Чому бойовий зв'язок є пріоритетною мішенню для атак «збери зараз — розшифруй пізніше»?

Бойовий зв'язок містить дані з тривалим строком засекречення — оперативні плани, завдання ISR, відомості про джерела та методи, розкриття спроможностей. Противники записують зашифрований тактичний трафік вже сьогодні і дешево зберігають його на дисках. Щойно з'явиться криптографічно значущий квантовий комп'ютер, алгоритм Шора ретроспективно зламає обмін ключами ECDH/RSA і розшифрує всі збережені сесії. Бойовий зв'язок атакується першим, тому що стратегічна цінність інформації значно перевищує вартість масового збору.

Що таке ML-KEM і як він захищає тактичні VPN-тунелі?

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism, FIPS 203, також відомий як CRYSTALS-Kyber) — це постквантовий алгоритм інкапсуляції ключів, який замінює ECDH у протоколах обміну ключами. Він стійкий до алгоритму Шора, оскільки ґрунтується на складності задачі Module Learning With Errors (MLWE), а не на факторизації цілих чисел чи дискретних логарифмах. Для тактичних VPN-тунелів бібліотека liboqs інтегрує ML-KEM у рукостискання WireGuard як гібридний механізм поряд із X25519, тож кожен ключ сесії захищений одночасно класичним і постквантовим KEM.

Які канали бойового зв'язку потрібно перевести на постквантову криптографію насамперед?

Пріоритизуйте в такому порядку: (1) C2 REST/WebSocket API, що передають оперативні накази — найвища стратегічна цінність, найлегше мігрувати; (2) VPN-шлюзи, що агрегують IP-over-radio-з'єднання — єдина точка концентрації трафіку, потужний важіль; (3) конвеєри потокової передачі ISR-відео та телеметрії — великі обсяги даних, тривале зберігання; (4) шифрований IP-голос; (5) радіохвильові форми — потребують змін апаратного забезпечення та хвильових форм, найтриваліший строк виконання. Починайте там, де можна розгорнути оновлення програмного забезпечення негайно, і рухайтесь у бік апаратного рівня.

Чи сумісний постквантовий TLS із смуговими обмеженнями тактичних радіоліній?

Так, за умови правильного вибору параметрів. Відкритий ключ ML-KEM-768 та шифртекст разом додають приблизно 2,3 КБ до рукостискання TLS 1.3 — одноразові витрати на сесію, а не накладні витрати на кожен пакет. Для довготривалих сесій на низькосмугових каналах (супутниковий зв'язок, шлюзи КХ-радіо) це прийнятно. Для дуже обмежених каналів відновлення сесії (TLS 0-RTT із постквантовими тікетами сесії) амортизує витрати на рукостискання. Симетричне шифрування AES-256-GCM вже є квантово-стійким і не додає додаткових накладних витрат.

Які вимоги CNSA 2.0 висуваються до тактичних систем зв'язку?

CNSA 2.0 від NSA (вересень 2022 року) вимагає, щоб системи національної безпеки підтримували ML-KEM-1024 для встановлення ключів, ML-DSA для підписів та AES-256 для симетричного шифрування. Нові системи, що вводяться в експлуатацію з 2025 року, зобов'язані підтримувати алгоритми CNSA 2.0; наявні системи повинні завершити міграцію до 2030 року. Для тактичного зв'язку це означає, що VPN-шлюзи, C2-сервери та проміжне програмне забезпечення для потокової передачі даних повинні підтримувати гібридні набори шифрів ML-KEM до наступного оновлення програмного забезпечення — для більшості програм це вікно відкрито зараз.

Квантово-стійкий зв'язок на полі бою

Кожен зашифрований пакет, що перетинає бойову мережу сьогодні, є потенційним вхідним даними для майбутнього квантового комп'ютера. Противники, що мають ресурси для ведення довгострокових операцій зі збору сигналів — і реальний шлях до криптографічно значущого квантового комп'ютера (CRQC) до 2035 року, — вже зараз збирають тактичний IP-трафік, ключі C2-сесій та ISR-відеопотоки. Вони зберігають шифртекст зараз і розшифрують його пізніше, коли матимуть машину, достатньо потужну для запуску алгоритму Шора проти обмінів ключами ECDH та RSA, що їх захищають. Це не спекулятивний сценарій. Це відома стратегія атаки з відомою назвою — «збери зараз, розшифруй пізніше» (HNDL) — і вона робить бойовий зв'язок першочерговою мішенню вже зараз, а не в 2035 році.

Асиметрія разюча: збір дешевий (масове пасивне перехоплення по радіо або оптичне відгалуження), зберігання дешеве (комерційні диски за менш ніж $20 за терабайт), проте стратегічна цінність зібраного надзвичайно висока. Рік оперативних наказів, завдань ISR, ідентифікацій джерел і розкриттів спроможностей, розшифрований ретроспективно, становить вичерпний розвідувальний урожай із театру воєнних дій. Квантово-стійкий бойовий зв'язок є тому не перспективним вправлянням у відповідності нормам — це активна оперативна вимога безпеки.

Ця стаття картографує поверхню атаки по всіх тактичних каналах зв'язку, описує конкретні кроки реалізації для кожного рівня (канального, прикладного та потокового), розглядає тактичний радіошлях і пропонує порядок пріоритетності міграції на основі ризику та здійсненності.

Чому бойовий зв'язок є основною мішенню HNDL

Тактичний зв'язок несе дані з незвично тривалим строком засекречення. Оперативні плани можуть залишатися засекреченими 25 років. Розвідувальні джерела та методи можуть залишатися чутливими безстроково. Розкриття спроможностей — які системи були на театрі, які були їхні характеристики, які вразливості були використані — залишаються чутливими ще довго після конкретної операції, яку вони описують. Порівняйте це з комерційними HNDL-мішенями, де еквівалент засекреченості (комерційно чутливі дані) зазвичай має корисний термін у місяці або кілька років. Тривале вікно засекречення означає, що навіть CRQC, що з'явиться у 2032 чи 2035 році, зможе розшифрувати зв'язок, зібраний сьогодні, який все ще матиме суттєву цінність.

Бойові мережі також мають структурні характеристики, що роблять їх привабливими мішенями для збору. IP-over-radio-канали передають на фіксованих частотах, що піддаються ідентифікації та моніторингу. VPN-шлюзи на передових оперативних базах агрегують трафік від багатьох кінцевих точок на єдиний зашифрований магістральний канал — одна точка збору дає трафік від десятків кінцевих користувачів. C2 API-сесії є постійними і довготривалими, що створює стабільні мішені для систематичного збору. ISR-відео та потоки телеметрії мають великий обсяг і є безперервними, що дозволяє легко їх ідентифікувати у зібраному трафіку ще до розшифрування.

Картографування поверхні атаки: які канали перебувають під загрозою

Не кожен канал зв'язку однаково вразливий. Канали, що піддаються квантовому ризику, — це саме ті, що використовують криптографію з відкритим ключем для встановлення ключів сесії, оскільки алгоритм Шора атакує обмін ключами, а не симетричний шифр. Симетричне шифрування AES-256 вже є квантово-стійким (алгоритм Гровера вдвічі скорочує його ефективну довжину ключа до 128 біт, що все ще є обчислювально неможливим). Вразливості полягають у механізмах обміну ключами, що встановлюють ключ AES-сесії:

IP-over-radio VPN-тунелі. Тактичний IP-бекхол через супутниковий зв'язок, КХ або УКХ/ВКХ радіо зазвичай використовує WireGuard або IPsec VPN для забезпечення захищеного IP-оверлею. Протокол рукостискання WireGuard використовує X25519 ECDH для узгодження ключів. IPsec IKEv2 використовує ECDHE або DH-групи. Обидва вразливі до алгоритму Шора. Кожна WireGuard-сесія, встановлена через тактичне радіо сьогодні, записується і буде розшифрована ретроспективно.

C2 REST і WebSocket API. Системи командування і управління надають REST API та WebSocket-з'єднання операторам і автоматизованим споживачам. Ці з'єднання використовують TLS 1.3, який застосовує ECDHE для обміну ключами. Рукостискання при встановленні сесії є мішенню атаки: після відновлення ключа сесії весь прикладний трафік — оперативні накази, звіти про статус, геодані, токени автентифікації — стає доступним.

ISR-відеопотоки. Повнорухоме відео з UAV та інших ISR-платформ передається через RTSP, RTP/SRTP або WebRTC. Обмін ключами SRTP використовує DTLS, який застосовує ті самі механізми ECDHE, що й TLS. Відео у високій роздільній здатності, що ідентифікує місця цілей, патерни активності та оперативні операції, має дуже тривалий строк засекречення і є цінною HNDL-мішенню.

Конвеєри телеметрії та потокової передачі подій. Телеметрія сенсорів, оновлення стану поля бою та потоки тактичних дата-лінків дедалі частіше передаються через кластери Apache Kafka або NATS. З'єднання брокер-клієнт використовують TLS 1.3. У багатосайтових архітектурах міжкластерна реплікація також використовує TLS. Ці конвеєри несуть безперервні, високоточні оперативні картини, що є цінними як окремо, так і як історичний запис.

