I. Введение: Обратный отсчет – это уже важно

Перспектива появления мощных квантовых компьютеров ставит под угрозу большую часть криптографических систем, на которые человечество полагается для обеспечения безопасности цифровых коммуникаций, хранения данных и цифровых подписей.1 Это не сюжет научно-фантастического фильма, а реальная будущая проблема, признанная экспертами и такими организациями, как Национальный институт стандартов и технологий США (NIST).3 Угроза затрагивает все: от безопасного просмотра веб-страниц (HTTPS) и VPN до финансовых транзакций и защиты конфиденциальных личных или государственных данных.2

Особую тревогу вызывает стратегия, известная как "Harvest Now, Decrypt Later" (HNDL) – "Собирай сейчас, расшифровывай потом". Суть ее в том, что злоумышленники, вероятно, уже сегодня собирают и сохраняют зашифрованные данные с намерением расшифровать их, как только в их распоряжении окажутся достаточно мощные квантовые компьютеры.1 Это означает, что информация с длительным сроком конфиденциальности – государственные тайны, интеллектуальная собственность, медицинские записи – уже находится под угрозой, даже если криптографически значимые квантовые компьютеры (CRQC) появятся лишь через несколько лет.2

Для аудитории Хабра, состоящей из разработчиков, IT-специалистов и технических энтузиастов, это имеет прямое отношение. Разработчикам стоит задуматься, как создаваемые ими сегодня приложения выдержат проверку будущими угрозами. IT-специалистам необходимо оценить последствия для текущей и будущей безопасности инфраструктуры. А для всех пользователей технологий на кону безопасность личных данных, финансовой информации и цифровой идентичности, защищенных криптографией, которая может стать уязвимой.

Важно понимать, что CRQC, способный взломать современные стандарты шифрования, сегодня еще не существует.1 Однако история показывает, что переход на новые криптографические стандарты – процесс длительный, занимающий десятилетия (например, переход от DES к AES).5 Следовательно, подготовку необходимо начинать уже сейчас.3 Как отмечает NIST, на развертывание современной инфраструктуры открытых ключей ушло почти два десятилетия, поэтому, независимо от точных сроков появления квантовой эры, необходимо уже сегодня готовить системы информационной безопасности к противостоянию квантовым вычислениям.3

Эта реальность – сбор данных сегодня для будущей расшифровки – создает своеобразную дилемму: необходимость срочных действий против угрозы, наиболее драматичные последствия которой еще не наступили. Конфиденциальная информация часто требует защиты на протяжении десятилетий – срока, который может легко превысить предполагаемое время до появления мощных квантовых компьютеров. Таким образом, данные, зашифрованные сегодня с использованием уязвимых методов, уже подвергаются риску будущей компрометации. Это требует смены парадигмы с "угрозы еще нет" на "сегодняшние данные должны быть защищены от завтрашних возможностей". Промедление с переходом на постквантовую криптографию (PQC) – это не просто накопление технического долга, а возрастающий общественный и экономический риск. Потенциальные последствия "криптоапокалипсиса" – массового события расшифровки – были бы катастрофическими.2 Поэтому ранние инвестиции в PQC, хотя и затратны, вероятно, обойдутся значительно дешевле, чем устранение последствий взлома систем, превращая PQC не просто в обновление безопасности, а в необходимый элемент управления рисками.

II. Экспресс-курс в Квантовые вычисления

Чтобы понять суть квантовой угрозы, необходимо разобраться в основах квантовых вычислений, отличающихся от классических. Классические компьютеры оперируют битами, которые могут принимать значение либо 0, либо 1.8 Квантовые компьютеры используют кубиты. Кубит, благодаря явлению суперпозиции, может представлять собой 0, 1 или комбинацию этих состояний одновременно, пока не будет произведено измерение.8 Это не означает, что кубит магическим образом находится в двух состояниях для общих вычислений, скорее, это дает возможность исследовать множество вариантов в специфических типах расчетов. Представить это можно как вращающуюся монету до того, как она упадет, а не монету, которая одновременно является и орлом, и решкой.

Другое ключевое квантовое явление – запутанность. Когда кубиты становятся запутанными, их состояния оказываются взаимосвязанными независимо от расстояния между ними. Изменение состояния одного кубита мгновенно влияет на другой.8 Это свойство является мощным инструментом для определенных квантовых алгоритмов.

