Меня зовут Максим, я веб-разработчик. Тема, о которой мало кто из бизнесменов задумывается, но которая в ближайшие 3–5 лет затронет каждый сайт в интернете — постквантовая криптография. Звучит как научная фантастика, но проблема конкретная: квантовые компьютеры, когда станут достаточно мощными, смогут взломать RSA и ECDSA — алгоритмы, на которых построена вся безопасность современного интернета. Ваш HTTPS, ваши электронные подписи, ваши зашифрованные данные — всё под угрозой. NIST уже утвердил новые стандарты. Chrome уже тестирует гибридные схемы. Расскажу, что это значит для вашего сайта и что делать прямо сейчас.

В чём проблема

Вся безопасность современного интернета строится на математических задачах, которые классические компьютеры решают очень долго: факторизация больших чисел (RSA), дискретный логарифм (ECDSA, ECDH). Ваш HTTPS-сертификат, VPN, электронная подпись, зашифрованная почта — всё основано на том, что эти задачи «вычислительно неподъёмны».

Квантовый компьютер с достаточным количеством кубитов (по разным оценкам — 4 000–10 000 логических кубитов) сможет решить эти задачи за часы вместо триллионов лет. Алгоритм Шора — конкретный квантовый алгоритм, который факторизует числа экспоненциально быстрее классических.

Когда это произойдёт? Точно никто не знает. Оптимисты говорят 2030, пессимисты — 2035–2040. Но есть проблема «Harvest Now, Decrypt Later» — собирай сейчас, расшифруй потом. Злоумышленники уже сегодня могут перехватывать зашифрованный трафик и хранить его, чтобы расшифровать, когда квантовые компьютеры станут доступны. Для данных с долгим сроком жизни (медицинские, финансовые, государственные) — это реальная угроза.

Что такое постквантовая криптография

Постквантовые алгоритмы — это криптографические алгоритмы, устойчивые к атакам квантовых компьютеров. Они основаны на математических задачах, которые сложны и для квантовых, и для классических компьютеров: решёточные задачи (lattice-based), код-based, хеш-based.

В 2024 году NIST (Национальный институт стандартов и технологий США) утвердил первые постквантовые стандарты:

ML-KEM (ранее Kyber). Механизм инкапсуляции ключей — для обмена ключами шифрования (замена ECDH). Используется при установлении HTTPS-соединения.

ML-DSA (ранее Dilithium). Цифровая подпись — для аутентификации (замена RSA/ECDSA в сертификатах и ЭЦП).

SLH-DSA (ранее SPHINCS+). Альтернативная цифровая подпись на основе хешей — запасной вариант на случай, если в решёточных алгоритмах найдут уязвимость.

Что уже происходит

Chrome и Chromium. С 2024 года Chrome поддерживает гибридный обмен ключами: X25519Kyber768Draft (комбинация классического X25519 и постквантового Kyber). Это означает: если ваш сервер поддерживает — TLS-соединение между Chrome и сервером уже защищено от квантовых атак.

Cloudflare. С конца 2024 года Cloudflare включил постквантовую поддержку по умолчанию для всех клиентов. Если ваш сайт за Cloudflare — он уже частично защищён.

Signal. Мессенджер Signal перешёл на постквантовый протокол PQXDH в 2023 году.

Яндекс и российские стандарты. Россия разрабатывает собственные постквантовые стандарты через ТК 26 (Технический комитет по стандартизации криптографии). Ожидается, что российские ГОСТ-аналоги ML-KEM и ML-DSA появятся в 2026–2028 годах.

Что это значит для вашего сайта

Для большинства бизнес-сайтов: пока ничего не делать, но следить

Если вы не работаете с государственной тайной, финансовыми данными с долгим сроком жизни или медицинской информацией — прямой угрозы нет. Переход на постквантовые стандарты будет происходить постепенно и преимущественно на уровне инфраструктуры (серверы, CDN, браузеры), а не на уровне кода вашего сайта.

Что нужно:

  1. Убедитесь, что ваш веб-сервер и TLS-библиотеки обновляются регулярно
  2. Если вы используете CDN (Cloudflare, Vercel) — постквантовая поддержка включится автоматически
  3. Следите за обновлениями вашего хостинг-провайдера

Для сайтов с чувствительными данными: пора готовиться

Если ваш сайт обрабатывает данные, которые будут актуальны через 10+ лет (медицинские карты, финансовые документы, юридические данные, персональные данные):

Обновите TLS-конфигурацию. Убедитесь, что сервер поддерживает TLS 1.3 (минимум) и готов к включению постквантовых cipher suites, когда они станут стабильными.

Обновите OpenSSL/BoringSSL. Последние версии OpenSSL (3.2+) и BoringSSL уже поддерживают постквантовые алгоритмы экспериментально.

Проверьте размер TLS handshake. Постквантовые ключи значительно больше классических (ML-KEM: ~1 КБ vs ECDH: ~32 байта). Это увеличивает размер TLS handshake, что может влиять на скорость подключения — особенно на медленных сетях. Тестируйте.

Криптографическая гибкость (crypto-agility). Проектируйте системы так, чтобы алгоритмы шифрования можно было заменить без переписывания кода. Не хардкодьте конкретные алгоритмы — используйте абстракции.

Для разработчиков: что проверить

Nginx/Apache. Убедитесь, что используемая версия OpenSSL поддерживает TLS 1.3. Для nginx: директива `ssl_protocols TLSv1.3;`.

Node.js. Node 20+ использует OpenSSL 3.x, который поддерживает постквантовые алгоритмы экспериментально. Следите за обновлениями.

Сертификаты. Текущие SSL-сертификаты (RSA, ECDSA) пока безопасны — их нужно будет заменить на постквантовые, когда центры сертификации начнут их выпускать (ожидается 2027–2028).

Электронная подпись. Если ваш сайт использует ЭЦП (электронная подпись документов) — следите за обновлениями КриптоПро и VipNet. Переход на постквантовые ГОСТ-алгоритмы — вопрос времени.

Гибридная криптография: переходный период

На переходном этапе (2024–2030) используется гибридный подход: одновременно применяются классический и постквантовый алгоритмы. Даже если один из них окажется скомпрометирован — второй обеспечивает защиту.

Пример: TLS handshake использует X25519 (классический) + ML-KEM-768 (постквантовый). Итоговый ключ — комбинация обоих. Если квантовый компьютер сломает X25519 — ML-KEM защищает. Если найдут уязвимость в ML-KEM — X25519 защищает.

Chrome уже делает это по умолчанию (для поддерживающих серверов). Ваш сайт может быть уже защищён — и вы даже не знаете об этом.

Практический чек-лист для владельца сайта

  1. Проверьте версию TLS. Минимум TLS 1.2, лучше — TLS 1.3. Инструмент: SSL Labs (ssllabs.com/ssltest)
  2. Обновите серверное ПО. Nginx, Apache, Node.js, OpenSSL — до последних стабильных версий
  3. Используйте CDN с постквантовой поддержкой. Cloudflare включает по умолчанию. Другие CDN — проверяйте
  4. Не паникуйте. Для обычного бизнес-сайта угроза не критична прямо сейчас. Но готовиться — разумно
  5. Подпишитесь на обновления. Следите за новостями NIST, ТК 26, вашего хостинг-провайдера

Стоимость подготовки

Аудит TLS-конфигурации и обновление. 20–50 тысяч рублей, разовая работа. Включает: проверку текущей конфигурации, обновление OpenSSL, настройку TLS 1.3, проверку совместимости.

Внедрение гибридной PQ-криптографии (для сайтов с повышенными требованиями безопасности). 50–150 тысяч рублей. Требует тестирования с различными клиентами и мониторинга производительности.

Постквантовая криптография — это не «если», а «когда». Начните готовиться заранее, чтобы переход был плавным.

Если нужна помощь с аудитом безопасности и обновлением TLS — обращайтесь.