Zagrożenie kwantowe dla łączności obronnej: harmonogram i praktyczna odpowiedź

Autor: Zespół inżynierów Corvus Intelligence · O zespole →

3 czerwca 2026 9 min czytania

Pytanie, które kierownictwo obronne najczęściej zadaje w kontekście obliczeń kwantowych, brzmi: „Kiedy?" Kiedy naprawdę powstanie komputer kwantowy wystarczająco duży, by złamać obecne wojskowe szyfrowanie? Niewygodna odpowiedź środowiska badawczego jest następująca: prawdopodobnie między 2030 a 2035 rokiem, z dużą niepewnością w obu kierunkach. Jeszcze bardziej niepokojąca odpowiedź z punktu widzenia bezpieczeństwa jest taka, że dokładna data to niewłaściwy przedmiot zainteresowania — bo najważniejszy atak, harvest-now-decrypt-later, jest już w toku niezależnie od tego, kiedy taka maszyna powstanie.

Przeciwnicy dysponujący cierpliwością i pojemnością pamięci masowej na poziomie państwowym nie muszą czekać na możliwości kwantowe, zanim zaczną gromadzić dane przeznaczone do późniejszego odszyfrowania. Masowe przechwytywanie zaszyfrowanego ruchu jest tanie w porównaniu z budżetami krajowego wywiadu. Wszelkie tajne komunikacje chronione algorytmami RSA lub kryptografią krzywych eliptycznych, które będą wrażliwe w latach 30. XXI wieku, są już zagrożone — nie hipotetycznie, lecz operacyjnie. Niniejszy artykuł analizuje harmonogram zagrożeń, identyfikuje, które kategorie danych obronnych są najbardziej narażone, i przedstawia praktyczne ramy priorytetyzacji działań.

Zagrożenie harvest-now-decrypt-later: dlaczego pilność działania jest uzasadniona już dziś

Harvest-now-decrypt-later (HNDL) to prosty atak: przeciwnik masowo rejestruje zaszyfrowane komunikacje, przechowuje szyfrogramy i czeka, aż stanie się dostępny komputer kwantowy zdolny do odzyskania kluczy sesji. Atak w momencie przechwytywania nie wymaga żadnych możliwości kryptoanalitycznych — jedynie zdolności do przechwytywania i przechowywania ruchu, co podmioty państwowe wielokrotnie demonstrowały poprzez programy wywiadu elektronicznego.

Logika ekonomiczna HNDL działa asymetrycznie na korzyść przeciwnika. Koszty przechowywania masowo przechwytowanego ruchu drastycznie spadły — przechowywanie petabajtów szyfrogramów jest operacyjnie wykonalne dla głównych służb wywiadowczych. Koszt przyszłej operacji kwantowego odszyfrowania, rozłożony na wartość wywiadowczą dziesięcioleci tajnych komunikacji, jest bardzo korzystny. Nie istnieje żadna techniczna bariera, by zacząć takie zbieranie teraz, i nie ma powodów sądzić, że nie dzieje się to już od dawna.

Kluczowa obserwacja: Harmonogram kwantowy na lata 2030–2035 nie określa, kiedy zagrożenie HNDL staje się realne — określa, kiedy zebrane dane stają się czytelne. Każda tajna komunikacja zaszyfrowana dziś z użyciem wymiany kluczy RSA lub ECC, zawierająca informacje, które zachowają wrażliwość po roku 2030, jest już narażona na ten wektor zagrożeń. Zegar migracji ruszył lata temu.

Dane najbardziej zagrożone to nie rutynowy ruch operacyjny, lecz długoterminowe tajne informacje: protokoły nuklearnego dowodzenia, kontroli i łączności (NC3) oraz towarzyszące im architektury komunikacyjne, źródła i metody wywiadowcze pozostające aktywne przez lata 30. XXI wieku, plany strategiczne z horyzontami planowania wynoszącymi 10 lub więcej lat, oraz oceny zdolności kształtujące decyzje zakupowe na przestrzeni dziesięcioleci. To właśnie ta kategoria informacji, której przeciwnicy najbardziej pragną i którą organizacje obronne najbardziej potrzebują chronić ponad wszelki rozsądny horyzont obliczeń kwantowych.

