Собирай сейчас, дешифруй позже. Звучит как девиз какого-то параноидального культа из киберпанка. Только это не фантастика, а наша суровая реальность. Прямо в эту секунду гигантские, невообразимые массивы зашифрованного трафика методично перехватываются и ложатся мёртвым грузом на чьи-то серверы. Это терабайты писем, межбанковских транзакций, баз данных, сообщений. Абсолютно всё, до чего могут дотянуться.
И зачем кому-то сжигать колоссальные деньги на хранение этого нечитаемого цифрового мусора? Ответ вообще пугает своей холодной прагматичностью, чтобы вскрыть всё это разом, как только появится полноценный квантовый компьютер. Это, грубо говоря, как если бы злоумышленник сегодня ходил и делал восковые слепки абсолютно всех сейфовых замков в мире, точно зная, что через условные 10 лет у него в руках окажется универсальная отмычка. И никто даже не пытается этот процесс скрывать.
И эта отмычка имеет вполне конкретное научное обоснование. Я говорю про алгоритм Питера Шора. Вся современная криптография, ну вот этот невидимый фундамент, на котором держится доверие в сети, она базируется на математической асимметрии. Те самые алгоритмы вроде RSA или эллиптических кривых. Идея же простая: перемножить два гигантских простых числа можно, ну, за долю секунды. А вот сделать обратное, разложить итог на множители — для классического компьютера эта задача на миллионы лет. Перебор вариантов.
Но квантовый компьютер работает иначе. Используя суперпозицию и интерференцию, он может находить периодичность внутри функций. Алгоритм Шора сводит факторизацию к поиску этого периода и решает её за полиномиальное время. То есть то, что занимало тысячелетия... Займёт часы или вообще минуты. Как только стабилизируют нужное число кубитов, десятилетия безопасности просто обнулятся. Это жёсткий инженерный дедлайн.
Значит, старая добрая математика, за которой мы прятались, превращается в фольгу. И раз старый фундамент идёт трещинами, логично, что инженеры бросились заливать новый. Сейчас всё чаще мелькает PQC, постквантовая криптография. Это не квантовые приборы из будущего, а новые алгоритмы для наших обычных смартфонов. Они работают на классическом железе.
Но когда начинаешь вникать в детали, натыкаешься на концепцию LWE — обучение с ошибками. Звучит как процесс подготовки студента к сессии в последнюю ночь. Как вообще чьи-то ошибки могут остановить квантовый компьютер? Квантовые алгоритмы феноменально хороши в поиске идеальных структур. Они работают типа как активное шумоподавление в наушниках. Волновая интерференция усиливает правильные ответы и гасит неправильные.
Но это работает только в чистой математической среде. Суть LWE — это намеренное добавление математического шума в уравнение. Берём строгую систему и вносим крошечные случайные искажения. Законный получатель с ключом этот шум просто отсекает как погрешность. А вот для квантового компьютера этот шум фатален. Он разрушает хрупкую интерференцию и буквально ослепляет алгоритм.
То есть мы буквально засыпаем квантовому компьютеру песок в глаза. Но есть методы и без такого грязного трюка. Например, кодовая криптография и схема Мак-Элиса, предложенная ещё в 1978 году. Она базируется на кодах Гоппы для исправления ошибок, и за почти 50 лет её никто не смог взломать — ни классической, ни квантами.
Но вот незадача: у неё колоссальный недостаток — размер ключей. Классические ключи весят десятки байт, а ключ Мак-Элиса — сотни килобайт или даже мегабайты. Размер открытого ключа — 272 килобайта. Это не ключ от замка, это целый текстовый документ, небольшая повесть. Как вообще можно запихнуть повесть вместо ключа в каждый клик по сайту? Выходит, всё это время у нас было готовое решение, которое мы просто не могли использовать из-за его габаритов.
Это суровая реальность постквантового мира. Искусство очень болезненных компромиссов. Мы прощаемся с элегантными ключами на 32 байта, теперь это гигантские матрицы и многочлены. Хорошо, математика на бумаге может быть какой угодно тяжёлой, но это же надо внедрять в живой интернет. 13 августа 24-го года NIST выпустил финальные стандарты. FIPS-203, 204 и резервный 205.
