О чем материал:
В апреле 2025 года Компания Quantum Computing Group объявила публичный конкурс: награда в один биткоин (около 90 тыс. $) тому, кто с помощью квантового компьютера взломает криптографический ключ — тот самый тип защиты, на котором построены банковские системы, электронные подписи и государственные сервисы.
Пока ни один квантовый компьютер с задачей не справился, но прогресс идет быстро, и крупнейшие мировые компании уже переходят на методы шифрования, устойчивые к квантовым атакам. В статье разбираем, какие системы защиты данных окажутся бесполезны, какие регуляторные требования уже действуют в России и как подготовить бизнес к новым вызовам.
Что такое стратегия «Собери сейчас, расшифруй потом»
Стратегия «Собери сейчас, расшифруй потом» («Harvest Now, Decrypt Later, HNDL») — одна из главных причин, по которой квантовая угроза для криптографии 2026 года актуальна уже сегодня. Стратегия HNDL работает просто: злоумышленники перехватывают зашифрованный трафик и сохраняют его. Расшифровать данные сейчас они не могут, но и не пытаются. Их задача — накопить массив информации и вскрыть его позже, когда появятся достаточно мощные квантовые компьютеры.
Больше всего рискуют владельцы данных с длительным сроком ценности: медицинских записей, биометрии, коммерческой тайны, государственных секретов. Если такие данные перехвачены в зашифрованном виде сегодня, через 10–15 лет их расшифровка нанесет реальный ущерб.
Индустрия уже воспринимает эту угрозу всерьез. Мессенджер Signal внедрил постквантовый протокол PQXDH в 2023 году и усилил защиту до Triple Ratchet (SPQR) в 2025-м. Мессенджер Session анонсировал Protocol V2 с поддержкой постквантовой криптографии. Оба сервиса прямо указали причину: защита от сценария «собрать сейчас, расшифровать позже». Компании с миллионами пользователей считают HNDL-угрозу достаточно реальной, чтобы вкладывать ресурсы в миграцию уже сейчас.
Правовой статус HNDL-атак остается неопределенным. Законодательство обязывает оператора обеспечивать конфиденциальность персональных данных (ст. 7 ФЗ-152) и защищать их (ст. 19 ФЗ-152). Однако при HNDL-сценарии данные перехвачены в зашифрованном виде сейчас, а расшифрованы будут через годы. Прямого регулирования такой ситуации нет, судебная практика отсутствует. Однако законодательство движется в сторону ужесточения: оборотные штрафы за утечки уже введены. Если через несколько лет перехваченные данные будут расшифрованы, доказать, что оператор принял достаточные меры защиты, станет сложно.
Уязвимость классических алгоритмов перед квантовыми вычислениями
Сегодня используют два основных типа шифрования: симметричное и асимметричное.
Симметричное (например, алгоритм AES — стандарт шифрования, применяемый в банковских системах и хранилищах данных) работает как сейф с одним ключом: один и тот же ключ используют для шифрования и расшифровки. Асимметричное (например, алгоритмы RSA и ECC — основа большинства интернет-протоколов) устроено иначе: здесь два ключа — открытый для шифрования и закрытый для расшифровки. Именно на асимметричном шифровании построены электронная подпись, защищенные интернет-соединения (TLS — протокол, который отвечает за «замочек» в адресной строке браузера), VPN и электронный документооборот.
Квантовые компьютеры угрожают обоим типам, но по-разному. Асимметричное шифрование (RSA, ECC) окажется полностью бесполезным: квантовый компьютер сломает его за часы. Симметричное шифрование (AES) ослабнет, но его можно усилить, увеличив длину ключа.
Алгоритм Шора и крах RSA/ECC
Безопасность алгоритмов RSA и ECC (Elliptic Curve Cryptography — криптография на эллиптических кривых) построена на том, что обычным компьютерам крайне сложно решать определенные математические задачи. Для RSA это разложение огромного числа на два простых множителя, для ECC — так называемый дискретный логарифм. Обычному компьютеру на решение такой задачи потребуются миллиарды лет, поэтому шифрование считается надежным.