Harmonogram obliczeń kwantowych: co mówią aktualne szacunki

Algorytm Shora, opracowany w 1994 roku, dostarcza wielomianowego algorytmu kwantowego do faktoryzacji dużych liczb całkowitych — matematycznej podstawy bezpieczeństwa RSA — oraz do rozwiązywania problemu logarytmu dyskretnego leżącego u podstaw całej kryptografii krzywych eliptycznych. Uruchomienie algorytmu Shora przeciwko kluczom RSA-2048 lub 256-bitowym ECC wymaga odpornego na błędy komputera kwantowego z milionami poprawianych logicznych kubitów. Obecny sprzęt kwantowy działa z setkami do kilku tysięcy fizycznych kubitów, przy poziomach błędów wymagających rozbudowanego korekcji błędów.

Najbardziej wiarygodne publiczne szacunki dotyczące kryptograficznie istotnego komputera kwantowego zbiegają się na przedziału 2030–2035. Dokument doradczy NSA CNSA 2.0 z września 2022 roku, nakazujący przejście na algorytmy postkwantowe dla Systemów Bezpieczeństwa Narodowego, przyjmuje rok 2035 jako horyzont planowania. Harmonogram standaryzacji postkwantowej NIST był wyraźnie zaprojektowany, by zakończyć się przed tym oknem. Zarówno amerykańska „National Quantum Initiative", jak i chińskie narodowe programy kwantowe odzwierciedlają rządowe oceny, że możliwość CRQC jest osiągalna w ciągu dekady od około 2022 roku.

Mniej pewne jest to, czy programy ze znaczącym tajnym finansowaniem — zarówno ze strony USA, jak i przeciwników — wyprzedzają publiczny front badań. Historia rozwoju możliwości kryptograficznych sugeruje, że publicznie ujawniane przełomy często pozostają w tyle za zdolnościami operacyjnymi o lata. Planowanie obronne nie powinno zakładać, że publiczne harmonogramy przedstawiają pełny obraz.

Kluczowa obserwacja: Luka między powstaniem CRQC a ukończeniem przez organizacje obronne migracji kryptograficznej to krytyczne okno ekspozycji. Migracje PKI dla dużych programów obronnych realistycznie zajmują 5–10 lat. Program, który rozpocznie migrację w 2027 roku, zakładając powstanie CRQC w 2030 roku, nie ukończy jej na czas. Właściwą postawą planistyczną jest traktowanie czasu realizacji migracji — a nie niepewności harmonogramu kwantowego — jako wiążącego ograniczenia.

Które tajne dane mają najdłuższy wymóg tajności

Nie wszystkie dane obronne są jednakowo narażone na zagrożenie HNDL. Wrażliwość na kwantowo wspomagane odszyfrowanie jest funkcją dwóch niezależnych zmiennych: poziomu klauzuli tajności (jak wrażliwe są informacje) i okresu ważności (jak długo informacje pozostają wrażliwe i użyteczne). Ekspozycja na ryzyko jest iloczynem obu.

Protokoły nuklearnego dowodzenia, kontroli i łączności (NC3) oraz wspierające je architektury komunikacyjne mają w zasadzie nieograniczony okres ważności — struktury uprawnień dowodzenia i kody autoryzacyjne chroniące systemy nuklearne muszą pozostać tajne bezterminowo. Systemy NC3 mają też tendencję do stosowania starszych implementacji kryptograficznych z bardzo długimi cyklami wymiany, co zwielokrotnia ekspozycję.

Źródła i metody wywiadowcze — aktywa wywiadu osobowego, platformy pozyskiwania sygnałów i rzemiosło analityczne interpretujące surowe dane wywiadowcze — mają okresy ważności często rozciągające się na dekady. Źródło pozyskane dziś może pozostawać aktywne przez lata 40. XXI wieku. Komunikacje używane do zarządzania i ochrony tego źródła, jeśli zostaną dziś przechwycone i zachowane, stają się czytelne, gdy pojawią się możliwości kwantowe.

