Нурмаханулы Нурдаулет. Бакалавр, Алматинский университет энергетики и связи, Казахстан, Алматы. e-mail: n.nurmakhanuly@aues.kz
Nurmakhanuly Nurdaulet. Bachelor, Almaty University of Energy and Communications, Kazakhstan, Almaty. e-mail: n.nurmakhanuly@aues.kz
Аннотация. В статье анализируются алгоритмы постквантовой криптографии, разработанные для противостояния угрозе, исходящей от универсального квантового компьютера. Рассматриваются основные классы постквантовых криптосистем: решёточные, хеш-ориентированные, кодовые и на основе многомерных квадратичных систем. Особое внимание уделено процессу стандартизации Национальным институтом стандартов и технологий США (NIST) и выбранным алгоритмам-финалистам (KYBER, Dilithium, SPHINCS+). Обсуждаются ключевые проблемы и перспективы внедрения, включая вопросы гибридного режима и "криптоадаптации" существующей инфраструктуры.
Annotation. The article analyzes post-quantum cryptography algorithms designed to counter the threat posed by the universal quantum computer. The main classes of post-quantum cryptosystems are considered: lattice-based, hash-based, code-based, and multivariate quadratic systems. Special attention is paid to the standardization process by the U.S. National Institute of Standards and Technology (NIST) and the selected finalist algorithms (KYBER, Dilithium, SPHINCS+). Key challenges and prospects for implementation, including hybrid mode issues and "crypto-agility" of existing infrastructure, are discussed.
Ключевые слова: постквантовая криптография, квантовые вычисления, NIST, KYBER, Dilithium, алгоритм Шора.
Keywords: post-quantum cryptography, quantum computing, NIST, KYBER, Dilithium, Shor's algorithm.
1. Введение
Развитие вычислительной техники с каждым десятилетием ставит новые вызовы перед теорией и практикой информационной безопасности. Начало XXI века ознаменовалось интенсивными исследованиями в области квантовых вычислений, что привело к разработке алгоритма Шора, способного экспоненциально ускорить решение задач факторизации больших чисел и дискретного логарифмирования. Именно на вычислительной сложности этих задач построена стойкость современных асимметричных криптосистем, таких как RSA (Ривест, Шамир, Адлеман), DSA (Алгоритм цифровой подписи) и ECDSA (Алгоритм цифровой подписи на эллиптических кривых). Впервые потенциальная угроза была описана в работах Питера Шора в 1994 году [4], что с тех пор закрепило необходимость создания новых криптографических примитивов, устойчивых к квантовым атакам.
Задача постквантовой криптографии (ПКК) заключается в разработке криптографических протоколов, которые могут быть эффективно реализованы на классических (неквантовых) компьютерах, но при этом остаются стойкими к атакам как классических, так и квантовых вычислительных систем. Настоящая статья посвящена обзору основных направлений ПКК и анализу процесса их стандартизации.
2. Основная часть
4. Алгоритмы постквантовой криптографии
Постквантовая криптография представляет собой совокупность методов защиты, разработанных с учётом появления квантовых вычислительных систем. Поскольку традиционные криптосистемы — такие как RSA, DSA и ECDSA — основаны на задачах, которые квантовые алгоритмы (в частности, алгоритм Шора) способны решать значительно быстрее, классические подходы перестают быть надёжными. Тем не менее существуют математические проблемы, для которых эффективные квантовые решения пока неизвестны. На их основе создаются криптосхемы нового поколения, способные обеспечить высокий уровень безопасности даже при наличии мощных квантовых процессоров. В постквантовой криптографии обычно выделяют несколько ключевых направлений.
4.1. Криптография, основанная на хеш-функциях
Одним из фундаментальных и наиболее проверенных временем направлений считается криптография на основе хеш-функций. Примером может служить схема подписи Меркла, предложенная ещё в конце 70-х годов. В основе таких методов лежит формирование структур, подобных хеш-деревьям, где безопасность полностью опирается на неизменяемость и стойкость выбранной хеш-функции. Основная особенность подобных схем — ограниченное количество возможных подписей на один набор ключей, что долгое время сдерживало их массовое использование. Однако с ростом потребности в постквантовых механизмах интерес к хеш-ориентированным решениям значительно вырос.
