Денис Батранков · @safebdv · май 2026
Идет гонка - кто первый!
Китай уже вложил 15 миллиардов долларов в квантовый центр. На днях стало изввестно, что правительство США вложило 2 млрд долларов в девять квантовых компаний и получило акции каждой из них.
- IBM получила 1 млрд и строит завод по производству квантовых чипов Anderon в штате Нью-Йорк.
- GlobalFoundries 375 млн, D-Wave, Rigetti, Infleqtion и PsiQuantum по 100 млн. При этом D-Wave — это первый в мире коммерческий поставщик квантовых компьютеров, работает с 1999 года. Rigetti — разработчик сверхпроводниковых квантовых процессоров, торгуется на NYSE. Infleqtion — специализируется на нейтральных атомах как кубитах, вышла на биржу в феврале 2026 года. Их акции в результате выросли на 30–33% за день.
А почему? Потому что скоро почти все ваши зашифрованные сообщения взломают. Это уже не обсуждается. Обсуждается только то, успеете ли вы сменить свои алгоритмы шифрования до этого момента. Если вам нужен конкретный план для CISO и ИТ-директора, то эта статья для вас.
1. Как квантовый компьютер может сломать вашу криптографию
Квантовый компьютер сломает алгоритмы шифрования не скоростью, а физикой. Обычный бит — либо 0, либо 1. Кубит может быть в обоих состояниях одновременно, пока его не измерили. На этом и строится вся магия.
Вычисление происходит в три шага.
Шаг 1. Загрузка. Кубиты переводятся в суперпозицию. В процессоре одновременно существуют все возможные варианты ответа на задачу.
Шаг 2. Отсев. Специальный алгоритм превращает варианты в волны. Неправильные ответы сталкиваются и гасят друг друга. Правильный усиливается.
Шаг 3. Считывание. Остаётся один усиленный ответ. Физика уже стёрла всё остальное.
Обычный компьютер ищет иголку в стоге сена, перебирая каждую соломинку. Квантовый поджигает весь стог — солома сгорает, иголка остаётся.
Именно так алгоритм Шора ломает RSA.
Смысл RSA — в математической сложной задаче: если перемножить два больших простых числа легко, то найти эти числа составляющие произведение обратно уже почти невозможно. Перемножить 7919 и 6271 — секунда. Получить число 49 651 649 и найти исходные множители — задача на часы перебора. RSA прячет закрытый ключ именно с помощью этой идеи. И вот теперь оказалось, что алгоритм Шора делает такое разложение на простые числа тривиальным.
ECC-256 и Diffie-Hellman ломаются по той же логике: их надёжность держится на другой математически трудной задаче, которую Шор решает так же эффективно. Всё, что держится на асимметричной криптографии — TLS, VPN, PKI, SSH, ЭЦП — оказывается под ударом.
Симметричные алгоритмы пострадают меньше. Алгоритм Гровера вдвое снижает эффективную длину ключа: AES-256 становится по стойкости как AES-128. Неприятно, но не смертельно. Если вы до сих пор используете AES-128 или SHA-1, у вас уже нет запаса прочности — причём без всяких квантовых компьютеров.
В нашей стране активно изучается применение алгоритма Шора и другие методы взлома шифрования, например, вот публичная статья российских криптографов.
Главное: угроза уже актуальна и называется «harvest now, decrypt later» (HNDL) — собери сейчас, расшифруй потом. Я уже писал об этом.
Когда ваш браузер открывает защищённый сайт или VPN-клиент устанавливает соединение, в сети появляется зашифрованный поток данных. Сегодня его никто не может прочитать без ключа. Но этот поток зашифрованных данных можно записать. Именно это и делают сейчас.
АНБ держит дата-центр в штате Юта для долгосрочного хранения перехваченного трафика — по оценкам, его ёмкость измеряется экзабайтами. Китайская группа APT41 годами копирует TLS-сессии крупных компаний: не взламывает, а просто складывает в архив. Когда появится рабочий квантовый компьютер, архив с вашими данными просто откроют.
