исследование 3 июня 2026

Постквантовая криптография: угроза квантовых компьютеров и алгоритмы NIST

Постквантовая криптография (PQC) — это семейство алгоритмов, устойчивых к взлому квантовым компьютером. Классические схемы с открытым ключом (RSA, Diffie-Hellman, эллиптические кривые) держатся на сложности факторизации и дискретного логарифма — а именно эти задачи квантовый алгоритм Шора решает эффективно. Когда появится криптографически значимый квантовый компьютер, такие схемы перестанут защищать. **Если коротко:** угроза не «когда-нибудь», а уже сегодня — из-за стратегии «harvest now, decrypt later»: трафик и данные перехватывают и хранят сейчас, чтобы расшифровать после появления квантовой машины. NIST в 2024 году стандартизировал первые PQC-алгоритмы (ML-KEM на базе Kyber для обмена ключами и ML-DSA на базе Dilithium для подписи), и переход на них — задача ближайших лет, а не далёкого будущего. Ниже разбираем суть угрозы, классы алгоритмов и план подготовки. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге постквантовой защиты](/rating/post-quantum-security-crypto-agility).

9 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Полина Лебедева

Короткий вывод

crypto agility

Crypto-agility начинается с инвентаризации алгоритмов

Переход к постквантовой устойчивости требует понимать, где используются ключи, сертификаты и долгоживущие данные.

Тематическое фото для исследования: Постквантовая криптография: угроза квантовых компьютеров и алгоритмы NIST — Тематическая иллюстрация к исследованию: Постквантовая криптография: угроза квантовых компьютеров и алгоритмы NIST. Google DeepMind / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Полина Лебедева Исследователь рынка ИБ-поставщиков

Собирает и сравнивает данные по подрядчикам, услугам, публичным кейсам, ценовым диапазонам и рыночным сегментам.

5 лет в market research, digital-аналитике и конкурентных обзорах
Специализация: ИБ-поставщики, сервисные категории, прайс-анализ и case review

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему квантовый компьютер ломает привычную криптографию

Современная защита держится на двух типах криптографии. Симметричная (AES, ГОСТ «Кузнечик») шифрует данные одним общим ключом. Асимметричная, или криптография с открытым ключом (RSA, ECDH, ECDSA), решает задачу обмена ключами и электронной подписи — на ней стоят TLS, VPN, PKI, подпись кода и документов.

Стойкость асимметричных схем опирается на вычислительно сложные задачи: факторизацию больших чисел (RSA) и дискретный логарифм (Diffie-Hellman, эллиптические кривые). Для обычного компьютера это практически неразрешимо за разумное время. Но **алгоритм Шора**, работающий на квантовом компьютере, решает обе задачи за полиномиальное время — то есть эффективно. Это означает, что RSA и схемы на эллиптических кривых при достаточно мощной квантовой машине теряют стойкость в принципе, а не из-за длины ключа.

С симметричной криптографией ситуация мягче: квантовый **алгоритм Гровера** ускоряет перебор ключа лишь квадратично. Практический ответ — увеличение длины ключа (например, переход на AES-256), и симметричные шифры остаются пригодными. Поэтому проблема PQC — это прежде всего проблема асимметричной криптографии: обмена ключами и подписи.

Что под угрозой, а что нет: коротко

RSA, ECDH, ECDSA Ломается

Алгоритм Шора решает факторизацию и дискретный логарифм

Обмен ключами в TLS/VPN Под угрозой

Основан на асимметрике — главный вектор «harvest now»

AES, симметричные шифры Ослабляется

Алгоритм Гровера; ответ — удвоение длины ключа (AES-256)

Хеш-функции (SHA-2/3) Ослабляются

Защита — больший размер выхода; основа для хеш-подписей

«Harvest now, decrypt later»: почему готовиться нужно уже сейчас

Главное заблуждение — считать угрозу отложенной до момента, когда квантовый компьютер появится. На практике риск действует сегодня по схеме **«собирай сейчас, расшифруй позже»** (harvest now, decrypt later):

- Перехваченный зашифрованный трафик, резервные копии, архивы переписки и базы можно хранить годами в зашифрованном виде. - Как только появится криптографически значимый квантовый компьютер, накопленное расшифровывается задним числом. - Под удар попадают данные с **длительным сроком конфиденциальности**: гостайна, медицинские и биометрические данные, банковская тайна, интеллектуальная собственность, долгосрочные контракты.

