Всего 10 тысяч кубитов похоронят шифрование. Почему квантовый взлом интернета произойдет намного раньше прогнозов

Интернет долго считали системой с почти непробиваемой защитой. Популярные методы шифрования выглядели настолько стойкими, что даже все существующие суперкомпьютеры, работающие вместе тысячи лет, не смогли бы подобрать ключи за разумное время. Последние результаты квантовых исследований заставляют смотреть на запас прочности уже не так спокойно.

Опасность приближается сразу с двух сторон. Инженеры наращивают мощность квантовых компьютеров, а теоретики пересматривают алгоритмы взлома и показывают, что для атаки на современную криптографию может понадобиться гораздо меньше ресурсов, чем предполагали раньше. Из-за этого момент, когда квантовая машина сможет вскрывать широко используемые системы защиты, сдвигается ближе.

Квантовый компьютер работает не с обычными битами, а с кубитами. Обычный бит хранит либо ноль, либо единицу. Кубит, то есть квантовый бит, использует эффекты квантовой механики и позволяет выполнять вычисления по другой схеме. В ряде задач такой подход обещает заметный выигрыш по скорости. Пока технология остается ранней и нестабильной, поэтому разработчики сосредоточены на главной цели: связать как можно больше кубитов в одну вычислительную систему.

Чем крупнее система, тем выше шанс получить преимущество над классическими машинами хотя бы в отдельных задачах. В конце прошлого года IBM представила 120-кубитный чип и рассчитывает показать на нем практическое превосходство квантовых вычислений в некоторых сценариях уже в текущем году. Следующая цель компании куда амбициознее: к 2029 году IBM хочет построить отказоустойчивую квантовую систему, способную корректно работать несмотря на ошибки, которые сегодня остаются одной из главных проблем всей отрасли.

Google параллельно ускоряет перевод своих сервисов и протоколов на постквантовую криптографию. Так называют методы шифрования, которые проектируют с учетом будущих атак со стороны квантовых машин. Сам шаг показателен: крупные технологические компании уже не обсуждают квантовую угрозу как отвлеченную гипотезу и начинают готовить защиту заранее.

Большие корпорации не единственные участники гонки. PsiQuantum делает ставку на фотонные кубиты и пытается совместить квантовые вычисления с привычными технологиями массового производства микросхем. Отдельное направление развивают платформы на нейтральных атомах. Лабораторные установки этого типа уже показали управление тысячами кубитов, пусть пока в экспериментальном режиме, а не в составе полноценных коммерческих систем.

На этом фоне регуляторы и профильные ведомства переходят от общих предупреждений к конкретным срокам. В США Национальный институт стандартов и технологий, NIST, предложил план отказа от криптографии, уязвимой для квантовых атак, с завершением основной миграции к 2035 году. Австралийское управление радиоэлектронной разведки рекомендует организациям начать подготовку немедленно и перейти на постквантовые схемы уже к 2030 году. Логика проста: замена криптографии занимает годы, а ждать появления готовой атакующей машины до последнего слишком рискованно.

Аппаратная часть, впрочем, дает только половину картины. Не меньшее значение имеют алгоритмы, то есть математические методы, которые превращают квантовый компьютер в инструмент взлома. Интерес к этой области резко вырос еще в 1994 году, когда Питер Шор предложил алгоритм, позволяющий квантовой машине эффективно разлагать большие числа на простые множители. Для RSA, одной из самых известных схем шифрования, именно сложность такого разложения и служит основой стойкости.

Много лет исследователи исходили из того, что реальная угроза появится лишь после создания машин с миллионами физических кубитов. Новые работы заметно меняют прежние расчеты.

В марте 2026 года подразделение Google Quantum AI опубликовало подробное исследование, посвященное атаке на другой класс криптографии, построенный на эллиптических кривых. Эллиптические кривые используют системы защищенной связи, цифровые подписи, а также криптовалюты вроде биткоина и Ethereum. Команда Google пришла к выводу, что для успешной атаки на такую защиту может хватить менее 500 тысяч физических кубитов, а сам взлом займет минуты. Прежние оценки были примерно в 10 раз выше.

Даже этот масштаб все еще заметно превышает возможности нынешних квантовых машин, но важнее здесь сама тенденция. Если для атаки нужно не несколько миллионов кубитов, а в разы меньше, дистанция до практического применения сокращается гораздо быстрее, чем казалось еще недавно.

Почти одновременно появился мартовский препринт совместной группы из Калтеха, Беркли и Oratomic. Авторы рассмотрели сценарии для квантовых компьютеров на нейтральных атомах и оценили, что алгоритм Шора можно реализовать уже на системах с 10-20 тысячами атомных кубитов. Один из предложенных вариантов описывает установку примерно на 26 тысяч кубитов, которой хватило бы на взлом защиты биткоина за несколько дней. Более сложные задачи, в том числе RSA с ключом 2048 бит, потребуют больше времени и более крупных ресурсов, но уже не выглядят недосягаемыми.

Если перевести сухие оценки на простой язык, картина выглядит так: специалисты по квантовому взлому учатся действовать все экономнее. Улучшения в алгоритмах, архитектуре систем и методах исправления ошибок постепенно опускают порог, после которого атака становится реальной. Полноценные крупные машины еще не появились, а стоимость атаки уже пересматривают вниз.

Поводов говорить о немедленной катастрофе пока нет. Современная криптография не обрушится за одну ночь. Но направление движения уже ясно. Каждый новый шаг в аппаратной части и каждый новый пересчет алгоритмов уменьшают разрыв между текущими возможностями и машиной, способной вскрывать широко используемые схемы шифрования в практические сроки.

Защитные меры уже существуют. NIST стандартизировал несколько постквантовых криптографических алгоритмов, которые считают устойчивыми к атакам со стороны квантовых компьютеров. Технологические компании начали внедрять их в гибридном режиме. Google Chrome и Cloudflare, например, уже поддерживают постквантовые механизмы защиты в части протоколов и сервисов.

Особенно внимательно придется пересматривать системы, которые завязаны на эллиптические кривые. Под ударом оказываются не только блокчейн-сети, но и многие протоколы защищенной связи. Последние расчеты Google прямо указывают на необходимость перевода блокчейн-инфраструктуры на постквантовые схемы, иначе запас времени может закончиться раньше, чем успеют обновить базовые механизмы.

Сейчас ситуация все больше напоминает гонку в двух направлениях. Одна сторона наращивает вычислительные возможности и улучшает алгоритмы атаки. Другая перестраивает защиту и пытается заменить уязвимые схемы до появления рабочей квантовой угрозы. Каждый заголовок о снижении требований к числу кубитов или ускорении квантовых алгоритмов стоит воспринимать без лишней драматизации, но и без самоуспокоения: очередной шаг уже сделан, а переход к квантово-стойкой криптографии из далекой подготовки превратился в практическую задачу.