Алгоритм Шора, разработанный ученым Питером Шором в 1994 году, меняет ситуацию. Он позволяет квантовому компьютеру решить эти задачи за часы или минуты. Как отмечают исследователи, алгоритм Шора и уязвимость RSA — это не гипотетический сценарий: все асимметричные криптосистемы на основе факторизации и дискретного логарифма полностью теряют стойкость. На практике это означает, что цифровые подписи, защищенные интернет-соединения, VPN и электронный документооборот, построенные на RSA и ECC, перестанут быть надежными.
Алгоритм Гровера и необходимость удвоения длины ключей AES
Алгоритм Гровера — еще один квантовый алгоритм, но он воздействует на симметричное шифрование. Если алгоритм Шора полностью ломает RSA и ECC, то алгоритм Гровера лишь ослабляет AES (Advanced Encryption Standard — наиболее распространенный стандарт симметричного шифрования). Он ускоряет перебор ключей, снижая эффективную стойкость шифрования вдвое.
Решение простое: переход на AES-256 в качестве минимального стандарта. Это одна из первых мер, которую можно реализовать без ожидания новых постквантовых систем. Квантово-устойчивые алгоритмы защиты для симметричной криптографии уже существуют: достаточно увеличить длину ключа.
Сравнение стойкости популярных алгоритмов к квантовым атакам
Криптографическая стойкость алгоритмов 2026 года определяется тем, насколько они устойчивы к атакам Шора и Гровера. Для каждого алгоритма в таблице указан тип, уровень уязвимости и рекомендуемое действие.
| Алгоритм | Тип | Квантовая уязвимость | Рекомендация |
| RSA-2048 | Асимметричный | Полная (алгоритм Шора) | Замена на постквантовый алгоритм |
| ECC (P-256) | Асимметричный | Полная (алгоритм Шора) | Замена на постквантовый алгоритм |
| AES-128 | Симметричный | Частичная (Гровер: стойкость снижается вдвое) | Переход на AES-256 |
| AES-256 | Симметричный | Низкая (Гровер: стойкость снижается, но остается достаточной) | Достаточно для защиты |
| ГОСТ 34.10-2012 | Асимметричный (ЭП) | Полная (эллиптические кривые) | Гибридная схема: ГОСТ + постквантовый алгоритм |
| ГОСТ 34.11-2012 | Хэш-функция | Частичная (Гровер) | Увеличение длины хэша |
| ML-KEM (FIPS 203) | Постквантовый | Устойчив | Рекомендован NIST для обмена ключами |
| ML-DSA (FIPS 204) | Постквантовый | Устойчив | Рекомендован NIST для цифровой подписи |
| «Шиповник» (РФ) | Постквантовый (ЭП) | Устойчив | В разработке ТК 26 |
Все асимметричные алгоритмы, включая российский ГОСТ 34.10-2012, полностью уязвимы перед алгоритмом Шора. Американский Национальный институт стандартов и технологий (NIST) уже утвердил замену, а в России параллельно идет разработка собственных аналогов.
Постквантовая криптография как основной метод защиты
Постквантовая криптография (PQC) — это алгоритмы шифрования, которые квантовый компьютер не сможет сломать. Они работают на обычных компьютерах и не требуют специального оборудования. Если RSA и ECC опираются на задачи, которые квантовый компьютер решает быстро, то постквантовые алгоритмы используют задачи, сложные и для квантовых машин. Разберем, как продвигается внедрение PQC: что уже утверждено на международном уровне, где находится Россия и какое решение доступно бизнесу прямо сейчас.
Международная стандартизация. В августе 2024 года NIST утвердил три финальных стандарта постквантовой криптографии (FIPS 203, 204 и 205).Это означает, что на международном уровне постквантовые алгоритмы перешли из стадии исследований в стадию внедрения. Компании, работающие с международными контрагентами, уже могут столкнуться с требованиями поддерживать эти стандарты.
Российская стандартизация. Постквантовая криптография в России находится на более ранней стадии, чем международные стандарты. Национальные стандарты постквантового шифрования пока не утверждены, но в рамках ТК 26 «Криптографическая защита информации» (технический комитет Росстандарта, отвечающий за криптографические стандарты) действует рабочая группа «Постквантовые криптографические механизмы».
Наиболее продвинутая российская разработка — алгоритм электронной подписи «Шиповник», созданный компаниями «Криптонит» и QApp в рамках ТК 26. Его открытая реализация доступна на GitHub. Однако до сертификации и включения в ГОСТ алгоритму предстоит пройти длительную процедуру экспертизы.