Именно специфические квантовые алгоритмы представляют угрозу для современной криптографии:

Алгоритм Шора (Убийца асимметричной криптографии): Разработанный Питером Шором в 1994 году 1, этот алгоритм способен эффективно разлагать большие числа на простые множители и решать проблему дискретного логарифмирования. Эти задачи лежат в основе таких асимметричных криптосистем, как RSA, ECC, DSA и протокола обмена ключами Диффи-Хеллмана.1 Достаточно мощный квантовый компьютер, исполняющий алгоритм Шора, сможет взломать эти системы за "секунды или минуты" 1, делая небезопасной большую часть нашей текущей инфраструктуры открытых ключей, включая HTTPS, цифровые подписи, защищенную электронную почту и VPN.2

Алгоритм Гровера (Ослабляющий симметричное шифрование): Этот алгоритм позволяет осуществлять поиск в несортированных базах данных квадратично быстрее, чем классические алгоритмы.1 В криптографии это означает, что он может более эффективно осуществлять полный перебор (brute-force) симметричных ключей, таких как AES. Он не "взламывает" AES так, как алгоритм Шора взламывает RSA, но он эффективно уменьшает стойкость ключа вдвое.1 Например, AES-128 будет обеспечивать лишь 64-битную безопасность против атаки с использованием алгоритма Гровера. Способом противодействия является использование ключей большей длины (например, AES-256).1 Большинство современных симметричных криптографических алгоритмов и хеш-функций считаются относительно устойчивыми к атакам квантовых компьютеров при условии удвоения длины ключа.12

Важно понимать, что квантовые компьютеры – это не просто "более быстрые" классические компьютеры. Их мощь проявляется при решении специфических задач, для которых существуют эффективные квантовые алгоритмы.1 Существует даже скептицизм относительно универсального ускорения всех вычислений.14 Угроза квантовых компьютеров для криптографии является целенаправленной и обусловлена именно этими специализированными алгоритмами. Это означает, что не все вычислительные задачи будут революционизированы в равной степени, и классические вычисления останутся жизненно важными.

Различная природа воздействия квантовых алгоритмов диктует и дифференцированный подход к обеспечению квантовой устойчивости. Алгоритм Шора представляет экзистенциальную угрозу для криптографии с открытым ключом 2, требуя полной замены на новые, постквантовые алгоритмы. В то же время, алгоритм Гровера ослабляет симметричную криптографию, но не ломает ее фундаментально, если длина ключа удваивается.10 Следовательно, переход к квантово-безопасной криптографии будет более разрушительным для инфраструктуры открытых ключей, чем для симметричного шифрования, что влияет на приоритеты в стратегиях миграции.

Таблица 1: Классические и квантовые вычисления: ключевые различия

Параметр

Классический компьютер

Квантовый компьютер

Базовая единица

Бит

Кубит

Представление состояния

0 или 1

Суперпозиция 0 и 1

Ключевые явления

Н/Д

Суперпозиция, Запутанность

Основная угроза криптографии

Ограничена вычислительной мощностью

Специализированные алгоритмы, например, Шора и Гровера

Таблица 2: Влияние квантовых алгоритмов на современную криптографию

Квантовый алгоритм

Целевая криптография

Влияние на безопасность

Алгоритм Шора

Асимметричные: RSA, ECC, DSA, DH

Полный взлом

Алгоритм Гровера

Симметричные: AES и др.

Эффективная длина ключа уменьшается вдвое

III. Квантовая гонка вооружений: Знакомьтесь с титанами

Создание мощных и стабильных квантовых компьютеров – это масштабная научная и инженерная задача, в решение которой активно инвестируют ведущие технологические компании и исследовательские институты по всему миру.1 Цель состоит не только в достижении "квантового превосходства" (выполнение задачи, практически невыполнимой для классического компьютера, как заявила Google с процессором Sycamore 15), но и в создании "криптографически значимых квантовых компьютеров" (CRQC) и, в конечном итоге, отказоустойчивых квантовых компьютеров.

