Криптография — это фундамент цифровой безопасности бизнеса. Любая транзакция, корпоративное письмо или файл, переданный через интернет, остаётся защищённым благодаря математическим алгоритмам, подобранным десятилетия назад. Однако развитие квантовых вычислений угрожает разрушить этот фундамент — алгоритмы RSA и ECC, на которых построены практически все современные системы шифрования, могут быть взломаны квантовым компьютером. При этом симметричные алгоритмы, такие как AES-256, при правильном использовании с достаточной длиной ключа останутся устойчивыми даже в постквантовую эпоху. Ниже разбирается, как устроены современные криптографические алгоритмы, в чём разница между симметричным и асимметричным шифрованием, почему бизнесу важно различать эти категории и как переход на квантово-устойчивые алгоритмы меняет ландшафт корпоративной безопасности.
Симметричное и асимметричное шифрование: два фундамента криптографии
В основе современной криптографии лежат два принципиально разных подхода. Симметричное шифрование использует один и тот же ключ для шифрования и расшифрования данных. Это похоже на обычный ключ от сейфа: тот, кто его знает, может как закрыть, так и открыть дверцу. Симметричные алгоритмы чрезвычайно быстры и эффективны для шифрования потоковых данных и больших объёмов информации. Самым распространённым симметричным алгоритмом сегодня является AES (Advanced Encryption Standard), принятый Национальным институтом стандартов и технологий США (NIST) как стандарт шифрования в 2001 году. При использовании с достаточной длиной ключа AES-256 остаётся безопасным даже в постквантовом мире.
Асимметричное шифрование, напротив, использует пару ключей: открытый (публичный) и закрытый (приватный). Открытый ключ можно свободно распространять — кто угодно может зашифровать им сообщение. Но расшифровать его способен только владелец закрытого ключа. Эта модель лежит в основе цифровых подписей, обмена ключами и сертификатов безопасности в интернете — всего, что требует подтверждения подлинности. Два основных алгоритма асимметричного шифрования: RSA (названный по первым буквам фамилий создателей — Rivest, Shamir, Adleman) и ECC (Elliptic Curve Cryptography, эллиптическая криптография). RSA основан на сложности разложения большого числа на простые множители, а ECC — на свойствах эллиптических кривых над конечными полями.
Ключевая разница между этими двумя категориями — в их уязвимости перед квантовыми компьютерами. Симметричное шифрование (AES-256) при достаточной длине ключа остаётся устойчивым, в то время как практически все популярные алгоритмы асимметричного шифрования, включая RSA и ECC, являются квантово-уязвимыми. Именно поэтому индустрия сегодня активно переходит на постквантовые стандарты.
Квантовая угроза и основные алгоритмы: зачем бизнесу разбираться
Квантовый компьютер способен решать задачи, принципиально недоступные классическим вычислителям. Алгоритм Шора, созданный для квантовых систем, в теории позволяет взломать RSA и ECC за часы или даже минуты — вместо миллиардов лет, которые потребовались бы классическому суперкомпьютеру. RSA-2048, который сегодня считается стандартом индустрии, станет бесполезным, как только появится криптоаналитически релевантный квантовый компьютер.
Почему это важно для бизнеса? Риск реализуется не в момент появления квантового компьютера, а уже сегодня — через стратегию «Собрать сейчас — расшифровать позже» (Harvest Now, Decrypt Later). Злоумышленники перехватывают и сохраняют зашифрованный трафик сегодня, чтобы расшифровать его, когда квантовые вычисления станут доступны. Данные, перехваченные в 2026 году, могут быть расшифрованы через пять-десять лет, и к тому моменту они всё ещё будут представлять ценность — особенно финансовая информация, персональные данные и интеллектуальная собственность.
При этом важно понимать разную степень угрозы для разных типов алгоритмов. Симметричные алгоритмы, такие как AES-256, остаются относительно безопасными в ближайшей перспективе при использовании ключей достаточной длины. Угроза направлена в первую очередь на асимметричную криптографию — RSA и ECC, которые лежат в основе обмена ключами и цифровых подписей.
