Q-Day всё ближе. Шифры, которые мир создавал десятилетиями могут рассыпаться за ночь

Исследователи в области ИБ всё чаще говорят о «Q-Day» — моменте, когда квантовые вычислители справятся с современными алгоритмами шифрования. Прогнозы крупнейших игроков, от IBM и Google до аналитиков Gartner, сводятся к одной тревожной дате: рубеж может наступить уже к 2029 году. Парадокс в том, что громких сигналов тревоги не будет. Сервера продолжат отвечать на запросы, браузеры откроют знакомые страницы, корпоративные системы останутся на ходу. Изменится лишь невидимая часть картины: злоумышленники, которые годами собирают урожай зашифрованных массивов, дождутся часа, когда их станет возможно прочитать.

В начале лета Keyfactor собрала за одним столом учёных, чтобы обсудить, где проходит граница между осведомлённостью и реальной готовностью. На встрече прозвучала мысль, которую в частных разговорах давно повторяют ИБ-руководители: точной даты не знает никто, поэтому разумно вести себя так, будто гонка уже началась. Компания выпустила рекомендации по составлению криптографического инвентаря — с него обычно стартует любой большой переход. Без понимания, какие протоколы, ключи, библиотеки и устройства задействованы в бизнес-процессах, невозможно планировать замену.

Квантовый день, когда бы он ни наступил, грозит прежде всего открытым ключам. RSA-2048 десятилетиями служила рабочей лошадкой для цифровых подписей, обмена ключами, TLS в веб-браузерах, почтового шифрования и множества встроенных сценариев. Национальный институт стандартов и технологий США уже утвердил набор постквантовых алгоритмов , и формально маршрут проложен. Загвоздка в масштабе. По оценке сооснователя Keyfactor Теда Шортера, даже значительно более мягкий апгрейд — уход от SHA-1 к SHA-2/256, начатый около 2007-го, занял у отрасли порядка двенадцати лет. Организации сталкивались с несовместимостями, риском «сломать» устаревшие интеграции и нехваткой рук, а потому миграция растягивалась. Спустя почти два десятилетия находятся клиенты, у которых по углам инфраструктуры ещё живёт SHA-1.

Бизнес-сторона проблемы добавляет инерции. Технические команды годами сражаются с постоянным валом инцидентов, и стратегическая криптоперестройка сдвигается вниз по списку приоритетов. Когда безопасность объясняет риски, часть менеджеров видит в них «ещё один Y2K», который будто бы можно отложить, если угроза не в радиусе пары лет. Ошибка восприятия бьёт по данным с длинным жизненным циклом. Финансовые записи часто обязаны храниться не меньше семи лет, идентификаторы банковских счетов актуальны десятилетиями, спутники остаются на орбите куда дольше полной амортизации наземной техники. Том Паттерсон из Accenture вспоминает проект первого квантового спутника: криптография там вовсе не первое, о чём думаешь, но «переобуть» аппарат в космосе невозможно — закладывать защиту нужно до старта.

История с Y2K действительно мешает трезво оценивать текущие риски. В конце 1990-х мир готовился к сбою из-за двухзначного формата года. Государства, банки, инфраструктура — вся экосистема тратила сотни миллиардов долларов на перепрошивки и переписывание кода. В новогоднюю ночь ничего не рухнуло, и усилия армии инженеров оказались почти невидимыми. Спустя годы всплыли побочные эффекты окна (windowing) — часть парковочных автоматов и платёжных систем споткнулась в 2020-м. Ветераны тех событий вроде Питера Затко (Mudge), сегодня CIO DARPA, вспоминают дежурства на связи с Белым домом — и подчёркивают: «беды не случилось» ровно потому, что люди сделали работу. Другие напоминают: страны с минимальной подготовкой пережили рубеж почти безболезненно — значит, паники было больше, чем фактов. Любая из версий удобна задним числом, но обе упираются в одно: масштабную проблему можно предотвратить только заранее.

Постквантовый переход в этом смысле сложнее Y2K. Дата не определена; никто не объявит пресс-релиз о том, что ключ наконец-то поддался. Противники молча соберут нужный набор вычислителей и энергии, как в своё время криптоаналитики взяли «Энигму», и займутся теми массивами, что ценны через годы. Исследователь Марин Ивезич из Applied Quantum обращает внимание на энергобюджет: взлом одного ключа RSA-2048 может занимать дни и требовать мегаватты, так что массового «сноса» шифрования одним махом не предвидится. Утешение относительное — «собирать сегодня, чтобы вскрыть завтра» никто не отменял.

Отрасль, впрочем, приходит в движение. Отчёт Keyfactor «Digital Trust Digest: Quantum Readiness Edition» от 30 июля фиксирует: половина из 450 опрошенных ИБ-руководителей признаёт неподготовленность, но тема уже пробилась в повестку советов директоров, страховщиков и регуляторов. Комплаенс-требования подтолкнут крупные финорганизации, банки, телекомы и госструктуры быстрее остальных. У компаний поменьше возможна другая траектория: кто-то дождётся смены оборудования и ПО и перепрыгнет сразу на новую криптографию; у тех, кто полностью живёт в облаках, часть работы возьмут на себя гиперскейлеры.

Практическая повестка на ближайшие годы выглядит приземлённо. Нужен полный реестр криптосред — протоколов, библиотек, сертификационных центров, форматов ключей и сроков их жизни. Далее — пилотные внедрения NIST-алгоритмов там, где риски выше всего, и план по совместимости, чтобы не уронить устаревшие интеграции. Понадобится автоматизация, потому что вручную такая миграция неподъёмна. И предстоит постоянно пересматривать криптополитику , учитывая ту самую неопределённость во времени.

График у цифрового мира не из простых: где-то впереди маячит «Epochalypse» 2038 года — ещё один календарный баг в UNIX-вселенской системе отсчёта. Но это забота следующего витка. Постквантовая защита требует работы уже сейчас, пока угрозы остаются теоретическими и невидимыми. Если всё сделать вовремя, ничего не случится — и именно это будет главным показателем успеха.