Два исследования, опубликованных в начале 2025 года, изменили расчёты отрасли по срокам появления криптографически значимого квантового компьютера. Первое — от компании Oratomic — показало, что архитектура на нейтральных атомах позволяет взломать эллиптическую криптографию (ECC) при наличии всего 10 000 физических кубитов. Это на порядки меньше, чем предполагали предыдущие нижние оценки. Второе исследование выполнила сама Google: две квантовые схемы, которые компания разработала, требуют лишь 1 200 логических кубитов, чтобы взломать 256-битный эллиптический шифр — тот самый, на котором держится защита транзакций биткоина и большинства других криптовалют. Расчётное время атаки — девять минут, что достаточно мало для проведения мошеннических транзакций в реальном времени. Одна из схем обходится 90 миллионами вентилей Тоффоли, вторая — менее чем 1 450 логическими кубитами и 70 миллионами таких вентилей. По оценке Google, для реализации потребуется около 500 000 физических кубитов — вдвое меньше, чем та же команда оценивала в июне 2024 года для взлома 2048-битного RSA.
ECC применяется повсеместно: цифровые подписи на её основе верифицируют программное обеспечение, TLS-сертификаты, SSH-ключи, документы и сообщения. Именно поэтому исследователи Cloudflare расставляют приоритеты иначе, чем раньше. Если прежде основное внимание уделялось угрозе «собери сейчас — расшифруй потом» применительно к RSA-шифрованию, то теперь на первый план выходит защита аутентификации. Bas Westerbaan, ведущий исследователь Cloudflare, сформулировал это прямо: утечка данных — серьёзная проблема, но сломанная аутентификация — катастрофа. Любой квантово-уязвимый ключ удалённого входа становится точкой входа для атакующего.
В ответ на эти данные Google и Cloudflare перенесли внутренний дедлайн полной квантовой готовности с примерно 2034–2035 на 2029 год — ускорение примерно на пять лет. Для сравнения: Amazon и Microsoft пока ориентируются на горизонт, который длиннее на два-шесть лет. Правительство США задаёт собственные ориентиры: Министерство обороны требует перевода всех систем национальной безопасности на квантово-устойчивые алгоритмы до 31 декабря 2031 года, а NIST призывает к депрекации уязвимых алгоритмов к 2035 году.
Oratomic оценила минимальный порог взлома ECC в 10 000 физических кубитов — на порядки меньше прежних оценок.
Эксперты расходятся в оценках реалистичности 2029 года как даты появления криптографически значимого квантового компьютера — большинство считают этот срок слишком ранним. Однако логика ускорения не в том, чтобы угадать точную дату. Дэн Бонех, криптограф Стэнфордского университета, объясняет: перевод всего интернета на постквантовые подписи — колоссальная инженерная работа. Если целиться в 2035-й и промахнуться на два-три года, отрасль окажется в опасной близости от точки невозврата. Брайан ЛаМаккья, курировавший постквантовый переход Microsoft с 2015 по 2022 год, добавляет актуарную логику: даже если вероятность появления CRQC к 2030 году составляет всего 5%, цена ошибки настолько высока, а инженерные сроки настолько длинны, что начинать нужно было уже вчера.
Исторический прецедент подтверждает эту осторожность. В 2012 году стало известно, что вредоносная программа Flame использовала уязвимость хеш-функции MD5 для подделки цифровых сертификатов Microsoft и распространения через механизм обновлений Windows. Уязвимость MD5 к коллизиям была задокументирована ещё в 2004 году, однако часть инфраструктуры Microsoft продолжала её использовать. Переход на постквантовые алгоритмы — прежде всего на ML-KEM для шифрования и соответствующие схемы для цифровых подписей — призван не допустить повторения подобного сценария в несравнимо большем масштабе.