Google Quantum AI:

Ключевые разработки Google включают процессор Sycamore (2019 год, 53 операционных кубита), продемонстрировавший "квантовое превосходство" в специфической задаче, хотя и с ограниченным практическим применением.15 Ему предшествовал Bristlecone (2017-2018 годы, 72 кубита). Новейшей разработкой является чип Willow (конец 2024 года), содержащий 105 сверхпроводящих кубитов и сфокусированный на квантовой коррекции ошибок (QEC). Google утверждает, что Willow способен снижать частоту ошибок и корректировать их в реальном времени, что является шагом к созданию надежных систем. Некоторые отчеты указывают, что Willow продемонстрировал коррекцию ошибок ниже порога поверхностного кода. Стратегия Google направлена на масштабирование кубитов при одновременном решении проблемы коррекции ошибок, с целью создания полноценного компьютера с коррекцией ошибок к 2029 году.19

Анонс Willow

IBM Quantum:

IBM последовательно наращивает количество кубитов в своих процессорах: Eagle (2021 год, 127 кубитов), Osprey (2022 год, 433 кубита), и планируемый Condor (ожидался в ~2023/2024 годах, 1121 кубит).16 Процессор Heron R2, являющийся частью IBM Quantum System Two, нацелен на повышение производительности для сложных приложений. В планах на 2025 год – процессор Kookaburra (1386 кубитов) с многочиповой конфигурацией и квантовыми коммуникационными связями.16 IBM стремится к созданию системы с более чем 4000 кубитов к 2025 году 23 и квантового суперкомпьютера со 100 000 кубитов к 2033 году.16 Основной фокус IBM – быстрое масштабирование числа кубитов, модульная архитектура систем (Quantum System Two) и создание "квантово-центричного суперкомпьютера".20

Квантовый процессор Heron

Microsoft Quantum:

Microsoft избрала иной путь, сосредоточившись на разработке топологических кубитов с использованием частиц Майораны.24 Теоретически, такие кубиты должны быть более стабильными и менее подверженными ошибкам, чем другие типы кубитов, что потенциально упрощает коррекцию ошибок и масштабирование.25 Ключевой разработкой является чип Majorana 1, представленный в феврале 2025 года (некоторые источники указывают февраль 2024 года, но более поздние данные указывают на 2025 год 24). Это процессор на базе архитектуры Topological Core, открывающий путь к размещению миллиона кубитов на одном чипе.24 Microsoft стремится к созданию отказоустойчивого квантового компьютера за счет более стабильных, аппаратно-защищенных кубитов, потенциально обходя промежуточные сложности с коррекцией ошибок. Компания участвует в программе DARPA US2QC.

Квантовый процессор Majorana 1

Сроки появления CRQC остаются предметом дискуссий и активных исследований. Прогнозы варьируются, но многие эксперты предполагают, что CRQC может появиться к 2030 году или в течение следующего десятилетия.3 Альянс облачной безопасности (Cloud Security Alliance) рекомендует предприятиям достичь полной квантовой готовности к 14 апреля 2030 года.15

Заметно, что Google, IBM и Microsoft придерживаются различных основных стратегий в разработке кубитов и управлении ошибками: сверхпроводящие кубиты с продвинутой QEC, массовое масштабирование сверхпроводящих кубитов и новые топологические кубиты соответственно.16 Это разнообразие отражает раннюю, в высокой степени экспериментальную стадию создания крупномасштабных, отказоустойчивых квантовых компьютеров. Область все еще исследует наилучшие способы преодоления фундаментальных проблем, таких как декогеренция и частота ошибок. Неопределенность в отношении "победившей" аппаратной архитектуры добавляет еще один уровень сложности к прогнозированию точных сроков и возможностей CRQC. Однако интенсивная конкуренция и инвестиции со стороны нескольких гигантов предполагают, что прорывы вероятны, что делает подготовку к PQC еще более важной в качестве страховки от этих неопределенных, но прогрессирующих разработок.

Общей нитью в недавних анонсах, особенно у Google (Willow) 16 и в обосновании Microsoft выбора топологических кубитов 25, является критическая важность преодоления ошибок. Кубиты чрезвычайно хрупки и подвержены ошибкам.24 Без эффективной коррекции ошибок или изначально стабильных кубитов простое увеличение числа кубитов не приводит к увеличению вычислительной мощности для сложных задач; это может даже увеличить шум.19 Таким образом, прогресс в QEC (или альтернативных подходах к стабильности, как у Microsoft) является более значимым показателем практического продвижения в квантовых вычислениях, чем просто количество кубитов. Для аудитории Хабра это означает, что при оценке прогресса на пути к CRQC следует смотреть не только на количество кубитов, но и на способность выполнять надежные вычисления на логических кубитах (кубитах с коррекцией ошибок).

