Постквантова криптографія для оборони: вимоги CNSA 2.0 та часовий план переходу

Квантові комп'ютери, здатні запускати алгоритм Шора у масштабі, зламали б криптографію відкритих ключів, що лежить в основі практично всіх сучасних захищених комунікацій: RSA, еліптична крива (ECC) та обмін ключами Діффі-Геллмана стали б незахищеними. Для оборонних систем це не гіпотетична майбутня проблема — це відома загроза з достовірним часовим горизонтом, що вимагає активної підготовки вже зараз.

Стратегія атаки «збери зараз, розшифруй пізніше» (HNDL) означає, що противники вже зараз збирають зашифровані оборонні комунікації, зберігаючи їх для дешифрування після появи достатньо потужного квантового комп'ютера. Довгострокова секретна інформація — стратегічні плани, джерела та методи розвідки, оцінки можливостей — особливо наражається на ризик: якщо вона зашифрована сьогодні алгоритмами, що будуть зламані до 2035 року, її секретність має ефективну дату закінчення терміну.

Квантова загроза: часові оцінки

Алгоритм Шора, розроблений у 1994 році, надає поліноміальний за часом метод розкладання на множники великих цілих чисел — математичну основу безпеки RSA — при запуску на достатньо великому квантовому комп'ютері. Алгоритм Шора також вирішує задачу дискретного логарифма, що лежить в основі ECC та Діффі-Геллмана. Квантовий комп'ютер, достатньо великий для запуску алгоритму Шора проти поточних розмірів ключів (RSA 2048-біт, ECC 256-біт), вимагає мільйонів логічних кубітів з дуже низьким рівнем помилок — що значно перевищує можливості поточного апаратного забезпечення.

Найбільш достовірні публічні оцінки для «криптографічно значущого квантового комп'ютера» (CRQC) — достатньо великого для злому поточної криптографії відкритих ключів — коливаються від 2030 до 2035 року, зі значною невизначеністю в обидві сторони. Керівництво NSA з CNSA 2.0 від 2022 року використовує 2035 рік як горизонт планування. Відповідна позиція для оборонних програм — готуватися до доступності CRQC до 2030 року.

NSA CNSA 2.0: мандатні алгоритми та вимоги переходу

Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), опублікований Директоратом кібербезпеки NSA у вересні 2022 року, визначає криптографічні алгоритми, затверджені для захисту Систем національної безпеки (NSS) у постквантову еру. CNSA 2.0 мандатує такі постквантові алгоритми:

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), стандартизований як FIPS 203 на основі алгоритму CRYSTALS-Kyber, є затвердженим алгоритмом встановлення ключа. ML-KEM замінює RSA та ECDH для обміну ключами в протоколах на кшталт TLS. CNSA 2.0 визначає ML-KEM-1024 для застосунків NSS.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm), стандартизований як FIPS 204 на основі CRYSTALS-Dilithium, є затвердженим алгоритмом цифрового підпису, замінюючи RSA-PSS та ECDSA. ML-DSA забезпечує безпеку підпису з меншими розмірами ключів порівняно з хеш-базованими альтернативами.

SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), стандартизований як FIPS 205 на основі SPHINCS+, є альтернативним алгоритмом цифрового підпису з безпекою, заснованою на хеш-функціях, а не на решітковій математиці — забезпечуючи різноманіття безпеки на випадок, якщо решітково-базована криптографія буде послаблена майбутніми математичними досягненнями.

Часовий план переходу CNSA 2.0: NSA вимагає, щоб нові Системи національної безпеки, розгорнуті з 2025 року, підтримували алгоритми CNSA 2.0. Кінцевий термін для завершення переходу для наявних систем — 2030 рік.

Вплив на оборонне ПЗ: TLS, мікропрограми та PKI

TLS 1.3 з постквантовим KEM. Найбільш негайно значущою зміною є заміна алгоритмів обміну ключами TLS. TLS 1.3, поточний стандарт для зашифрованих веб- та API-комунікацій, використовує ECDHE для встановлення ключа. Відповідно до CNSA 2.0, це має бути замінено або доповнено ML-KEM. Основні TLS-бібліотеки (OpenSSL, BoringSSL) реалізували експериментальну підтримку постквантових наборів шифрів.

Цифрові підписи на мікропрограмах. Зброєні системи та військові апаратні платформи використовують цифрові підписи для перевірки цілісності мікропрограм. Ці підписи довготривалі (ключ підпису може використовуватися протягом усього виробничого життя платформи, 10–20 років) і тому особливо наражаються на ризик від атак HNDL. CNSA 2.0 визначає, що підписання мікропрограм для апаратного забезпечення NSS слід перевести на ML-DSA або SLH-DSA.

Міграція PKI. Інфраструктура PKI оборони — центри сертифікації, інфраструктура відкликання сертифікатів, управління сертифікатами для користувачів, пристроїв і сервісів — використовує ключі RSA або ECC. Міграція PKI означає не лише випуск нових постквантових сертифікатів, а й виведення з обігу старих, розповсюдження нових якорів довіри до всіх залежних систем та забезпечення здатності всього програмного забезпечення, що перевіряє сертифікати, обробляти постквантові формати.

Гібридний підхід під час переходу

У перехідний період, коли системи частково мігровані та мають взаємодіяти як з контрагентами CNSA 1.0, так і CNSA 2.0, гібридний криптографічний підхід поєднує класичні та постквантові алгоритми в одному обміні протоколом. У гібридному TLS-з'єднанні включаються як сесія ECDHE, так і сесія ML-KEM; фінальний сесійний ключ отримується з обох.

Гібридний підхід схвалений NSA для перехідного періоду як стратегія «поясу та підтяжок»: він не послаблює класичну безпеку, додаючи квантову стійкість. NIST SP 800-227 (IPD) надає вказівки щодо гібридних механізмів встановлення ключів. Оборонні програми повинні впроваджувати гібридні набори шифрів вже зараз.