«Шиповник», «Кодиеум» и спутник Micius. Рассказываем, как Россия догоняет мир в квантовой гонке

Квантовые компьютеры ещё не угрожают интернету, но мировые правительства, банки и технологические компании уже повсеместно внедряют постквантовую криптографию. Россия участвует в этой гонке, но преимущественно на уровне научных проектов и пилотов, а не массовых внедрений. Разберём факты.

1. Почему классическая криптография уязвима

Большинство современных систем защиты данных опирается на математические задачи, которые трудно решить на обычном компьютере: факторизацию больших чисел (RSA), задачу дискретного логарифма (Diffie-Hellman) и эллиптические кривые (ECDH). В 1994 году математик Питер Шор показал, что квантовый компьютер решает эти задачи принципиально быстрее — за время, сопоставимое с размером ключа, а не с его экспонентой.

Это означает: при появлении достаточно мощного квантового компьютера RSA-2048 может быть вскрыт за часы, а не за миллиарды лет. Симметричные алгоритмы (AES, ГОСТ 28147) устойчивее — алгоритм Гровера лишь вдвое снижает их эффективную длину ключа. Таким образом сегодня всё асимметричное шифрование под угрозой. А оно используется сегодня для обмена ключами для симметричной криптографии.

С приходом квантовых компьютеров защитить симметричные алгоритмы получится, просто увеличив длину ключа вдвое. А асимметричные алгоритмы придется заменить.

Атака «Собери сейчас — расшифруй потом»

Даже сегодня, когда квантовых компьютеров достаточной мощности нет, атака уже возможна. Она называется Harvest Now, Decrypt Later (HNDL).

• Злоумышленник перехватывает и архивирует зашифрованный трафик сегодня.
• Архив хранится 5–15 лет — до появления криптографически значимого квантового компьютера.
• После этого данные расшифровываются массово.

Под угрозой оказываются любые данные, секретность которых должна сохраняться долго: государственные документы, медицинские архивы, финансовые регистры, интеллектуальная собственность, дипломатическая переписка.

Если ваши данные должны оставаться закрытыми ещё 10–20 лет — вы уже в зоне риска.

2. Два пути защиты: QKD и PQC

Сегодня существуют два принципиально разных подхода к защите от квантовых атак. Они не конкурируют, а дополняют друг друга.

Квантовое распределение ключей (QKD)

QKD использует законы квантовой физики: любая попытка перехватить фотоны, несущие ключ, изменяет их состояние и немедленно обнаруживается. Протокол BB84 (1984) стал основой для практических реализаций. Минусы QKD — высокая стоимость оборудования, ограниченная дальность без квантовых повторителей и сложность интеграции в существующую сетевую инфраструктуру.

Постквантовая криптография (PQC)

PQC — это классические математические алгоритмы, задачи для которых остаются вычислительно трудными даже для квантовых компьютеров: решётки (lattice-based), кодовая криптография, хэш-подписи. PQC не требует специального оборудования и интегрируется в TLS, VPN и другие стандартные протоколы.

В 2024 году Национальный институт стандартов и технологий США (NIST) утвердил первые международные стандарты PQC:

• FIPS 203 — ML-KEM (Kyber): обмен ключами
• FIPS 204 — ML-DSA (Dilithium): цифровые подписи
• FIPS 205 — SLH-DSA (SPHINCS+): резервные подписи

Именно на этих стандартах строится глобальный переход. Эксперты рекомендуют гибридный подход: классический алгоритм плюс PQC параллельно, чтобы сохранить совместимость и безопасность одновременно.

3. Как готовится мир

Австралия: дорожная карта до 2030 года

Австралийский центр кибербезопасности (ACSC / ASD) опубликовал руководство «Planning for Post-Quantum Cryptography» с поэтапной дорожной картой: к 2026 году — план миграции, к 2028 году — начало внедрения PQC, к 2030 году — полный переход. Формально это регуляторное руководство, а не отдельный закон, однако оно адресовано прежде всего госсектору и операторам критической инфраструктуры. Важно: не «обязал», а задал чёткий ориентир с конкретными этапами.

Германия: тестирование квантово-устойчивых документов

Консорциум Bundesdruckerei, Giesecke+Devrient, Infineon Technologies и регулятор BSI разработали прототип удостоверения личности с гибридной криптографией (классика + PQC). BSI называет 2030 год целевым горизонтом для перехода на квантово-устойчивые государственные документы. Пока это PoC (proof-of-concept), а не массовый выпуск, однако технологическая и регуляторная база уже созданы.