Таблица 3: Обзор ведущих квантовых компьютеров (фокус на конец 2024/начало 2025 гг.)

Компания

Последний КК/чип

Кол-во/Тип кубитов

Ключевая особенность/Фокус

Google

Willow

~105 сверхпроводящих

Передовая коррекция ошибок

IBM

Condor/Heron

~1121+ сверхпроводящих (Condor)

Масштабируемость, модульность

Microsoft

Majorana 1

Топологические

Стабильность кубитов, путь к 1 млн кубитов

IV. Постквантовая криптография (PQC)

Постквантовая криптография (PQC) – это разработка криптографических алгоритмов, устойчивых к атакам как со стороны классических, так и квантовых компьютеров.2 Необходимость в новых алгоритмах обусловлена тем, что существующая асимметричная криптография (RSA, ECC) основана на математических задачах, которые легко решаются квантовыми компьютерами с помощью алгоритма Шора. PQC использует другие математические задачи, которые считаются сложными для обоих типов компьютеров.1

Национальный институт стандартов и технологий США (NIST) возглавляет многолетний международный проект по отбору, оценке и стандартизации алгоритмов PQC.2 По состоянию на август 2024 года были финализированы следующие стандарты:

  • FIPS 203: ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism), ранее CRYSTALS-Kyber. Предназначен для общего шифрования и установления ключей.3

  • FIPS 204: ML-DSA (Module-Lattice-based Digital Signature Algorithm), ранее CRYSTALS-Dilithium. Предназначен для цифровых подписей.3

  • FIPS 205: SLH-DSA (Stateless Hash-based Digital Signature Algorithm), ранее SPHINCS+. Хеш-основанная схема подписи, рассматриваемая как резервный вариант.3 Ожидается, что еще один алгоритм для цифровых подписей, FALCON, будет стандартизирован как FIPS 206 (FN-DSA) к концу 2024 года.3 Другие алгоритмы, например, для инкапсуляции ключей (KEM), такие как HQC, BIKE и Classic McEliece, находятся на дальнейших этапах рассмотрения или рассматриваются для будущей стандартизации.11

Инструментарий PQC включает несколько различных подходов:

Криптография на основе решеток (Lattice-based Cryptography):

  • Основная идея: Сложность решения определенных задач на многомерных решетках точек. Представьте себе поиск ближайшей точки в очень сложной, высокоразмерной структуре решетки или поиск "короткого" пути внутри нее.11

  • Примеры: CRYSTALS-Kyber (ML-KEM), CRYSTALS-Dilithium (ML-DSA), Falcon.2

  • Плюсы: В целом хорошая производительность, относительно небольшие размеры ключей/подписей для обеспечиваемого уровня безопасности. Являются сильными кандидатами, два из них стали основными стандартами NIST.

  • Минусы: Сложные математические основы; безопасность зависит от предполагаемой сложности задач на решетках.

    Криптография на основе кодов (Code-based Cryptography):

  • Основная идея: Сложность декодирования сообщения, которое было намеренно искажено с использованием кода, исправляющего ошибки, где трудно отличить преднамеренное искажение от случайных ошибок без секретного ключа.11

  • Примеры: Classic McEliece, HQC, BIKE.11

  • Плюсы: Некоторые схемы (например, McEliece с кодами Гоппы) выдержали проверку временем на протяжении десятилетий.

  • Минусы: Некоторые схемы могут иметь очень большие размеры открытых ключей.

    Хеш-основанные подписи (без сохранения состояния) (Stateless Hash-based Signatures):

  • Основная идея: Используется одностороннее свойство криптографических хеш-функций. Легко создать хеш ("отпечаток пальца"), но чрезвычайно трудно обратить его или найти коллизии.11 "Без сохранения состояния" означает, что подписывающей стороне не нужно отслеживать использованные одноразовые ключи.

  • Пример: SPHINCS+ (SLH-DSA).11

  • Плюсы: Безопасность хорошо изучена и зависит только от безопасности базовой хеш-функции.

  • Минусы: Могут иметь большие размеры подписей и более низкую производительность по сравнению с подписями на основе решеток.29 SPHINCS+ считается консервативным резервным вариантом.29

    Многомерная криптография (Multivariate Cryptography):

  • Основная идея: Сложность решения систем из нескольких уравнений со многими переменными, где переменные возведены в степени (например, x2,y3).11

  • Пример: Rainbow (в настоящее время считается небезопасным 11).

