Кратко и по сути.
Какие криптосистемы под угрозой
- Асимметричные системы с факторизацией/дискретным логарифмом: RSA, Diffie–Hellman, DSA, классические схемы на эллиптических кривых (ECDSA, ECDH). Шорова алгоритм решает их полиномиально — полностью неустойчивы (напр., RSA-$2048$, ECC-$256$ уязвимы при достаточном числе квантовых кубитов).
- Симметрические схемы и хеши: уязвимость частично — Гровер даёт квадратичный ускоренный поиск ключа. Эффективная длина ключа примерно «половинится»: например AES-$128$ ≈ защита на уровне $2^{64}$, поэтому для сохранения безопасности рекомендуется AES-$256$ (эффективно ≈ $2^{128}$ против Гровера).
Какие алгоритмы считаются устойчивыми (PQC)
- Латисные схемы (основаны на LWE/R-LWE/M-LWE): CRYSTALS-Kyber (KEM), CRYSTALS-Dilithium (подписи), NTRU, SABER — сильные кандидаты и первичные выборы NIST.
- Кодовые схемы: Classic McEliece — очень консервативный, но с большими ключами.
- Хеш-основанные подписи: SPHINCS+ (без предположений о сложности) — надёжны, но большие подписи/ограничения (стейтфул/статлесс).
- Мультивариантные и изогенные схемы: исследуются, но часть конкретных предложений показала уязвимости (напр., проблемы с некоторыми изогенными/SIDH реализациями). Резюме: следить за текущими оценками безопасности и публикациями.
- Статус стандартизации: NIST в первом наборе отобрал CRYSTALS‑Kyber (KEM) и подписи CRYSTALS‑Dilithium, Falcon, SPHINCS+; Classic McEliece рассматривается как альтернативный KEM.
Практические шаги для перехода к постквантовой криптографии
1. Инвентаризация и классификация:
- Перечислить все протоколы/сервисы, использующие криптографию (TLS, VPN, SSH, S/MIME, код подписи, HSM, устройства IoT).
- Оценить требуемую конфиденциальность: если данные должны оставаться секретными больше чем $\sim 10\text{–}20$ лет, миграцию начинать немедленно.
2. Стратегия миграции:
- Пилоты и гибридность: внедрять гибридные схемы (классическая алгоритм + PQC KEM) для плавной миграции и защиты в короткой перспективе.
- Приоритеты: первыми заменить KEM/ключообмен (TLS, VPN), затем подписи (кодовые подписи, сертификаты).
3. Практические технические меры:
- Для симметрии перейти к AES-$256$ и хешам с длиной не менее $256$ бит (SHA‑256/512 по назначению), чтобы противостоять Гроверу.
- Внедрять рекомендованные NIST алгоритмы (Kyber/Dilithium/Falcon/SPHINCS+) и следить за RFC/IETF-поддержкой (TLS 1.3 профили, KEM интероп).
- Обеспечить криптоагильность: модульная архитектура, возможность переключать алгоритмы без полной замены инфраструктуры.
4. Оборудование и ключи:
- Обновить HSM/TPM/микроконтроллеры при необходимости (проверять поддержку длинных ключей и новых алгоритмов).
- Пересмотреть политику срока действия сертификатов и ключей: короткие сроки для уязвимых алгоритмов, ускоренные ротации.
5. Тестирование и совместимость:
- Интероп-тесты, нагрузочное тестирование, анализ производительности (PQC алгоритмы могут иметь большие ключи/подписи и другую нагрузку).
6. Политика и управление рисками:
- Планы отката, мониторинг уязвимостей, обновление ПО/поставщиков, обучение персонала.
7. Юридические/соответствие:
- Учет регуляторных требований и стандартов отрасли; обновление политик безопасности.
Оценка времени и ресурсов
- Практическое разрушение RSA-$2048$ требует всё ещё больших квантовых ресурсов (миллионы логических кубитов и эффективная коррекция ошибок), поэтому горизонты точны не более оценок — возможно $\sim$десятилетия, но для данных с долгой секретностью надо планировать заранее.
- Рекомендуем немедленно: инвентаризация, пилот гибридных схем, перевод критичных каналов на Kyber+Dilithium/альтернативы и симметрию AES-$256$.
Коротко о приоритетах сегодня
- Если нужна длительная конфиденциальность ($>10$ лет) — действовать сейчас.
- Внедрять гибридные KEM в TLS/VPN, переходить на AES-$256$, обеспечить криптоагильность и тестировать NIST-одобренные PQC алгоритмы.