Гибридный подход — переходное решение. Пока постквантовые ГОСТы не утверждены, основным инструментом становится гибридный подход — новая технология защиты, совмещающая действующий ГОСТ и постквантовый алгоритм. Например, электронная подпись формируется сразу двумя способами: по ГОСТ 34.10-2012 и по ML-DSA (постквантовый стандарт NIST). Для проверки подписи оба алгоритма должны подтвердить подлинность. Если один из них окажется скомпрометирован, второй продолжит защищать данные. Именно такую модель, по данным научных публикаций, описывает обсуждаемый проект ГОСТ о гибридных криптосистемах. Переход на ГОСТ с постквантовой защитой по гибридной модели позволит сохранить криптографическую независимость без резкого отказа от действующих стандартов.
Организациям рекомендуется отслеживать обновления ТК 26 и обновить программное обеспечение, как только появятся квантово-защищенные сертифицированные СКЗИ (средства криптографической защиты информации — программы и устройства, выполняющие шифрование и имеющие сертификат ФСБ).
Правовые и регуляторные аспекты защиты данных в России
Требования регуляторов к квантовой устойчивости пока не оформлены в виде отдельного нормативного акта, но действующая система регулирования уже создает обязательства в области криптографической защиты. Ключевые изменения 2024–2025 годов существенно ужесточили как требования к использованию СКЗИ, так и ответственность за утечку данных.
Новые требования к шифрованию в госсекторе. С 6 апреля 2025 года все информационные системы госорганов, унитарных предприятий и госучреждений обязаны использовать сертифицированные СКЗИ. Ранее это требование распространялось только на государственные информационные системы (ГИС). Приказ ФСБ России от 18.03.2025 №117 вступил в силу без переходного периода. Он установил два основных случая обязательного применения СКЗИ: передача данных за пределы контролируемой зоны (территории, где исключен несанкционированный доступ к оборудованию) и обеспечение юридической значимости электронной подписи. Необходимость применения СКЗИ обосновывается в модели угроз, техпроекте и техзадании на создание или развитие информационной системы. Приказ также устанавливает классификацию СКЗИ от КС1 до КА: выбор неправильного класса делает всю систему защиты юридически несостоятельной.
Шифрование при обработке персональных данных. Приказ ФСБ России от 10.07.2014 №378 связывает 152-ФЗ «О персональных данных» с обязательным применением СКЗИ. Если организация обрабатывает персональные данные в информационной системе (ИСПДн), она обязана применять СКЗИ определенного класса. Чем выше уровень защищенности, тем более стойкие средства шифрования нужны. Защита персональных данных от квантовых компьютеров в будущем потребует пересмотра этих классов с учетом новых угроз.
Штрафы за утечку данных. Федеральные законы от 30.11.2024 №420-ФЗ (изменения в КоАП) и от 30.11.2024 №421-ФЗ (изменения в УК РФ) значительно ужесточили ответственность за нарушения в области персональных данных.
Административные штрафы по обновленной ст. 13.11 КоАП теперь зависят от масштаба утечки (количества идентификаторов субъектов персональных данных) и повторности нарушения:
- первичная утечка данных 1–10 тыс. субъектов — штраф 3–5 млн ₽;
- первичная утечка данных 10–100 тыс. субъектов — штраф 5–10 млн ₽;
- первичная утечка данных более 100 тыс. субъектов — штраф 10–15 млн ₽;
- утечка биометрических данных — штраф до 20 млн ₽;
- повторная утечка — оборотный штраф 1–3% годовой выручки (минимум 20 млн ₽, для биометрии — 25 млн ₽, максимум — 500 млн ₽);
- неуведомление Роскомнадзора — штраф 1–3 млн ₽ (срок уведомления: 24 часа + отчет в течение 72 часов).
По новой ст. 272.1 УК РФ за незаконный сбор, хранение и использование персональных данных грозит до четырех лет лишения свободы, а при тяжких последствиях — до 10 лет. Разграничение между КоАП и УК: КоАП применяется к оператору, допустившему утечку, а УК — к злоумышленнику, незаконно получившему доступ к данным.
HNDL-сценарий порождает правовую неопределенность: законодательство не квалифицирует ситуацию, когда данные перехвачены в зашифрованном виде сегодня, а расшифрованы через 10 лет. Судебная практика отсутствует. Однако при текущем тренде ужесточения ответственности бездействие в области криптозащиты может быть квалифицировано как действие или бездействие, повлекшее утечку (ст. 13.11 КоАП).