  • Статус: Многие схемы шифрования потерпели неудачу. Схемы подписи были более многообещающими, но ключевые кандидаты, такие как Rainbow, были взломаны.

    Криптография на основе изогений (Isogeny-based Cryptography):

  • Основная идея: Используются сложные математические отношения (изогении) между эллиптическими кривыми. Безопасность зависит от сложности нахождения этих отношений.11

  • Пример: SIKE (Supersingular Isogeny Key Encapsulation), SIDH (в настоящее время считаются небезопасными по состоянию на 2022 год 11).

  • Статус: Были многообещающими кандидатами из-за малых размеров ключей, но основные схемы (SIKE/SIDH) были взломаны, что значительно повлияло на это семейство. Исследования продолжаются по другим алгоритмам, таким как SQISign.11

Финализация NIST первых стандартов PQC (FIPS 203, 204, 205) является важным поворотным моментом.3 Однако ландшафт PQC все еще развивается: рассматриваются новые алгоритмы (FALCON, HQC, BIKE, McEliece) и продолжаются исследования.11 Это означает, что стандартизация – это начало новой криптографической эры, а не конец разработки PQC. Ландшафт угроз и криптоаналитические возможности (как классические, так и квантовые) будут продолжать развиваться. Выбор SPHINCS+ в качестве резервного варианта 29 уже намекает на этот осторожный, многоуровневый подход.

Различные алгоритмы и семейства PQC демонстрируют разные характеристики в отношении предполагаемой стойкости, вычислительной производительности (скорости) и размера ключей/подписей.12 Часто существует компромисс. Например, SPHINCS+ построен на консервативных хеш-функциях (сильная основа безопасности), но имеет большие подписи и медленнее, чем Dilithium на основе решеток.29 Схемы на решетках предлагают хороший баланс, но полагаются на более новые математические предположения о сложности. Это означает, что выбор алгоритма PQC для конкретного приложения потребует тщательного рассмотрения этих компромиссов. То, что приемлемо для высоконадежной подписи прошивки с низкой пропускной способностью (возможно, SPHINCS+), может не подойти для обмена ключами TLS с высоким трафиком (где преуспевает Kyber). Эта сложность станет проблемой для широкого внедрения.

Таблица 4: Обзор семейств алгоритмов PQC

Семейство

Аналогия/Основная идея

Плюсы

Минусы/Проблемы

Стандартизированный пример NIST

На решетках (Lattice-based)

Поиск кратчайших путей в сложных многомерных решетках

Хорошая производительность, меньшие ключи

Сложная математика, основана на трудности задач на решетках

ML-KEM, ML-DSA, FN-DSA (Falcon)

На кодах (Code-based)

Расшифровка намеренно искаженных сообщений с помощью кодов

Некоторые схемы проверены временем

Часто большие ключи

(NIST оценивает для KEM: Classic McEliece, HQC)

На хеш-функциях (без состояния)

Неподделываемые цифровые отпечатки

Хорошо изученная безопасность

Большие подписи, медленнее

SLH-DSA (SPHINCS+)

Многомерная (Multivariate)

Решение множества сложных взаимосвязанных уравнений

Потенциально быстрые

Многие схемы взломаны

Rainbow (взломан)

На изогениях (Isogeny-based)

Поиск секретных путей между связанными сложными формами

Наименьшие ключи

Ключевые схемы взломаны

SIKE/SIDH (взломаны)

V. Великая миграция: Переход в квантово-безопасное будущее

Переход на постквантовую криптографию – задача геркулесовой сложности. Огромное количество существующего оборудования и программного обеспечения имеет встроенную или глубоко интегрированную текущую криптографию, что делает обновления трудными и дорогостоящими.6 Масштаб систем, протоколов и приложений, нуждающихся в обновлении, колоссален. Некоторые алгоритмы PQC могут иметь большие размеры ключей, подписей или более высокие вычислительные затраты по сравнению с текущими алгоритмами, что влияет на производительность, особенно на устройствах с ограниченными ресурсами.4 Кроме того, многие организации все еще не уделяют приоритетного внимания переходу на PQC, имея низкий уровень формального планирования.5 Обеспечение взаимодействия новых систем с поддержкой PQC со старыми системами или различных реализаций PQC между собой также представляет собой вызов.