Długoterminowe dokumenty planowania strategicznego — oceny struktury sił, mapy drogowe rozwoju zdolności, zobowiązania sojusznicze i plany wojenne — opisują zamierzony poziom gotowości wojskowej w horyzoncie 10–20 lat. To właśnie te dokumenty programy zbierania danych przeciwnika priorytetyzują, i właśnie te dokumenty, których tajność musi być utrzymana przez cały opisywany przez nie okres planowania.

Dane dotyczące zamówień i oceny zdolności — specyfikacje techniczne dla platform nowej generacji, oceny podatności rozmieszczonych systemów i wyniki testów rozwojowych — mogą zapewnić przeciwnikom mapy drogowe eksploatacji ważne przez cały cykl operacyjny systemu, który może sięgać 30 lat poza datą szyfrowania.

Rutynowe komunikacje operacyjne — codzienne rozkazy operacyjne, raporty o stanie logistyki, ruch administracyjny dotyczący personelu — mają generalnie krótkie okresy ważności mierzone w dniach lub tygodniach. Ryzyko HNDL dla tej kategorii jest znacznie niższe: informacje będą operacyjnie nieistotne na długo przed jakimkolwiek prawdopodobnym kwantowym odszyfrowaniem.

Problem czasu realizacji migracji: dlaczego działanie jest potrzebne teraz

Korporacyjna migracja kryptograficzna należy do najbardziej złożonych i czasochłonnych zmian infrastruktury podejmowanych przez organizację obronną. W przeciwieństwie do aktualizacji oprogramowania lub wymiany sprzętu, migracja kryptograficzna dotyka każdego systemu, który szyfruje, podpisuje, uwierzytelnia lub weryfikuje — co we współczesnej sieci obronnej obejmuje praktycznie wszystko.

Realistyczny harmonogram pełnej migracji PKI w dużym programie obronnym: inwentaryzacja kryptograficzna i mapowanie zależności — 6–18 miesięcy; projekt architektury migracji PKI i akredytacja — 12–24 miesiące; wdrożenie postkwantowego głównego i wystawiającego CA — 6–12 miesięcy; faza podwójnego wystawiania (jednoczesne certyfikaty klasyczne i PQC) — 12–24 miesiące; modernizacja floty do obsługi walidacji certyfikatów PQC — 12–36 miesięcy w zależności od liczby punktów końcowych i mechanizmów aktualizacji; wycofanie certyfikatów klasycznych, warunkowane nasyceniem floty. Łącznie: 5–9 lat dla dużego, złożonego programu działającego w ramach ograniczeń obronnych zamówień publicznych.

Migracja punktów końcowych TLS, przejścia podpisywania oprogramowania układowego, modernizacje protokołów VPN i aktualizacje oprogramowania układowego HSM przebiegają równolegle z migracją PKI, ale nakładają własne zależności i harmonogramy. Program, który rozpoczyna kompleksowe planowanie migracji w 2026 roku z celem ukończenia do 2030 roku, działa już z minimalnym marginesem wobec konserwatywnego końca harmonogramu kwantowego.

Ramy priorytetyzacji: wrażliwość × okres ważności

Przy ograniczonych zasobach i niemożności jednoczesnej migracji wszystkich systemów programy potrzebują merytorycznej podstawy do sekwencjonowania prac. Macierz wrażliwość × okres ważności dostarcza tych ram.

Skonstruuj dwuosiową ocenę dla każdego systemu komunikacyjnego lub kategorii danych: na jednej osi poziom klauzuli tajności i wrażliwość operacyjna danych (od rutynowych niejawnych po ŚCIŚLE TAJNE/SCI); na drugiej — okres ważności danych mierzony w latach. Systemy w kwadrancie wysokiej wrażliwości i długiego okresu ważności — komunikacje NC3, ochrona źródeł wywiadowczych, długoterminowe plany strategiczne — są natychmiastowym priorytetem dla ograniczenia ryzyka HNDL. Systemy w kwadrancie niskiej wrażliwości i krótkiego okresu ważności — rutynowy ruch administracyjny, taktyczne raporty operacyjne — mogą poczekać na późniejszy etap sekwencji migracji.

Te ramy określają również, które systemy uzasadniają wczesne wdrożenie hybrydowej kryptografii postkwantowej przed ukończeniem pełnej migracji PKI. Dla systemów o najwyższym priorytecie oczekiwanie na migrację PKI jest niedopuszczalne — hybrydowy PQC wdrożony na warstwie sesji zapewnia natychmiastową odporność HNDL bez konieczności zmian w infrastrukturze certyfikatów.

