Три года на спасение интернета. Google перенесла дату квантового взлома на 2029 год

Google неожиданно сдвинул «день Х» для криптографии ближе. Компания решила, что ждать больше нельзя, и дала себе всего три года, чтобы подготовиться к моменту, когда квантовые компьютеры смогут взломать привычные механизмы защиты.

Речь идёт о так называемом Q Day – дне, когда квантовые вычисления позволят быстро вскрывать ключи, на которых держится безопасность банков, государственных систем и обычных пользователей. Теперь Google планирует быть готовой уже к 2029 году, хотя раньше сроки казались более отдалёнными. В компании прямо предупреждают: отрасли придётся ускориться и отказаться от алгоритмов RSA и эллиптических кривых, поскольку квантовые компьютеры смогут их взломать.

В Google объясняют такой шаг желанием задать темп остальным. Руководитель направления безопасности Хизер Эдкинс и инженер-криптограф Софи Шмиг пишут, что компания обязана показать пример и подтолкнуть переход на постквантовую криптографию – новые алгоритмы, устойчивые к атакам квантовых машин.

Параллельно Google впервые раскрыла планы по защите Android. Уже в тестовой версии Android 17 появится поддержка алгоритма цифровой подписи ML-DSA, который продвигает Национальный институт стандартов и технологий. Алгоритм встроят в аппаратную основу доверия, которая отвечает за проверку системы при запуске. Разработчики смогут подписывать приложения новыми ключами и проверять подписи программ с учётом будущих угроз.

Компания уже внедрила ML-DSA в механизм проверенной загрузки Android, который защищает устройство от подмены системы. Следующий шаг – перевод функции удалённой проверки состояния устройства на новые алгоритмы. Такой механизм позволяет, например, доказать корпоративному серверу, что смартфон работает под безопасной версией системы.

Также поддержку ML-DSA добавят в хранилище ключей Android, чтобы разработчики могли создавать и хранить новые ключи прямо в защищённом оборудовании. В планах – перевести на постквантовую криптографию и магазин приложений вместе со всеми подписями программ. Для разработчиков это означает заметный рост нагрузки.

Решение Google удивило многих специалистов по криптографии. Даже по сравнению с требованиями властей США новый срок выглядит ускоренным. Ранее Агентство национальной безопасности ориентировалось на 2033 год для критических систем, а сейчас придерживается плана завершить переход к 2031 году.

Причины такого ускорения Google прямо не объяснила, но фон понятен. Ещё в 1990-х математик Питер Шор показал, что квантовый компьютер способен быстро разложить большие числа на множители – именно на этой задаче держится RSA. Позже стало ясно, что похожая уязвимость есть и у алгоритмов на основе эллиптических кривых.

Оценки того, когда наступит Q Day, постоянно менялись. Раньше считалось, что для взлома RSA потребуется квантовая машина с миллиардами кубитов. Затем оценки снизили до десятков миллионов. А в прошлом году инженеры Google показали, что задачу можно решить менее чем за неделю уже на машине с примерно миллионом «шумных» кубитов, подверженных ошибкам.

Параллельно развивается постквантовая криптография. Новые алгоритмы опираются на математические задачи, где квантовые компьютеры не дают преимущества. Среди подходов – решётки и схемы цифровой подписи на основе хеш-функций. Несколько таких алгоритмов уже стандартизирует Национальный институт стандартов и технологий, и пока их не удаётся взломать.

Некоторые сервисы начали переход заранее. Мессенджер Signal добавил новый механизм шифрования на основе алгоритма CRYSTALS-Kyber, а крупные компании вроде Google, Apple и Cloudflare внедряют подобные решения постепенно.

В Google подчёркивают, что угроза уже не теоретическая. Сценарий «собрать сейчас – расшифровать потом» означает, что зашифрованные данные могут перехватывать сегодня, чтобы вскрыть через несколько лет. Поэтому компания предлагает не ждать и начать переход на новые алгоритмы уже сейчас, особенно для систем аутентификации и цифровых подписей.