← Квантовое программирование …Чего квантовые компьютеры Н… →

Постквантовая криптография

Как защитить данные от будущего квантового взлома уже сегодня.

Постквантовая криптография (PQC) — классические алгоритмы шифрования, стойкие против атак как обычных, так и квантовых компьютеров.

Что именно под угрозой

Алгоритм Шора ломает всё, что опирается на факторизацию и дискретный логарифм: RSA, Диффи — Хеллман, эллиптические кривые (ECC). Это вся современная асимметричная криптография — обмен ключами и цифровые подписи в TLS, мессенджерах, банках. Симметричные шифры (AES) и хеши страдают меньше: Гровер лишь вдвое ослабляет ключ, что лечится его удлинением (AES-128 заменяют на AES-256). Главная боль — именно асимметричная часть.

«Harvest now, decrypt later»

Угроза реальна уже сегодня, хотя большой квантовый компьютер ещё не построен. Противник может сейчас записать зашифрованный трафик и хранить его, чтобы расшифровать через 10–15 лет, когда машина появится. Поэтому данные с долгим сроком секретности (гостайна, медкарты, генетика) нужно защищать постквантово уже сегодня. Срочность определяется простым неравенством: если время хранения секрета плюс время миграции больше, чем срок до появления квантового компьютера — мигрировать надо немедленно.

def need_migrate_now(secret_lifetime, migration_years, years_to_qc):
    return secret_lifetime + migration_years > years_to_qc

cases = [
    ('Гостайна (хранить 25 лет)', 25, 5, 15),
    ('Сессионный токен (1 день)', 0, 5, 15),
    ('Медкарта (хранить 20 лет)', 20, 5, 15),
]
for name, life, mig, qc in cases:
    flag = need_migrate_now(life, mig, qc)
    print('%-32s мигрировать сейчас: %s' % (name, 'ДА' if flag else 'нет'))

Вывод:

Гостайна (хранить 25 лет)        мигрировать сейчас: ДА
Сессионный токен (1 день)        мигрировать сейчас: нет
Медкарта (хранить 20 лет)        мигрировать сейчас: ДА

На чём стоит PQC

Постквантовые алгоритмы опираются на математические задачи, для которых не известно быстрого квантового алгоритма. Главные семейства: решёточные (на трудности задач в многомерных решётках — самое перспективное), на хеш-функциях (для подписей), на кодах, исправляющих ошибки, и на многомерных уравнениях. В 2024 году NIST стандартизировал первые из них: ML-KEM (Kyber) для обмена ключами и ML-DSA (Dilithium) для подписей. Это уже не теория — браузеры и мессенджеры начали их внедрять.

Как работает под капотом

Важная честная оговорка: «постквантовый» не значит «доказанно невзламываемый». Это значит «нет известного эффективного алгоритма, ни классического, ни квантового». Решёточные задачи изучают десятилетиями и пока не нашли квантового слома — на этом строится доверие. Поэтому переход идёт осторожно, через гибридные схемы: одновременно используют классический (ECC) и постквантовый алгоритм, чтобы взлом одного не обрушил защиту. Это защищает и от квантовой угрозы, и от возможной ошибки в новом, ещё молодом алгоритме.

Частые ошибки

  • «Раз квантового компьютера нет, можно не спешить». «Harvest now, decrypt later» делает угрозу сегодняшней.
  • Считать, что под ударом весь AES. Симметрику спасает удлинение ключа.
  • Думать, что PQC доказанно стойка. Она стойка лишь к известным атакам — отсюда гибридные схемы.

Итог

  • Шор ломает асимметрику (RSA/ECC/DH); симметрику (AES) спасает удлинение ключа.
  • Угроза «собрать сейчас — расшифровать потом» делает миграцию срочной для долгих секретов.
  • NIST стандартизировал решёточные ML-KEM и ML-DSA; переход идёт через гибридные схемы.
Проверьте себя
1. Какую криптографию в первую очередь ломает алгоритм Шора?
AСимметричную (AES)
BАсимметричную: RSA, ECC, Диффи — Хеллман
CХеши
DВсе одинаково
2. Что означает угроза «harvest now, decrypt later»?
AШифровать позже
BЗаписать трафик сейчас, расшифровать после появления квантовой машины
CУдалять данные
DМенять ключи ежедневно
3. Почему переход на PQC часто делают гибридным?
AДля скорости
BЧтобы взлом одного алгоритма (классического или нового PQC) не обрушил защиту
CТак дешевле
DЭтого требует Шор