) не имеют постквантовых ключей — их надёжность под вопросом

Что произошло

На прошлой неделе вышли две статьи, которые изменили картину:

  • Google опубликовала статью, резко снижающую оценку числа логических кубитов и гейтов для взлома 256-битных эллиптических кривых (NIST P-256, secp256k1). Атака стала возможна за минуты на архитектурах со сверхпроводящими кубитами
  • Oratomic показала, что 256-битные кривые можно сломать на 10 000 физических кубитах при неклассической связности (как у нейтральных атомов). Атака медленнее, но даже один взломанный ключ в месяц — это катастрофа

Почему это срочно

Вальсорда приводит позиции экспертов:

Квантовые рубежи могут быть ближе, чем кажутся. 2029 — наш дедлайн.
Хизер Адкинс и Софи ШмигGoogle

Скотт Ааронсон сравнил текущую ситуацию с тем, как исследования ядерного деления перестали публиковаться между 1939 и 1940 годами — намекая, что часть прогресса в квантовых вычислениях уже идёт непублично.

Ключевой аргумент Вальсорды: вопрос не «уверены ли вы на 100%, что квантовый компьютер появится к 2030?», а «уверены ли вы на 100%, что НЕ появится?» Когда на кону безопасность пользователей, даже небольшая вероятность неприемлема.

Что делать прямо сейчас

Обмен ключами (key exchange)

Миграция на ML-KEM идёт нормально. В Go 1.24 алгоритм доступен в стандартной библиотеке (crypto/mlkem). TLS уже использует гибрид X25519 + ML-KEM-768.

Любой обмен ключами без постквантовой защиты Вальсорда теперь считает потенциальной компрометацией — как это делает OpenSSH, предупреждая пользователя.

Аутентификация (подписи)

Здесь Вальсорда радикальнее: гибридная аутентификация (классика + постквантум) больше не имеет смысла. Нужно переходить сразу на чистый ML-DSA-44:

  • Гибридные схемы с 18 типами композитных ключей (draft-ietf-lamps-pq-composite-sigs) только замедлят миграцию
  • За два года опыта с ML-KEM появилась уверенность в решётчатых схемах
  • Единственная выгода гибридов — защита, если ML-DSA будет классически взломан до появления квантового компьютера. Это неправильный компромисс

Симметричное шифрование

Хорошая новость: ничего делать не нужно. Распространённое заблуждение о необходимости 256-битных ключей из-за алгоритма Гровера — ошибочно. 128-битные ключи остаются безопасными: атака Гровера не масштабируется при параллелизации, и это доказано математически.

TEE и аппаратная аттестация

Intel SGX, AMD SEV-SNP и другие TEE — в худшем положении. Все их ключи и корни доверия не используют постквантовые алгоритмы, и Вальсорда не слышал о прогрессе в этом направлении. Для аппаратных решений это означает: если квантовый компьютер появится раньше обновления — TEE нельзя считать надёжной защитой.

Кого это затрагивает

  • Блокчейн-экосистемы (atproto, криптовалюты) — нужно начинать миграцию немедленно, иначе при появлении квантового компьютера придётся выбирать между компрометацией пользователей и блокировкой аккаунтов
  • Шифрование файлов — особенно уязвимо для атак «сохрани сейчас, расшифруй потом». Вальсорда планирует начать предупреждать, а затем блокировать неквантовостойкие типы получателей в age
  • Протоколы с долгоживущими ключами — всё, что рассчитано на работу дольше 3 лет, уже под угрозой
  • Новые развёртывания — больше не имеет смысла внедрять неквантовостойкие схемы. Даже если пэйринги были удобны
Часто задаваемые вопросы
1
Квантовый компьютер уже может взломать криптографию?

Пока нет. Но две новые статьи резко снизили оценки ресурсов для атаки: Google показала возможность взлома 256-битных кривых за минуты, Oratomic — на 10 000 физических кубитах. Эксперты из Google установили дедлайн 2029 год.

2
Что такое ML-KEM и ML-DSA?

Это постквантовые алгоритмы, выбранные в конкурсе NIST. ML-KEM (Module-Lattice Key Encapsulation Mechanism) — для обмена ключами. ML-DSA (Module-Lattice Digital Signature Algorithm) — для цифровых подписей. Оба уже доступны в Go 1.24.

3
Нужно ли мне как разработчику что-то делать?

Если вы работаете с TLS, SSH, шифрованием файлов или цифровыми подписями — да. Проверьте, поддерживают ли ваши библиотеки ML-KEM и ML-DSA, и включите постквантовые алгоритмы. Если вы используете Go — crypto/mlkem уже в стандартной библиотеке.

4
AES-128 всё ещё безопасен?

Да. Вопреки распространённому мнению, алгоритм Гровера не делает 128-битные ключи уязвимыми на практике. Атака не масштабируется при параллелизации, и это математически доказано. Переход на 256-битные ключи не требуется.

Выводы

Может быть, через 10 лет предсказания окажутся неверными. Но сейчас они могут оказаться верными совсем скоро — и этот риск больше неприемлем.
Филиппо ВальсордаGeomys, Go crypto maintainer

Вальсорда начал преподавать курс криптографии в Болонском университете — и упоминает RSA, ECDSA и ECDH только как устаревшие алгоритмы. Это говорит о масштабе сдвига: криптографическое сообщество переходит от «когда-нибудь» к «прямо сейчас».

Источник: Filippo Valsorda — A Cryptography Engineer's Perspective on Quantum Computing Timelines

В этой статье
  1. Ключевые выводы
  2. Что произошло
  3. Почему это срочно
  4. Что делать прямо сейчас
  5. Кого это затрагивает
  6. Часто задаваемые вопросы
  7. Выводы
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter