Вы, наверное, слышали, что все перейдут в будущем на новое шифрование, и на квантовые компьютеры банкам будет плевать.
Основная проблема в том, что трафик собирается уже сейчас, чтобы, когда кубит будет доступен условно «каждой домохозяйке», пооткрывать эти пакеты.
Итак, есть такая штука — CRQC, или криптографически релевантные квантовые компьютеры. Они пока больше фантастика, но вроде как из-за последних сдвигов в сборке логических кубитов с коррекцией ошибок уже не такая дальняя, как термояд. Они угрожают криптографии на эллиптических кривых, поэтому сейчас активно переходят на постквантовые алгоритмы.
На текущий момент в Америке принят стандарт, что системы национальной безопасности с 2030 года должны быть на постквантовой криптографии, а полный переход нужен в 2035. Вот их план перехода.
Если что, RSA-2048 теоретически взламывается за неделю на квантовом компьютере с менее чем миллионом шумных кубитов. Это в 20 раз меньше, чем оценивалось в 2019. И тут же IBM обещает машину на 200 логических «чистых» кубитов к 2029.
Коротко, что случилось с квантовыми компьютерами
Всё началось в 1981 году, когда великий физик Ричард Фейнман бросил фразу, ставшую пророческой: «Природа, чёрт возьми, не классическая. Если вы хотите сделать моделирование природы, вам лучше сделать его квантовомеханическим».
Появилась идея кубита — квантового бита. Он может находиться в состоянии суперпозиции — быть и нулём, и единицей одновременно. А благодаря квантовой запутанности кубиты могут связываться друг с другом так, что вычислительная мощность системы растёт экспоненциально: каждая запутанность — ещё степень двойки. 300 идеальных кубитов могли бы закодировать больше информации, чем атомов во Вселенной.
В 1994 году математик Питер Шор придумал алгоритм для квантового компьютера, способный мгновенно раскладывать гигантские числа на простые множители. Пока теоретический.
Но запутать достаточное количество кубитов никто не мог. Декогеренция. Кубиты очень хрупкие и живут крайне недолго. Первые кубиты делали на жидких молекулах, фотонах, ионах. Это были громоздкие установки, занимавшие целые комнаты ради 2–3 кубитов (рекорд той эпохи — 7-кубитный NMR-компьютер IBM Almaden в 2001 году, факторизовавший число 15, использовал «миллиард миллиардов» специально синтезированных молекул в пробирке).
2–10% шума — катастрофа для алгоритма больше 50 шагов. При таких ошибках глубокие схемы без коррекции быстро теряют полезный сигнал.
А главная особенность квантовых алгоритмов — нельзя их выполнить частично. Промежуточное измерение обычно разрушает нужную квантовую эволюцию, поэтому отладка устроена иначе.
Вы даёте данные, потом там что-то работает, потом ответ. Их нельзя отлаживать, как обычный код, потому что измерение меняет состояние, а промежуточные наблюдения надо специально закладывать в схему.
Иногда это 42. Поставить breakpoint’ы не выйдет, отладить тоже. 1 процент шума — гарантия ошибки алгоритма из 100 шагов. При независимых ошибках порядка 1% вероятность сбоя в такой длинной схеме быстро становится высокой.
Тогда придумали системы, корректирующие шум — вокруг одного кубита можно было положить логики ещё из 30–80 кубитов, которые снижали его процент ошибки. Это случилось где-то в 2010-м, когда стало можно делать нестабильные кубиты уже более-менее промышленно (точнее, была такая надежда) — Fowler, Martinis и коллеги в 2012-м опубликовали 50-страничный blueprint, но требовали выйти на физический уровень ошибок ~0,1%, чего ещё долго не было. Фактически к логическим кубитам из сотен шумных кубитов пришли на практике вот пару лет назад — Google Willow в декабре 2024-го продемонстрировал distance-7 surface code из 101 физического кубита с logical error 0,143% на цикл.
Дальше пошёл прорыв за прорывом по снижению шума, и вот Microsoft и Quantinuum объявили, что смогли провести 14 000 экспериментов на логических кубитах без единой ошибки (4 логических кубита из 30 физических на H2-процессоре с ионной ловушкой, logical error rate в 800 раз ниже физического). Но не будут. Просто могут.
Что именно сломается
Современный банк опирается на асимметричное шифрование (RSA, эллиптические кривые), цифровые подписи (RSA-PSS, ECDSA) и обмен ключами (ECDH, TLS-handshake). Все они асимметричны: ответы очень сложно вычисляются, но очень легко проверяются.
Все три уязвимы к алгоритму Шора (RSA — через факторизацию, ECC/DH — через дискретный логарифм), предложенному Питером Шором в Bell Labs в 1994 году: алгоритм даёт экспоненциальное ускорение разложения больших чисел и вычисления дискретных логарифмов. Потому что в квантовом мире что искать множители числа, что умножать их друг на друга — примерно похожие операции по скорости.