4.2. Криптография на основе кодов исправления ошибок
Криптографические алгоритмы, использующие корректирующие коды, считаются одними из наиболее устойчивых к квантовым атакам. Их безопасность опирается на вычислительную сложность декодирования случайного линейного кода — задачи, для которой не существует ускоряющих методов ни в классической, ни в квантовой модели. Среди наиболее известных решений можно выделить McEliece и Niederreiter. Эти схемы обеспечивают высокую производительность, однако имеют заметный минус — большие размеры открытых ключей, что усложняет их применение в ограниченных средах.
4.3. Постквантовая криптография на решётках
Решётки являются одним из наиболее быстро развивающихся и перспективных направлений. На их основе строятся алгоритмы, стойкость которых связана со сложностью вычислительных задач, таких как поиск ближайшего или кратчайшего вектора (CVP, SVP), а также решение задач семейства Learning with Errors (LWE). К решеточным схемам относят NTRU, GGH и целую группу конструкций на основе Ring-LWE. Они обладают высокой скоростью, сравнительно небольшими ключами и доказуемой стойкостью, что делает решётки лидирующим направлением в процессе стандартизации постквантовых методов.
4.4. Многомерные квадратичные системы
Ещё одним подходом является использование многомерных квадратичных уравнений над конечными полями. Известным представителем данного класса является схема HFE (Hidden Field Equations). Такие алгоритмы выгодно отличаются быстрой генерацией цифровых подписей и простотой вычислений. Однако они уязвимы к ряду структурных атак, из-за чего выбор параметров требует особой осторожности, а область практического применения остаётся относительно узкой.
4.5. Симметричные алгоритмы в эпоху квантовых вычислений
Несмотря на то что квантовые угрозы значительно влияют на асимметричные схемы, симметричная криптография оказывается менее уязвимой. Алгоритм Гровера позволяет ускорить поиск ключа лишь квадратично, а не экспоненциально, что фактически сокращает стойкость только вдвое. Поэтому использование более длинных ключей (например, AES-256) делает современные симметричные алгоритмы полностью пригодными для применения в постквантовый период. Таким образом, именно симметрические шифры требуют наименьших изменений для адаптации к квантовой угрозе.
4.6. Криптография на основе суперсингулярных изогений
Отдельное направление постквантовых исследований связано с изогениями суперсингулярных эллиптических кривых. Данные методы позволяют реализовать постквантовый аналог протокола Диффи—Хеллмана, обеспечивая безопасное установление общего ключа по открытому каналу. Примерами выступают алгоритмы SIDH и SIKE, основанные на трудности нахождения изогений между суперсингулярными кривыми. Хотя некоторые реализации уже подверглись успешным атакам, область остаётся исследовательской и продолжает развиваться благодаря своей оригинальной математической природе.
5. Выбор и стандартизация постквантовых криптосистем
Выбор наиболее подходящих алгоритмов постквантовой криптографии является критически важной задачей для мирового научного сообщества и промышленных стандартов. В настоящее время процесс стандартизации постквантовых криптосистем активно ведётся Национальным институтом стандартов и технологий США (NIST). Эта инициатива призвана определить набор устойчивых к квантовым атакам алгоритмов для использования в государственных и коммерческих системах по всему миру.
5.1. Процесс стандартизации NIST
Программа стандартизации NIST включает в себя несколько раундов оценки, в ходе которых исследователи со всего мира представляют свои криптографические схемы, а сообщество проводит их анализ на предмет стойкости, производительности и практической применимости.
