Квантовая угроза: как защитить данные до того, как станет поздно

Денис Батранков · Март 2026 · Читать ~8 минут

Прямо сейчас чьи-то серверы записывают ваш зашифрованный трафик. Не для того, чтобы читать его сегодня — для того, чтобы прочитать через 7–10 лет, когда появятся квантовые компьютеры. Это не фантастика. Это называется Harvest Now, Decrypt Later (HNDL) — и это уже происходит.

Сценарий, который уже реален

🏦 Реальный сценарий — банк

Крупный банк хранит платежные данные клиентов за последние 10 лет. Злоумышленник — государственная структура или хорошо финансируемая группа — перехватывает зашифрованный трафик уже сегодня и архивирует его. Через 7 лет появляется квантовый компьютер нужной мощности. За считанные часы расшифровываются миллионы платежных операций, личные данные клиентов, внутренняя переписка топ-менеджмента. Ущерб — от репутационных потерь до сотен миллионов рублей штрафов по 152-ФЗ и исков клиентов. Аналог из реальной жизни: утечка Equifax обошлась компании в $1,4 млрд — и там квантовых компьютеров не было.

Именно так работает стратегия Harvest Now, Decrypt Later («собери сейчас, расшифруй позже»). И именно поэтому защищаться нужно сейчас, а не когда квантовые компьютеры уже появятся на рынке.

Что такое CRQC и почему это важно

CRQC (Cryptographically Relevant Quantum Computer) — квантовый компьютер, достаточно мощный, чтобы взламывать современные алгоритмы шифрования: RSA, ECDH, ГОСТ 34.10. Обычный квантовый компьютер (например, используемый сегодня в научных задачах) на это не способен. CRQC — это уровень вычислительной мощности, которого ждут через 7–15 лет.

Пока CRQC не существует в промышленном масштабе. Но это не значит, что угрозы нет сейчас: данные перехватывают и хранят уже сегодня, в расчёте на будущее.

Это уже было: уроки проблемы 2000 года

В конце 1990-х мир обнаружил системную ошибку: даты в программах хранились двумя цифрами, и 2000 год грозил стать «1900». Банки, авиасистемы, биллинг — всё могло рухнуть. Потребовались годы подготовки и миллиарды долларов, чтобы устранить проблему до того, как она проявилась.

Сегодня ситуация повторяется:

• Более 95% российского корпоративного трафика защищены RSA, ECC и ГОСТ — без плана миграции.
• Тема квантовых угроз обсуждается на закрытых конференциях, а не в советах директоров.
• До принятия российского ГОСТ PQC осталось 2–3 года — а внедрение займёт годы.

⏱ Y2K решали 5–7 лет. Квантовая миграция — сложнее. Окно для спокойного перехода — сейчас.

Почему нынешнее шифрование перестанет работать

Современная криптография держится на математических задачах, которые классическим компьютерам решать непрактично — на это уходят миллионы лет. Квантовые алгоритмы решают те же задачи за часы.

Алгоритм Шора — квантовый алгоритм, который ломает RSA, DH и ECDH. Именно на этих алгоритмах держится большинство корпоративных VPN, TLS-соединений и ЭЦП. Сложность взлома падает с экспоненциальной до полиномиальной: O((log N)³).

Алгоритм Гровера — квантовый алгоритм для перебора. Вдвое сокращает эффективную длину симметричных ключей. AES-128 становится уязвимым; AES-256 остаётся надёжным, но только при правильных режимах использования.

Итог: RSA, DH, ECDH, ГОСТ 34.10 — всё это ломается алгоритмом Шора. ЭЦП под угрозой. Нужны новые подходы.

Два пути к квантово-устойчивой защите

QKD — квантовое распределение ключей

QKD (Quantum Key Distribution) — технология передачи ключей шифрования по квантовому каналу (оптоволокно или спутник). Физический принцип квантовой механики гарантирует: любая попытка перехватить ключ изменяет его состояние и немедленно обнаруживается. Ключ либо доставлен чисто, либо не доставлен вовсе.

Применение: критически важные каналы — межбанковские соединения, государственные сети, спутниковая связь. Стоимость: высокая, миллионы долларов на инфраструктуру.

PQC — постквантовая криптография

PQC (Post-Quantum Cryptography) — новые математические алгоритмы шифрования, устойчивые к атакам как классических, так и квантовых компьютеров. Встраиваются в привычные протоколы: TLS, VPN, ЭЦП — без замены всей инфраструктуры. Это не квантовая физика — это новая математика поверх существующих сетей.

Применение: TLS, VPN, корпоративные системы, мессенджеры. Стоимость: средняя — лицензии и интеграция в существующие системы.

Как работает гибридное шифрование: KEM + DEM

Чтобы не выбирать между старым и новым шифрованием, применяют гибридный подход — два механизма работают вместе:

KEM (Key Encapsulation Mechanism) — механизм безопасной передачи ключа с использованием PQC-алгоритмов (например, Kyber или NTRU). Отвечает за то, чтобы ключ дошёл до получателя, не будучи перехваченным.

DEM (Data Encapsulation Mechanism) — механизм шифрования самих данных симметричным ключом (AES-256 или ГОСТ). Быстрый и надёжный, работает поверх ключа, переданного через KEM.

KEM
Генерация ключа
через PQC (Kyber/NTRU)

DEM
Шифрование данных
AES-256/512 или ГОСТ

Проще говоря: KEM — защищает ключ, DEM — защищает данные. Вместе они дают защиту, которая выдержит квантовую атаку.