Co organizacje mogą zrobić w tym roku

Kilka działań przynosi konkretną redukcję ryzyka w krótkim czasie, niezależnie od długoterminowych programów migracji PKI.

Inwentaryzacja kryptograficzna. Rozpocznij systematyczną inwentaryzację każdej zależności kryptograficznej w programie. Dla infrastruktury sieciowej istnieją zautomatyzowane narzędzia do wykrywania kryptografii; kryptografia warstwy aplikacyjnej wymaga audytu kodu i przeglądu architektury. Inwentaryzacja jest warunkiem wstępnym wszystkich kolejnych prac — bez niej nie można dokładnie oszacować zakresu migracji, a nierozpoznane zależności tworzą późne blokery.

Projekt migracji PKI. Zlec projekt architektoniczny postkwantowego PKI teraz. Prace projektowe nie wymagają rozpoczęcia wdrożenia — faza projektowa identyfikuje zależności, szacuje harmonogramy i wytwarza artefakty akredytacyjne wymagane przed jakimkolwiek wdrożeniem w ramach obronnych procedur zamówień publicznych. Rozpoczęcie projektu w 2026 roku pozwala na rozpoczęcie wdrożenia w latach 2027–2028, zgodnie z celem ukończenia na lata 2030–2032.

Wdrożenie hybrydowego PQC dla systemów priorytetowych. Dla systemów zidentyfikowanych w kwadrancie najwyższego priorytetu macierzy wrażliwości wdróż hybrydowe szyfrowanie ML-KEM na warstwie sesji. Corvus.Quantum zapewnia sprawdzoną hybrydową warstwę szyfrowania strumieniowego ML-KEM zaprojektowaną specjalnie dla środowisk łączności obronnej, wdrażalną na istniejącej infrastrukturze bez konieczności zmian PKI. Wdrożenie hybrydowe zapewnia natychmiastową odporność HNDL dla najwrażliwszego ruchu, podczas gdy trwa szersza migracja.

Aktualizacja wymagań zamówień. Przejrzyj bieżące i planowane kontrakty na systemy łączności, oprogramowanie i infrastrukturę. Wprowadź wymagania dotyczące kryptografii postkwantowej do nadchodzących zaproszeń do składania ofert — w szczególności obsługę ML-KEM (FIPS 203), ML-DSA (FIPS 204) i hybrydowych zestawów szyfrów w TLS. Zapewni to, że systemy zamawiane dziś nie powiększają zaległości migracyjnych.

Ocena podpisywania oprogramowania układowego. Zidentyfikuj platformy systemów uzbrojenia i sprzętu, których klucze podpisywania oprogramowania układowego pozostaną w użyciu operacyjnym przez lata 30. XXI wieku. Udokumentuj ścieżkę migracji dla każdej z nich — albo planowana wymiana z oprogramowaniem układowym podpisanym PQC przy następnym cyklu odświeżania, albo wyraźna akceptacja ryzyka tam, gdzie architektura uniemożliwia rotację kluczy.

Kluczowa obserwacja: Organizacje z najpilniejszą ekspozycją na zagrożenie kwantowe niekoniecznie są tymi z największą ilością tajnych danych — są to te, w których istnieje największa luka między okresem ważności danych a planowaną datą ukończenia migracji. Program chroniący 20-letnie plany strategiczne z 7-letnim harmonogramem migracji rozpoczętym w 2027 roku już zaakceptował ryzyko resztkowe wobec konserwatywnego harmonogramu kwantowego.

Krajobraz algorytmów postkwantowych dla obronności

NIST ukończył standaryzację kryptografii postkwantowej w 2024 roku, publikując trzy algorytmy stanowiące fundament kryptografii kwantowo bezpiecznej dla zastosowań obronnych. Dokument doradczy NSA CNSA 2.0, opublikowany w 2022 roku, nakazuje te algorytmy (lub ich poprzedniki) dla Systemów Bezpieczeństwa Narodowego.

