Квантовая угроза перестала быть теоретической. Регуляторы выставили дедлайны, алгоритмы финализированы, а исследователи Google пересчитали стоимость взлома RSA. Банковский сектор входит в самую дорогостоящую криптографическую миграцию в истории.
Что известно:
[PIN] Терминология устарела — стандарты переименованы 13 августа 2024 года.
CRYSTALS-Kyber → ML-KEM (FIPS 203), CRYSTALS-Dilithium → ML-DSA (FIPS 204). FIPS 203 определяет три параметрических набора: ML-KEM-512, ML-KEM-768 и ML-KEM-1024 — в порядке возрастания защиты и убывания производительности. Использование старых маркетинговых названий в регуляторном контексте — признак технического долга: вендоры (OpenSSL 3.x, AWS KMS, Azure Key Vault) уже перешли на новую номенклатуру.
[OK] Появился резервный алгоритм — страховка от уязвимости в решётчатой математике. 11 марта 2025 года NIST объявил о выборе HQC (Hamming Quasi-Cyclic) для стандартизации. HQC станет резервом для ML-KEM — на случай, если в основном алгоритме будет обнаружена уязвимость. В отличие от ML-KEM, HQC основан на кодах с исправлением ошибок — принципиально иная математика, не связанная с решётками (lattice-based cryptography). Финальный стандарт ожидается в 2027 году.
[START] Дедлайны зафиксированы в NIST IR 8547 (Initial Public Draft, ноябрь 2024). NIST устанавливает дедлайн 2030 года для депрекации RSA-2048 и ECC-256 и полный запрет к 2035 году. NIST прямо указывает: ML-KEM, ML-DSA и SLH-DSA «можно и нужно внедрять уже сейчас» — ждать 2030 года не требуется.
Технические детали:
[DESKTOP] Горизонт взлома RSA сжимается быстрее, чем ожидалось.
Препринт Google Quantum AI (Крейг Гидни, май 2025) показал: квантовый компьютер менее чем с 1 млн шумных кубитов способен факторизовать RSA-2048 менее чем за неделю. Это снижение в 20 раз по числу кубитов по сравнению с оценкой 2019 года (20 млн кубитов за 8 часов) — новый подход жертвует временем ради радикального снижения требований к железу. При этом ни один существующий квантовый компьютер пока не соответствует этим требованиям: реальные системы имеют порядка сотен — нескольких тысяч физических кубитов. Результат — теоретическая модель, не демонстрация. Но тренд однозначен: по мере улучшения алгоритмов реальная стоимость квантового взлома продолжит снижаться.
[FAST] «Harvest now, decrypt later» — активная угроза, не гипотеза. Противникам достаточно хранилища: перехваченный трафик, VPN-сессии, TLS-соединения можно собирать сейчас и расшифровать ретроактивно — без квантового компьютера сегодня. NIST IR 8547 прямо называет «harvest now, decrypt later» одним из ключевых рисков для сетевых коммуникаций. Для банков это означает: долгосрочные транзакционные данные и ключи подписи уже под угрозой. Первый шаг, который не требует полной миграции, — криптографический инвентарь всех систем: без него невозможно ни планирование, ни бюджетирование.
[HOT] Миграция — это не «замена библиотеки», а проблема supply chain в PKI-инфраструктуре. Развёртывание новой криптографии в масштабах предприятия занимает годы: обновление библиотек и оборудования, перевыпуск сертификатов и ключей, тестирование совместимости. Банки работают с тысячами сторонних вендоров — платёжные системы, HSM-модули (Hardware Security Modules — аппаратные модули хранения ключей), SWIFT-шлюзы, core banking. Публичные оценки стоимости миграции глобального банковского сектора существенно расходятся в зависимости от методологии и глубины legacy-инфраструктуры конкретного банка.
Наш взгляд:
Разрыв между скоростью стандартизации и скоростью реальной миграции — главная проблема. NIST финализировал стандарты в августе 2024-го. Резервный алгоритм выбран в марте 2025-го. Дедлайны зафиксированы. Но существующие квантовые компьютеры имеют порядка сотен — нескольких тысяч физических кубитов: квантовой угрозы «сегодня» нет. Именно это создаёт ложное чувство безопасности. Стратегия «harvest now, decrypt later» не требует квантового компьютера сейчас — она требует только терпения. Банки, которые не начали криптографический инвентарь в 2025 году, рискуют войти в 2030-й без понимания собственной поверхности атаки.
Итог:
RSA-2048 и ECC P-256 должны быть депрекированы к 2030 году — они не должны использоваться в новых системах после этой даты. Три стандарта (ML-KEM, ML-DSA, SLH-DSA) уже готовы к внедрению. Проектирование систем с возможностью замены алгоритмов — например, ML-KEM сегодня, HQC позже при необходимости — обеспечивает crypto-agility (отсутствие жёсткой привязки к конкретному алгоритму). Начните с инвентаря. Это единственный шаг, который не требует бюджета на миграцию, но без которого миграция невозможна в принципе.
А ваш банк или вендор уже провёл криптографический аудит инфраструктуры?
Источники:
NIST FIPS 203 — ML-KEM Standard
NIST IR 8547 — Transition to Post-Quantum Cryptography Standards (IPD)
NIST — HQC Selected as 5th PQC Algorithm, March 2025
Google Security Blog — Tracking the Cost of Quantum Factoring, May 2025
#постквантоваякриптография #PQC #банковскаябезопасность #NIST #кибербезопасность