Взгляд инженера-криптографа на сроки появления квантовых компьютеров

Если вы отвечаете за безопасность систем — у вас есть 33 месяца.

Евгений Стребков
Обложка: Взгляд инженера-криптографа на сроки появления квантовых компьютеров

Если вы отвечаете за безопасность систем — читайте внимательно: у вас может быть всего 33 месяца до появления квантового компьютера, способного сломать RSA и эллиптическую криптографию. Это не фантастика — инженеры Google и Oratomic только что опубликовали работы, которые радикально снизили оценки необходимых ресурсов.

Две недавние статьи изменили ландшафт квантовых угроз. Google показал атаку на 256-битную эллиптическую криптографию, которая занимает минуты на быстрых архитектурах. Oratomic опубликовал расчёты, показывающие, что для взлома достаточно 10 000 физических кубитов при нелокальной связности — на порядки меньше, чем считалось раньше.

Далее — перевод статьи Филиппо Валсорды, ведущего криптографа Go и основателя Geomys.

Ключевые выводы
Что нужно знать о квантовой угрозе
Практические выводы для инженеров и руководителей ИБ
  • Google и Oratomic резко снизили оценки ресурсов для квантовой атаки на эллиптическую криптографию
  • Heather Adkins и Sophie Schmieg (Google) установили дедлайн 2029 — 33 месяца от сегодня
  • Вопрос не «будет ли CRQC к 2030», а «уверены ли вы на 100%, что не будет»
  • ML-KEM и ML-DSA нужно развёртывать прямо сейчас, без ожидания
  • Гибридные подписи (classic + PQ) — потеря времени, переходите сразу на ML-DSA-44
  • Симметричная криптография (128-bit) остаётся безопасной — алгоритм Гровера не параллелизуется
  • TEE (SGX, SEV-SNP) фактически уязвимы — PQ-ключей для них нет
  • Scott Aaronson проводит параллель с ядерным оружием: исследования перестали быть публичными

Что изменилось: две статьи, которые переписали прогнозы

До недавнего времени консенсус был таков: криптографически значимый квантовый компьютер (CRQC) потребует миллионы физических кубитов и будет недостижим ещё десятилетия. Две работы 2024–2025 годов разрушили этот консенсус.

Статья Google продемонстрировала атаку на 256-битную эллиптическую криптографию, которая на быстрых архитектурах занимает минуты, а не годы. Oratomic в своей работе показал, что при нелокальной связности кубитов достаточно 10 000 физических кубитов — это на несколько порядков меньше всех предыдущих оценок.

Валсорда оговаривается: он не квантовый физик и не может проверить математику этих статей самостоятельно. Но криптографическое сообщество восприняло их серьёзно. Именно поэтому Heather Adkins (VP Security Google) и Sophie Schmieg (криптограф Google) публично заявили, что считают дедлайн 2029 реалистичным.

Параллель с ядерным оружием

Scott Aaronson — один из ведущих специалистов по квантовым вычислениям — провёл тревожную параллель. По его словам, квантовые исследования сейчас напоминают ядерную физику в 1939–1940 годах: публикации ещё открыты, но это может измениться очень быстро, когда военные и государственные акторы поймут практическую значимость работ.

Вопрос не в том, появится ли CRQC к 2030 году. Вопрос в том, уверены ли вы на 100%, что он не появится.
Филиппо ВалсордаВедущий криптограф Go, основатель Geomys

Это принципиальный сдвиг в риторике. Раньше аргумент против постквантового перехода звучал так: «зачем тратить ресурсы на угрозу, которая, возможно, никогда не материализуется». Сейчас аргумент перевернулся: если есть хотя бы значимая вероятность CRQC к 2029–2030, цена бездействия несопоставимо выше цены перехода.

Что делать прямо сейчас: ML-KEM и ML-DSA

NIST стандартизировал постквантовые алгоритмы: ML-KEM (FIPS 203) для инкапсуляции ключей и ML-DSA (FIPS 204) для цифровых подписей. Их нужно развёртывать сейчас, не дожидаясь следующего года или «когда все перейдут».

Для обмена ключами (key exchange) переход относительно прост: ML-KEM уже поддерживается в TLS 1.3, OpenSSH, браузерах. Сложнее с подписями.

Гибридные подписи: не тратьте время

В сообществе активно обсуждаются «гибридные» схемы подписей, где подпись содержит и классическую (ECDSA/RSA), и постквантовую компоненту. Позиция Валсорды: это потеря времени и усложнение системы без реальной выгоды.

Аргумент за гибриды звучит так: «если ML-DSA окажется уязвимым, классическая часть спасёт». Но это неправильный анализ угрозы. Если CRQC появится, классическая часть сломается первой. Если ML-DSA сломается математически — мы всё равно в проблеме. Правильный подход: идти сразу на ML-DSA-44 (минимальный вариант) и не строить сложные гибридные схемы.

Что безопасно, а что нет

Симметричная криптография: можно не паниковать

AES-128 и SHA-256 остаются безопасными. Алгоритм Гровера теоретически снижает стойкость симметричных шифров вдвое по числу бит, но критически важно: алгоритм Гровера не параллелизуется. Квантовое ускорение здесь квадратичное, а не экспоненциальное, как у алгоритма Шора для RSA. 128-битная симметричная защита эквивалентна 64-битной квантовой, что по-прежнему недостижимо для атаки.

