Всероссийский сборник статей и публикаций института развития образования, повышения квалификации и переподготовки.

Современная цифровая инфраструктура зависит от криптографических механизмов. Интернет-банкинг, государственные порталы, корпоративные VPN, электронная почта, мессенджеры, облачные сервисы и системы электронного документооборота используют шифрование и цифровую подпись для защиты данных. Наиболее распространёнными средствами асимметричной криптографии долгое время являлись RSA, Diffie-Hellman, ECDH, ECDSA и другие алгоритмы, безопасность которых основана на сложности факторизации больших чисел или дискретного логарифмирования.

Развитие квантовых вычислений меняет оценку устойчивости таких алгоритмов. Квантовый алгоритм Шора теоретически позволяет эффективно решать задачи факторизации и дискретного логарифмирования на достаточно мощном квантовом компьютере. Поэтому RSA и криптография на эллиптических кривых рассматриваются как квантово-уязвимые механизмы. При этом симметричная криптография также испытывает влияние квантовых алгоритмов, но обычно для неё достаточно увеличивать длину ключа, например использовать AES-256.

Особую проблему создаёт сценарий «собрать сейчас — расшифровать позже». Злоумышленник может перехватывать и сохранять зашифрованный трафик уже сегодня, а после появления криптографически значимого квантового компьютера попытаться расшифровать его. Такой риск особенно важен для персональных данных, медицинской информации, финансовых архивов, государственных сведений и коммерческой тайны, которые должны оставаться конфиденциальными в течение многих лет.

Постквантовая криптография решает эту задачу не за счёт использования квантового оборудования, а за счёт применения новых математических задач, которые считаются устойчивыми как к классическим, так и к квантовым атакам. Постквантовые алгоритмы выполняются на обычных компьютерах и могут быть встроены в существующие протоколы, приложения, серверы, микроконтроллеры и аппаратные модули безопасности.

Цель исследования: описание сущности постквантовых алгоритмов и определение основных направлений их практического применения в современных информационных системах.

Задачи исследования:

1. Рассмотреть причины перехода от классической асимметричной криптографии к постквантовым алгоритмам.

2. Описать основные семейства постквантовой криптографии и их назначение.

3. Проанализировать стандартизованные алгоритмы ML-KEM, ML-DSA и SLH-DSA.

4. Рассмотреть практическое применение постквантовых алгоритмов в TLS, PKI, банках, государственных системах и IoT.

5. Сформулировать этапы миграции организации к квантово-устойчивой криптографической инфраструктуре.

Методология исследования включает анализ открытых стандартов и рекомендаций NIST, IETF, CISA, NSA, NCCoE и ENISA, сопоставление классов постквантовых алгоритмов, а также описание прикладных сценариев внедрения. В работе не утверждается абсолютная безопасность конкретного алгоритма, поскольку криптографическая стойкость всегда зависит от развития криптоанализа, корректности реализации и управления ключами.

Основные семейства постквантовой криптографии различаются математической базой, размерами ключей, производительностью и областью применения. Наиболее распространёнными считаются решёточные схемы, кодовые схемы, хеш-основанные подписи, многомерные схемы и схемы на изогениях. В современных стандартах наибольшее практическое значение получили решёточные алгоритмы, поскольку они обеспечивают приемлемый баланс между производительностью и размером криптографических данных.

Решёточные алгоритмы основаны на сложности задач, связанных с многомерными решётками. К этому направлению относятся ML-KEM и ML-DSA. Кодовые алгоритмы используют трудность декодирования случайных линейных кодов; примером является HQC. Хеш-основанные подписи опираются на свойства криптографических хеш-функций; к ним относится SLH-DSA. Многомерные схемы строятся на системах нелинейных уравнений, а изогенные схемы используют более специфическую математику эллиптических кривых, однако после ряда криптоаналитических результатов они применяются осторожнее.

В 2024 году NIST опубликовал первые три финальных стандарта постквантовой криптографии: FIPS 203 для ML-KEM, FIPS 204 для ML-DSA и FIPS 205 для SLH-DSA. Эти документы стали важной точкой перехода от экспериментального исследования к практической стандартизации. ML-KEM предназначен для инкапсуляции ключей, а ML-DSA и SLH-DSA предназначены для цифровой подписи [1-3].

ML-KEM является механизмом инкапсуляции ключей. Его задача состоит не в прямом шифровании больших объёмов данных, а в безопасном формировании общего секретного ключа между двумя сторонами через открытый канал. После этого общий секрет используется в симметричной криптографии для шифрования трафика. В стандарте FIPS 203 определены три набора параметров: ML-KEM-512, ML-KEM-768 и ML-KEM-1024. Чем выше набор параметров, тем выше уровень безопасности, но тем больше вычислительные и сетевые затраты [1].

ML-DSA является алгоритмом цифровой подписи, основанным на решёточной криптографии. Он предназначен для генерации и проверки подписей электронных документов, сертификатов, программных обновлений и сообщений. Практическая важность ML-DSA связана с тем, что цифровая подпись используется не только для конфиденциальности, но и для доверия к происхождению данных. Подделка подписи может привести к распространению вредоносных обновлений, подмене сертификатов или юридически значимых документов [2].

