Kvanttilaskennan uhka puolustusviestinnälle: aikajana ja käytännön vastaus

Kirjoittaja: Corvus Intelligence -insinööritiimi · Tietoa tiimistä →

3. kesäkuuta 2026 9 min lukuaika

Kysymys, jonka puolustuksen johto esittää kvanttilaskennasta useimmin, on: "Milloin?" Milloin kvanttitietokone, joka on tarpeeksi suuri murtaakseen nykyisen sotilassalauksen, todella on olemassa? Tutkimusyhteisön epämiellyttävä vastaus on: todennäköisesti vuosien 2030 ja 2035 välillä, huomattavalla epävarmuudella molempiin suuntiin. Turvallisuuden kannalta vielä epämiellyttävämpi vastaus on, että tarkka päivämäärä on väärä asia, johon keskittyä – sillä tärkein hyökkäys, kerää nyt – pura myöhemmin, on jo käynnissä riippumatta siitä, milloin se kone saapuu.

Vastustajat, joilla on valtiollisten toimijoiden kärsivällisyys ja tallennuskapasiteetti, eivät tarvitse odottaa kvanttivalmiutta ennen hankittavan datan keräämistä. Joukkoliikennettä on halvalla kaapata suhteessa kansallisiin tiedustelubudjetteihin. Kaikki luokiteltu viestintä, jota suojataan RSA:lla tai elliptisen käyrän kryptografialla ja joka säilyy arkaluonteisena 2030-luvulle, on jo vaarassa – ei hypoteettisesti, vaan operatiivisesti. Tämä artikkeli tarkastelee uhka-aikataulua, tunnistaa, mitkä puolustustiedon kategoriat ovat alttiimpia, ja tarjoaa käytännön viitekehyksen vastauksen priorisointiin.

Kerää nyt – pura myöhemmin -uhka: miksi kiireellisyys on perusteltua jo tänään

Kerää nyt – pura myöhemmin (HNDL) on suoraviivainen hyökkäys: vastustaja tallentaa salatun viestinnän joukoittain, säilyttää salatekstin ja odottaa, kunnes kvanttitietokone, joka pystyy palauttamaan istuntoavaimet, tulee saataville. Hyökkäys ei vaadi kryptanalyyttistä kykyä keräyshetkellä – ainoastaan kykyä siepata ja säilyttää liikennettä, minkä valtiollisilla toimijoilla on toistuvasti osoitettu olevan signaalitiedusteluohjelmien kautta.

HNDL:n taloudellinen logiikka on epäsymmetrinen vastustajan eduksi. Joukoittain kaapatun liikenteen tallennuskustannukset ovat laskeneet dramaattisesti – petapediatavujen salatekstin säilyttäminen on operatiivisesti mahdollista suurimmille tiedustelupalveluille. Tulevan kvanttipurkuoperaation kustannus, jaettuna vuosikymmenien luokiteltujen viestintöjen tiedusteluarvolla, on erittäin suotuisa. Teknistä estettä tämän keräyksen aloittamiselle nyt ei ole, eikä syytä olettaa, ettei se jo tapahdu.

Keskeinen havainto: Vuosien 2030–2035 kvanttiaikataulu ei määritä, milloin HNDL-uhka muuttuu todelliseksi – se määrittää, milloin kerätty data muuttuu luettavaksi. Mikä tahansa luokiteltu viestintä, joka on salattu tänään RSA:lla tai ECC-pohjaisella avainvaihdolla ja joka sisältää tietoja, jotka säilyttävät arkaluonteisuutensa vuoden 2030 jälkeen, on jo altistunut tälle uhkavektorille. Siirtymäkello käynnistyi jo vuosia sitten.

