Квантова загроза для систем оборонного зв'язку: часові рамки та практичні відповіді

Q: Коли квантові комп'ютери зможуть зламати військове шифрування?

Найбільш достовірні публічні оцінки стосовно криптографічно значущого квантового комп'ютера (CRQC) — здатного зламати RSA-2048 або 256-бітний ECC — коливаються від 2030 до 2035 року. Консультативний документ NSA CNSA 2.0 використовує 2035 рік як горизонт планування. Оборонні організації повинні орієнтуватися на 2030 рік як консервативну ціль, оскільки строки міграції від 5 до 10 років означають, що роботу необхідно розпочати зараз незалежно від точної дати. Деякі національні розвідувальні оцінки свідчать про те, що часові рамки можуть бути коротшими, ніж зазначається у відкритих джерелах.

Автор: Команда інженерів Corvus Intelligence · Про команду →

3 червня 2026 9 хв читання

Питання, яке керівництво оборонної сфери найчастіше ставить щодо квантових обчислень: «Коли?» Коли квантовий комп'ютер, достатньо потужний для зламу сучасного військового шифрування, реально з'явиться? Незручна відповідь дослідницького середовища така: мабуть, між 2030 і 2035 роками, зі значною невизначеністю в обох напрямках. Більш незручна відповідь із точки зору безпеки полягає в тому, що точна дата — це неправильний об'єкт уваги, адже найважливіша атака — «збери зараз — розшифруй пізніше» — вже відбувається незалежно від того, коли з'явиться цей комп'ютер.

Супротивники з терпінням і місткістю зберігання на рівні держав не потребують квантових можливостей, перш ніж отримати дані, які вони мають намір розшифрувати з їх допомогою. Масовий збір зашифрованого трафіку є дешевим порівняно з національними розвідувальними бюджетами. Будь-які засекречені комунікації, захищені RSA або криптографією на еліптичних кривих, які збережуть чутливість у 2030-х роках, вже перебувають під загрозою — не гіпотетично, а оперативно. Ця стаття розглядає часові рамки загрози, визначає, які категорії оборонних даних найбільш вразливі, і надає практичну базу для розстановки пріоритетів реагування.

Загроза «збери зараз — розшифруй пізніше»: чому терміновість виправдана вже сьогодні

«Збери зараз — розшифруй пізніше» (HNDL) — це проста атака: супротивник масово записує зашифровані комунікації, зберігає шифротекст і чекає, доки не з'явиться квантовий комп'ютер, здатний відновити сеансові ключі. Атака не вимагає криптоаналітичних можливостей під час збору — лише можливості перехоплення та зберігання трафіку, яку державні актори неодноразово демонстрували через програми радіоелектронної розвідки.

Економічна логіка HNDL є асиметрично сприятливою для супротивника. Витрати на зберігання масово перехопленого трафіку різко знизилися — зберігання петабайт шифротексту є оперативно здійсненним для великих спецслужб. Вартість майбутньої квантової операції дешифрування, амортизована щодо розвідувальної цінності десятиліть засекречених комунікацій, є дуже привабливою. Немає жодного технічного бар'єру для початку такого збору зараз, і немає підстав вважати, що він не відбувається вже сьогодні.

Ключовий висновок: Квантовий горизонт 2030–2035 років не визначає, коли загроза HNDL стає реальною — він визначає, коли зібрані дані стають читабельними. Будь-яке засекречене повідомлення, зашифроване сьогодні за допомогою обміну ключами на базі RSA або ECC та яке містить інформацію, що збереже чутливість після 2030 року, вже є вразливим до цього вектора загрози. Відлік міграції почався роки тому.

Найбільш ризиковані дані — це не рутинний оперативний трафік, а довгострокова засекречена інформація: протоколи командування та управління ядерними силами і підтримуючі їх комунікаційні архітектури, джерела та методи розвідки, які залишатимуться активними протягом 2030-х років, стратегічні плани з горизонтом планування від 10 років та оцінки можливостей, що впливають на рішення щодо закупівель на десятиліття вперед. Це саме та категорія інформації, яку супротивники найбільше прагнуть отримати і яку оборонні організації найбільше потребують захистити за будь-якого розумного квантового горизонту.