Шифрований IP-голос. IP-телефонні дзвінки з обміном ключами SDES-SRTP або ZRTP мають ту саму вразливість ECDH, що й відеопотоки. Голосовий трафік має нижчу пропускну здатність, але несе інформацію якості людської розвідки — намір командира, розмови з джерелами, технічні обговорення — що має дуже високу стратегічну цінність на байт.

Захист канального рівня: постквантовий WireGuard із ML-KEM

VPN-шлюз, що агрегує IP-over-radio-з'єднання, є точкою з найбільшим важелем для постквантового захисту. Єдине розгортання на шлюзі захищає всі підключені до радіо клієнти без необхідності змін мікропрограми або конфігурації на окремих радіокінцевих точках.

Протокол рукостискання WireGuard є елегантно мінімальним, що полегшує додавання постквантової інкапсуляції ключів. Проект Open Quantum Safe (liboqs) надає виробничо придатну C-бібліотеку, що реалізує алгоритми NIST PQC, включно з ML-KEM (FIPS 203, CRYSTALS-Kyber). Форк OQS-WireGuard патчує WireGuard-Linux для додавання гібридного постквантового рукостискання: поряд зі стандартним обміном ключами X25519 ECDH кожен вузол також виконує ML-KEM-768. Ключ сесії виводиться з результатів обох KEM за допомогою комбінованого HKDF. Ця гібридна конструкція означає, що сесія захищена, якщо залишається обчислювально безпечним хоча б X25519 або ML-KEM — вона не послаблює класичну безпеку, додаючи квантову стійкість.

Шлях реалізації для тактичного VPN-шлюзу: зберіть модуль ядра OQS-WireGuard для ядра вашої операційної системи шлюзу; налаштуйте вузли WireGuard з увімкненим гібридним рукостисканням; встановіть ML-KEM-768 як постквантовий KEM (відповідний вибір згідно з CNSA 2.0 — ML-KEM-1024 також доступний, якщо потрібна сувора відповідність CNSA 2.0); переконайтеся, що перехоплення пакетів рукостискання показує розширені поля key_share. Накладні витрати на рукостискання ML-KEM-768 на сесію становлять приблизно 2,3 КБ додаткового матеріалу обміну ключами — незначні порівняно з даними, переданими навіть у коротких сесіях.

Для розгортань IPsec IKEv2 із StrongSwan або подібними, проект strongSwan має підтримку PQC-плагіну для ML-KEM через liboqs. Шаблон конфігурації аналогічний: додайте постквантовий KEM-пропозал до списку пропозалів IKE SA поряд з наявною ECDHE-групою.

Прикладний рівень: постквантовий TLS 1.3 для C2 REST і WebSocket API

Постквантовий TLS 1.3 є найбільш зрілим шляхом постквантового розгортання і тим, що має найширшу підтримку бібліотек. Гібридна IETF-група обміну ключами X25519MLKEM768 (раніше відома як X25519Kyber768Draft00 під час стандартизації) поєднує X25519 ECDH із ML-KEM-768 в єдиному розширенні TLS key_share. Ця група підтримується в OpenSSL 3.x із liboqs, у BoringSSL та у гілці Rustls з постквантовою підтримкою. Cloudflare, Google та інші великі TLS-оператори вже розгорнули цей гібрид у виробничому середовищі у значних масштабах — алгоритм перевірений при великих обсягах трафіку.

Для C2-бекендів, написаних на Go, Java або Python, шлях міграції такий: оновіть бібліотеку TLS до версії з інтеграцією liboqs; встановіть пріоритет X25519MLKEM768 у переліку наборів шифрів перед класичними ECDHE-групами; налаштуйте сервер для оголошення гібридної групи в ServerHello; оновіть CI для запуску OQS test client проти сервера з підтвердженням гібридного узгодження. Для Java C2-додатків, що використовують криптографічний фреймворк JCA/JCE, провайдер Open Quantum Safe Java (oqs-provider) підключається до стандартного інтерфейсу JCA, мінімізуючи зміни на рівні додатку.

Автентифікація за сертифікатом — перевірка клієнтського і серверного сертифікатів TLS — сьогодні використовує підписи ECDSA або RSA. Міграція підписів сертифікатів на ML-DSA (FIPS 204, CRYSTALS-Dilithium) є масштабнішою зміною, що вимагає оновлення PKI. У перехідний період можна використовувати конфігурацію з двома алгоритмами: обмін ключами TLS є постквантовим (через гібридний ML-KEM), тоді як підписи сертифікатів залишаються ECDSA. Це забезпечує негайний HNDL-захист — оскільки саме обмін ключами, а не підпис сертифіката, є мішенню в атаках HNDL, — поки міграція PKI відбувається паралельно.