Симметричные шифры (AES, SHA-2/3) уязвимы к алгоритму Гровера, но только квадратично: AES-128 «эффективно» становится 64-битным, AES-256 — 128-битным. На практике достаточно перейти на AES-256 + SHA-384 — это требование уже зафиксировано в NSA CNSA 2.0.
В итоге в асимметричной криптографии надо менять алгоритмическую базу.
Есть стратегия «Harvest Now, Decrypt Later» (HNDL) — сбор зашифрованного трафика сегодня, чтобы расшифровать позже, когда квантовый компьютер появится. Банковские документы, контракты, медицинские записи, государственная тайна — всё, что должно сохранять конфиденциальность дольше 10 лет, уже прямо сейчас требует новой защиты постквантового уровня. Для банка с типичными сроками хранения сделок 10–20 лет и горизонтом миграции 5–7 лет это значит, что, чтобы быть в безопасности к 2035 году, миграцию надо заканчивать к 2028–2030.
Потенциальный ущерб от одной успешной квантовой атаки на крупный банк США в $2–3,3 трлн; федеральная PQC-миграция США — $7,1 млрд за 10 лет.
Технологическая база
— Google Willow (декабрь 2024) — 105-кубитный сверхпроводящий чип впервые продемонстрировал «below threshold» quantum error correction: на решётках 3×3 → 5×5 → 7×7 ошибка падает в два раза с каждым шагом. Кубиты живут 68-89 мкс (раньше было 20 мкс).
— IBM Starling (план на 2029) — устойчивая система на 200 логических кубитов и 100 млн квантовых гейтов. IBM показала полный роадмап: Loon (2025) → Kookaburra (2026) → Cockatoo (2027) → Starling (2029).
— Origin Wukong и Zuchongzhi-3 (Китай) — 72 и 105 кубитов соответственно; Zuchongzhi-3 показал в 10¹⁵ раз быстрее random-circuit-sampling, чем классический суперкомпьютер.
Как это решает Америка
Агентство национальной безопасности США в 2022 году выпустило Commercial National Security Algorithm Suite 2.0 — первый стандарт обязательной миграции для критических систем.
Год | Требование |
2025 | Все новые National Security System (NSS) должны поддерживать PQC. |
2027 (январь) | Новые закупки NSS-оборудования по умолчанию CNSA 2.0. |
2030 | Все NSS-дизайны только на PQC; firmware/software с CNSA 2.0 подписями. |
2031–2033 | CNSA 2.0 обязательна для коммерческих продуктов внутри NSS. |
2035 | Полное вытеснение классической криптографии. |
Фактически это глобальный стандарт: вендоры, которые продают на госзаказ, переносят CNSA 2.0 в коммерческие продукты, и банки получают её автоматом.
Банку уже надо начинать мигрировать примерно в следующие пару лет. Первое — инвентаризация. Во время неё часто всплывают сюрпризы — старые HSM, легаси-VPN, code-signing цепочки. Потом включение в архитектуру требований менять алгоритмы без переписывания приложения. Дальше надо сразу же защищать долгоживущие данные, и уже потом обновлять межбанковские каналы.
Основные стандарты:
Уже есть прод-инфраструктура: Spunta Banca со 100 итальянскими банками, JPMorgan Kinexys с $2 млрд/день, BlackRock BUIDL с $2,5 млрд AUM, BIS Agorá с 41 финансовым институтом, SDX с 1+ млрд CHF цифровых активов, JPMorgan QKD-канал 800 Gbps × 100 км. Дискуссия сместилась с «работает ли это вообще» на «как масштабировать к 2030».
Пример — в феврале 2022 JPMorgan вместе с Toshiba и Ciena развернул первый коммерческий QKD-канал: он мультиплексирован с двумя 800 Gbps и восемью 100 Gbps оптическими каналами на 70 км; полноценная работа QKD + 10 высокоскоростных каналов до 100 км; 258 AES-256 каналов с обновлением ключа раз в секунду. Марко Пистола, бывший Distinguished Engineer и Global Head of Applied Research в JPMC, руководил разработкой quantum-secured crypto-agile network — архитектуры, в которой можно динамически переключать криптоалгоритмы. Они же в 2025 году показали Certified Randomness — генерацию проверяемой случайности на квантовом компьютере, важной для криптографии и моделирования.
Bank for International Settlements ведёт Project Leap — флагманский pilot по PQC в платёжных системах центробанков. Заменяли традиционные цифровые подписи на постквантовые при сохранении совместимости компонентов. Все тесты прошли успешно, но обнаружились значительные различия в производительности между классическими и постквантовыми алгоритмами.
HSBC — первый банк, подключившийся в 2023 году к коммерческой QKD-metro-сети BT × Toshiba в Лондоне: 62 км между HQ Canary Wharf и data center в Беркшире, тесты включают финансовые транзакции, защищённое видео, one-time-pad encryption и AWS Snowball Edge. Тут же HSBC сделал мировой первый QKD-защищённый FX-trade: сделка EUR→USD на 30 млн евро.
Apple в феврале 2024 года выпустил iMessage PQ3 — первый messenger с Level 3 security: постквантовая криптография не только при создании ключа, но и в ходе сессии. Ключи ротируются каждые 50 сообщений или раз в неделю. Поддержка раскатилась с iOS 17.4, iPadOS 17.4, macOS 14.4, watchOS 10.4.
