← Решёточная криптографияХеш-подписи и другие подходы →

Стандарты NIST PQC и миграция

Какие постквантовые алгоритмы уже стали стандартом и как организации на них переходят.

NIST PQC — это многолетний открытый конкурс Национального института стандартов и технологий США, по итогам которого выбраны и опубликованы постквантовые алгоритмы: ML-KEM (на базе Kyber), ML-DSA (на базе Dilithium) и хеш-подпись SLH-DSA (на базе SPHINCS+).

Понять угрозу и математику — половина дела. Вторая половина — знать, что именно внедрять и как переходить, не сломав работающие системы. Здесь не нужно ничего выбирать «на свой вкус»: есть утверждённые стандарты и сложившиеся практики миграции. Этот урок — про них.

Зачем это знать защитнику

Миграция криптографии — это инфраструктурный проект на годы, затрагивающий сертификаты, протоколы, библиотеки, железо и сторонних поставщиков. Без понимания, какие алгоритмы стандартизованы и в каком порядке их разумно вводить, легко либо опоздать (риск «harvest now, decrypt later»), либо наломать дров поспешной заменой. Цель — управляемый, обратимо проверяемый переход.

Конкурс NIST и его результат

В 2016 году NIST объявил открытый отбор постквантовых алгоритмов: команды со всего мира присылали схемы, остальные — публично их атаковали. Несколько кандидатов были сломаны прямо в ходе конкурса (это нормально и полезно: лучше пусть падают на этапе отбора). К 2022 году определились победители, а в 2024-м вышли финальные стандарты под «человеческими» именами:

СтандартОснован наНазначение
ML-KEM (FIPS 203)Kyber (решётки)обмен / инкапсуляция ключа
ML-DSA (FIPS 204)Dilithium (решётки)цифровая подпись (основная)
SLH-DSA (FIPS 205)SPHINCS+ (хеши)подпись с консервативной стойкостью

Деление осмысленно: для шифрования/обмена ключом — ML-KEM; для подписи — обычно ML-DSA как быстрая и компактная, а SLH-DSA держат как «страховочный» вариант на иной математике (об этом — в следующем уроке). У каждого алгоритма есть несколько уровней стойкости (например, ML-KEM-512/768/1024) — берут уровень под требования к запасу прочности.

Гибридные схемы: ремень и подтяжки

Главный приём безопасной миграции — гибридные схемы. Идея: не выбрасывать классику сразу, а запускать одновременно классический и постквантовый алгоритм, комбинируя их результаты. Для обмена ключом, например, считают и ECDH-секрет, и ML-KEM-секрет, а затем «смешивают» их в один общий ключ через KDF (функцию вывода ключа).

Зачем такая страховка? Постквантовые алгоритмы молоды, и теоретически в них может найтись классическая (неквантовая) слабость. Гибрид защищает с обеих сторон: чтобы вскрыть ключ, противнику пришлось бы сломать и ECDH (защита от классики сегодня), и ML-KEM (защита от кванта завтра). Пока хотя бы одна половина крепка — ключ в безопасности. Именно поэтому в TLS и защищённых мессенджерах постквантовость внедряют сначала в гибридном виде.

import hashlib

# Упрощённая иллюстрация ИДЕИ гибридного ключа (не настоящая крипта)
classical_secret = b"shared-from-ECDH"     # секрет классического обмена
pq_secret        = b"shared-from-ML-KEM"    # секрет постквантового обмена

# Смешиваем оба секрета в один общий ключ
combined = hashlib.sha256(classical_secret + pq_secret).hexdigest()
print("Общий ключ (hex):", combined[:32], "...")
print("Длина:", len(combined) * 4, "бит")

Вывод:

Общий ключ (hex): 1de40ed53876c56001fc3792c7307a6b ...
Длина: 256 бит

Суть в том, что итоговый ключ зависит от обоих секретов сразу. Реальные KDF (HKDF) устроены аккуратнее, но принцип «надёжен, пока крепка хотя бы одна половина» именно такой.

Как индустрия переходит

Переход идёт волнами, и порядок логичен.