Сингапур: банковский пилот QKD

Финансовый регулятор MAS совместно с банками DBS, HSBC, OCBC и UOB провёл двухфазный производственный пилот в квантовой сети NQSN+. Система генерировала около 6,75 млн квантово-распределённых ключей AES-256 в сутки на банк — достаточно для работы до 2,5 месяцев даже при обрыве оптоволокна. Проверялись сценарии перехвата и отказоустойчивость. Это один из первых в мире банковских тестов QKD на реальных расчётных данных.

США: интернет уже переходит

Компания Cloudflare сообщила, что к концу 2025 года около 52% пользовательского HTTPS-трафика проходит через гибридные TLS-соединения с постквантовыми алгоритмами. Это вдвое больше, чем в начале того же года. Apple внедрила протокол PQ3 в iMessage: гибрид Kyber + эллиптические кривые, начиная с iOS 17.4 и macOS 14.4. Zoom добавил постквантовое сквозное шифрование на базе алгоритма Kyber-768 в версии клиента 6.0.10 и выше.

Китай: крупнейшая квантовая инфраструктура мира

Китай построил крупнейшую в мире квантовую сеть: более 10 000 км, 145 магистральных узлов, 20 городских квантовых сетей — всё это интегрировано со спутником Micius. В 2025 году была продемонстрирована квантовая связь между Китаем и Южной Африкой на расстоянии свыше 12 900 км. Публичные данные говорят о сотнях промышленных клиентов и планах коммерческих сервисов для миллионов пользователей к 2027 году.

Таблица 1. Состояние квантовой и постквантовой криптографии в мире (март 2026)

4. Что делает Россия

В России есть сертифицированные решения, и работающие пилотные сети, и собственные алгоритмы. При этом пока что это уровень научных групп, регуляторных рабочих групп и единичных внедрений, а не массового рынка, как за рубежом.

4.1 Квантовое распределение ключей: ИнфоТеКС и ViPNet Quantum

Компания ИнфоТеКС разработала линейку систем квантового распределения ключей: ViPNet QTS, ViPNet QTS Lite и ViPNet QSS. Решения созданы совместно с Центром квантовых технологий МГУ и поддерживают топологии «звезда» и «точка–точка», дальность до 44 км на одном уровне оптической коммутации, подключение более 150 000 потребителей ключей в звёздной топологии.

В 2022 году система ViPNet QSS получила положительное заключение ФСБ России — первая в стране квантово-криптографическая система, прошедшая такую проверку для защиты информации категории «негостайна» (классы КС/КС3).

На базе ViPNet QSS в 2021 году была запущена Университетская квантовая сеть МГУ: пять квантовых узлов, двадцать абонентских терминалов. Это уже не лабораторный стенд, а пилотная инфраструктура на реальной оптике.

Отдельно стоит отметить эксперимент 2023 года: квантовая связь между Россией и Китаем на расстоянии около 3 800 км через спутник Micius. Участники — Российский квантовый центр и НИТУ МИСиС. Через канал передавались изображения, зашифрованные квантово-распределёнными ключами. Проект рассматривается как шаг к квантовой сети БРИКС.

4.2 Постквантовые алгоритмы: «Шиповник» и «Кодиеум»

С 2019 года в рамках Технического комитета ТК 26 («Криптографическая защита информации») работает рабочая группа по постквантовым криптографическим механизмам. Фактически это российский аналог конкурса NIST — анализ кандидатов, криптоанализ, подготовка проектов ГОСТов. Параллельно создан Национальный технологический центр цифровой криптографии.

Компания «Криптонит» (ИКС Холдинг) предложила два алгоритма-кандидата:

• Шиповник — схема электронной подписи на основе кодовой криптографии (протокол идентификации Штерна + задача декодирования случайного линейного кода). Оценка стойкости: около 2²⁵⁶ операций для классической атаки и около 2¹⁷⁰ — для квантовой. Открытая реализация на C с SSE-оптимизациями опубликована в 2023 году. Рассматривается как постквантовая замена ГОСТ 34.10-2018.
• Кодиеум — постквантовый механизм инкапсуляции ключей (KEM), аналог протокола Диффи–Хеллмана, основанный на задаче декодирования случайного кода. Представлен на конференции «РусКрипто 2024», сейчас проходит обсуждение в ТК 26. Алгоритм ориентирован на применение в TLS-каналах, VPN, банковских транзакциях и мессенджерах.

4.3 Первый российский постквантовый TLS-шлюз

Компания qApp совместно с S-Terra разработала программно-аппаратный комплекс для постквантовой защиты TLS: библиотека PQC SDK интегрирована в TLS-шлюз S-Terra Gateway, что позволяет строить TLS-туннели с постквантовыми алгоритмами поверх существующего стека без замены инфраструктуры. Это первый российский продукт подобного класса в серийной готовности.

