BadB
Professional
- Messages
- 2,023
- Reaction score
- 2,048
- Points
- 113
Я расширю тему, предоставив полный и актуальный обзор пост-квантовой криптографии (Post-Quantum Cryptography, PQC) по состоянию на 31 декабря 2025 года. Включу исторический контекст и мотивацию (угроза от квантовых компьютеров), математические основы ключевых классов алгоритмов (lattice-based, hash-based, code-based и другие), детальный разбор стандартизированных NIST алгоритмов (ML-KEM, ML-DSA, SLH-DSA, FN-DSA и дополнительные), процесс миграции (гибридные схемы, рекомендации правительств и компаний), практическое внедрение (в TLS, VPN, облаках), сравнение с квантовой криптографией (QKD), вызовы (производительность, размеры ключей, crypto-agility) и перспективы на 2026–2035 годы (полная миграция, новые раунды стандартизации). Это позволит показать PQC как критически важный переход к квантово-устойчивой криптографии, уже активно внедряемый в реальных системах.
Пост-квантовая криптография (PQC) — это набор криптографических примитивов (шифрование, подписи, ключевой обмен), устойчивых к атакам квантовых компьютеров. Традиционные системы публичного ключа (RSA, ECC, Diffie-Hellman) уязвимы к алгоритму Шора (факторизация и дискретный логарифм за полиномиальное время на квантовом ПК с достаточным числом кубитов). Алгоритм Гровера ускоряет brute-force для симметричного шифрования (AES-128 эквивалентно AES-64 по безопасности). PQC решает эту проблему, опираясь на проблемы, сложные даже для квантовых вычислений.
К 2025 году PQC перешла в фазу массовой миграции: NIST завершил основные стандарты, правительства (США, ЕС, Китай) выдали мандаты на переход, а компании (Google, Cloudflare, AWS) внедрили гибридные схемы.
Другие (BIKE, Classic McEliece) — в резерве для будущего.
Библиотеки: liboqs (Open Quantum Safe), BoringSSL с PQC.
Пост-квантовая криптография — это не "будущее", а настоящее: стандарты готовы, внедрение идёт полным ходом, обеспечивая долгосрочную безопасность цифрового мира.
Пост-квантовая криптография (PQC) — это набор криптографических примитивов (шифрование, подписи, ключевой обмен), устойчивых к атакам квантовых компьютеров. Традиционные системы публичного ключа (RSA, ECC, Diffie-Hellman) уязвимы к алгоритму Шора (факторизация и дискретный логарифм за полиномиальное время на квантовом ПК с достаточным числом кубитов). Алгоритм Гровера ускоряет brute-force для симметричного шифрования (AES-128 эквивалентно AES-64 по безопасности). PQC решает эту проблему, опираясь на проблемы, сложные даже для квантовых вычислений.
К 2025 году PQC перешла в фазу массовой миграции: NIST завершил основные стандарты, правительства (США, ЕС, Китай) выдали мандаты на переход, а компании (Google, Cloudflare, AWS) внедрили гибридные схемы.
Мотивация и угроза
- Квантовые угрозы: Ожидается, что fault-tolerant квантовый компьютер (миллионы кубитов) появится к 2030–2040. Уже сейчас возможна атака "harvest now, decrypt later" — сбор зашифрованных данных для будущего взлома.
- Рекомендации: NSA (CNSA 2.0), NIST, ETSI требуют миграции к 2030–2035 для критических систем.
Классы алгоритмов PQC
- Lattice-based (решётки)— доминируют благодаря скорости и универсальности:
- Основные проблемы: Learning With Errors (LWE), Ring-LWE, Module-LWE, Short Integer Solution (SIS).
- Примеры: Kyber (KEM), Dilithium (подписи), Falcon (подписи).
- Hash-based:
- Безопасность только от хэш-функций (SHA-3).
- Примеры: Sphincs+, LMS/HSS — только для подписей, stateful/stateless.
- Code-based:
- Syndrome Decoding Problem (NP-полная).
- Примеры: Classic McEliece (большие ключи ~1 МБ), BIKE, HQC.
- Multivariate:
- Системы квадратичных уравнений.
- Меньше используются из-за атак.
- Isogeny-based:
- Суперсингулярные изогении эллиптических кривых.
- SIKE сломан в 2022, не стандартизирован.
Стандарты NIST на 2025 год
Конкурс NIST (2016–2025) завершил несколько раундов.- FIPS 203 (2024): ML-KEM (CRYSTALS-Kyber) — ключевой обмен (KEM).
- Уровни безопасности: 1 (AES-128), 3 (AES-192), 5 (AES-256).
- Ключи: публичный ~1–2 КБ, ciphertext ~1 КБ.
- FIPS 204 (2024): ML-DSA (CRYSTALS-Dilithium) — цифровые подписи.
- Быстрые, компактные подписи (~2–5 КБ).
- FIPS 205 (2024): SLH-DSA (Sphincs+) — hash-based подписи.
- Backup на случай прорыва в решётках.
- Дополнительные 2025:
- FN-DSA (Falcon) — lattice-подписи, компактнее Dilithium.
- HQC (code-based KEM) — диверсификация рисков (март 2025).
Другие (BIKE, Classic McEliece) — в резерве для будущего.
Внедрение и миграция
- Гибридные схемы: Комбинация классики + PQC (например, X25519 + ML-KEM для TLS). Стандарт в RFC (IETF).
- Практика:
- Браузеры/серверы: Chrome, Firefox, Nginx поддерживают PQC-TLS.
- Облака: AWS, Google Cloud, Azure — PQC по умолчанию в некоторых сервисах.
- VPN/SSH: OpenVPN, WireGuard эксперименты.
- Блокчейн/криптовалюты: Переход подписей (Bitcoin обсуждает).
- Мандаты:
- США: Executive Order — миграция к 2035.
- ЕС: Quantum Flagship и регуляции.
- Китай: Национальные стандарты на базе SM9 + PQC.
Библиотеки: liboqs (Open Quantum Safe), BoringSSL с PQC.
Вызовы
- Производительность: PQC медленнее в 2–20 раз, подписи/ключи больше.
- Crypto-agility: Системы должны позволять смену алгоритмов.
- Side-channel: Утечки через timing/power — требуют countermeasures.
- Доверие: Диверсификация (не все яйца в lattice-корзину).
Сравнение с квантовой криптографией
- PQC: Классическая, легко масштабируема, вычислительная безопасность.
- QKD: Физическая (обнаружение Евы), но дорогая, ограничена дальностью.
- Гибрид: PQC для интернета + QKD для критических линий.
Перспективы
К 2030: Полная замена RSA/ECC в новых системах. 2026–2028 — новые раунды NIST (дополнительные подписи/KEM). PQC станет "новой нормой", защищая от квантовой угрозы. Рекомендация: Начать миграцию сейчас — инвентаризация, тестирование гибридов (oqs-provider для OpenSSL).Пост-квантовая криптография — это не "будущее", а настоящее: стандарты готовы, внедрение идёт полным ходом, обеспечивая долгосрочную безопасность цифрового мира.