Eniten vaarassa oleva data ei ole rutiinin operatiivinen liikenne vaan pitkäikäinen luokiteltu tieto: ydinkomento- ja -ohjausprotokolat ja niitä tukevat viestintäarkkitehtuurit, tiedustelulähteet ja -menetelmät, jotka pysyvät aktiivisina 2030-luvulle, strategiset suunnitelmat 10 vuoden tai pidemmillä suunnitteluhorisonteilla, sekä kykyarvioinnit, jotka ohjaavat hankintapäätöksiä vuosikymmeniksi. Tämä on täsmälleen se tietoluokka, jota vastustajat eniten haluavat ja jonka puolustusorganisaatioiden on eniten suojeltava minkä tahansa kohtuullisen kvanttilaskennan aikataulun ulkopuolella.

Kvanttilaskennan aikataulu: mitä nykyiset arviot kertovat

Shorin algoritmi, kehitetty vuonna 1994, tarjoaa polynomiaikaisen kvanttialgoritymin suurten kokonaislukujen tekijöintiin – RSA-turvallisuuden matemaattinen perusta – ja diskreetin logaritmin ongelman ratkaisemiseen, joka on kaiken elliptisen käyrän kryptografian perusta. Shorin algoritmin ajaminen RSA-2048:aa tai 256-bittisiä ECC-avaimia vastaan vaatii virheensietokykyisen kvanttitietokoneen, jossa on miljoonia virheenkorjattuja loogisia kubitteja. Nykyinen kvanttilaitteisto toimii sadoilla muutamaan tuhanteen fyysisellä kubitilla, joiden virheprosentit vaativat laajaa yleiskulua virheenkorjaukseen.

Uskottavimmat julkiset arviot kryptografisesti merkittävälle kvanttitietokoneelle yhtyvät vuosien 2030–2035 haarukkaan. NSA:n syyskuun 2022 CNSA 2.0 -ohje, joka velvoittaa post-kvanttialgoritmisiirtymät kansallisille turvallisuusjärjestelmille, käyttää vuotta 2035 suunnitteluhorisonttina. NIST:n post-kvanttistandardointiaikataulu suunniteltiin nimenomaisesti valmistumaan ennen tätä ajanjaksoa. Yhdysvaltain "National Quantum Initiative" ja Kiinan kansalliset kvanttiohjelmat heijastavat molemmat hallitusten arvioita siitä, että CRQC-kyky on saavutettavissa vuosikymmenen kuluessa noin vuodesta 2022.

Vähemmän varmaa on, ovatko merkittävästi luokitetulla rahoituksella toimivat ohjelmat – sekä Yhdysvalloissa että vastustajilla – julkisen tutkimusrajan edellä. Kryptografisten kykyjen kehittämishistoria viittaa siihen, että julkisesti ilmoitetut läpimurrot usein jäävät operatiivisesta kyvystä vuosia jälkeen. Puolustussuunnittelu ei saisi olettaa, että julkiset aikataulut edustavat koko kuvaa.

Keskeinen havainto: Aukko CRQC:n olemassaolon ja puolustusorganisaatioiden kryptografisen siirtymän valmistumisen välillä on kriittinen altistusikkuna. PKI-siirtymät suurille puolustusohjelmille kestävät realistisesti 5–10 vuotta. Ohjelma, joka aloittaa siirtymän vuonna 2027 tavoitteenaan CRQC:n saapuminen vuoteen 2030 mennessä, ei valmistu ajoissa. Oikea suunnitteluasema on kohdella siirtymän läpimenoaikaa – ei kvanttilaskennan aikatauluepävarmuutta – sitovana rajoitteena.

Millä luokitellulla datalla on pisin salassapitovaatimus

Kaikilla puolustustiedoilla ei ole yhtäläistä altistumista HNDL-uhkalle. Herkkyys kvanttipohjaista salauksen purkamista kohtaan on kahden itsenäisen muuttujan funktio: luokitustaso (kuinka arkaluonteinen tieto on) ja säilytysaika (kuinka kauan tieto pysyy arkaluonteisena ja toimintakelpoisena). Riskin altistus on molempien tulo.