Квантові часові рамки: що говорять поточні оцінки

Алгоритм Шора, розроблений у 1994 році, надає квантовий алгоритм поліноміального часу для факторизації великих цілих чисел — математичної основи безпеки RSA — а також для вирішення задачі дискретного логарифму, що лежить в основі всієї криптографії на еліптичних кривих. Запуск алгоритму Шора проти ключів RSA-2048 або 256-бітного ECC вимагає відмовостійкого квантового комп'ютера з мільйонами виправлених логічних кубітів. Сучасне квантове обладнання функціонує з сотнями або кількома тисячами фізичних кубітів, із рівнями помилок, що вимагають значних накладних витрат на виправлення.

Найбільш достовірні публічні оцінки для криптографічно значущого квантового комп'ютера збігаються на діапазоні 2030–2035 років. Консультативний документ NSA CNSA 2.0 від вересня 2022 року, який вимагає переходу на пост-квантові алгоритми для систем національної безпеки, використовує 2035 рік як горизонт планування. Часові рамки стандартизації пост-квантової криптографії NIST були розроблені саме для завершення до цього вікна. «Національна квантова ініціатива» США та національні квантові програми Китаю відображають урядові оцінки щодо досяжності можливостей CRQC протягом десятиліття приблизно від 2022 року.

Менш певним є те, чи програми зі значним засекреченим фінансуванням — як американські, так і ворожі — випереджають відкритий дослідницький фронт. Історія розробки криптографічних можливостей свідчить про те, що публічно задекларовані прориви часто відстають від оперативних можливостей на роки. Оборонне планування не повинно припускати, що публічні часові рамки відображають повну картину.

Ключовий висновок: Розрив між існуванням CRQC та завершенням оборонними організаціями їх криптографічної міграції є критичним вікном вразливості. Міграція PKI для великих оборонних програм реалістично займає 5–10 років. Програма, яка починає міграцію у 2027 році з орієнтуванням на CRQC у 2030 році, не встигне завершити вчасно. Правильна позиція планування полягає в тому, щоб вважати строком обмежень час виконання міграції, а не невизначеність квантового горизонту.

Які засекречені дані мають найдовший строк секретності

Не всі оборонні дані мають однакову вразливість до загрози HNDL. Чутливість до дешифрування за допомогою квантових технологій є функцією двох незалежних змінних: рівня класифікації (наскільки чутлива інформація) та строку зберігання (як довго інформація залишається чутливою та придатною до дії). Ризикова вразливість є добутком обох.

Протоколи командування, управління та зв'язку ядерними силами (NC3) і підтримуючі їх комунікаційні архітектури мають фактично необмежений строк зберігання — базові структури командного повноваження і коди авторизації, що захищають ядерні системи, повинні залишатися секретними безстроково. Системи NC3 також схильні використовувати застарілі криптографічні реалізації з дуже тривалими циклами заміни, що посилює вразливість.

Джерела та методи розвідки — людські розвідувальні активи, платформи збору радіоелектронних сигналів і аналітичне ремесло, що інтерпретує сиру розвідувальну інформацію — мають строки зберігання, що часто сягають десятиліть. Джерело, завербоване сьогодні, може залишатися активним аж до 2040-х років. Комунікації, що використовуються для управління та захисту цього джерела, якщо вони перехоплені та збережені сьогодні, стануть читабельними, коли з'являться квантові можливості.

Довгострокові стратегічні плани — оцінки структури сил, дорожні карти розвитку можливостей, союзницькі зобов'язання та плани ведення бойових дій — описують плановану військову позицію на горизонтах від 10 до 20 років. Це саме ті документи, які програми збору інформації супротивника пріоритизують, і саме ті документи, секретність яких повинна зберігатися протягом усього планового періоду.

Дані закупівель та оцінки можливостей — технічні специфікації платформ нового покоління, оцінки вразливостей розгорнутих систем та результати розробних випробувань — можуть надати супротивникам дорожні карти експлуатації, дійсні протягом усього оперативного терміну служби системи, який може перевищувати 30 років від дати шифрування.

Рутинні оперативні комунікації — щоденні оперативні накази, звіти про стан матеріально-технічного забезпечення, адміністративний трафік особового складу — зазвичай мають короткий строк зберігання, що вимірюється днями або тижнями. Ризик HNDL для цієї категорії є суттєво нижчим: інформація буде оперативно нерелевантною задовго до того, як будь-яке реальне квантове дешифрування стане можливим.