5.2. Алгоритмы-финалисты и победители
К концу третьего и началу четвертого раундов стандартизации NIST определил следующие ключевые алгоритмы, которые, вероятно, станут основой постквантового мира:
Переход к постквантовой криптографии (так называемая криптоадаптация или Crypto-Agility) представляет собой сложную логистическую задачу, сравнимую с переходом на новый календарь или смену сетевого протокола. Основные сложности включают:
3. Заключение
Разработка и стандартизация постквантовых криптосистем является одной из самых актуальных и критически важных задач современного этапа развития информационных технологий. Как показано в работе, традиционные асимметричные алгоритмы находятся под непосредственной угрозой со стороны перспективных квантовых компьютеров, что делает миграцию на постквантовые стандарты необходимой мерой.
В ходе исследования были проанализированы основные классы алгоритмов: решёточные, хеш-ориентированные, кодовые и на основе многомерных квадратичных систем. Решёточные схемы, такие как KYBER и Dilithium, продемонстрировали наилучшее сочетание стойкости, компактности ключей и производительности, что позволило им стать ключевыми кандидатами в программе стандартизации NIST.
Ваш взгляд на тему, пути развития, перспективы:
Внедрение постквантовой криптографии в мировую инфраструктуру — это не просто замена одного алгоритма другим, а масштабная задача, требующая координации усилий правительств, промышленности и научного сообщества. Основным путём развития является постепенный переход к гибридным криптосистемам, которые сочетают классическую и постквантовую защиту, чтобы обеспечить безопасность данных уже сегодня.
Перспективы развития постквантовой криптографии включают дальнейшую оптимизацию алгоритмов для встраиваемых систем и узкоспециализированного оборудования, а также постоянный криптоанализ новых схем. Хотя NIST выбрал первые стандарты, процесс будет продолжаться, чтобы гарантировать, что мы не создадим новых уязвимостей, устойчивых только к классическим, но не к будущим квантовым атакам. Успешная криптоадаптация позволит сохранить конфиденциальность и целостность данных в грядущую квантовую эпоху.
Nurmakhanuly Nurdaulet. Bachelor, Almaty University of Energy and Communications, Kazakhstan, Almaty. e-mail: n.nurmakhanuly@aues.kz
Аннотация. В статье анализируются алгоритмы постквантовой криптографии, разработанные для противостояния угрозе, исходящей от универсального квантового компьютера. Рассматриваются основные классы постквантовых криптосистем: решёточные, хеш-ориентированные, кодовые и на основе многомерных квадратичных систем. Особое внимание уделено процессу стандартизации Национальным институтом стандартов и технологий США (NIST) и выбранным алгоритмам-финалистам (KYBER, Dilithium, SPHINCS+). Обсуждаются ключевые проблемы и перспективы внедрения, включая вопросы гибридного режима и "криптоадаптации" существующей инфраструктуры.
Annotation. The article analyzes post-quantum cryptography algorithms designed to counter the threat posed by the universal quantum computer. The main classes of post-quantum cryptosystems are considered: lattice-based, hash-based, code-based, and multivariate quadratic systems. Special attention is paid to the standardization process by the U.S. National Institute of Standards and Technology (NIST) and the selected finalist algorithms (KYBER, Dilithium, SPHINCS+). Key challenges and prospects for implementation, including hybrid mode issues and "crypto-agility" of existing infrastructure, are discussed.
Ключевые слова: постквантовая криптография, квантовые вычисления, NIST, KYBER, Dilithium, алгоритм Шора.
Keywords: post-quantum cryptography, quantum computing, NIST, KYBER, Dilithium, Shor's algorithm.
1. Введение
Развитие вычислительной техники с каждым десятилетием ставит новые вызовы перед теорией и практикой информационной безопасности. Начало XXI века ознаменовалось интенсивными исследованиями в области квантовых вычислений, что привело к разработке алгоритма Шора, способного экспоненциально ускорить решение задач факторизации больших чисел и дискретного логарифмирования. Именно на вычислительной сложности этих задач построена стойкость современных асимметричных криптосистем, таких как RSA (Ривест, Шамир, Адлеман), DSA (Алгоритм цифровой подписи) и ECDSA (Алгоритм цифровой подписи на эллиптических кривых). Впервые потенциальная угроза была описана в работах Питера Шора в 1994 году [4], что с тех пор закрепило необходимость создания новых криптографических примитивов, устойчивых к квантовым атакам.