Ydinkomento-, -ohjaus- ja -viestintäprotokollat (NC3) ja niitä tukevat viestintäarkkitehtuurit ovat käytännössä rajattoman säilytysajan omaavia – ydinkomandorakenteiden taustalla olevat komentovaltuusrakenteet ja lupakoodit, jotka suojaavat ydinjärjestelmiä, on pidettävä salassa toistaiseksi. NC3-järjestelmissä on myös taipumus käyttää perinteisiä kryptografisia toteutuksia hyvin pitkillä korvaussykleillä, mikä pahentaa altistusta.

Tiedustelulähteet ja -menetelmät – inhimilliset tiedusteluoperaattorit, signaalienkeräysalustat ja analyyttinen ammattitaito, joka tulkitsee raakaa tiedustelua – säilyttävät arkaluonteisuutensa usein vuosikymmenien ajan. Tänään värvätty lähde voi pysyä aktiivisena 2040-luvulle. Viestintä, jota käytetään kyseisen lähteen hallintaan ja suojaamiseen, jos se kaapataan ja varastoidaan tänään, muuttuu luettavaksi, kun kvanttivalmiuus saapuu.

Pitkän aikavälin strategiset suunnitteludokumentit – voimarakennearvioinnit, kykyjen kehittämissuunnitelmat, liittoutumissitoumukset ja sotatoimisuunnitelmat – kuvaavat suunniteltua sotilaallista asentoa 10–20 vuoden horisonteilla. Nämä ovat juuri ne dokumentit, joita vastustajien keräysohjelmat priorisoivat, ja juuri ne dokumentit, joiden salassapito on ylläpidettävä koko kuvaamansa suunnittelujakson ajan.

Hankinta- ja kykyarviointidata – seuraavan sukupolven alustojen tekniset erittelyt, käytössä olevien järjestelmien haavoittuvuusarvioinnit ja kehitystestaustulokset – voivat tarjota vastustajille hyökkäyskarttoja, jotka ovat voimassa järjestelmän operatiivisen eliniän ajan, mikä voi ulottua 30 vuotta salaushetken jälkeen.

Rutiinin operatiivisella viestinnällä – päivittäiset operatiiviset käskyt, logistiikan tilaraportit, henkilöstöhallinnon liikenne – on yleensä lyhyt säilytysaika, mitattuna päivissä tai viikoissa. HNDL-riski tässä kategoriassa on huomattavasti pienempi: tieto on operatiivisesti merkityksetöntä kauan ennen kuin mikään uskottava kvanttipurku tulee mahdolliseksi.

Siirtymän läpimenoaikaongelma: miksi toimia tarvitaan nyt

Yritystason kryptografinen siirtymä on yksi monimutkaisimmista ja aikaa vievimmistä infrastruktuurimuutoksista, joita puolustusorganisaatio toteuttaa. Toisin kuin ohjelmistopäivitys tai laitteiston vaihto, kryptografinen siirtymä koskee jokaista järjestelmää, joka salaa, allekirjoittaa, todentaa tai vahvistaa – mikä modernissa puolustusverkossa on käytännössä kaikki.

Realistinen aikataulu täydelliselle PKI-siirtymälle suuressa puolustusohjelmassa: kryptografinen inventaario ja riippuvuuskartoitus, 6–18 kuukautta; PKI-siirtymäarkkitehtuurin suunnittelu ja akkreditointi, 12–24 kuukautta; post-kvantti-root- ja myöntävän CA:n käyttöönotto, 6–12 kuukautta; kaksoismyöntämisvaihe (klassiset ja PQC-sertifikaatit samanaikaisesti), 12–24 kuukautta; laivaston päivitys PQC-sertifikaatin validoinnin tukemiseksi, 12–36 kuukautta riippuen päätepisteiden määrästä ja päivitysmekanismeista; klassisten sertifikaattien poistuminen, portitettu laivaston kyllästymisen mukaan. Yhteensä: 5–9 vuotta suurelle, monimutkaiselle puolustushankintarajoitteiden alaiselle ohjelmalle.