Стоит оценить угрозу применительно к вашей организации. Что будет, если через несколько лет будет возможно узнать какой был договор с партнёром, подписанный сегодня. Будет ли кому-то нужна переданная в зашифрованном виде медицинская карта пациента. Будет ли взломана финансовая отчётность, которую вы отправляете в банк. Или база персональных данных на ленточном накопителе. Если требования к конфиденциальности этих данных больше 5–7 лет — они уже под угрозой HNDL. Не в будущем. Противник уже собирает, расшифровка просто отложена.
2. Идет гонка трёх держав: почему же она ускорилась
Самый частый вопрос: когда это реально случится? Честный ответ — никто точно не знает. Но посмотрите, что происходит с деньгами и государственными приоритетами. Это точнее любого прогноза.
США. IBM в 2023 году показала процессор Condor на 1121 кубит. NIST в августе 2024-го утвердил три финальных стандарта постквантовой криптографии. АНБ требует перевести системы национальной безопасности на PQC до 2030 года. Как уже написано выше Министерство торговли в рамках CHIPS and Science Act раздало 2 млрд долларов девяти квантовым компаниям. Взамен государство стало акционером каждой.
Та же схема применялась к Intel в августе 2025-го — акции после этого выросли на 370%. Секретарь торговли Говард Ланик назвал происходящее «вступлением в новую технологическую эру». США теперь финансово заинтересованы в том, чтобы квантовые машины заработали как можно скорее.
Китай. Группа Цзяньвэй Пань в Университете науки и технологий зафиксировала квантовое превосходство в задачах бозонного семплирования. Пекин вложил больше 15 млрд долларов в национальную квантовую лабораторию. Квантово-защищённая правительственная сеть КНР уже работает на 4600 км.
Россия. «Росатом» и РКЦ (Российский квантовый центр) разрабатывают технологии по дорожной карте «Квантовые вычисления». В декабре 2025 года ФИАН совместно с РКЦ представил 70-кубитный ионный процессор на иттербии. По оптимистичным оценкам, криптографически значимая машина появится к концу 2020-х.
Большинство экспертов называют 2030–2035 год. Некоторые — 2028-й. Кажется, времени достаточно. До тех пор пока не посчитаете, сколько у вас CA-сертификатов со сроком 10 лет и IoT-устройств, которые нельзя обновить дистанционно.
Что важно для российских организаций. Первый рабочий CRQC, скорее всего, окажется у американских или китайских спецслужб, и как вы понимаете не в открытом доступе. Доступ к IBM Quantum, D-Wave и Rigetti для российских компаний и так был закрыт. Теперь эти активы вписаны в государственную инфраструктуру США. Проверять свои системы на квантовую прочность с помощью западных платформ не получится. Архитектуру защиты нужно строить сейчас, опираясь на то, что есть.
3. Что делать прямо сейчас
Прежде чем переходить к реальным действиям, нужно разобраться с российской регуляторикой — она определяет, что вам вообще разрешено делать.
Там, где обязательны СКЗИ с сертификатом ФСБ, вы привязаны к ГОСТ Р 34.10-2012 (ECC) и ГОСТ Р 34.11-2012 (хеш-функции). Оба алгоритма ломаются алгоритмом Шора так же, как ECDSA и SHA-256.
Первый коммерческий продукт на их основе — PQC TLS-шлюз от qApp совместно с S-Terra — уже вышел. Когда ГОСТ-PQC будет принят, рынок уже будет иметь устройства для реализации стандарта.
Для финансового сектора добавляется ещё один регулятор: ЦБ РФ уже обращает внимание на квантовые риски в методических рекомендациях по ИБ, особенно применительно к системам ДБО и ЭЦП в платёжных поручениях.
Потребуйте от поставщиков СКЗИ письменный ответ: когда в их продукте появится поддержка Шиповника и Кодиеума.
Системы без обязательного СКЗИ. Запускайте гибридные пилоты на стандартах NIST прямо сейчас. Внутренние сервисы, не попадающие под требования ФСБ — хорошая стартовая площадка.