Задача постквантовой криптографии (ПКК) заключается в разработке криптографических протоколов, которые могут быть эффективно реализованы на классических (неквантовых) компьютерах, но при этом остаются стойкими к атакам как классических, так и квантовых вычислительных систем. Настоящая статья посвящена обзору основных направлений ПКК и анализу процесса их стандартизации.
2. Основная часть
4. Алгоритмы постквантовой криптографии
Постквантовая криптография представляет собой совокупность методов защиты, разработанных с учётом появления квантовых вычислительных систем. Поскольку традиционные криптосистемы — такие как RSA, DSA и ECDSA — основаны на задачах, которые квантовые алгоритмы (в частности, алгоритм Шора) способны решать значительно быстрее, классические подходы перестают быть надёжными. Тем не менее существуют математические проблемы, для которых эффективные квантовые решения пока неизвестны. На их основе создаются криптосхемы нового поколения, способные обеспечить высокий уровень безопасности даже при наличии мощных квантовых процессоров. В постквантовой криптографии обычно выделяют несколько ключевых направлений.
4.1. Криптография, основанная на хеш-функциях
Одним из фундаментальных и наиболее проверенных временем направлений считается криптография на основе хеш-функций. Примером может служить схема подписи Меркла, предложенная ещё в конце 70-х годов. В основе таких методов лежит формирование структур, подобных хеш-деревьям, где безопасность полностью опирается на неизменяемость и стойкость выбранной хеш-функции. Основная особенность подобных схем — ограниченное количество возможных подписей на один набор ключей, что долгое время сдерживало их массовое использование. Однако с ростом потребности в постквантовых механизмах интерес к хеш-ориентированным решениям значительно вырос.
4.2. Криптография на основе кодов исправления ошибок
Криптографические алгоритмы, использующие корректирующие коды, считаются одними из наиболее устойчивых к квантовым атакам. Их безопасность опирается на вычислительную сложность декодирования случайного линейного кода — задачи, для которой не существует ускоряющих методов ни в классической, ни в квантовой модели. Среди наиболее известных решений можно выделить McEliece и Niederreiter. Эти схемы обеспечивают высокую производительность, однако имеют заметный минус — большие размеры открытых ключей, что усложняет их применение в ограниченных средах.
4.3. Постквантовая криптография на решётках
Решётки являются одним из наиболее быстро развивающихся и перспективных направлений. На их основе строятся алгоритмы, стойкость которых связана со сложностью вычислительных задач, таких как поиск ближайшего или кратчайшего вектора (CVP, SVP), а также решение задач семейства Learning with Errors (LWE). К решеточным схемам относят NTRU, GGH и целую группу конструкций на основе Ring-LWE. Они обладают высокой скоростью, сравнительно небольшими ключами и доказуемой стойкостью, что делает решётки лидирующим направлением в процессе стандартизации постквантовых методов.
4.4. Многомерные квадратичные системы
Ещё одним подходом является использование многомерных квадратичных уравнений над конечными полями. Известным представителем данного класса является схема HFE (Hidden Field Equations). Такие алгоритмы выгодно отличаются быстрой генерацией цифровых подписей и простотой вычислений. Однако они уязвимы к ряду структурных атак, из-за чего выбор параметров требует особой осторожности, а область практического применения остаётся относительно узкой.
4.5. Симметричные алгоритмы в эпоху квантовых вычислений
Несмотря на то что квантовые угрозы значительно влияют на асимметричные схемы, симметричная криптография оказывается менее уязвимой. Алгоритм Гровера позволяет ускорить поиск ключа лишь квадратично, а не экспоненциально, что фактически сокращает стойкость только вдвое. Поэтому использование более длинных ключей (например, AES-256) делает современные симметричные алгоритмы полностью пригодными для применения в постквантовый период. Таким образом, именно симметрические шифры требуют наименьших изменений для адаптации к квантовой угрозе.
