Постквантовая криптография: как защитить данные от квантовых компьютеров

Источник фото: NEWS CORP

Математика против кубитов: как перестроить защиту цифрового мира Современная криптография стоит на двух математических столпах: факторизации больших чисел и дискретного логарифмирования. Эти задачи неподъёмны для классических компьютеров, но уязвимы перед квантовыми алгоритмами. Алгоритм Шора, запущенный на квантовой машине с достаточным числом кубитов, разложит двухтысячебитный ключ за час вместо миллиардов лет. Угроза не гипотетическая — данные, зашифрованные сегодня, могут быть сохранены для расшифровки завтра.

Постквантовая криптография строится на других математических задачах, устойчивых к квантовым атакам. Четыре основных направления прошли многолетнюю проверку.
Первое — решётки. Представьте многомерную сетку с узлами в пространстве сотен измерений. Задача найти кратчайший вектор между узлами или ближайшую точку к заданной координате остаётся сложной даже для квантовых вычислений. На этой основе построены алгоритмы для цифровых подписей и обмена ключами. Ключи крупнее привычных — от двух до пяти килобайт, но современные сети справляются с такой нагрузкой.

Второе — коды с исправлением ошибок. Открытый ключ маскирует структуру линейного кода, а закрытый ключ знает способ декодирования. Вскрыть шифр означает решить задачу декодирования случайного линейного кода — проблема, признанная трудной более полувека. Скорость работы высока, но ключи занимают десятки килобайт.
Третье — изогении эллиптических кривых. Вместо точек на кривой используют отображения между различными кривыми. Найти путь между двумя кривыми без знания секретного маршрута практически невозможно. Преимущество — компактные ключи размером в триста байт, сопоставимые с современными стандартами.

Четвёртое — хеш-функции и многомерные уравнения. Подпись на основе хеш-деревьев требует одноразового использования ключей, но обеспечивает абсолютную стойкость при правильной реализации. Системы на многомерных уравнениях пока менее зрелы, но перспективны для специфических задач.

Национальный институт стандартов и технологий США завершил отбор алгоритмов в 2024 году. Три стандарта утверждены для повсеместного внедрения: два на решётках для обмена ключами и один на хеш-деревьях для цифровых подписей. Банки, государственные структуры и облачные провайдеры начали миграцию. Процесс займёт пять-семь лет — слишком много устаревших систем требуют обновления без остановки работы.

Практическая сложность — гибридные решения. Пока переход не завершён, системы используют двойное шифрование: классический алгоритм плюс постквантовый. Это замедляет обмен данными на пятнадцать-двадцать процентов, но гарантирует защиту независимо от появления квантового взломщика.
Критически важно начать миграцию сейчас. Данные с длительным сроком секретности — медицинские записи, государственные архивы, интеллектуальная собственность — уже должны шифроваться постквантовыми методами.

Ожидание появления мощного квантового компьютера равносильно ожиданию пожара без установки пожарной сигнализации.
Квантовые компьютеры не сломают криптографию. Они заставят её эволюционировать. Новая защита уже здесь — остаётся внедрить её до того, как угроза станет реальностью.