AES: стандарт симметричного шифрования
AES (Advanced Encryption Standard) — симметричный блочный шифр, принятый NIST в 2001 году. Он работает с блоками размером 128 бит и использует ключи длиной 128, 192 или 256 бит. Количество раундов шифрования зависит от длины ключа: 10, 12 или 14 раундов для AES-128, AES-192 и AES-256 соответственно. Каждый раунд состоит из четырёх операций, преобразующих входные данные в криптографически стойкий шифротекст.
На практике AES широко применяется: для шифрования файлов и дисков, защиты соединений SSL/TLS, построения VPN-туннелей и защиты данных в облачных хранилищах.
Алгоритм Гровера, который также может быть запущен на квантовом компьютере, способен ускорить атаку полным перебором на AES, но не «ломает» его фундаментально. Для симметричных алгоритмов это означает, что эффективная стойкость ключа снижается вдвое: AES-128 становится эквивалентным 64-битному ключу. Это не критично для AES-256, который остаётся защищённым с эффективной стойкостью 128 бит.
RSA и ECC: два кита асимметричного шифрования
RSA является пионером асимметричной криптографии и остаётся одним из самых распространённых алгоритмов цифровой подписи и обмена ключами. Его стойкость основана на вычислительной сложности задачи факторизации — разложения большого числа на простые множители. Современные реализации используют ключи длиной 2048 бит, что считается безопасным на 2026 год для классических компьютеров. Однако алгоритм Шора на квантовом компьютере решает задачу факторизации за полиномиальное время, полностью нивелируя защиту RSA.
ECC (Elliptic Curve Cryptography) — более современный подход, обеспечивающий эквивалентную RSA стойкость при значительно меньшей длине ключа. Например, 256-битный ключ ECC по безопасности сопоставим с 3072-битным ключом RSA. ECC основан на свойствах эллиптических кривых над конечными полями и широко применяется в мобильных устройствах, IoT и криптовалютах, где важны как безопасность, так и производительность. Однако ECC также уязвим перед алгоритмом Шора: по оценкам исследователей, ECC-256 потенциально может быть взломан квантовым компьютером с несколькими сотнями тысяч физических кубитов за считанные минуты, хотя оценки варьируются в зависимости от предполагаемой архитектуры.
В России ECC также нашёл широкое применение: алгоритм цифровой подписи ГОСТ Р 34.10-2012 основан на эллиптической криптографии, что подтверждает актуальность этого подхода в отечественной криптографической практике.
NIST и NSA установили агрессивные сроки: прекратить использование RSA и ECC к 2030 году и полностью запретить их к 2035 году.
Хеш-функции: контроль целостности данных
Хеш-функции преобразуют данные произвольной длины в уникальный «отпечаток» фиксированной длины — хеш. Они необратимы: по хешу невозможно восстановить исходное сообщение. Основное применение хеш-функций — проверка целостности данных. Любое, даже минимальное изменение в исходных данных приводит к совершенно другому хешу, что позволяет мгновенно обнаружить подделку или повреждение файла.
Наиболее распространённый алгоритм — SHA-256 (Secure Hash Algorithm, длина хеша 256 бит), который используется в блокчейне, SSL/TLS и системах контроля версий.
Хеш-функции также используются для безопасного хранения паролей (с добавлением «соли» — случайных данных для защиты от атак по словарю). SHA-256 остаётся безопасным в постквантовую эпоху при достаточной длине хеша, однако SHA-1, который ранее широко применялся, уже признан нестойким.
Квантово-устойчивые алгоритмы: ответ на новую угрозу
В августе 2024 года NIST утвердил первые три постквантовых криптографических стандарта (PQC). FIPS 203 (ML-KEM) основан на CRYSTALS-Kyber и предназначен для инкапсуляции ключей. FIPS 204 (ML-DSA) базируется на CRYSTALS-Dilithium и используется для цифровых подписей. FIPS 205 (SLH-DSA) основан на SPHINCS+ и также применяется для цифровой подписи.