Россия имеет сертифицированные QKD-решения, национальных разработчиков PQC-алгоритмов и первые продукты. Но национальные стандарты (ГОСТ PQC) пока не утверждены, регуляторного дедлайна нет, а большинство корпоративных систем работает на классической криптографии без плана перехода.

5. Что это означает для вашего бизнеса

Ключевая проблема в разрыве между технологическими заделами и готовностью рынка. Пока Cloudflare, Apple и Zoom переводят реальный трафик на гибридные постквантовые схемы, большинство российских корпоративных PKI, VPN и архивов работает на RSA, ECC и классических ГОСТ-алгоритмах без чёткого плана миграции.

Сценарий, которого стоит избегать: ГОСТ PQC утверждают, регуляторы выставляют требования, и компании обнаруживают, что им нужен аварийный рефакторинг криптографической инфраструктуры в сжатые сроки. По аналогии с тем, как это случалось при переходах на TLS 1.3 или при отзыве SHA-1 — только масштаб несопоставимо больше. Или кто еще помнить про «проблему 2000 года», когда все бросились проверять код, что в нем дата записана не 91 или 92 год, а 1991 и 1992 год.

Особенно уязвимы данные с длинным сроком хранения: медицинские и финансовые архивы, журналы событий ИБ, персональные данные, реестры критической инфраструктуры. Если эти данные копируются злоумышленниками сегодня, расшифровать их можно будет через 10–15 лет.

6. Практическая дорожная карта: пять шагов

Подготовка к постквантовому переходу не требует немедленной смены всего оборудования. Начать можно с малого — и именно это даёт преимущество перед теми, кто будет действовать в условиях регуляторного давления.

Таблица 2. Дорожная карта перехода на постквантовую криптографию

Несколько практических замечаний

• Гибридное шифрование важнее конкретного алгоритма. Система, которая умеет быстро менять алгоритм шифрования, переживёт любую смену стандартов.
• Гибридный подход снижает риск. Классика + PQC параллельно обеспечивают защиту и от квантового, и от классического противника.
• Начать стоит с инвентаризации. Без понимания того, где и какая криптография используется, любые пилоты будут неэффективны.
• Кадры — узкое место. PQC-компетенции в России пока редки; обучение специалистов занимает время, и это надо учитывать в плане.

7. Итог

В России есть сертифицированные QKD-решения (ViPNet QSS), работающие пилотные сети, собственные кандидаты PQC-алгоритмов («Шиповник», «Кодиеум») и первые коммерческие продукты для постквантовой защиты TLS. На международном уровне — совместные эксперименты с Китаем и интерес к квантовым сетям в контексте БРИКС.

Но на уровне массового рынка всё это пока единичные внедрения и пилоты. Национальные стандарты PQC в формате ГОСТ ещё не утверждены. Регуляторного дедлайна, сопоставимого с дорожными картами ASD или G7, нет.

Мировая инфраструктура уже начала жить в постквантовой эпохе — постепенно, без деклараций, просто включив новые алгоритмы в следующий апдейт TLS-библиотеки. Российский бизнес, который начнёт подготовку сейчас, сможет пройти этот путь спокойно. Тем, кто будет ждать обязательных требований, возможно придётся делать это в авральном режиме.

Окно комфортной подготовки — ближайшие 2–3 года. Именно сейчас имеет смысл провести аудит вашей криптографии, запустить пилот на доступных российских решениях и заложить гибридное шифрование в архитектуру новых систем.

Источники

• ФСБ России, заключение № 149/2/2/2385 от 30.09.2022 (ViPNet QSS).
• NIST FIPS 203, 204, 205 (2024) — стандарты постквантовой криптографии ML-KEM, ML-DSA, SLH-DSA.
• ASD / ACSC, «Planning for Post-Quantum Cryptography», 2023–2024.
• Monetary Authority of Singapore, NQSN+ QKD Pilot Report, 2024–2025.
• Cloudflare, «State of the Post-Quantum Internet in 2025», Radar Year in Review 2025.
• BSI / Bundesdruckerei / G+D / Infineon — пресс-релизы по PoC квантово-устойчивых ID-документов.
• ИнфоТеКС, документация ViPNet Quantum Cryptographic Systems.
• «Криптонит» (ИКС Холдинг) — материалы по алгоритмам «Шиповник» и «Кодиеум», РусКрипто 2024.
• qApp + S-Terra — материалы по PQC TLS Gateway.
• ТК 26, рабочая группа «Постквантовые криптографические механизмы», публикации с 2019 года.
• Российский квантовый центр, НИТУ МИСиС — материалы по российско-китайскому спутниковому QKD-эксперименту (2023).

Денис Батранков, генеральный директор Академии ИИ и ИБ.