QKD против PQC: что выбрать

Характеристика	QKD	PQC
Что защищает	Ключи передачи данных	Данные и ключи в TLS, VPN, ЭЦП
Принцип защиты	Физика квантовой механики	Математика, устойчивая к квантовым атакам
Применение	Критические каналы, банки, спутники	TLS, VPN, ЭЦП, корпоративные системы
Стоимость	Высокая: миллионы $ на оптику и оборудование	Средняя: лицензии + интеграция
Примеры	ViPNet QTS, Сколтех + РЖД, спутник Micius	Cloudflare, Apple PQ3, Zoom Kyber-768, qApp + S-Terra

Как реагирует мир

Регуляторы и стандарты: в 2024 году NIST опубликовал финальные стандарты FIPS 203/204/205 — это первые официальные рекомендации по гибридным PQC-алгоритмам (ML-KEM, SLH-DSA). G7 установил дедлайн для внедрения PQC в финансовом секторе.

Лидеры QKD: Китай построил квантовую сеть длиной более 10 000 км, охватывающую 20 городов. Сингапурские банки работают с QKD в production-режиме, генерируя 6,75 млн ключей AES-256 в сутки.

Лидеры PQC: Cloudflare защитил PQC-шифрованием 52% пользовательского TLS-трафика. Apple внедрил PQ3 в iMessage. Zoom использует Kyber-768 для E2EE. Австралия планирует завершить внедрение PQC к 2028 году, Германия переходит на квантово-устойчивые паспорта к 2030-му.

Россия: что уже есть

QKD

• ИнфоТеКС — сертифицировала линейку ViPNet QTS/QTS Lite/QSS для ФСБ (топология «звезда», 44 км, более 150 000 клиентов).
• МГУ — университетская квантовая сеть: 5 узлов, 20 терминалов.
• Сколтех + РЖД + СМАРТС-Кванттелеком — пилот QKD для 4G/5G: защищённая передача ключей через смартфоны и IoT-датчики.
• Россия–Китай — QKD через спутник Micius на 3800 км (НИТУ МИСиС, РКЦ, 2023–2024).

PQC

• ТК 26 — работает над российскими стандартами PQC с 2019 года. ГОСТ на ЭЦП и KEM — в финальной разработке с участием «Криптонита».
• Алгоритмы: Шиповник (ЭЦП на code-based математике) и Кодиеум (KEM для TLS, VPN, банковских транзакций).
• Продукты: qApp + S-Terra — первый российский PQC TLS-шлюз.
• Минцифры — разработало 34 сценария внедрения PQC и QKD для корпоративных процессов.

Почему бизнес медлит

• Технически сложно: интеграция PQC с существующими ГОСТ-системами требует серьёзной инженерной работы.
• Нет кадров: криптоинженеров, знающих постквантовые алгоритмы, крайне мало.
• Дорого: QKD-инфраструктура требует капитальных вложений.
• Нет стандарта: ГОСТ PQC ещё не утверждён — многие ждут официального сигнала.

Ждать стандарта — разумно для выбора конкретных алгоритмов. Ждать для начала инвентаризации и планирования — опасно.

Дорожная карта миграции: что делать прямо сейчас

🔷 Для директора / CISO / владельца бизнеса

1. Поставьте вопрос на повестку совета директоров. Квантовая угроза — это риск долгосрочного актива, а не IT-задача.
2. Назначьте ответственного за инвентаризацию криптографии в компании.
3. Заложите бюджет на пилотный проект PQC в плане на 2026–2027 год.
4. Определите, какие данные у вас хранятся дольше 7 лет — платёжные архивы, медданные, переписка — именно они под угрозой HNDL.
5. Следите за ТК 26 — российский ГОСТ PQC выйдет через 2–3 года, и у вас должен быть план реакции.

🔹 Для инженера / архитектора / команды ИБ

1. Инвентаризация (1–2 месяца): nmap --script ssl-enum-ciphers, Qualys SSL Labs, аудит TLS, PKI, VPN и архивов данных.
2. Пилот PQC (3–6 месяцев): OpenQuantumSafe liboqs для гибридного TLS, qApp PQC Gateway, NIST ML-KEM + ГОСТ Р 34.12.
3. Для критичных каналов: рассмотреть ViPNet QTS (КС3) или пилот ПАК 4G/5G Сколтеха для QKD.
4. Архитектура: гибридное шифрование KEM + DEM, автоматизация ротации алгоритмов.
5. Мониторинг: РусКрипто, публикации ТК 26, ежеквартальный аудит.

Итог

Через 3 года регулятор потребует соответствия ГОСТ PQC. Через 7 лет злоумышленник сможет прочитать трафик, перехваченный сегодня. Прямо сейчас — единственное окно для спокойной, планомерной миграции.

Россия уже создала инструменты: ViPNet QKD, алгоритмы Шиповник и Кодиеум, первый PQC TLS-шлюз, дорожные сценарии Минцифры. Но 95%+ корпоративного трафика по-прежнему на классических алгоритмах без плана перехода.

Мировой рынок квантово-устойчивой криптографии оценивается в $4,68 млрд к 2029 году (CAGR 39,69%). Те, кто начнёт сейчас, будут готовы. Те, кто будет ждать, — нет.

С чего начать прямо сейчас

• Составьте список систем, использующих TLS, VPN и ЭЦП.
• Определите, какие данные хранятся у вас дольше 7 лет.
• Запланируйте пилот — даже небольшой — на один из критичных каналов.
• Подпишитесь на обновления ТК 26 и следите за выходом ГОСТ PQC.

Инвентаризацию можно сделать за неделю. Промедление обойдётся дороже.

Источники: ФСБ России, ТК 26, Минцифры России, ИнфоТеКС, Криптонит, NIST FIPS 203/204/205 (2024), Cloudflare Blog (2024), ASD (Австралия), BSI (Германия), Сколтех, РЖД, СМАРТС-Кванттелеком, НИТУ МИСиС.