Криптография давно перестала быть узкой темой для специалистов. Она окружает пользователей повсюду: онлайн‑платежи и банковские переводы, мессенджеры, защищённые соединения с сайтами (HTTPS/TLS), мобильная связь, электронный документооборот, сдача отчётности, госуслуги. В привычном виде эти сервисы просто не смогли бы работать без криптографических механизмов доверия и защиты данных.

В основе большинства современных решений лежит инфраструктура открытых ключей (PKI): сертификаты, электронная подпись, шифрование и проверка подлинности. Сегодня эти механизмы кажутся «непробиваемыми» — но у них есть потенциальная точка перелома: появление криптографически значимого квантового компьютера.

Как работает «классическая» асимметричная криптография

Асимметричная криптография построена на математических задачах с асимметрией сложности:

• при наличии открытого и закрытого ключа необходимые вычисления выполняются быстро;
• при наличии только открытого ключа восстановить закрытый ключ считается практически невозможным: для классических компьютеров это занимает астрономические сроки.

Именно на этом держатся электронная подпись и доверие к сертификатам: публичный ключ можно публиковать всем, а приватный — должен оставаться секретом.

Q‑Day: когда квантовый компьютер станет угрозой для PKI

Q‑Day — условное обозначение момента, когда квантовый компьютер сможет реально ломать используемые сегодня криптосистемы (в первую очередь — электронную подпись и обмен ключами).

Точной даты нет, и оценки экспертов расходятся:

• Скептики считают, что до машин, способных взламывать криптографию «в поле», пройдут десятилетия. Например, Адам Бэк (Blockstream) называл горизонт порядка 20 лет, условно к 2050 году.
• Оптимисты‑практики называют более ранние сроки. Виталик Бутерин, например, озвучивал 2028 год как вероятное время появления первых «криптографически значимых» квантовых компьютеров для атак на открытые ключи.

Даже если реальная дата окажется позже, у квантовой угрозы есть особенность: готовиться нужно заранее.

В чём заключается квантовая угроза для электронной подписи

Классическая электронная подпись держится на задачах, которые для обычных компьютеров практически неразрешимы. По оценкам из популярной литературы, отдельные варианты подбора ключей «в лоб» могут занимать величины, сравнимые с квадриллионами лет на классической вычислительной технике.

Квантовый компьютер меняет правила игры: алгоритм Шора позволяет эффективно решать задачи, на которых держатся:

• RSA (факторизация),
• DSA/ECDSA и их аналоги на эллиптических кривых (дискретный логарифм),
• в том числе российские алгоритмы электронной подписи.

Если у атакующего появится достаточно мощный квантовый компьютер, приватный ключ может быть вычислен из публичного за приемлемое время (минуты/часы — в теоретической модели при достаточном количестве устойчивых логических кубитов и корректной реализации).

Store now, decrypt later: опасность «накопительной атаки»

Одна из самых неприятных особенностей квантового сценария — атака типа store now, decrypt later («сохраняй сейчас — расшифруй потом»).

Смысл прост: злоумышленник уже сегодня может:

• записывать зашифрованный трафик или архивировать защищённые документы;
• дождаться момента, когда квантовый компьютер станет достаточно мощным;
• расшифровать накопленные данные и/или подделывать подписи задним числом в системах, где доверие к ключам построено на уязвимых алгоритмах.

В потенциальных первых рядах таких злоумышленников обычно рассматривают государства, спецслужбы, крупные корпорации и целевые атакующие группы.

Уязвим ли ГОСТ Р 34.10‑2012?

Да, уязвим в квантовой модели.

ГОСТ Р 34.10‑2012 относится к семейству алгоритмов электронной подписи на эллиптических кривых. Его стойкость основана на сложности задачи дискретного логарифмирования на эллиптических кривых. Алгоритм Шора решает эту задачу квантово эффективно — так же, как и для ECDSA/Ed25519 и других ECC‑схем.

Важный вывод: увеличение размеров ключей или «выбор другой кривой» не решает проблему принципиально, если базовая математическая задача остаётся той же.

Постквантовая криптография: что придёт на смену классическим подписям

Постквантовая криптография (PQC) — это семейство алгоритмов, которые считаются устойчивыми как к классическим, так и к квантовым атакам. Они опираются на задачи, для которых не известны эффективные квантовые алгоритмы, сопоставимые по эффекту с алгоритмом Шора для RSA/ECC.

В 2024 году NIST завершил ключевой этап стандартизации постквантовых алгоритмов и фактически призвал отрасль начинать миграцию уже сейчас. В США опубликованы, в частности:

• FIPS 203 — стандарт для механизма инкапсуляции ключей (KEM) на основе модульных решёток,
• FIPS 204 — стандарт цифровой подписи на основе модульных решёток,
• FIPS 205 — стандарт цифровой подписи на основе хэширования без сохранения состояния.

Параллельно крупные ИТ‑компании и участники экосистемы интернета внедряют PQC в TLS, а IETF продвигает соответствующие изменения в интернет‑стандартах.

Что происходит в России

В России направление постквантовой криптографии также развивается:

• ведётся работа над национальными подходами и стандартами;
• в рамках ТК26 специалисты занимаются криптоалгоритмами и сопутствующей нормативной базой;
• появляются открытые реализации и прототипы (в том числе обсуждаемые в научном сообществе);
• финансовые и технологические организации тестируют постквантовые механизмы в прикладных сценариях (в частности, в платёжной инфраструктуре и системах защиты каналов).

