Post-Quantum 2024+
Криптография в эпоху квантовых компьютеров
В чём проблема
Три «столпа» классической асимметричной криптографии:
- RSA — стойкость на факторизации больших чисел.
- DH / ECDH (включая X25519) — стойкость на дискретном логарифме.
- ECDSA / EdDSA — подписи на эллиптических кривых.
Все три ломаются алгоритмом Шора на квантовом компьютере с достаточным числом стабильных кубитов (порядка миллионов физических или тысяч логических).
«Harvest now, decrypt later»
Именно поэтому AGI-корпорации, Google, Apple, Cloudflare начали внедрять PQ ещё в 2023-2024, задолго до реальной угрозы.
NIST PQC — что стандартизовано
| Стандарт | Основа | Что делает | Публикация |
|---|---|---|---|
| ML-KEM (FIPS 203) | Kyber | обмен ключами | Август 2024 |
| ML-DSA (FIPS 204) | Dilithium | цифровые подписи | Август 2024 |
| SLH-DSA (FIPS 205) | SPHINCS+ | подписи (стойкие консервативно) | Август 2024 |
| FN-DSA (FIPS 206) | Falcon | компактные подписи | Draft 2024 |
| HQC | коды | резервный KEM | Ожидается 2026-2027 |
Классы задач для PQ
| Семейство | Пример | Особенности |
|---|---|---|
| Решётки | ML-KEM, ML-DSA, Falcon | Быстрые, компактные, наиболее изучены. Основа NIST-стандартов. |
| Хеш-функции | SLH-DSA (SPHINCS+) | Очень надёжные (только хеш), но большие подписи (~8-30 КБ). |
| Коды | HQC, Classic McEliece | Ключи гигантские (сотни КБ). McEliece — с 1978 года не сломан. |
| Изогении | SIKE (сломан!) | Был кандидат NIST, но в 2022 сломан классической атакой Castryck-Decru. |
| Многочлены | Rainbow (сломан!) | Тоже был у NIST, сломан в 2022. |
Развёртывание в TLS
Основная гибридная группа сегодня — X25519MLKEM768. Поддерживают:
- Chrome/Chromium 124+ (десктоп, Android 129+)
- Firefox 132+
- Cloudflare (все edge серверы)
- Google, Meta*, Cisco
- OpenSSL 3.5+, BoringSSL, Rustls, wolfSSL
- nginx 1.27+ (через OpenSSL 3.5)
- Java 25 LTS
Проверить у себя
Открыть pq.cloudflareresearch.com или test.pq.cloudflare.com — покажет какой ключевой обмен использовал браузер.
Или в nginx посмотреть переменную:
log_format pq '$remote_addr $ssl_curve $ssl_HTTP/2.0col';
Если $ssl_curve = X25519MLKEM768 — PQ работает.
Где применяется вне TLS
- Signal — с 2023 года использует PQXDH (X3DH + Kyber).
- iMessage — с iOS 17.4 использует PQ3 (гибрид).
- AWS KMS — поддерживает ML-KEM для API вызовов.
- Google Cloud — PQ TLS на LB.
- OpenSSH — экспериментально
sntrup761x25519-sha512. - WireGuard — пока НЕТ. Есть форки (PQ-WireGuard), но основной проект держит только X25519. См. /wg.
Что дальше
После полного перехода на гибриды (2026-2028) NIST постепенно переведёт индустрию на чистые PQ — уже без классической части. Ожидаемый рубеж: ~2030-2032, когда квантовая угроза станет ближе.
В ближайшие 3-5 лет нас ждёт:
- PQ-сертификаты в CA (X.509 с ML-DSA подписями).
- PQ в SSH — стандартизация в IETF идёт.
- PQ в VPN — WireGuard 2.0? OpenVPN?
- Легковесные PQ для IoT.