Архивы. Усиление симметричной защиты не требует ГОСТ-PQC. Перешифровать архив на AES-256 с ключами в HSM можно сегодня. Это уже снижает риск «harvest now, decrypt later», независимо от того, когда выйдет новый ГОСТ. Если вам нужна полная надежность, то есть и более стойкие решения. Например, утилита для шифрования дисков VeraCrypt предлагает каскад шифрования AES-Twofish-Camellia и по сути объем ключевого материала составляет 768 бит. Даже если теоретически один из алгоритмов будет взломан или окажется уязвим к специфическому квантовому алгоритму, данные останутся защищены двумя другими.
Ещё одно разграничение, которое регулярно путают: квантовое распределение ключей (QKD) и постквантовая криптография (PQC) — это разные вещи. QKD передаёт ключи по оптоволокну, используя квантовые состояния фотонов. PQC — математические алгоритмы, работающие на обычном железе. Россия развивает QKD через «РЖД», «Ростелеком» и НИТУ МИСИС, включая спутниковый канал с Китаем в рамках проекта Micius. Для магистральных каналов — QKD. Для корпоративной инфраструктуры (PKI, VPN, SSH, API) — только PQC.
4. Что конкретно под угрозой в вашей организации
Пройдитесь по таблице и отметьте, где у вас стоит высокий приоритет.
| Система / протокол | Алгоритм | Угроза | Приоритет |
|---|---|---|---|
| TLS 1.2/1.3 | RSA, ECDHE | Алгоритм Шора | ВЫСОКИЙ |
| PKI / CA-сертификаты | RSA-2048/4096 | Алгоритм Шора | ВЫСОКИЙ |
| VPN (IPsec, OpenVPN) | DH, ECDH | Алгоритм Шора | ВЫСОКИЙ |
| SSH | RSA, ECDSA | Алгоритм Шора | ВЫСОКИЙ |
| ЭЦП (ГОСТ Р 34.10-2012) | ECC-256/512 | Алгоритм Шора | ВЫСОКИЙ |
| AES-256 / ГОСТ 28147 («Кузнечик») | Симметричный | Алгоритм Гровера (эффект ×2) | СРЕДНИЙ |
| SHA-256 / ГОСТ 34.11 | Хеш | Алгоритм Гровера (эффект ×2) | СРЕДНИЙ |
| AES-128 | Симметричный | Гровера → эквивалент 64 бит | ВЫСОКИЙ |
| SHA-1, MD5, DES, RC4 | Устаревшие | Уже небезопасны классически | ВЫСОКИЙ (прямо сейчас) |
SHA-1 и DES в конфигурации — это не квантовая угроза, это классическая. Реализуется уже сегодня. Убрать до конца квартала.
5. Что делать: инвентаризация, быстрые меры, архивы
Первые два блока закрываются без бюджета и без новых инструментов.
5.1 Инвентаризация
Начните с аудита того, что есть. Запустите nmap --script ssl-enum-ciphers -p 443 ваш_домен — он покажет все алгоритмы на каждом хосте. Для внешних сервисов есть Qualys SSL Labs, бесплатно и без установки.
- ☐ Собрать список всех RSA- и ECC-ключей: TLS-сертификаты, SSH-ключи, VPN, PKI, СКЗИ, токены ЭЦП.
- ☐ Выделить ключи со сроком жизни больше 5 лет: корневые CA, IoT-устройства, системы АСУ ТП.
- ☐ Проверить архивы и резервные копии: что зашифровано и каким алгоритмом.
- ☐ Разметить данные по двум осям: срок хранения и ценность для противника. Финансовые договоры, персональные данные, государственные секреты — всё, что актуально после 2030 года, уже в зоне риска.
5.2 Быстрые меры без новых закупок
- ☐ Убрать DES, 3-DES, RC4, SHA-1 из всех конфигураций. Без исключений.
- ☐ Заменить AES-128 на AES-256 там, где данные хранятся дольше 5 лет.
- ☐ Увеличить RSA-ключи с 2048 до 4096 бит, где позволяет инфраструктура. ECC: перейти с P-256 на P-384 в новых системах.
- ☐ Включить Perfect Forward Secrecy (PFS) на всех TLS-точках. Каждая сессия получает уникальный ключ, который удаляется после завершения соединения.
