Краткий вывод
- Квантовые компьютеры угрожают прежде всего асимметричным алгоритмам на основе факторизации и дискретного логарифма (RSA, DH, ECDSA/ECDH и т.п.).
- Симметричные алгоритмы и хеши частично устойчиы: они теряют «квантовую» защиту, но остаются применимыми при увеличении размеров ключей/выходов.
- Переход требует срочной подготовки (crypto‑agility, гибридные схемы, ревизия долгоживущих данных) и поэтапного внедрения стандартизованных постквантовых алгоритмов (PQC).
Технические основы (кратко)
- Шор: решает факторизацию и дискретный логарифм за время полиномиальное по числу битов ключа, т.е. в квантовом мире RSA/ECC фактически ломаются за $O(\text{poly}(\log N))$.
- Гровер: снижает стоимость перебора ключей от $O(2^n)$ до $O(2^{n/2})$; для симметричных схем это эквивалент «половины» битов безопасности.
- Квантные атаки на коллизии хешей (BHT‑тип) дают примерно $O(2^{n/3})$ вместо классических $O(2^{n/2})$.
Какие системы уязвимы
- Неудержимо уязвимы (квантовый Шор): RSA, DSA, DH, все алгоритмы на эллиптических кривых (ECDSA, ECDH, secp256k1 и т.д.). Это также включает большинство PKI, TLS с RSA/ECDHE, SSH с ECDSA, код подписи в блокчейнах (Bitcoin, Ethereum) — если публичный ключ открыт, приватный может быть восстановлен в будущем.
- Частично уязвимы (Гровер): AES‑128, 3DES, симметричные ключи в целом. Рекомендуется удвоение длины ключей: AES‑256 вместо AES‑128.
- Хеш‑функции: предобразная стойкость снижается sqrt‑образно (Grover), стойкость к коллизиям ухудшается до порядка $2^{n/3}$ — для «128‑битной» устойчивости к коллизиям нужен выход хеша $n$ такой, что $2^{n/3}\ge 2^{128}\Rightarrow n\ge 384$.
Какие технологии считаются устойчивыми (PQC)
- Латышевые/решетчатые схемы: CRYSTALS‑Kyber (KEM), CRYSTALS‑Dilithium (подписи), NTRU и другие — сильные кандидаты и уже стандартизованы/рекомендуются.
- Кодовые схемы: McEliece (долговечная опция с большими ключами).
- Hash‑based подписи: SPHINCS+ (устойчивы, но большие подписи).
- Мультивариантные и изогенные схемы: некоторые кандидаты нестабильны/имеют риски; SIKE (изогенные) был сломан классической атакой, потому на него полагаться нельзя.
- Отметка: NIST в 2022 г. выбрал Kyber (KEM) и ряд схем для подписей (включая Dilithium, Falcon, SPHINCS+ как рекомендованные/вариативные).
Практические шаги для перехода (пошагово, приоритеты)
1. Оценка риска и инвентаризация
- Выписать все протоколы и системы, использующие асимметрию (TLS, VPN, SSH, сертификаты, подписанные артефакты, блокчейн‑ключи).
- Определить данные с конфиденциальностью «навынос» (harvest‑now, decrypt‑later): архивы, медицинские/государственные тайны, долговременные контракты.
2. Политика и приоритеты
- Высокий приоритет: защита данных с долгим сроком жизни и инфраструктуры аутентификации (CA, HSM, PKI).
- Средний: внешний TLS, VPN, обмен ключами.
- Низкий: временные сессии, короткоживущие токены.
3. Крипто‑гибкость (crypto‑agility)
- Спроектировать заменяемость криптоалгоритмов без большего рефакторинга.
- Внедрять поддержку нескольких наборов: классический + постквантовый (гибридные KEM), чтобы обеспечить защиту против ошибок реализации PQC.
4. Немедленные технические меры
- Для симметричной криптографии: переходить на AES‑256 и увеличивать длину ключей/IVs.
- Для хешей: применять SHA‑256/384/3xx в зависимости от требований; для коллизий предпочтительнее SHA‑384 или выше если нужна 128‑битная коллизионная устойч. (см. формулу ниже).
- Внедрять гибридные протоколы (classical KEM || PQC KEM) в TLS/SSH/VPN: сначала классический + PQC одновременно, пока PQC не доказал себя в эксплуатации.
5. Использовать стандарты и проверенные реализации
- Следить за рекомендациями NIST, ETSI и других стандартов; применять выбранные/рекомендованные алгоритмы (например, Kyber для KEM, Dilithium/Falcon/SPHINCS+ для подписей).
- Выбирать библиотеки с аудитом и безопасной реализацией (защита от побочных каналов, устойчивость к ошибкам).
6. Управление ключами и инфраструктура
- План по перевыпуску сертификатов, обновлению CA и уязвимых ключей; обновить HSM/TPM/криптоаппарат для поддержки PQC.
- План ротации ключей и резервного копирования, совместимость с старыми клиентами через гибрид.
7. Тестирование и развёртывание
- Пилоты в непроизводственных средах; нагрузочное тестирование (PQC часто тяжелее по ресурсам и ключам).
- Мониторинг производительности и совместимости.
8. Регламент и мониторинг
- Обучение персонала, политик безопасности, контракты с поставщиками ПО по выпуску безопасных обновлений.
- Наблюдать за развитием атак и стандартов — план на несколько лет и ревизии.
Короткие конкретные числовые рекомендации
- Симметрические ключи: использовать AES‑256 (чтобы сопротивляться $O(2^{n/2})$ Гровера для $n=256$).
- Хеши для 128‑битной устойчивости к коллизиям: требуется выход хеша $n$ такой, что $2^{n/3}\ge 2^{128}\Rightarrow n\ge 384$.
- Для токенов/сертификатов с долгой жизнью (10+ лет) — начинать миграцию и применять гибридные схемы немедленно.
Резюме
- Классическая публично‑ключевая криптография на основе RSA/ECC станет небезопасной при появлении достаточных квантовых ресурсов; симметрика и хеши остаются применимыми при увеличенных параметрах.
- Планируйте миграцию сейчас: инвентаризация, приоритизация, внедрение crypto‑agility и гибридных схем, использование стандартизованных PQC (Kyber, Dilithium и др.), тестирование и поэтапная замена инфраструктуры.