Отсюда практический вывод: если ваши данные должны оставаться секретными дольше, чем горизонт появления квантовых машин, переходить на постквантовую защиту нужно заблаговременно — иначе сегодняшний перехват станет завтрашней утечкой.

Классы постквантовых алгоритмов

PQC строится не на одной, а на нескольких независимых математических задачах, которые на сегодня считаются стойкими и к классическим, и к квантовым атакам. Таблица ниже показывает основные семейства и их назначение — обмен ключами (KEM) или электронную подпись.

Класс алгоритма	Математическая основа	Назначение	Стандарт / пример
Решёточные (lattice-based)	Задачи на целочисленных решётках (LWE, NTRU)	Обмен ключами и подпись	ML-KEM (Kyber), ML-DSA (Dilithium)
Хеш-based подписи	Стойкость криптографических хеш-функций	Только электронная подпись	SLH-DSA (SPHINCS+)
Кодовые (code-based)	Декодирование случайных линейных кодов	Обмен ключами	Classic McEliece (кандидат)
Многомерные (multivariate)	Системы многочленов над конечными полями	Подпись	Кандидаты NIST
Изогении (isogeny-based)	Изогении эллиптических кривых	Обмен ключами	Направление пересматривается после взлома SIKE

Стандарты NIST: что уже принято

Конкурс NIST по постквантовой криптографии шёл с 2016 года, и в августе 2024 года были опубликованы первые финальные стандарты. Это факт, на который опирается отрасль:

- **ML-KEM** (FIPS 203), основанный на алгоритме **CRYSTALS-Kyber**, — механизм инкапсуляции ключей (KEM) для постквантового обмена ключами, в первую очередь в TLS. - **ML-DSA** (FIPS 204), основанный на **CRYSTALS-Dilithium**, — основная схема постквантовой электронной подписи. - **SLH-DSA** (FIPS 205), основанный на **SPHINCS+**, — резервная схема подписи на хеш-функциях, не зависящая от стойкости решёток.

На практике индустрия переходит не к «голому» PQC, а к **гибридным схемам**: в TLS комбинируют классический обмен ключами (например, на эллиптических кривых) с ML-KEM. Так канал остаётся защищённым, даже если в одном из алгоритмов позже найдут слабость. В России свой контур: ГОСТ-криптография и работа ТК 26 над постквантовыми механизмами — этому посвящена отдельная статья кластера.

Готовность PQC-направлений к практическому внедрению

Усреднённая редакционная оценка зрелости направлений (0–100) по открытым данным и опубликованным стандартам. Это не сравнение продуктов и не вендорский бенчмарк.

Стандарты NIST опубликованы (ML-KEM, ML-DSA) 90 /100

90 /100

Решёточные алгоритмы (зрелость) 85 /100

85 /100

Гибридный TLS (классика + PQC) 75 /100

75 /100

Поддержка в библиотеках и продуктах 65 /100

65 /100

Инвентаризация криптографии в компаниях 45 /100

45 /100

Полная миграция инфраструктуры на PQC 30 /100

30 /100

Crypto-agility: ключ к управляемому переходу

Главный архитектурный принцип перехода — **криптографическая гибкость (crypto-agility)**: способность менять алгоритмы без переписывания приложений и остановки сервисов. Криптография не должна быть «зашита» в код жёстко: алгоритмы, длины ключей и наборы шифров выносятся в конфигурацию, абстрагируются за интерфейсами и обновляются централизованно.

Без crypto-agility миграция превращается в ручной перебор сотен систем; с ней — в управляемое обновление политик. Поэтому подготовку к PQC стоит начинать не с выбора конкретного алгоритма, а с инвентаризации: где и какая криптография используется и насколько её легко заменить. Подробный сценарий миграции разобран в статье [«Crypto-agility: как подготовить инфраструктуру к миграции на PQC»](/research/crypto-agility-migraciya-pqc).