В основе PQC лежат математические задачи, которые сложны как для классических, так и для квантовых компьютеров — в частности, задачи теории решёток. Ожидается, что PQC сможет заменить RSA и ECC в инфраструктуре открытых ключей (PKI), обеспечивая защиту от квантовых атак.
Несмотря на значимость перехода, только 40% американских организаций и 38% глобальных компаний активно мигрируют на постквантовую криптографию, причём эта готовность снижается год от года. Forrester прогнозирует, что к концу 2026 года более 10% компаний из списка Fortune 500 завершат полную инвентаризацию своих криптографических активов.
Практические рекомендации для бизнеса
Переход на постквантовую криптографию — это многолетний проект, затрагивающий все уровни инфраструктуры. Forrester выделяет три этапа миграции. На первом этапе — инвентаризации — определяются все точки использования криптографии в ИТ- и OT-инфраструктуре. Второй этап — приоритизация — предполагает первоочередную защиту данных с длительным сроком жизни и особой важности: государственных архивов, медицинских баз данных, банковских реестров и критической инфраструктуры. Третий этап — проверка совместимости новых стандартов с действующим оборудованием и программным обеспечением.
Аналитики рекомендуют не осуществлять резкий переход исключительно на постквантовые алгоритмы, а использовать гибридный подход: комбинацию классических алгоритмов (AES-256) с постквантовыми алгоритмами, стандартизированными NIST (Kyber и Dilithium). Такой подход позволяет минимизировать риски совместимости и сохранить устойчивость существующей инфраструктуры.
Для бизнеса рекомендуется:
- провести инвентаризацию криптографических активов, чтобы понимать, где используются RSA, ECC, AES и другие алгоритмы;
- приоритизировать защиту данных с длительным сроком жизни, которые могут быть перехвачены сегодня и расшифрованы в будущем;
- внедрить криптографическую гибкость (crypto-agility) — способность менять алгоритмы шифрования без переписывания прикладных систем и масштабных инфраструктурных сбоев;
- включить поддержку PQC в планы обновления инфраструктуры на 2027–2035 годы;
- следовать принципу «trust but verify» — доверять, но проверять, особенно в отношении новых алгоритмов и библиотек;
- при закупке новых систем требовать от поставщиков поддержки квантово-устойчивых алгоритмов.
Типовой сценарий: инвентаризация криптографических активов в финтехе
Финтех-платформа среднего размера, обслуживающая около двух миллионов пользователей, провела комплексную инвентаризацию криптографических активов в начале 2026 года. Результаты показали, что 70 процентов используемых ключей приходится на RSA-2048, 20 процентов — на ECC, а оставшиеся 10 процентов — на устаревшие алгоритмы, такие как SHA-1. При этом около 15 процентов ключей RSA не обновлялись более трёх лет, что уже создавало риски компрометации независимо от квантовой угрозы.
На основе инвентаризации был разработан трёхлетний план миграции: в первую очередь заменили устаревшие ключи и алгоритмы, затем внедрили поддержку гибридной схемы (RSA + PQC) для критичных систем, и запланировали полный переход на PQC к 2029 году. Прямые затраты на инвентаризацию и первый этап миграции составили около восьми миллионов рублей, что значительно ниже потенциального ущерба от утечки долгосрочных данных.
Сценарий демонстрирует, что инвентаризация криптографических активов — это не разовая акция, а основа для построения долгосрочной стратегии криптографической защиты, без которой переход на PQC невозможен.
Материалы канала ориентированы на специалистов по информационной безопасности и IT-руководителей. Подписывайтесь, чтобы получать актуальные методологии и разборы инцидентов.
Вопрос для обсуждения: Проводили ли вы инвентаризацию криптографических активов в компании и какие алгоритмы используются для защиты наиболее критичных данных?