Проблема строку виконання міграції: чому дії необхідні зараз

Корпоративна криптографічна міграція є однією з найскладніших і найтриваліших змін інфраструктури, які здійснює оборонна організація. На відміну від оновлення програмного забезпечення або заміни обладнання, криптографічна міграція зачіпає кожну систему, яка шифрує, підписує, автентифікує або верифікує — а в сучасній оборонній мережі це фактично все.

Реалістичний графік повної міграції PKI для великої оборонної програми: криптографічна інвентаризація та картування залежностей — 6–18 місяців; розробка та акредитація архітектури міграції PKI — 12–24 місяці; розгортання кореневого та видаючого CA для PQC — 6–12 місяців; фаза подвійної видачі (класичні та PQC-сертифікати одночасно) — 12–24 місяці; оновлення парку для підтримки перевірки PQC-сертифікатів — 12–36 місяців залежно від кількості кінцевих точок і механізмів оновлення; виведення з обігу класичних сертифікатів, що залежить від насичення парку. Разом: 5–9 років для великої, складної програми, що діє в умовах обмежень оборонного придбання.

Міграція TLS-кінцевих точок, переходи підписання прошивок, оновлення протоколів VPN та оновлення прошивок апаратних модулів безпеки виконуються паралельно з міграцією PKI, але мають власні залежності та графіки. Програма, яка розпочинає комплексне планування міграції у 2026 році з метою завершення до 2030 року, вже функціонує з мінімальним запасом відносно консервативного кінця квантового горизонту.

База пріоритизації: матриця чутливості × строку зберігання

За умов обмежених ресурсів та неможливості мігрувати кожну систему одночасно програми потребують принципової основи для визначення послідовності робіт. Матриця чутливості × строку зберігання забезпечує таку основу.

Побудуйте двовісну оцінку для кожної комунікаційної системи або категорії даних: по одній осі — рівень класифікації та оперативна чутливість даних (від звичайного нетаємного до TOP SECRET/SCI); по іншій — строк зберігання даних у роках. Системи в квадранті високої чутливості та тривалого строку зберігання — комунікації NC3, захист джерел розвідки, довгострокові стратегічні плани — є першочерговим пріоритетом для пом'якшення HNDL. Системи в квадранті низької чутливості та короткого строку зберігання — рутинний адміністративний трафік, тактичні оперативні звіти — можуть слідувати пізніше в послідовності міграції.

Ця база також визначає, які системи виправдовують раннє розгортання гібридної пост-квантової криптографії до завершення повної міграції PKI. Для систем найвищого пріоритету очікування міграції PKI є неприйнятним — гібридний PQC, розгорнутий на сеансовому рівні, забезпечує негайний захист від HNDL без потреби в змінах інфраструктури сертифікатів.

Що організації можуть зробити цього року

Кілька дій забезпечують конкретне зниження ризику у короткостроковій перспективі, незалежно від довгострокових програм міграції PKI.

Криптографічна інвентаризація. Розпочніть систематичну інвентаризацію кожної криптографічної залежності в програмі. Автоматизовані інструменти криптографічного виявлення існують для мережевої інфраструктури; криптографія на рівні застосунків вимагає аудиту коду та архітектурного огляду. Інвентаризація є передумовою для всієї подальшої роботи — без неї неможливо точно оцінити обсяг міграції, а нерозпізнані залежності створюють пізні блокери.

Проектування міграції PKI. Замовте архітектурне проектування пост-квантової PKI зараз. Проектна робота не вимагає початку реалізації — фаза проектування виявляє залежності, оцінює терміни та виробляє акредитаційні артефакти, необхідні перед початком будь-якої реалізації в рамках оборонного придбання. Початок проектування у 2026 році дозволяє розпочати реалізацію у 2027–2028 роках, що відповідає цільовому завершенню у 2030–2032 роках.

Розгортання гібридного PQC для пріоритетних систем. Для систем, визначених у найвищому пріоритетному квадранті матриці чутливості, розгорніть гібридне шифрування ML-KEM на сеансовому рівні. Corvus.Quantum надає перевірений бойовий гібридний потоковий рівень шифрування ML-KEM, спеціально розроблений для середовищ оборонного зв'язку, який розгортається на існуючій інфраструктурі без потреби в змінах PKI. Гібридне розгортання забезпечує негайний захист від HNDL для найбільш чутливого трафіку, поки відбувається ширша міграція.