ML-KEM (FIPS 203), oparty na CRYSTALS-Kyber, jest zatwierdzonym algorytmem hermetyzacji kluczy — mechanizmem, dzięki któremu dwie strony ustanawiają wspólny sekret. ML-KEM zastępuje RSA i ECDH w wymianie kluczy w TLS i innych protokołach. CNSA 2.0 określa ML-KEM-1024 dla zastosowań NSS. ML-KEM ma względnie kompaktowe rozmiary szyfrogramów w porównaniu z innymi alternatywami opartymi na sieciach kratowych oraz szybkie operacje generowania kluczy i hermetyzacji.

ML-DSA (FIPS 204), oparty na CRYSTALS-Dilithium, jest głównym zatwierdzonym algorytmem podpisów cyfrowych. ML-DSA zastępuje RSA-PSS i ECDSA dla podpisów certyfikatów, podpisywania kodu i uwierzytelniania. Rozmiary podpisów są większe niż ECDSA (ok. 3–4 KB dla ML-DSA-87 vs 70 bajtów dla ECDSA P-256), ale mieszczą się w tolerancji większości zastosowań protokołowych.

SLH-DSA (FIPS 205), oparty na SPHINCS+, dostarcza alternatywny algorytm podpisów z bezpieczeństwem wywodzącym się z funkcji skrótu, a nie matematyki sieciowej. SLH-DSA oferuje różnorodność kryptograficzną — jeśli algorytmy oparte na sieciach kratowych zostaną osłabione przez przyszłe postępy matematyczne, SLH-DSA pozostaje nienaruszony. Jest odpowiedni dla zastosowań wymagających wysokiego bezpieczeństwa, gdzie wymagania wydajnościowe dopuszczają jego większe podpisy i wolniejsze operacje, szczególnie do podpisywania oprogramowania układowego, gdzie uzasadniona jest dodatkowa różnorodność bezpieczeństwa.

Algorytmy symetryczne — AES-256 i SHA-384/512 — są kwantowo bezpieczne przy obecnych długościach kluczy. Algorytm Grovera zapewnia kwadratowe przyspieszenie dla wyczerpującego przeszukiwania, efektywnie zmniejszając o połowę bezpieczeństwo bitowe algorytmu symetrycznego, ale AES-256 zachowuje około 128-bitowe bezpieczeństwo wobec przeciwnika kwantowego, co pozostaje obliczeniowo niewykonalne do zaatakowania. W ramach przejścia postkwantowego nie jest wymagana migracja żadnych algorytmów symetrycznych.

Powiązane artykuły do lektury

Szczegóły implementacyjne algorytmów nakazanych przez NSA dla systemów obronnych znajdziesz w artykule Kryptografia postkwantowa dla obronności: przewodnik CNSA 2.0, który szczegółowo omawia dobór zestawów parametrów ML-KEM, ML-DSA i SLH-DSA, mechanikę migracji TLS oraz podejście hybrydowe w okresie przejściowym. Kontekst architektury sieciowej zero-trust, w której działają komunikacje kwantowo bezpieczne, znajdziesz w artykule Architektura zero-trust dla sieci wojskowych: zasady i wdrożenie. O szerzej pojętej bezpiecznej infrastrukturze chmurowej wymaganej przez tajne obciążenia robocze przeczytasz w artykule Architektura GovCloud dla obronności: Azure Government vs AWS GovCloud.

Chroń swoje tajne komunikacje już teraz

Corvus.Quantum zapewnia sprawdzone hybrydowe szyfrowanie strumieniowe ML-KEM dla łączności obronnej — wdrażalne na istniejącej infrastrukturze, bez zmian PKI, z natychmiastową ochroną HNDL dla systemów o najwyższym priorytecie.

Corvus.Quantum → Usługi Secure Cloud

Niniejszą analizę przygotowali inżynierowie Corvus Intelligence, którzy budują oprogramowanie o znaczeniu krytycznym dla organizacji obronnych i rządowych. Dowiedz się więcej o naszym zespole →

Często zadawane pytania

Kiedy komputery kwantowe będą mogły złamać wojskowe szyfrowanie?