Отдельный практический тренд — движение к гибридным схемам, когда классические и постквантовые алгоритмы используются совместно на переходный период, снижая риски «ставки на одного победителя».

Когда ГОСТ Р 34.10‑2012 «потеряет актуальность» на практике

С точки зрения реального рынка ГОСТ Р 34.10‑2012 станет недостаточным не в день появления «первого квантового компьютера», а раньше — когда одновременно совпадут несколько факторов:

• появятся подтверждённые критерии квантовой угрозы для ECC на приемлемом горизонте;
• регулятор и отраслевые стандарты закрепят требования к постквантовым или гибридным режимам;
• инфраструктура PKI (УЦ, сертификаты, форматы подписи, протоколы, средства криптозащиты) начнёт массово поддерживать PQC;
• бизнес столкнётся с обязательством обеспечивать долговременную криптостойкость (long‑term security) для архивов, юридически значимых документов и критичных каналов связи.

Поэтому корректнее говорить не о «резком обнулении», а о поэтапной миграции: сначала пилоты и гибридные режимы, затем новые профили стандартов и требования в критических системах, после чего — постепенное вытеснение старых схем из тех областей, где важна долговременная стойкость.

Практический вывод для PKI уже сегодня

Квантовая угроза — это история не только про «взлом завтра», но и про данные, которые перехватываются и сохраняются уже сейчас. Поэтому организациям, использующим PKI, имеет смысл:

• инвентаризировать системы, где задействованы электронная подпись и обмен ключами;
• определить данные и документы, которым нужна стойкость на 5–10–15 лет;
• планировать переход на постквантовые или гибридные алгоритмы по мере появления стандартов и поддерживаемых решений;
• следить за изменениями стандартов, требований отрасли и регуляторов.

Переход к постквантовой криптографии будет не одномоментным, но начинать подготовку к нему логично заранее — до того, как Q‑Day станет не теорией, а практической реальностью.

Постквантовая криптография: что придёт на смену классическим подписям

Постквантовая криптография (PQC) — это семейство алгоритмов, которые считаются устойчивыми как к классическим, так и к квантовым атакам. Они опираются на задачи, для которых не известны эффективные квантовые алгоритмы, сопоставимые по эффекту с алгоритмом Шора для RSA/ECC.

В 2024 году NIST завершил ключевой этап стандартизации постквантовых алгоритмов и фактически призвал отрасль начинать миграцию уже сейчас. В США опубликованы, в частности:

• FIPS 203 — стандарт для механизма инкапсуляции ключей (KEM) на основе модульных решёток,
• FIPS 204 — стандарт цифровой подписи на основе модульных решёток,
• FIPS 205 — стандарт цифровой подписи на основе хэширования без сохранения состояния.

Параллельно крупные ИТ‑компании и участники экосистемы интернета внедряют PQC в TLS, а IETF продвигает соответствующие изменения в интернет‑стандартах.

Что происходит в России

В России направление постквантовой криптографии также развивается:

• ведётся работа над национальными подходами и стандартами;
• в рамках ТК26 специалисты занимаются криптоалгоритмами и сопутствующей нормативной базой;
• появляются открытые реализации и прототипы (в том числе обсуждаемые в научном сообществе);
• финансовые и технологические организации тестируют постквантовые механизмы в прикладных сценариях (в частности, в платёжной инфраструктуре и системах защиты каналов).

Отдельный практический тренд — движение к гибридным схемам, когда классические и постквантовые алгоритмы используются совместно на переходный период, снижая риски «ставки на одного победителя».

Когда ГОСТ Р 34.10‑2012 «потеряет актуальность» на практике

С точки зрения реального рынка ГОСТ Р 34.10‑2012 станет недостаточным не в день появления «первого квантового компьютера», а раньше — когда одновременно совпадут несколько факторов:

• появятся подтверждённые критерии квантовой угрозы для ECC на приемлемом горизонте;
• регулятор и отраслевые стандарты закрепят требования к постквантовым или гибридным режимам;
• инфраструктура PKI (УЦ, сертификаты, форматы подписи, протоколы, средства криптозащиты) начнёт массово поддерживать PQC;
• бизнес столкнётся с обязательством обеспечивать долговременную криптостойкость (long‑term security) для архивов, юридически значимых документов и критичных каналов связи.

Поэтому корректнее говорить не о «резком обнулении», а о поэтапной миграции: сначала пилоты и гибридные режимы, затем новые профили стандартов и требования в критических системах, после чего — постепенное вытеснение старых схем из тех областей, где важна долговременная стойкость.

Практический вывод для PKI уже сегодня

Квантовая угроза — это история не только про «взлом завтра», но и про данные, которые перехватываются и сохраняются уже сейчас. Поэтому организациям, использующим PKI, имеет смысл:

• инвентаризировать системы, где задействованы электронная подпись и обмен ключами;
• определить данные и документы, которым нужна стойкость на 5–10–15 лет;
• планировать переход на постквантовые или гибридные алгоритмы по мере появления стандартов и поддерживаемых решений;
• следить за изменениями стандартов, требований отрасли и регуляторов.

Переход к постквантовой криптографии будет не одномоментным, но начинать подготовку к нему логично заранее — до того, как Q‑Day станет не теорией, а практической реальностью.