Коли квантові комп'ютери зламають RSA?

Найкращі оцінки: 10–25 років для атаки на 2048-бітний RSA. Апаратне забезпечення ще не близько, але траєкторія реальна. Чесною відповіддю є невизначеність; планування на 10 років є розумним, оскільки дані, які шифруються зараз, можуть бути цінними й тоді.

Чи мій браузер уже використовує постквантовий шифр?

Якщо це Chrome, Edge, Firefox або Safari з останніми оновленнями, частково так — підключення до серверів із підтримкою PQ використовує гібридний обмін ключами. Прийняття сервера нерівномірне; Google, Cloudflare та основні CDN обслуговують PQ-hybrid TLS, тоді як менші сайти переважно ще не обслуговують.

Чи варто мені сьогодні використовувати Kyber і Dilithium?

Якщо ви розробник, який створює нові системи, то так — використовуйте гібриди, де це можливо. Якщо ви користуєтеся стандартними продуктами, перехід відбувається нижче вас. Не замінюйте робочу класичну криптографію чистим PQ; використовувати обидва в гібридних конфігураціях.

Яка різниця між QKD і PQC?

QKD використовує квантову фізику для обміну ключами та потребує спеціального обладнання та спеціальних посилань. PQC використовує класичні алгоритми, які протистоять квантовим атакам; він працює на існуючій інфраструктурі. PQC – це те, що широко розгортається; QKD — це нішеве рішення для конкретних фізичних каналів високого рівня безпеки.

Чи постквантовий крипто безсумнівно безпечний?

Вважається безпечним на основі важких проблем (проблеми решітки, проблеми коду, хеш-властивості). Менш випробувані в боях, ніж RSA/ECC, тому що вони новіші. Криптоаналітичні досягнення проти схем на основі решітки відбулися (і призвели до вилучення алгоритмів під час конкурсу NIST). Гібридні режими забезпечують страхування від майбутніх поломок.

Пояснення квантової криптографії: постквантові алгоритми та що означає «збирати зараз, дешифрувати пізніше»

Квантові комп’ютери — якщо вони достатньо великі — зламатимуть RSA, ECC і Діффі-Хеллмана за поліноміальний час. Апаратне забезпечення ще не існує в необхідному масштабі, але математика вирішена: кожна система з відкритим ключем, на якій працює сучасний Інтернет, є вразливою. Відповіддю є постквантова криптографія, і перехід уже триває.

Повний текст статті подано англійською мовою нижче.

Квантова криптографія — це область криптографії, яка займається вивченням загроз від квантових комп’ютерів і алгоритмів, розроблених для протидії їм. Ця категорія охоплює дві різні речі, які часто плутають одна з одною: quantum key distribution (QKD), яка використовує квантову механіку безпосередньо для обміну ключами; і post-quantum cryptography (PQC), який використовує класичні алгоритми, які, як вважають, протистоять квантовим атакам. PQC – це те, що розгортається; QKD залишається нішевим.

Загроза: алгоритм Шора

Алгоритм Пітера Шора 1994 року показує, що достатньо великий квантовий комп’ютер може розкладати великі цілі числа за поліноміальний час. Наслідок: RSA, який залежить від складності факторингу, порушено. Той самий алгоритм також обчислює дискретні логарифми в групах еліптичних кривих, тому ECC (ECDSA, ECDH, Ed25519, X25519) також не працює. Уся наша поточна криптографія з відкритим ключем базується на цих двох складних проблемах.

Наскільки великий квантовий комп’ютер? Оцінки ресурсів, необхідних для факторизації 2048-бітного RSA: приблизно 4000 логічних кубітів і 10^9 квантових воріт, які витримуються протягом приблизно 8 годин. Поточні пристрої мають понад 1000 physical кубітів, але дуже мало логічних кубітів після виправлення помилок; За широкими оцінками, досягнення криптографічно релевантного масштабу займає 10–25 років.

Симетрична криптографія в основному хороша

Алгоритм Гровера забезпечує квантове прискорення неструктурованого пошуку, вдвічі зменшуючи ефективну міцність ключа симетричних шифрів. AES-128 фактично стає 64-бітним захищеним (незручно), AES-256 стає 128-бітним (все ще надійним). Так само вплинуло на хеш-функції: стійкість до колізій SHA-256 падає зі 128 до приблизно 85 біт, стійкість до попереднього зображення з 256 до 128.

Прагматична відповідь: використовуйте симетричні ключі більшого розміру (AES-256, SHA-384/512), а існуючі алгоритми залишаються безпечними. Симетрична криптографія не зламана; його просто потрібно оцінити.

Збирайте зараз, розшифровуйте пізніше

Найбільш згадувана проблема найближчої перспективи: зловмисники збирають зашифрований трафік сьогодні, припускаючи, що зможуть розшифрувати його через 10–20 років, коли квантове обладнання досягне зрілості. Загроза реальна для будь-яких даних, які залишаються цінними так довго — дипломатичні телеграми, розвіддані, медичні записи, юридичні документи, інтелектуальна власність.

Ось чому постквантовий перехід не може чекати, поки з’явиться квантове обладнання. Дані, зашифровані в 2026 році, повинні бути квантово стійкими, якщо вони повинні залишатися конфіденційними в 2040 році.