Примітка до реалізації: Обмін ключами TLS є мішенню HNDL, а не підпис сертифіката. Міграція до гібридного ML-KEM у вашому наборі шифрів TLS забезпечує негайний HNDL-захист ще до міграції PKI до постквантових підписів. Не чекайте завершення повної міграції PKI перед розгортанням постквантового TLS — це незалежні заходи з різними часовими горизонтами.

Потоковий рівень: постквантова телеметрія та ISR-конвеєри

Інфраструктура потокової передачі подій — кластери Apache Kafka, розгортання NATS JetStream — несе безперервні дані про стан поля бою, що мають як негайну тактичну цінність, так і довгострокову розвідувальну цінність як історичний запис. Постквантовий захист на потоковому рівні слідує тому ж шляху оновлення TLS, що й у C2 API, але з деякими операційними особливостями, притаманними потоковій передачі з високою пропускною здатністю.

Для Kafka TLS налаштовується окремо на прослуховувачі брокера, міжброкерній реплікації та з'єднаннях Kafka Connect worker. Кожне необхідно оновити окремо. На стороні брокера встановіть ssl.cipher.suites для включення гібридного набору шифрів ML-KEM і налаштуйте JVM з OQS-провайдером. На стороні виробника і споживача застосуйте ту саму конфігурацію набору шифрів у властивостях клієнта Kafka. У багатодатацентрових розгортаннях з реплікацією MirrorMaker 2 також оновіть конфігурацію TLS конектора MirrorMaker2 — тунелі міжсайтової реплікації несуть повні дані топіку і однаково вразливі.

Для ISR-відео рукостискання DTLS у WebRTC та RTSP/SRTP несе головний секрет SRTP, що захищає медіапотік. Оновлення стека DTLS медіа-ретранслятора або TURN-сервера для використання гібридного ML-KEM усуває HNDL-вразливість при обміні ключами. Для сценаріїв із дуже високими вимогами до надійності загорніть весь SRTP-потік у постквантовий VPN-тунель — ешелонований захист, що забезпечує захист навіть якщо оновлення DTLS ще не застосоване до конкретної кінцевої точки.

Читайте більше про захист потокового рівня в нашій статті про постквантову криптографію для оборони та CNSA 2.0, де розглядаються вибір алгоритмів та параметрів для потокової інфраструктури рівня NSS.

Тактичний радіошлях: поточні хвильові форми та майбутній напрям

Тактичний радіошлях становить відмінний виклик. Радіохвильові форми — SINCGARS, MUOS, SATURN, Link 16 та варіанти STANAG — вбудовують криптографічні примітиви в апаратні модулі безпеки або мікропрограму хвильових форм, які неможливо оновити лише через програмний патч. Пристрої шифрування NSA Type 1, що використовуються в цих хвильових формах, реалізують затверджені NSA класичні алгоритми апаратно. Міграція їх до постквантової криптографії вимагає або нової версії хвильової форми, сертифікованої за процедурою NSA Type 1, або апаратного оновлення з новими пристроями.

Обидва шляхи мають багаторічні строки реалізації. Процес сертифікації хвильових форм NSA для нового алгоритму займає не місяці. Програми апаратного оновлення розгорнутих флотів тактичного радіо тривають роками і потребують програмного бюджету. На поточному горизонті планування практичний підхід полягає не в очікуванні постквантових радіохвильових форм, а в забезпеченні того, щоб секретні дані, що передаються радіошляхом, шифрувалися ще до входу в радіосистему на вищому рівні. Підхід із постквантовим VPN-шлюзом із розділу про канальний рівень реалізує це правильно: IP-корисне навантаження захищається постквантово до того, як радіоканал шифрує його класичним шифруванням Type 1. Класичне шифрування радіоканалу є додатковим рівнем захисту, а не основним.

Програми повинні зафіксувати тактичний радіошлях як відомий квантово-вразливий сегмент у реєстрі ризиків системи з плановою датою апаратного оновлення та залежністю від сертифікації хвильових форм NSA. Це не прогалина, що підлягає негайному усуненню — це структурована стаття технічного боргу з відомим шляхом виправлення.

Для нових програмних закупівель вимагайте, щоб радіотермінали підтримували архітектури програмно визначеного радіо (SDR), здатні до оновлення хвильових форм у польових умовах, і визначайте підтримку постквантових хвильових форм як програмну вимогу з самого початку.