Najbardziej wiarygodne publiczne szacunki dotyczące kryptograficznie istotnego komputera kwantowego (CRQC) — zdolnego do złamania RSA-2048 lub 256-bitowego ECC — wskazują na lata 2030–2035. Dokument doradczy NSA CNSA 2.0 przyjmuje rok 2035 jako horyzont planowania. Organizacje obronne powinny przyjąć rok 2030 jako konserwatywny cel planowania, gdyż czasy migracji wynoszące 5–10 lat oznaczają, że prace muszą rozpocząć się teraz niezależnie od dokładnej daty. Niektóre krajowe oceny wywiadowcze sugerują, że harmonogram może być krótszy niż wskazują publiczne szacunki.

Czym jest zagrożenie „zbieraj teraz, odszyfruj później" i dlaczego ma znaczenie dziś?

Harvest-now-decrypt-later (HNDL) to praktyka rejestrowania zaszyfrowanych komunikatów dzisiaj w celu odszyfrowania ich po uzyskaniu dostępu do komputera kwantowego. Ponieważ koszt masowego przechwytywania zaszyfrowanego ruchu jest niski, przeciwnicy nie muszą czekać na możliwości kwantowe przed zdobyciem danych. Wszelkie tajne informacje zaszyfrowane dziś z użyciem RSA lub ECC, które zachowają wartość po roku 2030 — plany strategiczne, źródła wywiadowcze i metody, protokoły dowodzenia nuklearnego — są już de facto zagrożone. Zagrożenie istnieje nawet wtedy, gdy możliwość odszyfrowania jeszcze nie istnieje.

Które algorytmy kryptograficzne są bezpieczne przed komputerami kwantowymi?

Algorytmy symetryczne — AES-256, SHA-384, SHA-512 — są uważane za kwantowo bezpieczne przy obecnych rozmiarach kluczy (algorytm Grovera zmniejsza efektywną długość klucza o połowę, więc AES-256 zachowuje zabezpieczenie ~128-bitowe przed atakami kwantowymi). Algorytmy podatne to wszystkie systemy klucza publicznego oparte na problemach matematycznych, które algorytm Shora rozwiązuje efektywnie: RSA, Diffie-Hellman i wszystkie warianty krzywych eliptycznych (ECDSA, ECDH, EdDSA). Standardy postkwantowe NIST — ML-KEM (FIPS 203), ML-DSA (FIPS 204) i SLH-DSA (FIPS 205) — to kwantowo odporne zamienniki tych algorytmów klucza publicznego.

Ile czasu zajmuje migracja kryptografii obronnej do algorytmów postkwantowych?

Pełna migracja korporacyjna infrastruktury kryptograficznej organizacji obronnej — PKI, punkty końcowe TLS, podpisywanie oprogramowania układowego, protokoły niestandardowe, sprzętowe moduły bezpieczeństwa — realistycznie zajmuje od 5 do 10 lat w przypadku dużych programów. Harmonogram obejmuje: inwentaryzację kryptograficzną (6–18 miesięcy dla złożonego programu), projekt migracji PKI i zatwierdzenie (12–24 miesiące), fazowe wdrożenie certyfikatów (12–24 miesiące), modernizację punktów końcowych TLS (12–36 miesięcy) oraz kampanie ponownego podpisywania oprogramowania układowego powiązane z cyklami odświeżania platform. Rozpoczęcie w 2026 roku z celem 2030 roku pozostawia minimalny margines dla złożonych programów.

Czy jakikolwiek przeciwnik posiada już komputery kwantowe zdolne do łamania szyfrowania?

Żadne publiczne dowody nie potwierdzają, że jakiekolwiek państwo aktualnie dysponuje kryptograficznie istotnym komputerem kwantowym. Obecny sprzęt kwantowy — w tym najbardziej zaawansowane systemy IBM, Google i zgłaszane programy chińskie — działa z setkami do tysięcy fizycznych kubitów, daleko poniżej milionów poprawianych błędami logicznych kubitów potrzebnych do uruchomienia algorytmu Shora przeciwko RSA-2048 lub 256-bitowemu ECC. Jednak programy przeciwników mają znaczące tajne komponenty, a luka między publicznymi ogłoszeniami a zdolnością operacyjną może wynosić lata. Właściwą postawą jest traktowanie HNDL jako aktywnego zagrożenia niezależnie od aktualnych ocen możliwości.