- ☐ Сократить срок действия TLS-сертификатов до 3 месяцев. Это вынуждает автоматизировать обновление через ACME и снижает ценность каждого перехваченного ключа. Промежуточные CA не дольше 3 лет.
- ☐ Проверить VPN-соединения: какие используют статический обмен ключами.
Важно не перепутать. Переход с RSA-2048 на RSA-4096 не защищает от квантового взлома — он лишь незначительно замедляет классический перебор. Это тактическая мера на период миграции, а не решение проблемы. Перед увеличением длины ключей проверьте совместимость оборудования: старые HSM, банкоматы и системы АСУ ТП часто не поддерживают 4096 бит аппаратно. Для таких устройств оставьте 2048 и занесите в реестр как приоритет для замены.
PFS не даёт полной квантовой защиты. PFS не позволяет расшифровать старые сессии, если противник позже получит долгосрочный ключ сервера. Но если он записал в архив сам процесс установки соединения, квантовый компьютер сможет восстановить и временный ключ — алгоритм Шора ломает математику обмена независимо от того, был ли ключ временным. PFS снижает риск, но не устраняет его. Полная защита — только замена обмена ключами на PQC.
5.3 Защита архивов
- ☐ Перешифровать холодные бэкапы и ленточные архивы на AES-256. Ключи генерировать через аппаратные HSM — физические устройства, в которых ключи хранятся в защищённой среде и никогда не покидают её в открытом виде.
- ☐ Не хранить закрытые ключи рядом с зашифрованными данными в одном бэкапе.
- ☐ Ключ не должен жить дольше, чем данные, которые им защищены.
Это всё шаги первого горизонта (2026–2028). В конце статьи — финальный чек-лист, чтобы сверяться раз в квартал.
6. Постквантовые алгоритмы: что выбрать и с чего начать
Инвентаризация и чистка — подготовка. Сам переход требует новых алгоритмов. NIST (Национальный институт стандартов и технологий США) утвердил три стандарта в 2024 году. FIPS — американские федеральные стандарты обработки информации, примерно как ГОСТ в России: обязательны для государственных систем, но фактически становятся ориентиром для всей индустрии. FIPS 203, 204 и 205 — конкретные номера стандартов для трёх постквантовых алгоритмов.
| Алгоритм | Назначение | Основа | Стандарт |
|---|---|---|---|
| ML-KEM (CRYSTALS-Kyber) | Обмен ключами | Решётчатые задачи (LWE) | FIPS 203 |
| ML-DSA (CRYSTALS-Dilithium) | Цифровая подпись | Решётчатые задачи | FIPS 204 |
| SLH-DSA (SPHINCS+) | Цифровая подпись | Хеш-функции | FIPS 205 |
Отдельного внимания заслуживает Falcon — постквантовый алгоритм цифровой подписи на основе математической структуры под названием NTRU-решётки. Он компактнее Dilithium по размеру подписи, но сложнее в реализации и войдёт в следующую волну стандартизации NIST. В России ТК-26 совместно с ФСБ разрабатывает национальные PQC-алгоритмы, но ГОСТ-PQC пока нет.
Таблица замен: куда мигрировать
| Сейчас | Где используется | PQC-замена | Стандарт | Сложность | Горизонт |
|---|---|---|---|---|---|
| RSA-2048 / 4096 | TLS, PKI, SSH, VPN | ML-KEM (Kyber-768) | FIPS 203 | Средняя | 2026–2028 |
| ECDSA / ECDH | TLS, подписи, API | ML-DSA (Dilithium-3) | FIPS 204 | Высокая (размер подписи) | 2027–2029 |
| ГОСТ Р 34.10-2012 | ЭЦП, СКЗИ, ЕГАИС | Шиповник (кандидат ТК-26) | ГОСТ-PQC (ожидается) | Высокая (регуляторика) | 2029–2032 |
| Diffie-Hellman | VPN, обмен ключами | ML-KEM в гибридной схеме | FIPS 203 | Средняя | 2026–2028 |
| AES-128 | Шифрование данных | AES-256 (прямо сейчас) | Существующий FIPS | Низкая | Немедленно |
| SHA-1 / SHA-256 в подписи | Контроль целостности | SHA-384 / SLH-DSA (SPHINCS+) | FIPS 205 | Низкая / Средняя | 2026–2027 |
Переход уже идёт у крупных игроков. Cloudflare перевёл 52% своего TLS-трафика на PQC-алгоритмы. Apple в iOS 17 внедрил протокол PQ3 на основе Kyber для iMessage. Zoom использует Kyber-768 в видеозвонках. Это не лабораторные пилоты, а продакшн на сотнях миллионов устройств. 95% российского корпоративного трафика при этом до сих пор работает на RSA и ECC без плана миграции.
