За последнее время я буквально столкнулся с валом новостей, колонок, аналитики и экспертных комментариев про квантовые вычисления и их влияние на криптографию. Еще недавно разговор о "квантовом дне Х" (Q-Day) часто звучал как что-то из серии далекого будущего: интересно, важно, но не срочно. А теперь, внезапно, тон заметно меняется. Крупные компании называют конкретные сроки миграции, отраслевые медиа обсуждают не теорию, а практические шаги, а экспертные отчеты все чаще говорят не о гипотетической угрозе, а о сжимающемся очке окне для подготовки. Вообще интересно, что сподвигло многих авторов обратиться к этой теме и поменять свои ориентиры? Ведь никаких открытий не было в последнее время сделано и оптимистичный срок появления квантового компьютера в 2035 году и реальный – в 2040-м пока никто не отменял. И вдруг волна заметок...
При этом важно не впадать в другую крайность – не начать воспринимать каждую новую публикацию как сигнал о немедленном крахе RSA, TLS, ГОСТ и всей современной цифровой инфраструктуры. Именно поэтому полезно посмотреть на несколько материалов вместе. Они хорошо показывают, что происходит на самом деле: пока никакой сенсации, скорее постепенный переход темы из разряда "научных дискуссий" в разряд архитектурных, управленческих и инвестиционных решений. Что, конечно, не исключает какого-нибудь открытия, о которых регулярно пишут в СМИ и на профильных порталах (я регулярно про них пишу в TG-канале " Пост Лукацкого" помечая тегом "pqc").
Один из самых заметных сигналов пришел от Google. В конце марта компания прямо заявила, что устанавливает для себя ориентир миграции на постквантовую криптографию к 2029 году. При этом Google отдельно подчеркивает две вещи. Во-первых, угроза для шифрования актуальна уже сейчас из-за сценария "сохрани сейчас, расшифруй потом": зашифрованные данные могут перехватываться и сохраняться сегодня, чтобы быть расшифрованными позже, когда появятся криптографически значимые квантовые компьютеры. Во-вторых, под угрозой не только шифрование, но и цифровые подписи, а значит – аутентификация, доверенные обновления, подтверждение подлинности программ и устройств. В качестве практического примера Google пишет, что в Android 17 интегрируется защита цифровых подписей с использованием ML-DSA, а Chrome и Google Cloud уже движутся к PQC.
Это важно не потому, что Google "объявил конец классической криптографии", а потому что один из крупнейших игроков отрасли фактически задает рынку темп. Если раньше можно было говорить: "ну когда-нибудь потом разберемся", то теперь это "потом" начинает приобретать календарные очертания, которые будут подталкивать многих следовать тем же ориентирам. И, как обычно бывает, сами сроки – это только вершина айсберга. Настоящая проблема не в том, чтобы заменить один алгоритм другим, а в том, чтобы понять, где именно у вас вообще живет криптография и как она встроена в ваши системы.
На этом фоне полезно посмотреть на свежий отчет Global Risk Institute (можно сравнивать с отчетом за 2024 год). В нем говорится, что, по оценке 26 экспертов из Канады и других стран, сроки появления CRQC – квантового компьютера, реально опасного для современной криптографии, – ускоряются по сравнению с предыдущими оценками. В отчете сказано, что такой сценарий считается "вполне возможным" в горизонте ближайших 10 лет и "вероятным" в горизонте 15 лет (то есть ничего не поменялось в оценках). Авторы делают из этого прямой вывод: организациям нужно начинать действовать уже сейчас. При этом GRI продвигает не идею "квантовая катастрофа завтра", а идею управления временем миграции. В базовом описании их подхода говорится, что срочность для конкретной организации определяется тремя вещами:
- Сколько лет должны сохраняться данные?
- Сколько лет займет миграция?
- Через сколько лет угроза станет реальной?
Если срок угрозы меньше, чем сумма "срока жизни данных" и "срока миграции", организация опаздывает уже сейчас.