Оновлення вимог щодо закупівель. Перегляньте поточні та заплановані контракти на комунікаційні системи, програмне забезпечення та інфраструктуру. Включіть вимоги до пост-квантової криптографії в майбутні тендерні документи — зокрема підтримку ML-KEM (FIPS 203), ML-DSA (FIPS 204) та гібридних шифронаборів у TLS. Це забезпечить, що системи, закуплені сьогодні, не збільшать накопичений борг міграції.

Оцінка підписання прошивок. Визначте платформи озброєнь та обладнання, ключі підписання прошивок яких залишатимуться в оперативному використанні протягом 2030-х років. Задокументуйте шлях міграції для кожної — або заплановану заміну прошивкою з підписом PQC при наступному циклі оновлення, або явне прийняття ризику там, де архітектура не дозволяє ротацію ключів.

Ключовий висновок: Організації з найбільш терміновою квантовою загрозою — це не обов'язково ті, що мають найбільше засекречених даних. Це ті, у кого найбільший розрив між строком зберігання їхніх даних та запланованою датою завершення міграції. Програма, яка захищає 20-річні стратегічні плани з 7-річним графіком міграції, що починається у 2027 році, вже прийняла залишковий ризик відносно консервативного квантового горизонту.

Ландшафт пост-квантових алгоритмів для оборонного застосування

NIST завершив стандартизацію пост-квантової криптографії у 2024 році, опублікувавши три алгоритми, що формують основу квантово-безпечної криптографії для оборонних застосувань. Консультативний документ NSA CNSA 2.0, опублікований у 2022 році, вимагає застосування цих алгоритмів (або їх попередників) для систем національної безпеки.

ML-KEM (FIPS 203), заснований на CRYSTALS-Kyber, є затвердженим алгоритмом для інкапсуляції ключів — механізму, за допомогою якого дві сторони встановлюють спільний секрет. ML-KEM замінює RSA та ECDH для обміну ключами у TLS та інших протоколах. CNSA 2.0 вказує ML-KEM-1024 для застосувань NSS. ML-KEM має відносно компактні розміри шифротексту порівняно з іншими альтернативами на основі ґраток, а також швидкі операції генерації ключів та інкапсуляції.

ML-DSA (FIPS 204), заснований на CRYSTALS-Dilithium, є основним затвердженим алгоритмом для цифрових підписів. ML-DSA замінює RSA-PSS та ECDSA для підписів сертифікатів, підписання коду та автентифікації. Розміри підписів більші, ніж у ECDSA (приблизно 3–4 КБ для ML-DSA-87 проти 70 байт для ECDSA P-256), але цілком прийнятні для більшості протокольних застосувань.

SLH-DSA (FIPS 205), заснований на SPHINCS+, надає альтернативний алгоритм підпису, безпека якого базується на хеш-функціях, а не на математиці ґраток. SLH-DSA забезпечує криптографічне різноманіття — якщо алгоритми на основі ґраток будуть послаблені майбутніми математичними досягненнями, SLH-DSA залишиться незачепленим. Він підходить для застосувань із високими вимогами до безпеки, де вимоги до продуктивності допускають його більші підписи та повільніші операції, особливо для підписання прошивок, де додаткове криптографічне різноманіття є виправданим.

Симетричні алгоритми — AES-256 та SHA-384/512 — є квантово-безпечними при поточних довжинах ключів. Алгоритм Гровера забезпечує квадратичне прискорення для вичерпного пошуку, фактично вдвічі скорочуючи бітову безпеку симетричного алгоритму, але AES-256 зберігає приблизно 128-бітний захист від квантового супротивника, що залишається обчислювально нездійсненним для атаки. Міграція симетричних алгоритмів не вимагається в рамках пост-квантового переходу.

Додаткові матеріали для читання

Для деталей реалізації алгоритмів, що вимагаються NSA для оборонних систем, дивіться Пост-квантова криптографія для оборони: посібник CNSA 2.0, який детально охоплює вибір наборів параметрів ML-KEM, ML-DSA та SLH-DSA, механіку міграції TLS та гібридний підхід до переходу. Для контексту архітектури мережі з нульовою довірою, в якій функціонують квантово-безпечні комунікації, дивіться Архітектура нульової довіри для військових мереж: принципи та реалізація. Для ширшої безпечної хмарної інфраструктури, яка потрібна для засекречених навантажень, дивіться Архітектура GovCloud для оборони: Azure Government проти AWS GovCloud.