NIST зі стандартизації PQC

NIST проводив багаторічний відкритий конкурс (2016–2024) на стандартизацію постквантових алгоритмів. Переможці 2024 року:

ML-KEM (CRYSTALS-Kyber) для інкапсуляції ключів — замінює ECDH/RSA-KEM
ML-DSA (CRYSTALS-Dilithium) для підписів — замінює ECDSA/RSA
SLH-DSA (SPHINCS+) підписи на основі хешів — резервне копіювання для ML-DSA у разі просування ґратчастого криптоаналізу
FN-DSA (Falcon) компактні підписи для обмежених середовища

Перші три були стандартизовані як FIPS 203, 204, 205 у серпні 2024 року. Falcon очікує на розгляд.

Розгортання відбувається

Основні розгортання в реальному світі за 2025–2026:

TLS гібридні рукостискання — Chrome, Firefox, Cloudflare, Google та інші розгортають гібриди X25519+Kyber. Обидва алгоритми працюють; з’єднання безпечне, якщо будь-яке з них залишається нерозірваним.
Apple iMessage PQ3 — протокол обміну повідомленнями додано постквантовий обмін ключами через спеціальний гібрид у 2024 році.
Signal PQXDH — обмін ключами Signal додав Kyber гібрид у 2023.
SSH — OpenSSH 9.x підтримує гібрид Streamlined NTRU Prime для обміну ключами.
VPNs — існує WireGuard з оболонкою Kyber; комерційні мережі VPN починають рекламувати параметри PQ.

Компроміси

Постквантові алгоритми не безкоштовні:

Розміри ключів більші. Відкриті ключі Kyber становлять ~1,5 КБ проти 32 байт для X25519. Підписи Dilithium становлять ~2,5 КБ проти 64 байтів для Ed25519. Пропускна здатність і витрати на зберігання мають значення в масштабі.
Деякі алгоритми працюють повільніше на певному обладнанні, особливо на пристроях з обмеженнями. ML-KEM можна порівняти з ECDH; ML-DSA повільніший, ніж Ed25519.
Криптографія Lattice є новішою та менш перевіреною в боях. Занепокоєння щодо прогресу криптоаналітики реальне; підписи на основі хешу (SPHINCS+) є більш консервативним резервним варіантом за рахунок значно більших підписів.

Квантовий розподіл ключів: інше:

QKD використовує квантові властивості (відсутність клонування, порушення вимірювання) для встановлення спільного ключа між двома кінцевими точками з інформаційно-теоретичною безпекою. Заковика: для цього потрібне спеціальне обладнання (однофотонні джерела/детектори), волокно «точка-точка» або лінія прямої видимості та надійні проміжні вузли для відстаней понад кілька сотень кілометрів. Спеціальне розгортання існує в банках і урядових мережах, але QKD не масштабується до випадків використання в стилі Інтернету.

NIST і більшість криптографів прямо рекомендують PQC замість QKD для загального використання. Ажіотаж навколо QKD часто випереджає розробку.

Що це означає для вас

Для окремих користувачів постквантовий перехід здебільшого непомітний. Браузери, ОС і програми обміну повідомленнями прозоро розгортають гібридні алгоритми. Дані, які сьогодні шифруються за допомогою гібридних алгоритмів, будуть безпечними, навіть якщо з’являться квантові комп’ютери. Виняток: якщо ви обробляєте довгострокові конфіденційні дані (розвіддані, медичні записи, фінансові записи), а ваше програмне забезпечення все ще використовує лише класичні ECDH/RSA, це варто уваги зараз, а не через 10 років.

Часті запитання

Коли квантові комп'ютери зламають RSA?: Найкращі оцінки: 10–25 років для атаки на 2048-бітний RSA. Апаратне забезпечення ще не близько, але траєкторія реальна. Чесною відповіддю є невизначеність; планування на 10 років є розумним, оскільки дані, які шифруються зараз, можуть бути цінними й тоді.
Чи мій браузер уже використовує постквантовий шифр?: Якщо це Chrome, Edge, Firefox або Safari з останніми оновленнями, частково так — підключення до серверів із підтримкою PQ використовує гібридний обмін ключами. Прийняття сервера нерівномірне; Google, Cloudflare та основні CDN обслуговують PQ-hybrid TLS, тоді як менші сайти переважно ще не обслуговують.
Чи варто мені сьогодні використовувати Kyber і Dilithium?: Якщо ви розробник, який створює нові системи, то так — використовуйте гібриди, де це можливо. Якщо ви користуєтеся стандартними продуктами, перехід відбувається нижче вас. Не замінюйте робочу класичну криптографію чистим PQ; використовувати обидва в гібридних конфігураціях.
Яка різниця між QKD і PQC?: QKD використовує квантову фізику для обміну ключами та потребує спеціального обладнання та спеціальних посилань. PQC використовує класичні алгоритми, які протистоять квантовим атакам; він працює на існуючій інфраструктурі. PQC – це те, що широко розгортається; QKD — це нішеве рішення для конкретних фізичних каналів високого рівня безпеки.
Чи постквантовий крипто безсумнівно безпечний?: Вважається безпечним на основі важких проблем (проблеми решітки, проблеми коду, хеш-властивості). Менш випробувані в боях, ніж RSA/ECC, тому що вони новіші. Криптоаналітичні досягнення проти схем на основі решітки відбулися (і призвели до вилучення алгоритмів під час конкурсу NIST). Гібридні режими забезпечують страхування від майбутніх поломок.