Порядок пріоритетності: максимальне зниження ризику наявними засобами

З огляду на складність реалізації та строки виконання, програми повинні пріоритизувати квантово-стійкий бойовий зв'язок у такому порядку:

1. C2 REST/WebSocket API. Найвища стратегічна цінність на байт трафіку, найлегше мігрувати (лише програмна зміна на сервері та клієнті), найшвидший час до розгортання. Ключовий матеріал сесій C2 API є найціннішою HNDL-мішенню — оперативні накази, токени автентифікації, позиційні дані. Мігруйте першими.

2. VPN-шлюзи, що агрегують IP-over-radio-з'єднання. Єдина точка концентрації трафіку, потужний важіль — одне розгортання захищає багато підпорядкованих кінцевих точок. Розгорніть гібридний WireGuard-шлюз негайно.

3. Конвеєри потокової передачі подій (Kafka, NATS). Великий обсяг даних, висока сукупна розвідувальна цінність як історичний запис. Оновлення TLS застосовується однорідно по всьому кластеру.

4. ISR-відео та SRTP-потоки. Тривалий строк засекречення, великий обсяг даних на потік. Оновлення DTLS плюс загортання у VPN як ешелонований захист.

5. Шифрований IP-голос. Менший обсяг даних, ніж відео, але висока розвідувальна щільність. Оновіть обмін ключами DTLS/SRTP на VOIP-інфраструктурі.

6. Тактичні радіохвильові форми. Найтриваліший строк реалізації, потребує апаратних дій та дій на рівні програми. Вирішуйте через попереднє шифрування на VPN-рівні зараз і плануйте апаратне оновлення на середньострокову перспективу.

Для більш широкого погляду на інтеграцію архітектури нульової довіри з постквантовою криптографією на периметрі мережі дивіться нашу статтю про архітектуру нульової довіри для військових мереж. Щодо шаблонів розгортання в тактичних середовищах з повітряним зазором дивіться розгортання програмного забезпечення для оборони в середовищах з повітряним зазором.

Corvus.Quantum: постквантова потокова передача для тактичних мереж

Corvus.Quantum — це компонент потокового рівня, який Corvus Intelligence розгортає в тактичних та наближених до периметра середовищах, що вимагають постквантової потокової передачі подій. Він надає захищену Kafka-сумісну шину подій із гібридним ML-KEM TLS, налаштованим "з коробки", контрольованою оператором ротацією ключів та підтримкою відключених і нестабільно підключених мережевих сегментів — загальна оперативна вимога в конфігураціях передового розгортання.

Потоковий рівень часто є останнім компонентом, що розглядається при постквантовій міграції, і першим, де накопичується HNDL-вразливість, оскільки телеметрія та потоки подій працюють безперервно та у великому обсязі. Corvus.Quantum усуває цю прогалину, надаючи брокер потокової передачі, що є постквантовим за замовчуванням — набір шифрів TLS, міжброкерна реплікація та з'єднання Kafka Connect worker — всі погоджують гібридний ML-KEM, а не класичний ECDHE, без необхідності індивідуального налаштування кожного компонента.

Corvus.Quantum пройшов перевірку в активних операційних середовищах в Україні, де постквантова стійкість потокової передачі є не вимогою відповідності, а операційною необхідністю. Можливості збору сигналів противника на цьому театрі є тривалими та технічно витонченими — модель загрози HNDL не є гіпотетичною для програм, що діють або готуються до змагань з рівним противником.

Corvus.Quantum забезпечує постквантову потокову передачу подій для тактичних та наближених до периметра середовищ — гібридний ML-KEM TLS налаштований за замовчуванням, перевірений в активних оперативних умовах із високим рівнем загроз. Якщо ваша програма бойового зв'язку розглядає постквантову міграцію для конвеєрів телеметрії та ISR-потоків, ми можемо розглянути архітектуру розгортання та шлях інтеграції з вашими існуючими C2 і сенсорними стеками.

Дізнатися про Corvus.Quantum →

Пов'язані статті

Постквантова криптографія для оборони: посібник із CNSA 2.0 — вибір алгоритмів, набори параметрів і часові рамки міграції до 2030 року для систем рівня NSS.
Архітектура нульової довіри для військових мереж — інтеграція безперервної верифікації з постквантовою безпекою транспорту на периметрі мережі.
Розгортання програмного забезпечення для оборони в середовищах з повітряним зазором — шаблони пакування, оновлення та розподілу ключів для розгортань без підключення до Інтернету.

Квантово-стійкий зв'язок для бойових мереж