А в марте 25-го ещё алгоритм HQC выбрали как пятый стандарт. И когда смотришь на тесты в реальном железе, возникает дикий парадокс производительности. Новый ML-KEM на слабеньком чипе Cortex-M0+, работает в 17 раз быстрее старой криптографии и энергии жрёт на 94% меньше. Это как купить карьерный самосвал, который разгоняется быстрее спорткара и почти не тратит бензин.
Но при этом размер подписи в стандарте SLH-DSA — 17 килобайт. Самосвал-то быстрый, но он просто физически не пролезает в ворота гаража. Почему новая математика такая быстрая, но такая толстая? Секрет скорости — в отказе от тяжёлой арифметики. В старом RSA нужно возводить гигантские числа в гигантские степени. Это миллионы тактов процессора, нагрев кристалла. А решётчатые ML-KEM — это просто умножение многочленов малых степеней. Линейная математика.
Современные процессоры щёлкают это мгновенно. Отсюда скорость и энергоэффективность, но расплата — память. Эти многочлены занимают кучу места. И когда мы пытаемся передать подпись в 17 килобайт по сети... Мы упираемся в протоколы. Сетевой пакет же, этот MTU, вмещает около полутора тысяч байт. Подпись приходится дробить на фрагменты, а многие сетевые экраны настроены так, чтобы безжалостно отбрасывать фрагментированные пакеты из-за безопасности.
То есть сеть начинает сама себя блокировать. А ещё есть алгоритм ML-DSA, и там метод с совершенно драматичным названием "Фиат-Шамир с абортами". Что он там прерывает вообще? Технически — это метод отбраковки, rejection sampling. В процессе подписи генерируется кандидатный вектор. Но из-за математики некоторые векторы могут статистически выдать часть информации о секретном ключе.
Поэтому алгоритм проверяет сгенерированную подпись. Если она выходит за рамки безопасности, процессор просто убивает этот результат и начинает вычисления с нуля. То есть это типа пекарь достаёт торт из духовки, видит крошечную трещину на глазури, выкидывает торт в ведро и заставляет клиента ждать новый. И проблема в том, что клиент — это сетевое соединение. Из-за этих абортов время подписи становится нестабильным.
То за микросекунду, то процессор забракует три варианта подряд. Для нас с вами на веб-стеке эти миллисекунды незаметны, а вот для промышленных систем реального времени — это настоящая головная боль. И тем не менее. Несмотря на размеры и отбраковку тортов, гиганты индустрии уже выкатили это в продакшн. Apple в феврале 24-го внедрила протокол PQ3 в iMessage, где ключи безопасности меняются на новые каждые 50 сообщений.
И Google с Cloudflare в начале того же года: там около 2% всех соединений TLS 1.3 уже шли с PQC. Но есть такая деталь: они не переходят на новую математику целиком, они используют гибридный режим. Заворачивают и в старые кривые, и в новые алгоритмы. Разве это не признак того, что инженеры досмерти боятся собственных инноваций и не доверяют стандартам?
Ну, будем называть вещи своими именами, это страховка и очень прагматичная. Никто не даст гарантии, что завтра гениальный математик не найдёт способ вскрыть структуру решёток и превратить ML-KEM в решето. И тогда трафик будет беззащитен даже перед школьником с ноутбуком. А в гибридной схеме старая добрая кривая P-256 продолжит держать удар.
Но что происходит за пределами экосистем Google и Apple? В России, например, есть технический комитет ТК-26. Они делают свои алгоритмы — названия "Шиповник", "Снегирь", "Облако". И тот же "Шиповник" жестко завязан на нашу хеш-функцию "Стрибог". Полагаю, суть не просто в красивом названии, а чтобы это быстро работало на конкретном железе.
Аппаратная оптимизация — это краеугольный камень. Наши смарт-карты и процессоры уже имеют встроенные блоки для отечественных хеш-функций. Если в лоб запустить там американские стандарты, производительность просто рухнет. Поэтому ТК-26 адаптируют постквантовые примитивы под уже сертифицированную экосистему, и это работает. В сентябре 25-го года QApp и «С-Терра» создали первый в РФ квантово-устойчивый TLS-шлюз. Пилоты уже идут в Газпромбанке и НСПК.