В 1999 году двухзначные даты в коде грозили сбоями в банках и авиасистемах. Те, кто начал чинить заранее, прошли Y2K незаметно. Те, кто ждал, потратили в последние месяцы на порядок больше. Квантовый дедлайн устроен так же, с одним отличием: о нём не объявят по телевизору за неделю.
Первый шаг: гибридная схема
Не отключайте RSA. Добавьте PQC поверх. В гибридной схеме данные защищены двумя слоями одновременно. Чтобы взломать, нужно сломать оба. Квантовый компьютер вскроет классику — PQC держит. Найдут уязвимость в PQC — RSA держит.
- ☐ Проверить, поддерживает ли OpenSSL 3.x PQC-алгоритмы через OQS Provider — плагин, добавляющий постквантовые алгоритмы без изменения основного кода.
- ☐ Развернуть тестовый TLS-сервер с гибридной схемой X25519Kyber768, её уже поддерживают Cloudflare и Chrome.
- ☐ Проверить VPN-шлюзы: StrongSwan поддерживает Kyber с версии 6.0, OpenVPN в экспериментальном режиме.
- ☐ Запустить пилот на внутреннем сегменте с минимальными требованиями к производительности. Kyber-768 добавляет около 1 мс к TLS-рукопожатию — приемлемо. Dilithium-3 увеличивает размер подписи в 10 раз по сравнению с ECDSA, нужно учитывать при работе с PKI.
Три вещи, которые удивят при переходе на постквантовые алгоритмы
Ключи и подписи резко выросли в размере. Раньше вы пересылали открытку, теперь нужно отправлять конверт с документами. Смысл тот же, но конверт не пролезает в стандартный почтовый ящик. Некоторые PQC-подписи не умещаются в стандартный сетевой пакет, и сеть разбивает их на части — это задержки и проблемы совместимости. Подробнее читайте в блоге Cloudflare о PQC в продакшне.
Не все алгоритмы одинаково практичны. Некоторые постквантовые схемы прошлого века имеют открытые ключи размером до 1 МБ — как целый документ Word. Для корпоративной PKI это нереально. NIST отобрал алгоритмы с разумными размерами. Придерживайтесь Kyber и Dilithium — они проектировались с учётом реальных ограничений инфраструктуры.
Новые алгоритмы тоже могут ломаться. В 2022 году математики за несколько часов на обычном ноутбуке взломали SIDH — алгоритм, который годами считался надёжным финалистом конкурса NIST. Это не значит, что Kyber и Dilithium ненадёжны: у них другая математика, и они пока держатся. Но ставить всё на один алгоритм неразумно. Гибридная схема RSA + PQC именно поэтому правильнее чистого PQC: если один слой взломают, второй держит. Технические характеристики читайте напрямую: Kyber и Dilithium.