TLS-päätepisteiden siirtymä, laiteohjelmiston allekirjoitussiirtymät, VPN-protokollapäivitykset ja HSM-laiteohjelmistopäivitykset kulkevat rinnakkain PKI-siirtymän kanssa, mutta asettavat omat riippuvuutensa ja aikataulunsa. Ohjelma, joka aloittaa kattavan siirtymäsuunnittelun vuonna 2026 tavoitteenaan valmistuminen vuoteen 2030 mennessä, toimii jo minimaalisella pelivaralla kvanttilaskennan aikataulun varovaista päätä vastaan.

Priorisointikehys: herkkyys × säilytysaika

Rajoitettujen resurssien ja mahdottomuuden siirtää jokainen järjestelmä samanaikaisesti vuoksi ohjelmat tarvitsevat perusteltua pohjaa työn järjestämiselle. Herkkyys × säilytysaika -matriisi tarjoaa tämän kehyksen.

Rakenna kahden akselin arviointi kullekin viestintäjärjestelmälle tai datakategorialle: yhdellä akselilla datan luokitustaso ja operatiivinen herkkyys (rutiinin luokittelemattomasta TOP SECRET/SCI:hin); toisella akselilla datan säilytysaika vuosina mitattuna. Korkean herkkyyden, pitkän säilytysajan neliöön sijoittuvat järjestelmät – NC3-viestintä, tiedustelulähteiden suojaus, pitkän aikavälin strategiset suunnitelmat – ovat välitön prioriteetti HNDL-lieventämiselle. Matalan herkkyyden, lyhyen säilytysajan neliön järjestelmät – rutiinin hallinnollinen liikenne, taktiset operatiiviset raportit – voivat seurata myöhemmin siirtymäjärjestyksessä.

Tämä kehys myös määrittää, mitkä järjestelmät oikeuttavat hybridi-post-kvanttikryptografian varhaisen käyttöönoton ennen täydellisen PKI-siirtymän valmistumista. Tärkeimmille järjestelmille PKI-siirtymän odottaminen ei ole hyväksyttävää – istuntokerrokseen otettu hybridi-PQC tarjoaa välittömän HNDL-kestävyyden ilman sertifikaatti-infrastruktuurin muutoksia.

Mitä organisaatiot voivat tehdä tänä vuonna

Useat toimenpiteet tuottavat konkreettisen riskinvähennyksen lyhyessä aikataulussa, riippumatta pidemmän aikavälin PKI-siirtymäohjelmista.

Kryptografinen inventaario. Aloita systemaattinen inventaario kaikista ohjelman kryptografisista riippuvuuksista. Automaattiset kryptografiset löydöstyökalut ovat olemassa verkkoinfrastruktuurille; sovelluskerroksen kryptografia vaatii koodiauditoinnin ja arkkitehtuurikatsauksen. Inventaario on edellytys kaikelle myöhemmälle työlle – ilman sitä siirtymän laajuutta ei voida arvioida tarkasti ja tunnistamattomia riippuvuuksia ilmenee myöhäisinä esteinä.

PKI-siirtymäsuunnittelu. Tilaa post-kvantti-PKI:n arkkitehtuurisuunnittelu nyt. Suunnittelutyö ei vaadi toteutuksen aloittamista – suunnitteluvaihe tunnistaa riippuvuudet, arvioi aikataulut ja tuottaa akkreditointiesineet, joita vaaditaan ennen kuin toteutus voi edetä puolustushankintakehysten alaisuudessa. Suunnittelun aloittaminen vuonna 2026 sallii toteutuksen alkamisen vuosina 2027–2028, yhdenmukainen vuosien 2030–2032 valmistumistavoitteen kanssa.