Захистіть свої засекречені комунікації вже зараз

Corvus.Quantum забезпечує перевірене бойове гібридне потокове шифрування ML-KEM для оборонного зв'язку — розгортається на існуючій інфраструктурі, без потреби в змінах PKI, з негайним захистом HNDL для ваших систем найвищого пріоритету.

Corvus.Quantum → Послуги Secure Cloud

Цей аналіз підготовлений інженерами Corvus Intelligence, які створюють критично важливе програмне забезпечення для оборонних і урядових організацій. Дізнайтесь про нашу команду →

Часті запитання

Коли квантові комп'ютери зможуть зламати військове шифрування?

Найбільш достовірні публічні оцінки для криптографічно значущого квантового комп'ютера (CRQC) — здатного зламати RSA-2048 або 256-бітний ECC — коливаються від 2030 до 2035 року. Консультативний документ NSA CNSA 2.0 використовує 2035 рік як горизонт планування. Оборонні організації повинні використовувати 2030 рік як консервативну ціль планування, оскільки строки міграції від 5 до 10 років означають, що роботу необхідно розпочати зараз незалежно від точної дати. Деякі національні розвідувальні оцінки свідчать про те, що часові рамки можуть бути коротшими, ніж зазначається у відкритих джерелах.

Що таке загроза «збери зараз — розшифруй пізніше» і чому вона актуальна сьогодні?

«Збери зараз — розшифруй пізніше» (HNDL) — це практика запису зашифрованих комунікацій сьогодні для їх розшифрування після появи квантового комп'ютера. Оскільки витрати на масовий збір зашифрованого трафіку є низькими, супротивники не потребують квантових можливостей перед отриманням даних. Будь-яка засекречена інформація, зашифрована сьогодні за допомогою RSA або ECC, яка зберігатиме цінність після 2030 року — стратегічні плани, джерела та методи розвідки, ядерні командні протоколи — вже фактично перебуває під загрозою. Загроза є актуальною, навіть якщо можливість розшифрування ще не існує.

Які криптографічні алгоритми є безпечними від квантових комп'ютерів?

Симетричні алгоритми — AES-256, SHA-384, SHA-512 — вважаються квантово-безпечними при поточних довжинах ключів (алгоритм Гровера вдвічі скорочує ефективну довжину ключа, тому AES-256 зберігає ~128-бітний захист від квантових атак). Вразливими є всі системи з відкритим ключем, засновані на математичних задачах, які алгоритм Шора вирішує ефективно: RSA, Diffie-Hellman та всі варіанти на еліптичних кривих (ECDSA, ECDH, EdDSA). Пост-квантові стандарти NIST — ML-KEM (FIPS 203), ML-DSA (FIPS 204) та SLH-DSA (FIPS 205) — є квантово-стійкими замінниками для цих алгоритмів з відкритим ключем.

Скільки часу займає міграція оборонної криптографії на пост-квантові алгоритми?

Повна корпоративна міграція криптографічної інфраструктури оборонної організації — PKI, TLS-кінцеві точки, підписання прошивок, спеціальні протоколи, апаратні модулі безпеки — реалістично займає від 5 до 10 років для великих програм. Часові рамки включають: криптографічну інвентаризацію (6–18 місяців для складної програми), розробку та затвердження архітектури міграції PKI (12–24 місяці), поетапне розгортання сертифікатів (12–24 місяці), оновлення TLS-кінцевих точок (12–36 місяців) та кампанії повторного підписання прошивок, прив'язані до циклів оновлення платформ. Початок у 2026 році для досягнення консервативного дедлайну 2030 року залишає мінімальний запас для складних програм.

Чи мають вже будь-які супротивники квантові комп'ютери, здатні зламати шифрування?

Жодних публічних доказів того, що будь-яка держава зараз експлуатує криптографічно значущий квантовий комп'ютер, не існує. Сучасне квантове обладнання — включаючи найпросунутіші системи IBM, Google та задекларовані китайські програми — функціонує з сотнями або тисячами фізичних кубітів, що значно менше мільйонів виправлених логічних кубітів, необхідних для запуску алгоритму Шора проти RSA-2048 або 256-бітного ECC. Однак програми супротивників мають значні засекречені компоненти, а розрив між публічними оголошеннями та оперативними можливостями може становити роки. Правильна позиція — розглядати HNDL як активну загрозу незалежно від поточних оцінок можливостей.