Для меня здесь важна не попытка угадать точную дату "Q-Day". Такие даты почти всегда становятся предметом споров. Важнее другое: экспертное сообщество все меньше склонно считать квантовую угрозу настолько далекой, чтобы ее можно было спокойно отложить на потом. Вы, кстати, знаете, что такое "Земляника"? Если нет, то скорее всего вы тоже из тех, кто откладывает все на потом и не следит за отечественными успехами в области пост-квантовой криптографии. А в криптографии и инфраструктуре время всегда уходит быстрее, чем кажется. Пока вы проведете инвентаризацию, пока поймете, какие сертификаты, библиотеки, HSM, VPN, API-шлюзы, устройства и цепочки обновления завязаны на устаревающие алгоритмы, пока дождетесь новых версий от вендоров (а в России с учетом нашего регулирования это вообще отдельный челендж), пока проведете тестирование – годы пройдут незаметно. 2030 год в обычной корпоративной логике кажется далеким, но для криптомиграции это уже почти завтра. Кстати, упоминаемая многими crypto agility, то есть возможность быстрой смены одного криптоалгоритма другим, в России не работает, – у нас просто нет такого количества алгоритмов, чтобы скакать между ними, аки сайгак в саванне.
В одной из статей есть очень правильный, приземленный тезис: основная ошибка – думать, что криптография живет только "на краю сети", в TLS на внешнем периметре, VPN и сертификатах ноутбуков. На деле она часто зарыта глубже – в service mesh, драйверах баз данных, API gateway, конвейере обновления ПО, сторонних SaaS и других местах, о которых многие команды просто не думают. Поэтому первый практический совет, который я бы вынес из всех этих материалов, звучит банально: начинать надо не с замены алгоритма, а с инвентаризации криптографии. Нужно понять, где у вас используется RSA, ECC, ГОСТы и другие механизмы, что можно конфигурировать, а что зашито намертво. При этом важно не просто связать криптографию с системами, в которых она живет, а со стоимостью и сроком жизни защищаемых данных. Где у вас действительно есть секреты сроком хранения более 10 лет?
Второй важный практический вывод: переход не должен начинаться с самого сложного и внешнего. Разумно стартовать с контролируемых внутренних зон – внутренних mTLS-соединений, управляемых VPN-туннелей, внутренних цепочек подписи кода и обновлений. Там легче контролировать оба конца соединения, проще тестировать совместимость и быстрее откатываться в случае проблем. Кроме того, не стоит сбрасывать со счетов гибридный подход, когда классические и постквантовые механизмы какое-то время используются вместе. Это не панацея, но это способ снизить риск резкого, плохо управляемого перехода.
Еще один недооцененный сюжет подсказывает прошедшая RSAC 2026. Там одна из ключевых мыслей, помимо разговоров об ИИ-агентах, очень здравая: настоящая проблема сегодня уже не в математике как таковой. Стандарты и алгоритмы постепенно оформляются. Главная проблема – операционная готовность. Без масштабируемого и постоянного обнаружения невозможно даже надежно ответить на вопрос, где в вашей среде еще остается не-квантово-устойчивая криптография. А если организация не видит свою криптографию, она строит доверие на предположениях. Стоит также помнить о риске downgrade attack: даже если систему формально "исправили", на этапе TLS-handshake соединение все еще может быть сведено к не-квантово-устойчивому набору параметров. Иначе говоря, мало "включить новое", надо еще убедиться, что стек не откатывается назад.
На RSAC озвучивали и еще один очень практичный вывод, особенно важный для промышленности, медицины, legacy и OT: не все уязвимое можно быстро обновить, а часть нельзя обновить вообще. Поэтому сегментация должна рассматриваться не как временная заплатка, а как часть долгосрочной модели защиты. Если у вас есть активы, которые будут жить дольше, чем цикл нормальной криптомиграции, их изоляция, ограничение ненужных связей и сдерживание горизонтального перемещения становятся не дополнительной, а базовой мерой. При этом стоит помнить, что ИИ снижает стоимость поиска уязвимостей, реверса протоколов и подготовки к атаке, а значит разрыв между time-to-exploit и time-to-remediate растет. И именно поэтому затяжка с PQC становится опаснее. Это не означает, что ИИ "ломает RSA", но это добавляет важный бизнес-аспект: даже если квантовая угроза еще не завтра, очко окно на спокойную миграцию сжимается из-за ускорения наступательных процессов. 
