Полный выпуск подкаста «Горизонты событий» с Мариной Петраковой о кубитах, сверхпроводниках, криостатах, шуме, квантовой химии и реальных ограничениях квантовых компьютеров.
Один из самых тревожных мифов звучит так: квантовый компьютер появится — и весь интернет перестанет быть защищённым. В этой фразе есть реальное зерно, но она сильно упрощает ситуацию. Сегодняшние квантовые компьютеры не ломают банковские сайты и мессенджеры. Но будущие большие отказоустойчивые машины действительно могут сделать часть современной криптографии небезопасной.
Именно поэтому мир уже переходит к постквантовым алгоритмам, хотя «криптографически опасного» квантового компьютера ещё нет.
Почему RSA уязвим
RSA и многие другие схемы публичной криптографии держатся на математических задачах, которые обычному компьютеру решать очень трудно. Для RSA это разложение большого числа на простые множители. Если число достаточно большое, классический перебор невозможен за разумное время.
В 1990-х Питер Шор предложил квантовый алгоритм, который теоретически может факторизовать большие числа намного быстрее классических методов. Поэтому достаточно мощный квантовый компьютер сможет атаковать RSA. Похожие проблемы есть и у криптографии на эллиптических кривых.
Но важное слово здесь — «достаточно мощный». Нужен не просто чип с красивым числом физических кубитов, а масштабируемый отказоустойчивый квантовый компьютер с коррекцией ошибок. Это значительно сложнее современных NISQ-устройств.
Почему паниковать рано, а готовиться уже надо
Сегодняшние квантовые компьютеры шумят, ошибаются и пока не способны выполнить такие криптографические атаки в промышленном масштабе. Но в безопасности часто готовятся заранее. Причина проста: данные, зашифрованные сегодня, могут быть интересны через 10-20 лет.
Есть сценарий «собрать сейчас, расшифровать потом»: злоумышленник сохраняет зашифрованный трафик сегодня, а расшифровывает его в будущем, когда техника станет достаточно мощной. Для обычной переписки это может быть не страшно, но для государственных, медицинских, финансовых и промышленных секретов срок жизни данных бывает очень длинным.
Поэтому NIST в 2024 году выпустил первые финальные стандарты постквантовой криптографии: ML-KEM для установления ключей, ML-DSA и SLH-DSA для цифровых подписей. Эти алгоритмы рассчитаны на защиту от атак как классических, так и будущих квантовых компьютеров.
Постквантовая криптография — это не квантовая связь
Тут легко запутаться в терминах. Постквантовая криптография — это обычные математические алгоритмы, которые запускаются на классических компьютерах, но считаются устойчивыми к квантовым атакам. Для них не нужен квантовый компьютер и не нужен квантовый канал связи.
Квантовая криптография или квантовое распределение ключей — другая область. Там используются физические свойства квантовых систем для передачи ключей. Это интересно, но не заменяет массовую миграцию обычных протоколов интернета на постквантовые алгоритмы.
Практический переход будет скучным, долгим и важным: инвентаризация систем, обновление библиотек, новые сертификаты, гибридные схемы, тестирование совместимости и постепенный отказ от уязвимых алгоритмов.
Что это значит для обычного человека
Вероятно, пользователь почти ничего не заметит. Как когда-то браузеры и серверы переходили на новые версии TLS, так и постквантовая криптография будет появляться внутри инфраструктуры: в браузерах, мессенджерах, VPN, банковских системах и облачных сервисах.
Но общий вывод важен: квантовые компьютеры не «взломают всё завтра», однако они уже меняют планы кибербезопасности. Это редкий пример технологии, которая ещё не стала массовой, но уже заставила перестраивать стандарты.
В выпуске подкаста эта тема звучит как один из примеров задач, где квантовый алгоритм может дать принципиальное преимущество. И именно здесь лучше говорить без паники, но и без недооценки.
Вы бы хотели, чтобы банки и государственные сервисы публично отчитывались о переходе на постквантовую криптографию?
Съёмка выпуска проходила в студии CastPoint.ru. Благодарим за предоставленное помещение.