Cloudflare с осени 2023 имеет X25519+Kyber768 в TLS handshake; в сентябре 2025 уже 43% человеческих соединений к Cloudflare защищены гибридной PQC. Chrome постепенно включает X25519+Kyber по умолчанию.
Что в это время происходит в России
Квантовую безопасность в России часто сваливают в одну кучу, но для банковского сектора это три совершенно разных стека.
1. Квантовые компьютеры (железо и софт)
Осенью 2024 года учёные (РКЦ и ФИАН) создали 50-кубитный квантовый компьютер на ионах иттербия. До машины, способной взломать банковский шифр (RSA-2048), ему ещё очень далеко — для этого нужны тысячи стабильных логических кубитов и система исправления ошибок. Но это уже не симулятор на обычном ПК, а реальная физическая установка. К ней даже настроили облачный доступ, чтобы тестировать алгоритмы.
Российские физики также развивают тему кудитов (когда у одной частицы не 2 квантовых состояния, а больше). В 2025 году они запустили алгоритм поиска по базе данных на 10 ионах. Плюс кудитов в том, что они позволяют упаковать вычисления плотнее. Это уменьшает глубину схем, и компьютер просто не успевает наделать кучу ошибок во время расчётов.
2. Квантовые коммуникации (QKD)
Это защита кабеля. Технология позволяет распределять секретные ключи по оптическому волокну и сразу замечать, если в него кто-то внедрился. Например, на Земле еще в 2019 году Газпромбанк, Сбербанк и РКЦ протестировали такую квантовую сеть для защищённой видеосвязи между своими стендами. Главное ограничение технологии — дальность (около 200 км в идеальных условиях).
Чтобы обойти ограничение по дальности, Газпромбанк инвестировал в проект QSpace — разработку микроспутника, который сможет раздавать квантовые ключи через лазерный луч прямо из космоса.
3. Постквантовая криптография (PQC)
Самый близкий для банков трек. Это просто новые математические алгоритмы шифрования, которые защищают обычные ИТ-системы от будущих квантовых атак. Их можно внедрить везде: от мобильных приложений до внутренних банковских шлюзов.
У Газпромбанка и компании QApp уже есть два сильных пилота на базе новой цифровой подписи «Гиперикум». Первый — защита корпоративных каналов (H2H). Решение внедрили прямо в систему обмена документами и платёжками между банком и клиентами. Пилот подтвердил, что новые алгоритмы нормально уживаются с реальной банковской инфраструктурой и не тормозят процессы.
Второй — платежи по Bluetooth (BLE). В 2024–2025 годах запустили сервис оплаты «смартфон-смартфон» без интернета. Постквантовые ключи обычно весят много, а Bluetooth — канал узкий и всё же нестабильный. Разработчикам удалось упаковать тяжёлую защиту в короткий сценарий оплаты, и проект взял премию «Финтех-проект года».
Что делает Китай
Физическую защиту канала — чтобы сейчас не воровали трафик — плюс собственный стек алгоритмов.
29 сентября 2017 в Китае запущена магистральная QKD-сеть Пекин–Шанхай длиной 2000+ км и с 32 ретрансляторами. Сеть обслуживает 150+ корпоративных пользователей — это госструктуры, энергетика и т. п.
ICBC и Bank of Communications применяют QKD в реальных операциях. Научный руководитель — Pan Jianwei (USTC), ставший, по сути, лицом китайской квантовой программы.
В августе 2016 запустили Micius — первый в мире спутник для квантовой связи. На низкой орбите Земли он демонстрирует QKD спутник→земля на 1200 км и квантовую телепортацию одиночного фотона на 1400 км (Nature, август 2017).
Железо:
Origin Wukong (январь 2024) — 72-кубитный сверхпроводящий компьютер 3-го поколения; за год 47 млн пользователей из 163 стран, 339 000+ задач. В апреле 2024 на нём интегрирован китайский PQC «anti-quantum attack shield». В мае 2026 — запуск 4-го поколения Wukong-180.
Zuchongzhi-3 (USTC, март 2025) — 105 кубитов, 182 коплера; в 10¹⁵ раз быстрее классики.
Jiuzhang 4.0 (август 2025) — фотонный квантовый компьютер на 2000+ фотонов, по отчёту U.S.-China Economic and Security Review Commission.
Также у них появился цифровой юань с постквантовыми требованиями и новые стандарты ИБ с августа 2025. Китай намерен принять национальные PQC-стандарты в течение трёх лет. Китай не хочет зависеть от NIST и развивает собственную линию стандартов.
Для глобальных банков это значит, что на горизонте появится двойной комплаенс: NIST PQC для западных юрисдикций и китайский PQC-стандарт для операций в КНР.
Итого
Вероятно, уже сейчас надо задуматься о защите каналов в первую очередь и об обновлении криптографии (начиная с архитектуры). Если вам кажется, что можно ещё немного подождать — кажется, ну только если совсем немного.