Дорожная карта миграции на постквантовые протоколы для бизнеса
Миграция на квантово-безопасные протоколы актуальна для организаций, чьи информационные системы хранят данные с длительным сроком жизни: медицинских учреждений, страховых компаний, банков, государственных реестров, крупных операторов персональных данных. Также в зоне риска квантовых атак — предприятия с коммерческой тайной и компании, работающие с критической информационной инфраструктурой (КИИ) по 187-ФЗ.
Пошаговый алгоритм миграции позволяет перейти на новые стандарты без сбоев в работе действующих систем.
Этап 1. Инвентаризация криптографических активов. Определить все точки использования шифрования в инфраструктуре: защита веб-трафика (TLS), VPN-соединения, электронная подпись, шифрование данных при хранении, межсерверное взаимодействие. Для каждой точки зафиксировать используемый алгоритм, длину ключа и срок действия сертификата. Например, если корпоративный VPN работает на RSA-2048, а внутренний документооборот — на ГОСТ 34.10-2012, обе системы попадают в зону риска (обе уязвимы перед алгоритмом Шора).
Этап 2. Классификация данных по сроку жизни. Данные с горизонтом хранения более 10 лет получают наивысший приоритет миграции: медицинские записи, архивные данные государственных реестров, долгосрочные коммерческие контракты, интеллектуальная собственность. Для IoT-устройств (устройств интернета вещей) со сроком службы менее 10 лет достаточно текущих стандартов с увеличенной длиной ключа — например, перевод с AES-128 на AES-256.
Этап 3. Внедрение гибридных схем. Одновременное использование действующего ГОСТа и постквантового алгоритма (ГОСТ 34.10-2012 + ML-DSA или «Шиповник» после сертификации). Такая схема обеспечивает защиту даже в случае компрометации одного из алгоритмов и соответствует концепции гибридных криптосистем, обсуждаемой в рамках ТК 26.
Этап 4. Обновление программного обеспечения. При переходе на OpenSSL версии 3.5 и выше — активировать постквантовые наборы шифров. Важно защитить реализации от атак по побочным каналам.
Этап 5. Пересмотр модели угроз. Согласно Приказу ФСБ №117, модель угроз, техпроект и техзадание на развитие информационной системы должны обосновывать выбор СКЗИ. При плановом пересмотре этих документов следует заложить квантовые угрозы как перспективный риск: это создаст нормативную основу для перехода на постквантовые средства защиты.
Этап 6. Мониторинг стандартов и обновление СКЗИ. Отслеживание обновлений ТК 26 и появления новых сертифицированных квантово-защищенных СКЗИ. После их выхода — обновление систем защиты и пересертификация программного обеспечения.
Юридические и технические рекомендации по подготовке к «Дню Q»
«День Q» — условное обозначение момента, когда квантовый компьютер достигнет мощности, достаточной для взлома действующих стандартов шифрования. Информационная безопасность в квантовую эпоху требует подготовки задолго до наступления этого дня, и новые угрозы делают откладывание рискованным.
Для бизнеса приоритетны три направления:
- Аудит криптографической защиты: полная инвентаризация используемых алгоритмов и выявление уязвимых точек.
- Оценка сроков хранения данных и определение массивов информации, которые сохранят ценность на горизонте 10–15 лет.
- Разработка плана миграции на гибридные и постквантовые схемы с учетом требований действующего законодательства (Приказ ФСБ №117, ФЗ-420/421).
Параллельно необходим мониторинг постквантовых стандартов ТК 26 и включение квантовых рисков в оценку информационной безопасности предприятия. Новые технологии и регуляторные требования появляются ежегодно, а своевременная адаптация системы защиты позволит избежать как штрафных санкций, так и репутационных потерь.
Курс «Юрист в сфере IT» — для тех, кто хочет системно разобраться в цифровом праве и работать с технологическими продуктами на практике. Учитесь на кейсах преподавателей из МТС, Яндекса, НИУ ВШЭ и OZON, закрепляйте знания на вебинарах и бизнес-игре и выходите на новый профессиональный уровень. Присоединяйтесь к потоку и усиливайте экспертизу, которая востребована в IT-компаниях уже сейчас.