Криптогибкость (Crypto-Agility): Искусство быть гибким

Криптогибкость – это способность системы легко переключаться между различными криптографическими алгоритмами или обновлять существующие без серьезных переделок системы или сбоев в работе.5 Она критически важна для PQC, поскольку позволяет более плавно осуществлять миграцию, адаптироваться, если текущие стандарты PQC окажутся уязвимыми, и легче внедрять новые или улучшенные алгоритмы PQC в будущем. Стратегии достижения криптогибкости включают модульное проектирование, отказ от жестко закодированных алгоритмов, использование криптографических библиотек, поддерживающих несколько алгоритмов, и четкие идентификаторы алгоритмов в протоколах.5

Гибридная криптография: Мост в будущее?

Концепция гибридной криптографии заключается в объединении классического алгоритма (например, ECDSA) с алгоритмом PQC (например, ML-DSA). Сообщение или обмен ключами защищаются обоими алгоритмами.1 Это обеспечивает своего рода "страховочную сетку": если в алгоритме PQC обнаружится неизвестная уязвимость, классический алгоритм все еще будет обеспечивать защиту (от классических атак). Если же классический алгоритм будет взломан квантовым компьютером, то (теоретически) устоит алгоритм PQC. Такой подход помогает укрепить доверие и протестировать PQC в реальных условиях. Однако у гибридных схем есть и недостатки: повышенная сложность, больший объем передаваемых данных (например, две подписи вместо одной) и влияние на производительность. Возможно, в будущем потребуется второй этап перехода для удаления классического алгоритма.5

Что разработчики и компании могут начать делать уже сегодня:

  1. Инвентаризация и оценка: Определить все случаи использования криптографии в системах и приложениях. Выяснить, какие данные наиболее чувствительны и требуют долгосрочной секретности.4

  2. Информированность и обучение: Следить за объявлениями NIST и разработками в области PQC. Обучать команды.1

  3. Планирование криптогибкости: Проектировать новые системы с учетом криптогибкости. Рассмотреть способы ее внедрения в существующие системы.

  4. Эксперименты и пилотные проекты: Начать тестирование алгоритмов PQC в непродуктивных средах для понимания влияния на производительность и проблем интеграции.31

  5. Взаимодействие с поставщиками: Запрашивать у поставщиков информацию об их планах по переходу на PQC для аппаратных и программных компонентов.

Акцент на криптогибкости 5 и исторический прецедент длительных криптографических переходов 5 предполагают, что переход на PQC – это не просто замена RSA на Kyber. Квантовая угроза ускоряет необходимость фундаментального сдвига в управлении криптографическими зависимостями – от десятилетиями статичных развертываний к более динамичным и адаптируемым системам. Это имеет глубокие последствия для жизненных циклов разработки программного обеспечения, управления инфраструктурой и ИТ-бюджетирования. "Криптографическая гигиена" и адаптивность станут постоянными операционными задачами, подобно установке исправлений для уязвимостей программного обеспечения. Переход на PQC может стать катализатором для более широкого внедрения практик криптогибкости, которые принесут пользу безопасности не только в контексте квантовой устойчивости.

Хотя гибридные подходы 1 являются прагматичным шагом, они также сопряжены со сложностями. Безопасность гибридной системы зависит от корректной реализации обеих схем и механизма их объединения. Ошибка реализации в любой из частей или в их взаимодействии может подорвать предполагаемую безопасность. Кроме того, накладные расходы на производительность гибридных схем 5 могут привести к компромиссам или сопротивлению внедрению в средах с ограниченными ресурсами. Таким образом, гибридная криптография, будучи полезной для переходного периода, не является панацеей и требует тщательного проектирования и реализации. Конечной целью все же должны быть полностью нативные PQC-системы, как только уверенность в стандартах PQC станет достаточно высокой, а реализации – зрелыми.

VI. Заключение: Навигация по квантовому будущему на Хабре

Серьезность квантовой угрозы для текущей криптографии, обусловленная как атаками типа "собирай сейчас, расшифровывай потом", так и продолжающимся прогрессом в области квантовых вычислений, неоспорима. Постквантовая криптография предлагает жизнеспособный путь вперед, и начальные стандарты от NIST уже доступны. Однако переход на PQC будет долгим и сложным процессом, требующим постоянных усилий от исследователей, разработчиков, бизнеса и правительств. Криптогибкость и проактивное планирование являются ключевыми факторами успеха.