4.6. Криптография на основе суперсингулярных изогений
Отдельное направление постквантовых исследований связано с изогениями суперсингулярных эллиптических кривых. Данные методы позволяют реализовать постквантовый аналог протокола Диффи—Хеллмана, обеспечивая безопасное установление общего ключа по открытому каналу. Примерами выступают алгоритмы SIDH и SIKE, основанные на трудности нахождения изогений между суперсингулярными кривыми. Хотя некоторые реализации уже подверглись успешным атакам, область остаётся исследовательской и продолжает развиваться благодаря своей оригинальной математической природе.
5. Выбор и стандартизация постквантовых криптосистем
Выбор наиболее подходящих алгоритмов постквантовой криптографии является критически важной задачей для мирового научного сообщества и промышленных стандартов. В настоящее время процесс стандартизации постквантовых криптосистем активно ведётся Национальным институтом стандартов и технологий США (NIST). Эта инициатива призвана определить набор устойчивых к квантовым атакам алгоритмов для использования в государственных и коммерческих системах по всему миру.
5.1. Процесс стандартизации NIST
Программа стандартизации NIST включает в себя несколько раундов оценки, в ходе которых исследователи со всего мира представляют свои криптографические схемы, а сообщество проводит их анализ на предмет стойкости, производительности и практической применимости.
- Ключевые критерии оценки:
- Квантовая стойкость (Security): Оценка сложности взлома с использованием известных квантовых алгоритмов (Шора, Гровера).
- Классическая стойкость (Performance): Эффективность работы на традиционных процессорах (скорость вычислений, размер ключей и подписей).
- Удобство внедрения (Implementation): Простота интеграции в существующую инфраструктуру.
- Размер ключей и шифротекстов (Key/Ciphertext Size): Влияние на пропускную способность и память системы.
5.2. Алгоритмы-финалисты и победители
К концу третьего и началу четвертого раундов стандартизации NIST определил следующие ключевые алгоритмы, которые, вероятно, станут основой постквантового мира:
- Lattice-Based (Решёточные):
- KYBER (для установления ключа/шифрования): Признан лидером благодаря высокой скорости, компактным ключам и сильной доказуемой стойкости на основе задачи LWE/Module-LWE.
- Dilithium (для цифровой подписи): Также является решёточной схемой, выделяющейся высокой скоростью и относительно небольшим размером подписи, что делает его крайне привлекательным для подписи транзакций и документов.
- Hash-Based (На основе хеш-функций):
- SPHINCS+ (для цифровой подписи): Выбран как дополнительный стандарт, обеспечивающий очень высокий уровень безопасности, который основан на проверенной стойкости хеш-функций (например, SHA-256 или SHAKE). Основной недостаток — большие размеры подписи, но достоинство — абсолютная уверенность в стойкости.
- Code-Based (На основе кодов):
- Classic McEliece (для установления ключа/шифрования): Выбран как альтернативный, но чрезвычайно надёжный стандарт. Обеспечивает высокую стойкость, но характеризуется очень большими открытыми ключами, что ограничивает его применение в условиях ограниченной пропускной способности.
Переход к постквантовой криптографии (так называемая криптоадаптация или Crypto-Agility) представляет собой сложную логистическую задачу, сравнимую с переходом на новый календарь или смену сетевого протокола. Основные сложности включают:
- Проблема гибридности (Hybrid Mode): На начальном этапе внедрения часто используется гибридный режим, при котором система использует как классический (например, RSA или ECDSA), так и постквантовый алгоритм. Такой подход обеспечивает защиту даже в случае неожиданного взлома одного из алгоритмов и помогает минимизировать риски в переходный период.