SLH-DSA является алгоритмом цифровой подписи на основе хеш-функций. Его преимуществом является независимость от решёточных предположений. Поэтому SLH-DSA рассматривается как дополнительный и резервный вариант на случай, если в будущем у решёточных схем будут обнаружены серьёзные криптоаналитические слабости. Ограничением хеш-основанных подписей обычно являются сравнительно крупные размеры подписи и меньшая производительность в отдельных сценариях [3].

HQC был выбран NIST в 2025 году как дополнительный алгоритм для будущей стандартизации. Его роль состоит в создании резервной альтернативы ML-KEM для задач шифрования и обмена ключами. Наличие альтернативных математических семейств снижает системный риск: если все системы будут зависеть только от одного класса задач, новая атака на этот класс может затронуть слишком большую часть инфраструктуры [5].

Практическое применение постквантовых алгоритмов начинается с защиты сетевых соединений. Протокол TLS используется в HTTPS, API, корпоративных сервисах, мобильных приложениях и облачной инфраструктуре. Если обмен ключами в TLS основан только на классических эллиптических кривых, то в будущем перехваченный трафик может стать объектом расшифрования. Поэтому одним из наиболее реалистичных путей внедрения является гибридный обмен ключами, при котором классический алгоритм комбинируется с постквантовым механизмом.

Гибридная схема позволяет сохранить доверие к существующей классической криптографии и одновременно добавить защиту от будущей квантовой угрозы. В проектах IETF для TLS 1.3 рассматриваются варианты X25519MLKEM768, SecP256r1MLKEM768 и SecP384r1MLKEM1024. В таких схемах итоговый ключевой материал формируется на основе двух составляющих: классического ECDHE-секрета и постквантового секрета ML-KEM [7; 8].

Вторая важная область применения — инфраструктура открытых ключей и цифровые сертификаты. Центры сертификации, удостоверяющие центры, корпоративные PKI и электронный документооборот зависят от надёжности цифровой подписи. При переходе к постквантовым подписям потребуется обновить форматы сертификатов, политики выпуска и отзыва сертификатов, аппаратные модули безопасности, средства проверки подписи и клиентские приложения.

Преимущества постквантовых алгоритмов состоят в возможности заранее снизить риск будущих квантовых атак, сохранить долгосрочную конфиденциальность данных и подготовить инфраструктуру к новым стандартам. Их важное практическое свойство заключается в том, что они работают на обычных классических компьютерах. Организациям не нужно иметь квантовое оборудование для применения постквантовой защиты.

Однако ограничения также существенны. Постквантовые ключи и подписи могут иметь больший размер, чем классические аналоги. Это создаёт нагрузку на сеть, увеличивает размер сертификатов и усложняет использование в IoT-устройствах. Кроме того, реализация должна быть защищена от побочных каналов, ошибок генерации случайных чисел и некорректного управления ключами. Наличие стандарта не гарантирует безопасность всей системы, если реализация выполнена неправильно.

Отдельной проблемой является совместимость. Многие системы проектировались под RSA и ECC, а значит, переход потребует обновления библиотек, протоколов, форматов сообщений, серверов, клиентов и аппаратных средств. Для крупных организаций миграция может занять годы. Поэтому стратегически правильным подходом является не ожидание появления мощного квантового компьютера, а постепенная подготовка инфраструктуры уже сейчас.

В результате можно выделить три практических принципа внедрения. Во-первых, необходимо знать, где используется криптография. Во-вторых, критичные данные с долгим сроком конфиденциальности должны мигрировать в первую очередь. В-третьих, архитектура должна поддерживать замену алгоритмов без полной переработки всей системы.

Таким образом, постквантовые алгоритмы становятся важной частью современной защиты информации. ML-KEM используется как базовый механизм для безопасного согласования ключей, ML-DSA и SLH-DSA предназначены для цифровых подписей, а HQC рассматривается как дополнительная резервная альтернатива для криптографического разнообразия. На практике они применяются в TLS, PKI, подписании программного обеспечения, банковских системах, государственных информационных ресурсах, облачной инфраструктуре и устройствах с длительным жизненным циклом.

Внедрение постквантовой криптографии не означает мгновенного отказа от всех классических механизмов. Наиболее реалистичным является гибридный переход, при котором классические и постквантовые алгоритмы используются совместно. Такой подход позволяет снизить технологические риски и одновременно подготовить инфраструктуру к будущим квантовым угрозам.

Проведённый анализ показывает, что постквантовые алгоритмы имеют не только теоретическое, но и прикладное значение. Их внедрение требует системного подхода: инвентаризации, оценки рисков, пилотирования, обновления регламентов, мониторинга и поддержки криптографической гибкости. Поэтому постквантовая криптография должна рассматриваться как долгосрочная программа повышения устойчивости информационных систем, а не как разовое обновление отдельных алгоритмов.