Еще более интересный, хотя и спорный, угол дает в другом материале – про связку PQC и QKD. Его главная мысль в том, что спор "что выбрать – постквантовую криптографию или квантовое распределение ключей" слишком упрощает задачу. Для части особо чувствительных каналов связи вопрос надо ставить иначе: достаточно ли нам опоры только на один класс математических предположений, или для некоторых Tier-1 каналов нужна более глубокая многослойная модель? При этом сам материал честно предупреждает: QKD не отменяет необходимость PQC, потому что его классический слой аутентификации все равно должен быть квантово-устойчивым. Иначе возникает опасная иллюзия защищенности. Для большинства компаний это не призыв срочно строить квантовые сети (тем более, что в России этим нельзя заняться по своей прихоты - рынок, по сути, уже поделен между несколькими игроками, желающими подмять эту тему на будущее), а напоминание о другом: не все связи одинаково важны, и критичные каналы надо оценивать отдельно, а не общей массой. В любом случае, Tier-1 каналы связи – это удел размышлений очень небольшого числа операторов связи в России и РЖД.
Кстати, о региональной специфике. Если сравнивать подходы разных стран к квантовой угрозе, то Китай является игроком, который делает ставку сразу на два стека: строит крупномасштабную QKD-инфраструктуру и параллельно развивает собственный стек PQC. Европа тоже движется в сторону комплементарного использования PQC и QKD для особенно чувствительных коммуникаций. На этом фоне США выглядят как страна, больше полагающаяся именно на PQC, без сопоставимой национальной программы QKD-развертывания. Интересно, что Россия пока идет своим путем, полагаясь на квантовое распределение ключей (QKD). Срочно копировать китайский путь, конечно, не стоит, но допустимо ли для самых критичных каналов опираться сегодня только на один класс математических предположений? Ждем скорейшего принятия "ягодных" алгоритмов в России?Наконец, в этой лавине публикаций был полезен и Шнайер – именно как противовес хайпу. В своей заметке о "возможном новом результате" в квантовой факторизации он сразу пишет, что относится к новости скептически и не считает себя квалифицированным рецензентом этой работы. Даже если результат окажется корректным, речь пока идет лишь о теоретическом улучшении. В комментариях к посту приводится аргумент, что предложенный подход опирается на экспоненциально тяжелое классическое вычисление и потому плохо масштабируется; упоминается, что крупнейшее составное число в тестах – 1363. Это хороший холодный душ для всех, кто любит трактовать любую новость о квантовых вычислениях как немедленный конец RSA. Но таких новостей становится все больше, а значит в массе исследований действительно может появится и что-то стоящее, что снова сдвинет временные оценки.
И вот здесь, кажется, и возникает главный вывод. Вал новостей про кванты не означает, что завтра утром вся привычная криптография рухнет. Но он точно означает, что эпоха, когда эту тему можно было считать чисто футуристической, заканчивается. Google задает срок. GRI показывает, что эксперты видят ускорение угрозы. Практические материалы из других СМИ переводят разговор из режима абстрактной науки в режим управления инфраструктурой, инвентаризации, сегментации, гибридных схем и контроля downgrade-сценариев. А Шнайер напоминает: паниковать не надо, но и успокаивать себя тем, что "это все еще далеко", уже тоже не получается.
Если сформулировать совсем просто, то постквантовая повестка в 2026 году – это уже не разговор только для математиков и криптографов. Это разговор для архитекторов, CISO, CIO, продуктовых команд, владельцев критической инфраструктуры и тех, кто отвечает за длинный технологический горизонт. Не потому, что квантовый апокалипсис уже наступил, а потому, что подготовка к нему – длинная, дорогая и организационно сложная работа. А такие работы всегда надо начинать раньше, чем большинству кажется разумным.