Hybridi-PQC:n käyttöönotto prioriteettijärjestelmille. Herkkyymatriisin korkean prioriteetin neliöön tunnistetuille järjestelmille ota hybridi-ML-KEM-salaus käyttöön istuntokerroksessa. Corvus.Quantum tarjoaa taistelutestatun hybridi-ML-KEM-suoratoistosaauskerroksen, joka on suunniteltu erityisesti puolustusviestintäympäristöihin, otettavissa käyttöön olemassa olevaan infrastruktuuriin ilman PKI-muutoksia. Hybridikäyttöönotto tarjoaa välittömän HNDL-kestävyyden arkaluonteisimmalle liikenteelle, kun laajempi siirtymä etenee.

Hankintavaatimusten päivitykset. Tarkista nykyiset ja suunnitellut sopimukset viestintäjärjestelmille, ohjelmistoille ja infrastruktuurille. Lisää post-kvanttikryptografiavaatimukset tuleviin tarjouspyyntöihin – erityisesti ML-KEM:n (FIPS 203), ML-DSA:n (FIPS 204) ja hybridisalaussarjojen tuki TLS:ssä. Tämä varmistaa, ettei tänään hankittaviin järjestelmiin kerry siirtymävelkaa.

Laiteohjelmiston allekirjoitusarviointi. Tunnista asejärjestelmät ja laitteistoalustat, joiden laiteohjelmiston allekirjoitusavaimet pysyvät operatiivisessa käytössä 2030-luvulle. Dokumentoi siirtymäpolku kullekin – joko suunniteltu korvaaminen PQC-allekirjoitetulla laiteohjelmistolla seuraavalla päivityssyklillä tai nimenomainen riskin hyväksyntä, jos arkkitehtuuri estää avaimen vaihdon.

Keskeinen havainto: Organisaatiot, joilla on kiireellisin kvanttisuhkaan liittyvä altistus, eivät ole välttämättä niitä, joilla on eniten luokiteltua dataa – ne ovat niitä, joilla on suurin kuilu datan säilytysajan ja suunnitellun siirtymän valmistumispäivän välillä. Ohjelma, joka suojaa 20 vuoden strategisia suunnitelmia 7 vuoden siirtymäaikataululla, joka alkaa vuonna 2027, on jo hyväksynyt jäännösriskin kvanttilaskennan varovaista aikataulua vastaan.

Post-kvanttialgoritmimaisema puolustukselle

NIST saattoi päätökseen post-kvanttikryptografian standardoinnin vuonna 2024 julkaisemalla kolme algoritmia, jotka muodostavat kvanttiturvallisen kryptografian perustan puolustussovelluksille. NSA:n CNSA 2.0 -ohje, julkaistu vuonna 2022, velvoittaa nämä algoritmit (tai niiden edeltäjät) kansallisille turvallisuusjärjestelmille.

ML-KEM (FIPS 203), joka perustuu CRYSTALS-Kyberiin, on hyväksytty algoritmi avainten kapselointiin – mekanismi, jolla kaksi osapuolta muodostaa jaetun salaisuuden. ML-KEM korvaa RSA:n ja ECDH:n avainvaihdossa TLS:ssä ja muissa protokollissa. CNSA 2.0 määrittää ML-KEM-1024:n kansallisille turvallisuusjärjestelmille. ML-KEM:llä on suhteellisen kompaktit salatekstikoot verrattuna muihin hila-pohjaisiin vaihtoehtoihin ja nopeat avainten generointi- ja kapselointioperaatiot.

ML-DSA (FIPS 204), joka perustuu CRYSTALS-Dilithiumiin, on ensisijainen hyväksytty algoritmi digitaalisille allekirjoituksille. ML-DSA korvaa RSA-PSS:n ja ECDSA:n sertifikaattiallekirjoituksissa, koodin allekirjoituksessa ja todennuksessa. Allekirjoituskoot ovat suurempia kuin ECDSA:ssa (noin 3–4 KB ML-DSA-87:lle vs. 70 tavua ECDSA P-256:lle), mutta hyvin useimpien protokollasovellusten toleranssissa.