Как устроен переход на PQC: пять этапов

01 Инвентаризация криптографии
Составьте реестр: где используются RSA/ECDH/ECDSA — TLS, VPN, PKI, подпись кода, аппаратные модули, библиотеки. Без карты криптоактивов миграцию не спланировать.
02 Оценка рисков по сроку секретности
Ранжируйте данные и каналы по тому, как долго они должны оставаться конфиденциальными. Дольше срок — выше приоритет на ранний переход (защита от «harvest now»).
03 Внедрение crypto-agility
Уберите жёстко зашитые алгоритмы, вынесите выбор шифров в конфигурацию, обновите библиотеки и протоколы до версий с поддержкой PQC.
04 Гибридный режим
Включайте постквантовые механизмы рядом с классическими (гибридный TLS): защита сохраняется, даже если в одном алгоритме найдут слабость.
05 Полный переход и контроль
Постепенно отключайте уязвимые алгоритмы, проверяйте совместимость с партнёрами и устройствами, сверяйте статус решений в реестрах.

Чек-лист подготовки к постквантовому переходу

Инвентаризация криптоактивов найдите все места использования RSA, Diffie-Hellman и эллиптических кривых.

Классификация данных по сроку секретности выделите данные, которые должны храниться дольше горизонта появления квантовых машин.

Оценка crypto-agility проверьте, можно ли сменить алгоритм без переписывания приложений.

Аудит сторонних компонентов библиотеки, HSM, устройства и поставщики тоже должны поддерживать PQC.

Пилот гибридного TLS обкатайте связку «классика + ML-KEM» на некритичном сегменте.

План на стандарты заложите поддержку ML-KEM, ML-DSA и резервной SLH-DSA.

Сверка с реестрами проверяйте решения в реестре отечественного ПО и реестре сертифицированных СЗИ ФСТЭК.

Сравнение поставщиков оцените зрелость вендоров в [рейтинге постквантовой защиты](/rating/post-quantum-security-crypto-agility).

Следующий шаг

Разобрались с угрозой и стандартами — переходите к сравнению поставщиков: **[рейтинг постквантовой защиты →](/rating/post-quantum-security-crypto-agility)**. Полезно прочитать рядом: [Crypto-agility: как подготовить инфраструктуру к миграции на PQC](/research/crypto-agility-migraciya-pqc) и [Постквантовая криптография в России: ГОСТ, ТК 26 и КриптоПро](/research/postkvantovaya-kriptografiya-rossiya).

Частые вопросы

Когда квантовый компьютер сломает RSA?

Точной даты не знает никто, и мы сознательно не называем срок «когда сломают» — это домыслы. Важнее другое: из-за схемы «harvest now, decrypt later» данные с длительным сроком секретности под риском уже сегодня, поэтому готовиться к переходу нужно заблаговременно, не дожидаясь конкретной новости.

Нужно ли уже сейчас отказываться от RSA и менять всю криптографию?

Резко отключать классику не требуется. Отрасль идёт через гибридные схемы, где постквантовый механизм работает рядом с классическим. Первый практический шаг — инвентаризация криптографии и внедрение crypto-agility, а не одномоментная замена.

Постквантовая криптография и квантовая криптография — это одно и то же?

Нет. Постквантовая криптография — это обычные (классические) алгоритмы, стойкие к квантовым атакам; они работают на привычном оборудовании. Квантовая криптография (например, квантовое распределение ключей, QKD) использует физику квантовых состояний и требует специального оборудования — это другое направление.

Какие алгоритмы уже стандартизированы?

NIST в 2024 году опубликовал ML-KEM (на базе Kyber) для обмена ключами, ML-DSA (на базе Dilithium) и SLH-DSA (на базе SPHINCS+) для электронной подписи. В России параллельно развивается постквантовое направление в рамках ГОСТ и ТК 26.

С чего начать подготовку к PQC?

С инвентаризации: где и какая криптография используется, как долго данные должны оставаться секретными и насколько легко сменить алгоритм. Затем — внедрение crypto-agility и пилот гибридных схем. Сравнить поставщиков защиты можно в рейтинге постквантовой защиты.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг постквантовой защиты Сравнить поставщиков по подтверждённым сигналам Crypto-agility: как подготовить инфраструктуру к миграции на PQC Постквантовая криптография в России: ГОСТ, ТК 26 и КриптоПро