В прошлом году я задал руководителям отделов инфраструктуры, идентификации и приложений простой вопрос: «Где в нашей среде мы полагаемся на криптографию RSA или эллиптических кривых?»
Первыми прозвучали ответы о самых очевидных вещах: TLS на периметре, наш VPN и сертификаты на ноутбуках. Затем мы вывели карту зависимостей, и настроение изменилось. Криптография была не только в нескольких очевидных местах. Она была запрятана в API-шлюзах, service mesh, драйверах баз данных, конвейерах обновления прошивок и сторонних SaaS-решениях. Часть этого можно было настроить. Многое — нет.
Именно поэтому я считаю, что обсуждение постквантовой криптографии должно перейти из категории «интересно когда-нибудь» в категорию «начинать сейчас». Даже если крупные, отказоустойчивые квантовые компьютеры еще не появились, противники уже сегодня могут собирать зашифрованный трафик и данные, чтобы попытаться расшифровать их позже. Если у вас есть информация, которая должна оставаться конфиденциальной в течение десяти лет или дольше — персональные данные клиентов (PII), медицинские данные, проприетарные модели, планы слияний — ожидание чистого срока является самым рискованным вариантом.
Хорошая новость в том, что нам не нужно ставить под удар всё предприятие ради одного нового алгоритма за одну ночь. Гибридный подход позволяет нам добавить постквантовую защиту, сохраняя при этом классические алгоритмы, которые широко развернуты и совместимы. Хитрость в том, чтобы начать достаточно рано, чтобы миграция была обдуманной, измеримой и рутинной к тому моменту, когда наступит 2030 год.
Срок 2030 года ближе, чем кажется
В программах безопасности 2030 год может показаться вечностью. В криптографических программах он пугающе близок. Причина в длинном хвосте корпоративных изменений: инвентаризация, закупки, обновления платформ, жизненные циклы сертификатов, встроенные устройства и самый медленный поставщик в вашем стеке.
Основа стандартов уже формируется. NIST опубликовал свои первые три финализированных стандарта постквантовой криптографии в августе 2024 года, включая FIPS 203 для ML-KEM и сопутствующие стандарты подписей. Это сместило вопрос, который я слышу, с «чего нам ждать?» на «как нам это внедрить, не сломав всё?»
Далее, три фактора сжимают временные рамки:
- «Собирай сейчас, расшифровывай потом» — это не теория. Если злоумышленник крадет захваченные зашифрованные сессии или архивные резервные копии, потеря конфиденциальности наступает в тот день, когда расшифровка с помощью квантовых технологий станет практичной. Ваш горизонт риска определяется сроком хранения ваших данных, а не датой появления квантового компьютера.
- Руководящие принципы для правительства и критической инфраструктуры сходятся. Пакет CNSA 2.0 Агентства национальной безопасности устанавливает ожидания в отношении квантово-устойчивых алгоритмов в системах национальной безопасности с вехами, которые приближают подписание программного обеспечения и прошивок к горизонту 2030 года. Даже если вы не работаете на правительство, эти требования к цепочке поставок, как правило, спускаются вниз в коммерческие продукты.
- Криптографическая миграция никогда не бывает одним проектом. Ваши внешние TLS-конечные точки могут быть модернизированы быстро. Вашей внутренней PKI, конвейеру подписи кода и долгоживущим устройствам могут потребоваться годы. Последнее обновление криптографии, которое помнят многие предприятия — вывод из эксплуатации SHA-1 и старых версий TLS — было управляемым в основном потому, что команды начали работать до жестких контрольных дат.
Именно поэтому я рекомендую гибридную стратегию до 2030 года. Она снижает долгосрочный риск конфиденциальности сейчас, дает время для выявления ошибок совместимости и позволяет избежать аврала в последнюю минуту, когда клиенты, регуляторы или ваш собственный совет спросят: «Готовы ли мы к квантовым угрозам?»
Как выглядит гибридная постквантовая криптография в реальном мире
Когда я говорю «гибридный», я имею в виду совместное использование классического и постквантового алгоритмов, чтобы соединение оставалось безопасным, даже если один из компонентов будет скомпрометирован позже. Наиболее актуальным примером для предприятий является гибридное установление ключа для TLS и внутреннего mTLS.
IETF стандартизирует подходы, сочетающие классический ECDHE с ML-KEM, чтобы ключ сессии TLS 1.3 зависел от обоих механизмов.
Гибридные подписи затрагивают цепочки сертификатов, системы подписи кода и логику проверки, поэтому они обычно появляются позже. В большинстве дорожных карт, которые я веду, мы начинаем с сохранения классических сертификатов для совместимости, одновременно подготавливая компоненты PKI, HSM и сервисы подписи к поддержке постквантовых алгоритмов подписи по мере созревания платформ.