SLH-DSA (FIPS 205), joka perustuu SPHINCS+:aan, tarjoaa vaihtoehtoisen allekirjoitusalgoritmin, jonka turvallisuus perustuu hajautustoimintoihin hila-matematiikan sijaan. SLH-DSA tarjoaa kryptografisen monimuotoisuuden – jos hila-pohjaiset algoritmit heikkenevät tulevien matemaattisten edistysten myötä, SLH-DSA pysyy vaikuttamattomana. Se sopii korkean turvallisuuden sovelluksiin, joissa suorituskykyvaatimukset sallivat sen suuremmat allekirjoitukset ja hitaammat operaatiot, erityisesti laiteohjelmiston allekirjoitukseen, jossa lisäturvallisuuden monimuotoisuus on perusteltua.

Symmetriset algoritmit – AES-256 ja SHA-384/512 – ovat kvanttiturvallisia nykyisillä avainpituuksilla. Groverin algoritmi tarjoaa neliöllisen nopeutuksen exhaustive-haulle, mikä puolittaa tehokkaasti symmetrisen algoritmin bittiturvafunktion, mutta AES-256 säilyttää noin 128-bittisen turvallisuuden kvanttivastustajaa vastaan, mikä on edelleen laskennallisesti toteutumaton hyökkäys. Symmetristä algoritmisiirtymää ei vaadita osana post-kvanttisiirtymää.

Aiheeseen liittyvää lukemista

Lisätietoa NSA:n puolustusjärjestelmille määräämistä algoritmeista on artikkelissa Post-kvanttikryptografia puolustukselle: CNSA 2.0 -opas, joka kattaa ML-KEM:n, ML-DSA:n ja SLH-DSA:n parametrisarjan valinnan, TLS-siirtymämekaniikan ja hybridisiirtymälähentatavan yksityiskohtaisesti. Zero-trust-verkkoarkkitehtuurikontekstista, jossa kvanttiturvallinen viestintä toimii, on lisätietoa artikkelissa Zero-trust-arkkitehtuuri sotilasverkoille: periaatteet ja toteutus. Laajemmasta suojatusta pilvi-infrastruktuurista, jota luokitellut työkuormat vaativat, on lisätietoa artikkelissa GovCloud-arkkitehtuuri puolustukselle: Azure Government vs AWS GovCloud.

Suojaa luokiteltu viestintäsi nyt

Corvus.Quantum tarjoaa taistelutestatun hybridi-ML-KEM-suoratoistosalauksen puolustusviestintään — otettavissa käyttöön olemassa olevaan infrastruktuuriin, PKI-muutoksia ei tarvita, välitön HNDL-suoja tärkeimmille järjestelmillesi.

Corvus.Quantum → Secure Cloud -palvelut

Tämän analyysin ovat valmistelleet Corvus Intelligencen insinöörit, jotka rakentavat toimintakriittisiä ohjelmistoja puolustus- ja hallintoorganisaatioille. Tutustu tiimiimme →

Usein kysytyt kysymykset

Milloin kvanttikoneet pystyvät murtamaan sotilassalauksen?

Uskottavimmat julkiset arviot kryptografisesti merkittävästä kvanttitietokoneesta (CRQC) – sellaisesta, joka pystyy murtamaan RSA-2048:n tai 256-bittisen ECC:n – vaihtelevat vuosien 2030 ja 2035 välillä. NSA:n CNSA 2.0 -ohje käyttää vuotta 2035 suunnitteluhorisonttina. Puolustusorganisaatioiden tulisi käyttää vuotta 2030 varovaisena suunnittelutavoitteena, sillä 5–10 vuoden siirtymäajat tarkoittavat, että työ on aloitettava nyt riippumatta tarkan päivämäärän epävarmuudesta. Joidenkin kansallisten tiedusteluarvioiden mukaan aikataulu saattaa olla lyhyempi kuin julkiset arviot osoittavat.

Mikä on kerää nyt – pura myöhemmin -uhka ja miksi se on tärkeä jo tänään?