TEE (доверенные среды выполнения): проблема без решения

Для Intel SGX, AMD SEV-SNP и других TEE-технологий ситуация плохая. Аттестация в этих системах строится на RSA и ECDSA ключах, прошитых в железо производителем. Постквантовых ключей для TEE-аттестации попросту не существует — это проблема на уровне аппаратного обеспечения, которую нельзя решить программным обновлением.

Если ваша архитектура безопасности критически зависит от TEE-аттестации — это риск, который нужно учитывать в планировании прямо сейчас.

Сигналы от инструментов: OpenSSH уже предупреждает

Практический индикатор серьёзности ситуации: OpenSSH в последних версиях начал выводить предупреждения о соединениях без постквантового обмена ключами. Это не просто «best practice» — это сигнал от людей, которые пишут критическую инфраструктуру и видят угрозу достаточно близкой, чтобы беспокоить пользователей прямо сейчас.

Параллельно Валсорда начал преподавать RSA и ECDSA как legacy-алгоритмы в своих курсах и воркшопах. Не как «возможно устаревшие в будущем», а как алгоритмы с ограниченным сроком годности, которые нужно заменять сегодня.

Практический план действий

  1. Key exchange — перейти на ML-KEM в TLS 1.3 прямо сейчас. Поддержка есть в OpenSSL 3.x, BoringSSL, браузерах, Go 1.23+
  2. Подписи — начать миграцию на ML-DSA-44. Не гибридные схемы, а чистый ML-DSA
  3. Инвентаризация — найти все места, где используются RSA/ECDSA/DH ключи: TLS-сертификаты, SSH-ключи, JWT, code signing, PKI
  4. TEE-зависимости — задокументировать все системы, использующие SGX/SEV аттестацию, оценить риск
  5. Симметрику — не трогать, AES-128 и SHA-256 достаточно
  6. Планирование — не ждать «когда всё устаканится». 33 месяца — это меньше трёх лет
Часто задаваемые вопросы
1
Почему именно 2029, а не позже?

Heather Adkins и Sophie Schmieg из Google установили этот дедлайн на основании совокупности факторов: недавних работ Google и Oratomic, снижающих требования к ресурсам, темпов развития квантового железа и того, что «HNDL-атаки» (Harvest Now, Decrypt Later — собирай сейчас, расшифруй потом) уже идут. Если противник уже записывает зашифрованный трафик в расчёте на будущий CRQC, то данные с 10-летним сроком конфиденциальности уже под угрозой.

2
ML-DSA-44, 65 или 87 — какой уровень выбрать?

Для большинства применений достаточно ML-DSA-44 (эквивалент безопасности ~128 бит). ML-DSA-65 и ML-DSA-87 дают более высокий уровень безопасности ценой увеличения размера подписи и ключей. Используйте ML-DSA-65/87 только если ваши данные имеют срок конфиденциальности более 10–20 лет и требования к безопасности соответствующие.

3
Что будет с существующими TLS-сертификатами?

Браузеры и CA уже работают над постквантовыми сертификатами. Приоритет сейчас — постквантовый обмен ключами в TLS (ML-KEM), потому что именно он защищает от HNDL-атак. Сертификаты (подписи) менее срочны: их перевыпуск можно планировать на 2026–2027 годы по мере появления инфраструктуры.

4
Не паникуете ли вы раньше времени?

Возможно. Но посмотрите на соотношение рисков: переход на постквантовые алгоритмы — это инженерная работа с понятной стоимостью. Промедление в случае раннего CRQC — это полная компрометация инфраструктуры. Это несимметричные ставки. Даже если CRQC появится не в 2029, а в 2035 — те, кто начал переход сейчас, будут готовы. Те, кто ждал — нет.

5
Что делать с PGP и S/MIME?

PGP и S/MIME — легаси-системы с медленным циклом обновлений. Постквантовой поддержки в стабильных версиях пока нет. Если вы используете их для долгосрочного хранения важных данных — это риск. Рекомендация: перейти на современные защищённые мессенджеры (Signal уже развернул постквантовый протокол PQXDH) или подождать постквантовых расширений в OpenPGP.

Итог: время инженера дороже неопределённости

Валсорда не утверждает, что CRQC обязательно появится к 2029 году. Но вероятность, по его мнению, достаточно высока, чтобы действовать уже сейчас. Квантовые исследования развиваются быстрее, чем ожидалось. Публичность этих исследований может быть временной — как это было с ядерными в 1940-х.

Практический совет Валсорды: начните с инвентаризации криптографии в вашей системе. Найдите все RSA, ECDSA, DH ключи и соединения. Это займёт время — лучше начать сейчас. NIST уже стандартизировал алгоритмы. Реализации есть. Экспертиза накапливается. Единственное, чего не хватает — это решения начать.

В этой статье
  1. Что изменилось: две статьи, которые переписали прогнозы
  2. Параллель с ядерным оружием
  3. Что делать прямо сейчас: ML-KEM и ML-DSA
  4. Что безопасно, а что нет
  5. Сигналы от инструментов: OpenSSH уже предупреждает
  6. Практический план действий
  7. Итог: время инженера дороже неопределённости
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter