Гонка за квантовой безопасностью: Google и Cloudflare ускоряются, остальные отстают

Google и Cloudflare сдвинули внутренний дедлайн по переходу на постквантовую криптографию (PQC) примерно на пять лет вперёд — теперь он стоит на 2029 году. Катализатором стали два исследования, которые показали: взлом криптографии на эллиптических кривых (ECC) квантовым компьютером может стать реальностью значительно раньше, чем считалось. Amazon и Microsoft пока держатся за более поздние сроки — их горизонты уходят на 2031–2035 годы.

Для понимания масштаба угрозы полезно вспомнить прецедент. Около 2010 года сложная вредоносная программа Flame использовала уязвимость хеш-функции MD5 в механизме обновлений Windows. Атакующие — предположительно спецслужбы США и Израиля — подделали цифровой сертификат и распространили вредоносное обновление в иранских государственных сетях. Уязвимость MD5 к «коллизиям» была известна с 2004 года, но часть инфраструктуры Microsoft всё равно её использовала. Именно этот сценарий — известная уязвимость, которую не успели устранить вовремя — сегодня служит главным аргументом для ускорения PQC-перехода.

Почему ECC опаснее RSA прямо сейчас

До недавнего времени основное внимание в дискуссии о постквантовой безопасности уделялось угрозе для RSA-шифрования. Взлом RSA с помощью алгоритма Шора оценивался как задача минимум на десятилетие. Это позволяло индустрии сосредоточиться на защите от атак типа «собери сейчас — расшифруй потом» (HNDL): злоумышленники перехватывают зашифрованный трафик сегодня, рассчитывая вскрыть его в «день Q» — когда появится криптографически значимый квантовый компьютер (CRQC).

Два новых исследования сместили фокус на ECC (криптографию на эллиптических кривых), которая лежит в основе цифровых подписей. Именно ECC верифицирует подлинность сообщений, документов, программного обеспечения, SSH-соединений и TLS-сертификатов. Компания Oratomic показала, что квантовый компьютер на нейтральных атомах способен взломать ECC, имея всего 10 000 физических кубитов — на порядки меньше предыдущих нижних оценок.

Google пошла дальше: в своём исследовании компания продемонстрировала, что два разработанных ею квантовых контура способны взломать 256-битный ECC (тот самый, что защищает биткоин и другие криптовалюты) за 9 минут, используя всего 1 200 логических кубитов. Один из контуров требовал около 90 миллионов вентилей Тоффоли, второй — менее 1 450 логических кубитов и 70 миллионов вентилей. По оценке Google, для реализации такой системы потребуется около 500 000 физических кубитов — вдвое меньше, чем та же команда оценивала в июне прошлого года для взлома 2048-битного RSA.

Девять минут — это принципиально важный порог. Если взлом RSA занимает часы или дни, то девять минут означают, что злоумышленник может в реальном времени тратить чужие средства с криптовалютных кошельков или перехватывать активные сессии. Это переводит угрозу из категории «будущее» в категорию «операционный риск».

Кто готовится и кто отстаёт

После публикации исследований Cloudflare и Google официально объявили о переносе дедлайна квантовой готовности на 2029 год. Cloudflare сделал акцент именно на угрозе для аутентификации:

««Надвигающийся день Q меняет всё с ног на голову: утечки данных серьёзны, но взлом аутентификации катастрофичен. Любой квантово-уязвимый ключ удалённого входа — это точка доступа для атакующего, который может делать всё что угодно: вымогать, выводить из строя или следить за системой», — написал Бас Вестербаан, главный исследователь Cloudflare.»

Amazon и Microsoft пока не ускорились. Их горизонты планирования уходят на 2031–2035 годы, что создаёт разрыв в два-шесть лет с новыми ориентирами Google и Cloudflare. Министерство обороны США требует перевода всех систем национальной безопасности на квантово-устойчивые алгоритмы до 31 декабря 2031 года. Национальный институт стандартов и технологий (NIST) призывает к депрекации уязвимых алгоритмов к 2035 году.

Дэн Бонэ, криптограф из Стэнфордского университета, объясняет логику ранних дедлайнов:

««Перевод всего интернета на постквантовую криптографию, особенно в части цифровых подписей, — колоссальная задача. Если целиться в 2035 год и промахнуться на два-три года, мы окажемся в крайне опасной близости от зоны риска».»

Брайан ЛаМаккья, криптографический инженер, руководивший постквантовым переходом Microsoft с 2015 по 2022 год, добавляет актуарную логику: даже если вероятность появления CRQC к 2030 году составляет всего 5%, цена провала настолько высока, что начинать нужно было уже вчера. Особенно с учётом длительных инженерных циклов перехода.

Что это значит для белорусского IT-рынка

Для белорусских компаний, работающих в ПВТ и обслуживающих международных клиентов, тема постквантовой криптографии перестаёт быть абстрактной. Продукты в сферах fintech, кибербезопасности, электронной подписи и защищённых коммуникаций уже сейчас закладывают архитектурные решения, которые придётся поддерживать десятилетиями.

Переход на ML-KEM (Module Lattice Key Encapsulation Mechanism) — постквантовый алгоритм, стандартизированный NIST — для RSA-шифрования уже идёт и считается относительно простым из-за небольшого числа протоколов. Сложнее обстоит дело с ECC-подписями: они встроены буквально везде — от TLS-сертификатов до подписи кода и SSH-ключей. Именно здесь сосредоточена основная инженерная работа на ближайшие четыре года.

Компаниям, разрабатывающим продукты с длинным жизненным циклом или работающим с государственными заказчиками, стоит уже сейчас проводить криптографический аудит своих систем и закладывать в роадмап поддержку постквантовых алгоритмов. Промедление здесь — это не консерватизм, а накопленный технический долг с потенциально катастрофическими последствиями.

— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business by.