Финансисты и первыми надевают броню — им есть что терять, но, когда я читаю про эти успешные пилоты, у меня такой наивный вопрос: если алгоритмы готовы, железо есть, почему не объявить глобальный День обновления? Ну выпустить гигантский патч для всего интернета и закрыть вопрос. Но я так понимаю, нас ждёт инфраструктурный кошмар.
Мы упираемся в кризис инфраструктуры открытых ключей, PKI. Это жёсткая иерархия. Браузер доверяет сертификату сайта только потому, что его подписал промежуточный центр, а его — корневой удостоверяющий центр. И эти корневые центры используют старый RSA-4096. Нельзя просто прикрутить новый квантовый сертификат, если фундамент уязвим. Если взломают корневой узел, рухнет вся цепочка доверия.
То есть это как менять фундамент стоэтажного небоскрёба, пока в офисах кипит работа. И чтобы удержать здание, придумали костыль — композитные сертификаты. Когда в один сертификат зашивают и классическую подпись, и постквантовую. И размер раздувается до 50 килобайт. Мы возвращаемся к самосвалу в гараже. Балансировщики, маршрутизаторы привыкли жевать сертификаты по полтора килобайта, а тут такой кирпич.
И это только сетевое оборудование. Его хоть обновить можно. А что делать со смарт-картами и интернетом вещей? Проблема с RAM-памятью стоит очень остро. SRAM — это встроенная сверхбыстрая память. У дешёвых датчиков её критически мало, там 8 или 10 килобайт всего. А расширить её, скачав патч, невозможно, физика. Если для генерации подписи алгоритму нужно 15 килобайт, чтобы хранить матрицы, а есть только 8... Устройство просто уйдёт в отказ.
А теперь перенесём это на заводы, водоканалы, OT-сети. Там железо меняют раз в поколение. Если накатить такую тяжёлую библиотеку на контроллер турбины, и ему не хватит памяти... Он превратится в кирпич. Риск остановки предприятия. Понятно, почему инженеры крестятся при слове "обновление".
Мы платим по счетам за старый архитектурный долг. Системы строились по принципу "настроил и забыл". Никто не закладывал, что законы математики придётся менять. И что делать? Просто сидеть сложа руки и ждать квантового апокалипсиса? Везде мелькает термин "крипто-эджайлити", криптографическая гибкость. Это единственный выход. Системы больше не должны жёстко привязываться к алгоритмам. В коде не должно быть "зашифруй через RSA". Должны быть абстрактные API, а ключ выбирается на лету.
Но это же тотальная инвентаризация всего и вся. Создание спецификации CBOM, Cryptography Bill of Materials. Чтобы корпорации хотя бы понимали, где в их серверах зарыты старые алгоритмы. А времени-то почти нет. Агентство CISA требует начать закупки PQC-продуктов уже в 2026-м году, а завершить переход к 2035-му. При этом по прогнозам Gartner, к 2029-му году старая криптография станет абсолютно бесполезной.
2029-й год — это буквально послезавтра. И что самое парадоксальное во всей этой истории? Квантовый компьютер оказался не просто угрозой, он стал катализатором. Он с силой заставил интернет избавиться от закостенелости. И если задуматься, каждое наше сообщение или транзакция за кофе уже сейчас несут в себе скрытую угрозу: они хранятся в зашифрованном виде, ожидая момента, когда квантовый компьютер сможет их прочесть. Массивы трафика прямо сейчас оседают на чужих жёстких дисках, злоумышленники делают слепки наших замков, и вопрос лишь в том, успеют ли инженеры пересобрать наш цифровой мир до того, как появится та самая отмычка.
Чувствуете солидарность с теми, кому предстоит этот ремонт на ходу? Работа им предстоит колоссальная. Эпоха "настроил и забыл" закончилась навсегда. Вот на этой мысли и оставлю вас переваривать масштаб проблемы. Время пошло.