  • Сначала — обмен ключом (KEM), потому что именно он под ударом «harvest now, decrypt later»: перехваченный сегодня трафик расшифруют завтра. Браузеры и серверы уже включают гибридный постквантовый обмен ключом в TLS.
  • Подписи — следом. Подделать подпись задним числом нельзя (если ключ скомпрометируют будущим квантовым компьютером, это угрожает будущим, а не прошлым подписям), поэтому здесь срочность ниже. Но долгоживущие корни доверия (firmware-подписи, корневые CA, обновления ПО) переводят заранее.
  • Самое сложное — длинные цепочки доверия: PKI, аппаратные модули (HSM), смарт-карты, IoT с прошитыми алгоритмами. Их нельзя обновить одним щелчком, и именно они определяют реальные сроки.

Как это работает под капотом

Чтобы переход вообще был возможен, системе нужна криптографическая гибкость (crypto-agility): алгоритм не «зашит» намертво, а выбирается по идентификатору и согласуется сторонами. В TLS это происходит на рукопожатии — клиент и сервер договариваются о поддерживаемых группах/схемах. Если обе стороны умеют гибрид «ECDH + ML-KEM» — используют его; если нет — откатываются на классику. Так сеть мигрирует постепенно, без «дня X», когда всё ломается разом.

Важная тонкость — совместимость и размер. Постквантовые ключи крупнее, и рукопожатие «толстеет»; иногда это упирается в старые сетевые устройства, которые странно реагируют на большие пакеты (проблема «middlebox»). Поэтому внедрение сопровождают измерениями: латентность, доля успешных соединений, поведение прокси. Реалистичные сроки полной миграции — годы: для интернета в целом счёт идёт на 5–10+ лет, причём начинать критичные системы советуют уже сейчас, ориентируясь на рекомендации NIST и национальных регуляторов о выводе классики из эксплуатации в начале 2030-х.

Как защититься

  • Начните с инвентаризации и crypto-agility: без карты «где какая криптография» миграция превращается в хаос.
  • Внедряйте обмен ключом раньше подписей — он критичнее из-за «собери сейчас, расшифруй потом».
  • Используйте гибридные схемы на переходный период: классика + постквант, чтобы не зависеть от молодости новых алгоритмов.
  • Опирайтесь на стандарты ML-KEM/ML-DSA/SLH-DSA и аудированные библиотеки; тестируйте совместимость и размеры пакетов на реальной сети.
  • Заранее планируйте «тяжёлые» узлы: PKI, HSM, IoT, firmware-подписи — их обновление самое долгое и должно начаться раньше.

Итоги

  • NIST по итогам открытого конкурса стандартизовал ML-KEM (FIPS 203), ML-DSA (FIPS 204) и SLH-DSA (FIPS 205) — это и есть «официальная» постквантовая криптография.
  • ML-KEM — для обмена ключом, ML-DSA — основная подпись, SLH-DSA — консервативная хеш-подпись как страховка на другой математике.
  • Гибридные схемы (классика + постквант) безопасны, пока крепка хотя бы одна половина, и потому удобны для переходного периода.
  • Индустрия мигрирует волнами: сначала обмен ключом (риск «harvest now»), затем подписи; самое долгое — PKI, HSM, IoT и firmware.
  • Crypto-agility и согласование алгоритмов на рукопожатии позволяют переходить постепенно; реалистичный горизонт полной миграции — годы.
Проверьте себя
1. Какие алгоритмы NIST стандартизовал для постквантовой криптографии?
ARSA-4096, ECDSA и SHA-3
BML-KEM (на базе Kyber), ML-DSA (на базе Dilithium) и SLH-DSA (на базе SPHINCS+)
CAES-256, ChaCha20 и Poly1305
DТолько один универсальный алгоритм для всего сразу
2. В чём смысл гибридной схемы при переходе на постквантовую криптографию?
AЗапускать классический и постквантовый алгоритм одновременно, чтобы ключ был надёжен, пока крепка хотя бы одна половина
BЧередовать алгоритмы по очереди в зависимости от дня недели
CПолностью отключить классику в первый же день
DИспользовать два одинаковых классических алгоритма подряд
3. Почему обмен ключом обычно мигрируют на постквант раньше, чем подписи?
AПодписи вообще не нужно мигрировать
BОбмен ключом проще технически и не требует стандартов
CПерехваченный сегодня зашифрованный трафик можно расшифровать в будущем, поэтому обмен ключом критичнее из-за «harvest now, decrypt later»
DПодписи ломаются алгоритмом Гровера, а обмен ключом — нет