Kerää nyt – pura myöhemmin (HNDL) tarkoittaa salatun viestinnän tallentamista tänään myöhempää salauksen purkamista varten, kun kvanttitietokone tulee saataville. Koska joukkoliikennettä on helppo kaapata, vastustajien ei tarvitse odottaa kvanttivalmiutta ennen tiedon hankkimista. Mikä tahansa luokiteltu tieto, joka on salattu tänään RSA:lla tai ECC:llä ja joka säilyttää arvonsa vuoden 2030 jälkeen – strategiset suunnitelmat, tiedustelulähteet ja -menetelmät, ydinkomennon protokollat – on jo käytännössä vaarassa. Uhka on olemassa, vaikka salauksen purkamiskyky ei vielä ole olemassa.

Mitkä salausalgoritimit ovat turvallisia kvanttitietokoneita vastaan?

Symmetriset algoritmit – AES-256, SHA-384, SHA-512 – katsotaan kvanttiturvallisiksi nykyisillä avainpituuksilla (Groverin algoritmi puolittaa tehokkaan avaimen pituuden, joten AES-256 säilyttää noin 128-bittisen turvallisuuden kvanttihyökkäyksiä vastaan). Haavoittuvat algoritmit ovat kaikki julkisen avaimen järjestelmät, jotka perustuvat matemaattisiin ongelmiin, jotka Shorin algoritmi ratkaisee tehokkaasti: RSA, Diffie-Hellman ja kaikki elliptisen käyrän variantit (ECDSA, ECDH, EdDSA). NIST:n post-kvanttistandardit – ML-KEM (FIPS 203), ML-DSA (FIPS 204) ja SLH-DSA (FIPS 205) – ovat kvanttinkestäviä korvikkeita näille julkisen avaimen algoritmeille.

Kuinka kauan kestää siirtää puolustussalaus post-kvanttialgoritmeihin?

Puolustusorganisaation kryptografisen infrastruktuurin täydellinen yrityssiirtymä – PKI, TLS-päätepisteet, laiteohjelmiston allekirjoitus, mukautetut protokollat, laitteistoturvamoduulit – kestää realistisesti 5–10 vuotta suurissa ohjelmissa. Aikataulu sisältää: kryptografinen inventaario (6–18 kuukautta monimutkaiselle ohjelmalle), PKI-siirtymäsuunnittelun ja -hyväksynnän (12–24 kuukautta), porrastetun sertifikaattien käyttöönoton (12–24 kuukautta), TLS-päätepisteiden päivitykset (12–36 kuukautta) ja laiteohjelmiston uudelleenallekirjoituskampanjat, jotka liittyvät alustojen päivityssykleihin. Vuonna 2026 aloittaminen vuoden 2030 varovaisen määräajan saavuttamiseksi jättää minimaalisen pelivaraa monimutkaisille ohjelmille.

Onko millään vastustajalla jo kvanttikoneet, jotka pystyvät murtamaan salauksen?

Mikään julkinen näyttö ei vahvista, että jokin valtiollinen toimija käyttää tällä hetkellä kryptografisesti merkittävää kvanttitietokonetta. Nykyinen kvanttilaitteisto – mukaan lukien IBM:n, Googlen ja raportoitujen kiinalaisohjelmien kehittyneimmät järjestelmät – toimii sadoilla tai tuhansilla fyysisillä kubiteilla, mikä on huomattavasti alle miljoonien virheenkorjattujen loogisten kubittien, joita tarvitaan Shorin algoritmin ajamiseen RSA-2048:a tai 256-bittistä ECC:tä vastaan. Kuitenkin vastustajaohjelmissa on merkittäviä salattuja komponentteja, ja ero julkisten ilmoitusten ja operatiivisen kyvyn välillä voi olla vuosia. Asianmukainen asema on kohdella HNDL:ää aktiivisena uhkana riippumatta nykyisistä kykyarvioista.