Для сообщества Хабра это открывает широкое поле для деятельности:

  • Изучать: Углубляться в концепции PQC и следить за развитием этой области. Хабр – это место для непрерывного обучения.

  • Экспериментировать: Разработчикам стоит начать изучать библиотеки PQC (например, Tink от Google, которая поддерживает PQC 28) и проводить пилотные внедрения PQC во внутренних проектах.

  • Обсуждать и делиться: Сообщество Хабра может сыграть жизненно важную роль в распространении знаний, лучших практик и реального опыта миграции на PQC.

  • Продвигать: Повышать осведомленность внутри организаций о необходимости квантовой готовности.

Задача масштабна, но криптографическое сообщество готово ее решать. Необходимость миграции на PQC заставит пересмотреть криптографические практики в целом. Это включает не только алгоритмы, но и управление ключами, проектирование протоколов и архитектуру систем. Эта "вынужденная модернизация" может стать возможностью для улучшения общей гигиены кибербезопасности, а не только для устранения квантовой угрозы. Например, внедрение криптогибкости делает системы более устойчивыми к любым будущим криптографическим уязвимостям, а не только к квантовым. Таким образом, усилия по обеспечению квантовой безопасности могут также привести к созданию систем, которые просто лучше спроектированы с точки зрения классической безопасности и более адаптируемы к будущим, неквантовым угрозам.

Процесс стандартизации PQC в NIST был в высокой степени совместным и открытым.29 Дальнейший успех миграции также будет зависеть от обмена знаниями и усилий в области открытого исходного кода. Учитывая масштаб и сложность перехода на PQC, проприетарные, изолированные решения вряд ли будут достаточными. Открытые стандарты, реализации с открытым исходным кодом и тестирование и проверка, управляемые сообществом (подобные тем, что часто можно увидеть на Хабре), будут иметь решающее значение. Платформы, подобные Хабру, могут выступать в качестве важных центров для распространения информации, обсуждения проблем реализации, обмена инструментами с открытым исходным кодом и формирования коллективного подхода к квантовой готовности.

Начав действовать уже сегодня, можно обеспечить плавный переход к квантово-безопасному цифровому будущему и гарантировать постоянную безопасность и целостность наших данных и коммуникаций. Этот путь, несомненно, будет включать новые открытия, вызовы и инновации – благодатную почву для пытливых умов на Хабре.

Источники

Источники

  1. How Quantum Computing Could Defeat Today's Encryption and What We Should Do to Protect Ourselves | Attomus,  https://attomus.com/blog/2025-how-quantum-computing-could-defeat-todays-encryption-and-what-we-should-do-to-protect-ourselves/

  2. Harvest Now, Decrypt Later(HNDL): Preparing for the Quantum Threat,  https://www.encryptionconsulting.com/harvest-now-decrypt-later-preparing-for-the-quantum-threat/

  3. Post-Quantum Cryptography | CSRC,  https://csrc.nist.gov/projects/post-quantum-cryptography

  4. The Future of Quantum-Resistant Cryptography: A Data Security Perspective - Fortanix,  https://www.fortanix.com/blog/the-future-of-quantum-resistant-cryptography-a-data-security-perspective

  5. NIST Outlines Strategies for Crypto Agility as PQC Migration Stalls ...,  https://thequantuminsider.com/2025/03/07/nist-outlines-strategies-for-crypto-agility-as-pqc-migration-stalls-available-for-public-comment/

  6. Key Insights from NIST's Latest Report on Crypto-Agility | Encryption Consulting,  https://www.encryptionconsulting.com/nists-report-on-crypto-agility/

  7. Post-Quantum Cryptography, Explained - Booz Allen,  https://www.boozallen.com/insights/ai-research/post-quantum-cryptography-explained.html

  8. www.bluequbit.iohttps://www.bluequbit.io/quantum-computing-basics#:~:text=Classical%20computers%20use%20bits%2C%20which,more%20efficiently%20than%20classical%20systems.

  9. Quantum Computing Basics: A Beginner's Guide - BlueQubit,  https://www.bluequbit.io/quantum-computing-basics

  10. easychair.orghttps://easychair.org/publications/preprint/NJCx/open#:~:text=Shor's%20algorithm%20can%20efficiently%20break,effectively%20halving%20the%20key%20length.