Сравнение алгоритмов по размеру
| Алгоритм | Открытый ключ | Подпись / шифртекст | Что важно знать |
|---|---|---|---|
| RSA-2048 | 256 байт | 256 байт | Привычный размер. Ломается квантовым компьютером. |
| ECDSA P-256 | 64 байта | 72 байта | Очень компактный. Тоже ломается. |
| ML-KEM / Kyber-768 | 1184 байта | 1088 байт (шифртекст) | Умеренный рост. Хорошо работает в TLS и VPN. |
| ML-DSA / Dilithium-3 | 1952 байта | 3293 байта | Подпись в 45 раз крупнее ECDSA. Нужна проверка совместимости. |
| Falcon-512 | 897 байт | 666 байт | Компактнее Dilithium, но сложнее реализовать. |
| McEliece (классический) | 261 120 байт | 128 байт | Ключ размером с документ Word. Для PKI неприменим. |
7. Roadmap: три горизонта планирования
| Горизонт | Период | Что делать |
|---|---|---|
| Подготовка | 2026–2028 | Инвентаризация всех криптографических активов Вывод SHA-1, DES, RC4 Увеличение длин ключей, включение PFS Перешифровка критических архивов PQC-пилоты на внутренних сервисах Обучение команды, q-readiness в ревью архитектуры |
| Внедрение | 2029–2032 | Массовое развёртывание гибридных PQC-схем Замена PKI на PQC-совместимую инфраструктуру Обновление VPN, SSH, API-шлюзов Обновление регламентов под ГОСТ-PQC после выхода стандартов |
| Финальная миграция | 2033–2035 | Полный вывод RSA и ECC Аудит остаточных рисков Соответствие требованиям ФСТЭК, ФСБ и NIST Актуализация криптографической документации |
8. Что спросить у поставщиков оборудования и ПО
Перейти в постквантовую эру в одиночку не получится. VPN-шлюзы, СКЗИ, межсетевые экраны, PKI — всё это сторонние продукты. Начните изучать тему самостоятельно: whitepaper AWS по PQC, дорожная карта КриптоПро, Open Quantum Safe — открытая библиотека с реализациями всех актуальных алгоритмов. А на следующем техническом совещании с вендором задайте эти вопросы.
- Когда в вашем продукте появится поддержка ML-KEM (Kyber) и ML-DSA (Dilithium)?
- Поддерживает ли ваш TLS-стек гибридные группы X25519Kyber768 или P384Kyber768?
- Как продукт справляется с увеличенным размером PQC-сертификатов и подписей?
- Можно ли обновить криптобиблиотеки без замены железа? Это критично для IoT, АСУ ТП и СКЗИ.
- Какова ваша позиция по российским PQC-стандартам после принятия ТК-26?
Есть ещё один вопрос, который отсеивает вендора сразу: можно ли заменить криптографический модуль через конфигурационный файл без переписывания кода? Это называется crypto-agility. Если ответ «нет» или «мы изучим» — продукт станет заложником устаревших алгоритмов. Вы вместе с ним.
9. Чек-лист на конец 2026 года
Раздел 5 разобрал каждый шаг подробно. Здесь — то же самое в сжатом виде, чтобы распечатать и проверить раз в квартал. Одиннадцать пунктов — и если к декабрю все закрыты, вы впереди большинства российских организаций.
- ☐ Реестр всех криптографических ключей и сертификатов: алгоритм, длина ключа, срок действия.
- ☐ Список данных, актуальных после 2030 года, с оценкой риска harvest now, decrypt later.
- ☐ SHA-1, DES, 3-DES и RC4 выведены из всех конфигураций.
- ☐ Perfect Forward Secrecy включён на всех публичных TLS-точках.
- ☐ Минимальная длина ключей: RSA — 3072 бит, ECC — P-384.
- ☐ Срок TLS-сертификатов не более 3 месяцев, обновление автоматизировано через ACME.
- ☐ Критические архивы перешифрованы на AES-256, ключи в HSM.
- ☐ PQC-пилот запущен хотя бы на одном внутреннем сервисе.
- ☐ Вендоры опрошены: PQC roadmap и crypto-agility.
- ☐ q-readiness включён в шаблон архитектурного ревью.
- ☐ Составлен список неуправляемых устройств (принтеры, IP-камеры, датчики АСУ ТП), которые нельзя обновить удалённо, с планом их физической замены.
Те, кто начал инвентаризацию в 2026 году, пока это казалось необязательным, окажутся в принципиально другой позиции, чем те, кто ждал официального приказа в 2032-м.
Денис Батранков, CISSP, независимый консультант по ИБ, автор Telegram-канала Топ Кибербезопасности @safebdv.