На практике гибридный подход почти всегда начинается внутри предприятия. Внешний трафик клиентов имеет наибольшие ограничения совместимости и наибольший радиус поражения. Внутренний трафик от сервиса к сервису, VPN-туннели между управляемыми конечными точками и подпись программного обеспечения являются лучшими ранними кандидатами, поскольку мы контролируем оба конца и можем быстро откатиться назад.
Вы также должны планировать реальные ограничения:
- Размер и производительность: постквантовые ключи, шифротексты и подписи могут быть больше, чем у современных эквивалентов эллиптических кривых, что может нарушить предположения в хранилищах сертификатов, балансировщиках нагрузки и при определении MTU.
- Криптографическая гибкость (Crypto agility): гибридный режим работает только в том случае, если вы можете менять алгоритмы, не переписывая половину вашей среды, что означает перенос криптографических выборов в конфигурацию и вывод из эксплуатации пропри
етных криптографических решений. - Операционная наблюдаемость: вам необходима телеметрия об успешности рукопожатий, влиянии задержек, паттернах ошибок и поведении при понижении версии, чтобы развертывание выглядело как любая другая программа обеспечения надежности.
Суть не в том, чтобы завтра перейти на «только постквантовую криптографию». Суть в том, чтобы сделать постквантовую криптографию нормальной частью вашего криптографического управляющего контура, чтобы окончательный полный переход стал серией плановых обновлений, а не кризисом.
Практическая дорожная карта, с которой можно начать в этом квартале
Если вы ищете прагматичный способ начать, вот дорожная карта, которую я использовал с крупными американскими предприятиями.
Создайте криптографическую инвентаризацию, привязанную к ценности данных
Начните с инвентаризации того, где используется криптография: завершение TLS, внутренний mTLS, VPN, SSH, S/MIME, подпись кода, шифрование дисков и баз данных, резервное копирование, токены идентификации, системы управления ключами и прошивки встроенных устройств. Сопоставьте эти варианты использования с классами данных и горизонтами хранения. Системы, защищающие секреты сроком более 10 лет, являются вашими приоритетами для сценария «собирай сейчас, расшифровывай потом».
Инициатива CISA по постквантовой криптографии — это полезный контрольный список для категорий и зависимостей, которые следует зафиксировать, и для того, как подходить к критически важным функциям.
Выберите 3 ранних поверхности миграции, которые вы контролируете от начала до конца
В большинстве предприятий первыми тремя областями, на которые я нацеливаюсь, являются:
- Внутренний mTLS между сервисами
- VPN и удаленный доступ
- Подпись кода для внутреннего распространения ПО и конвейеров обновлений
Это снижает долгосрочное воздействие, не заставляя вас согласовывать совместимость с каждым браузером клиента, партнерской системой или неуправляемым устройством.
Разверните лабораторию, готовую к гибридному режиму, и оснастите ее средствами мониторинга
Прежде чем затрагивать продакшн, разверните лабораторию, которая отражает основные шаблоны трафика: периферийный TLS, внутренняя service mesh, API-шлюз и поставщик идентификации. Измеряйте размеры рукопожатий, задержки и режимы сбоев. Убедитесь, что вы можете чисто откатиться назад и объяснить, что изменилось.
Обновитесь для обеспечения криптографической гибкости
Стандартизируйте современные стеки TLS, поддерживайте их в актуальном состоянии и сделайте выбор алгоритма управляемой конфигурацией. Консолидируйте процессы выпуска сертификатов. Отведите команды от статических криптографических решений, запеченных в коде приложений. Чем больше вы централизуете, тем быстрее сможете мигрировать.
Проведите ограниченный гибридный пилот с четкими метриками успеха
Выберите одну внутреннюю область или одну некритичную конечную точку и протестируйте гибридный TLS. Определите успех как измеримые результаты: отсутствие роста уровня ошибок, приемлемый дельта задержки, стабильное использование ЦП и чистая телеметрия. Когда что-то ломается, задокументируйте зависимость, которая вызвала сбой, и внесите это в свою инвентаризацию.
Включите постквантовые требования в закупки сейчас
Самый быстрый способ сделать 2030 год безболезненным — это сделать контракты 2026 года дружественными к будущему. Добавьте формулировки, требующие криптографической гибкости, поддержки стандартизированных NIST постквантовых алгоритмов по мере их принятия и документированной дорожной карты для гибридной поддержки в TLS, VPN и подписи.
Если вы начнете сейчас, вы выиграете время для сближения стандартов, платформ и операционных инструментов. Гибридная постквантовая миграция вознаграждает раннюю, тихую работу. Предприятия, которые начнут до 2030 года, будут не просто более защищены от будущего расшифрования. У них будет более гибкая, измеримая криптографическая программа, которой легче управлять, проводить аудит и модернизировать для всего, что последует.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ankit Gupta