  11. Types of Post Quantum Cryptography Public Key Schemes - Utimaco,  https://utimaco.com/news/blog-posts/types-post-quantum-cryptography-public-key-schemes

  12. Post-quantum cryptography - Wikipedia,  https://en.wikipedia.org/wiki/Post-quantum_cryptography

  13. An overview of Quantum Cryptography and Shor's Algorithm - ResearchGate,  https://www.researchgate.net/publication/353121752_An_overview_of_Quantum_Cryptography_and_Shor's_Algorithm

  14. Quantum Computers Without Math and Philosophy - Habr,  https://habr.com/en/articles/664810/

  15. Quantum computing timeline & when it will be available - Sectigo,  https://www.sectigo.com/resource-library/quantum-computing-timeline-things-to-know

  16. Top 18 Quantum Computer Companies [2025 Updated] - SpinQ,  https://www.spinquanta.com/news-detail/quantum-computer-manufacturers

  17. Quantum Journey From the Search Engine to Google Sycamore,  https://thequantuminsider.com/2022/07/14/google-sycamore/

  18. Google's Willow Chip: Another Push to Start Your Post-Quantum Cryptography (PQC) Preparation Now - AppViewX,  https://www.appviewx.com/blogs/googles-willow-chip-another-push-to-start-your-post-quantum-cryptography-pqc-preparation-now/

  19. Beyond the hype: Why Google's Willow alone does not bring you closer to practical applications - Capgemini,  https://www.capgemini.com/us-en/insights/expert-perspectives/beyond-the-hype-why-googles-willow-alone-does-not-bring-you-closer-to-practical-applications/

  20. Quantum Computing Roadmaps: A Look at The Maps And Predictions of Major Quantum Players,  https://thequantuminsider.com/2025/05/16/quantum-computing-roadmaps-a-look-at-the-maps-and-predictions-of-major-quantum-players/

  21. IBM Osprey - Wikipedia,  https://en.wikipedia.org/wiki/IBM_Osprey

  22. IBM Touts Quantum Breakthrough With 433-Qubit Processor - SDx Central,  https://www.sdxcentral.com/news/ibm-touts-quantum-breakthrough-with-433-qubit-processor/

  23. IBM's Quantum Computing: Roadmap to 4000 Qubit System by 2025 - Tomorrow Desk,  https://tomorrowdesk.com/breakthrough/ibm-quantum-computing-4000-qubit

  24. Microsoft's Majorana 1 chip carves new path for quantum computing ...,  https://news.microsoft.com/source/features/innovation/microsofts-majorana-1-chip-carves-new-path-for-quantum-computing/

  25. The Conversation: Microsoft Just Claimed a Quantum Breakthrough. A Quantum Physicist Explains What it Means,  https://thequantuminsider.com/2025/02/23/the-conversation-microsoft-just-claimed-a-quantum-breakthrough-a-quantum-physicist-explains-what-it-means/

  26. Microsoft's Majorana 1: The Future of Quantum Computing, One Stable Qubit at a Time,  https://felloai.com/2025/03/microsofts-majorana-1-the-future-of-quantum-computing-one-stable-qubit-at-a-time/

  27. NIST's Official 2024 Post-Quantum Algorithms - Sectigo,  https://www.sectigo.com/resource-library/who-are-nists-post-quantum-algorithm-winners

  28. Post-quantum cryptography (PQC) - Google Cloud,  https://cloud.google.com/security/resources/post-quantum-cryptography

  29. NIST Unveils Post‑Quantum Cryptography (PQC) Standards,  https://postquantum.com/industry-news/nist-pqc-standards/

  30. Which Post Quantum Cryptography (PQC) Algorithm Should I Use? - Fortanix,  https://www.fortanix.com/blog/which-post-quantum-cryptography-pqc-algorithm-should-i-use

  31. What is Post-Quantum Cryptography (PQC)? - Palo Alto Networks,  https://www.paloaltonetworks.com/cyberpedia/what-is-post-quantum-cryptography-pqc

  32. What is Post-Quantum Cryptography (PQC)? - Lattice Semiconductor,  https://www.latticesemi.com/what-is-post-quantum-cryptography

  33. Post-Quantum Cryptography Algorithms: Lattice, Code, Hash-Based and More,  Post-Quantum Cryptography Algorithms: Lattice, Code, Hash-Based and More