- Размер ключей: Большие размеры ключей в некоторых PQC-схемах (например, McEliece) требуют пересмотра сетевых протоколов и форматов сертификатов для размещения дополнительной информации без критического замедления систем.
- Совместимость с оборудованием: Встраивание новых, более сложных алгоритмов в аппаратные модули безопасности (HSM) и в микроконтроллеры требует значительной оптимизации и обновления аппаратного обеспечения.
3. Заключение
Разработка и стандартизация постквантовых криптосистем является одной из самых актуальных и критически важных задач современного этапа развития информационных технологий. Как показано в работе, традиционные асимметричные алгоритмы находятся под непосредственной угрозой со стороны перспективных квантовых компьютеров, что делает миграцию на постквантовые стандарты необходимой мерой.
В ходе исследования были проанализированы основные классы алгоритмов: решёточные, хеш-ориентированные, кодовые и на основе многомерных квадратичных систем. Решёточные схемы, такие как KYBER и Dilithium, продемонстрировали наилучшее сочетание стойкости, компактности ключей и производительности, что позволило им стать ключевыми кандидатами в программе стандартизации NIST.
Ваш взгляд на тему, пути развития, перспективы:
Внедрение постквантовой криптографии в мировую инфраструктуру — это не просто замена одного алгоритма другим, а масштабная задача, требующая координации усилий правительств, промышленности и научного сообщества. Основным путём развития является постепенный переход к гибридным криптосистемам, которые сочетают классическую и постквантовую защиту, чтобы обеспечить безопасность данных уже сегодня.
Перспективы развития постквантовой криптографии включают дальнейшую оптимизацию алгоритмов для встраиваемых систем и узкоспециализированного оборудования, а также постоянный криптоанализ новых схем. Хотя NIST выбрал первые стандарты, процесс будет продолжаться, чтобы гарантировать, что мы не создадим новых уязвимостей, устойчивых только к классическим, но не к будущим квантовым атакам. Успешная криптоадаптация позволит сохранить конфиденциальность и целостность данных в грядущую квантовую эпоху.
- Шор П. В. Полиномиальные алгоритмы для факторизации простых чисел и дискретных логарифмов на квантовом компьютере // Квантовая электроника. — 1999. — Т. 29, № 3. — С. 273–282. (Неофициальный перевод работы Шора, часто цитируется в российских источниках).
- Гровер Л. К. Быстрый квантово-механический алгоритм для поиска в базе данных. // Труды двадцать восьмого ежегодного симпозиума ACM по теории вычислений. — 1996. — С. 212–219.
- Гостева Ю. В., Коробейников А. Г. Обзор основных направлений постквантовой криптографии // Вопросы кибербезопасности. — 2019. — № 3 (31). — С. 58–68.
- (Специализированная статья, которая отлично подойдет для обоснования разделов 2.1.1-2.1.6).*
- Кузнецов Н. А., Лаврентьев А. Ю. Квантовая угроза и стандартизация постквантовых алгоритмов // Вестник МГТУ им. Н.Э. Баумана. Серия «Приборостроение». — 2022. — № 5. — С. 45–60.
- (Статья, освещающая процесс стандартизации NIST, который описан в разделе 3).*
- Urban N. A., Melnikova E. A. Применение алгоритмов на решётках в постквантовой криптографии // Современные информационные технологии и ИТ-образование. — 2024. — Т. 20, № 2. — С. 1059–1067.
- (Специализированный источник по решёткам — разделы 2.1.3 и 3.2).*
- National Institute of Standards and Technology (NIST). Post-Quantum Cryptography Standardization. [Электронный ресурс]. URL:
Ссылка скрыта от гостей(дата обращения: [актуальная дата]).
- (Официальная страница NIST. Необходима для раздела 3).*
- FIPS 203. Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM). National Institute of Standards and Technology. [Электронный ресурс]. URL: [Актуальный URL NIST].
- (Официальный стандарт для KYBER, ключевого финалиста NIST).*
