A cryptography engineer’s perspective on quantum computing timelines

## Квантовая угроза: почему 2029-й может стать последним годом современной криптографии

Шутка «квантовые компьютеры всегда будут через 10 лет» ходила лет тридцать. Но в апреле 2026-го что-то сломалось.

За одну неделю вышли две научные работы, которые обрушили все прежние оценки. Google показал: атаковать популярные эллиптические кривые можно за минуты на современных сверхпроводниковых архитектурах.Oratomic довёл требования до 10 000 физических кубиков (квантовые биты — единицы информации в квантовом компьютере) на нейтральных атомах.

Для тех, кто не в теме: это как если бы сейсмологи сказали — землетрясение будет не через сто лет, а через три.

Где мы оказались

Филиппо Вальсорда — криптограф с именем из команды Go в Google (Filippo Valsorda on Bluesky), которая стоит за стандартами TLS и безопасностью веба — говорит прямо: его позиция изменилась за последние месяцы.

В чём суть? Раньше считалось, что для взлома 256-битных эллиптических кривых (P-256 и secp256k1 — основа всего интернета и большинства криптовалют) нужно порядка миллиона логических кубиков и безумное количество гейтов (операции/команды над кубиками). Теперь выяснилось: хватит гораздо меньше.

Google (Google Quantum AI) пересчитал требования в сторону драматического понижения.Oratomic (Oratomic) пошёл дальше — показал, что хватит всего 10 000 физических кубиков ценой большего времени.

Но подождите спешить с выводами «да ну ещё неизвестно когда».

Что это значит для каждого

Представьте все замки в интернете:

ЗАМКИ ИНТЕРНЕТА
══════════════
┌─────────────────────────────────────────────────┐
│ Банковские переводы    → RSA / EC               │
│ Пароли Госуслуг        → RSA / EC               │
│ Авторегистрация        → Цифровая подпись EC    │
│ Bitcoin/Ethereum      → ECDSA                  │
└─────────────────────────────────────────────────┘

Речь не про будущие угрозы «храните сейчас — расшифруем потом». Речь про активные атаки «человек посередине» (MitM). Злоумышленник может перехватить ваш трафик и подделать сайт банка так, что вы не заметите.

Это уже не игра в предсказания. Это вопрос вероятностей.

Когда ждать?

ПРОГНОЗЫ ЭКСПЕРТОВ ──▶
═════════════════════════════════════════════
     │          │
     │          ├─ Хизер Эдкинс:   2029 ───┤
     │          ├─ Софи Шмег:      2029 ───┤
     │          └─ Скотт Ааронсон: ~2030 ───┘
     │
     └─ RWPQC 2026 [конференция](https://pqc2026.de/) 
         прогнозы намного пессимистичнее,
         чем ещё пару лет назад.

Хизер Эдкинс и Софи Шмег (обе — признанные эксперты по безопасности) говорят: 2029 год. Это через ~33 месяца от апреля 2026-го.

Скотт Ааронсон (один из главных популяризаторов квантовых вычислений) предупреждает об ускорении по аналогии с Манхэттенским планом между 1939–1940 годами — тогда исследования резко ушли в закрытый режим.

Вот тут возникает соблазн сказать: «Ну мало ли что эксперты говорят? Раньше ошибались».

Но вот какая штука: ты играешь НЕ С ТЕМИ КАРТАМИ.

Bet «есть CRQC к 2030 году» vs bet «его НЕ будет». Второй вариант означает стопроцентную уверенность среди экспертов-прогнозистов.

Что делать конкретно?

Филиппо расписывает план действий:

ПЛАН МИГРАЦИИ ───────────────────────────────┐
                                             │
│ Для ключей    │ ML-KEM (гибридная схема)   │
│              │ уже хорошо идёт           │
├──────────────┼────────────────────────────┤
│ Для подписей │ ML-DSA вместо ECDSA       │
│              │ придётся менять X.509      │
├──────────────┼────────────────────────────┤
│ Гибридные    │ Потеряли смысл             │
│ схемы        │ из-за дефицита времени    │
└──────────────┴────────────────────────────┘

• ML-KEM (NIST Post-Quantum Cryptography Standards) — постквантовый алгоритм обмена ключами.
• ML-DSA — постквантовый алгоритм цифровой подписи.
• ECDSA (Elliptic Curve Digital Signature Algorithm) — алгоритм цифровой подписи на эллиптических кривых; используется в Bitcoin и Ethereum.
• X.509 сертификаты — цифровые паспорта сайтов; подтверждают, что сайт настоящий.
• Гибридные схемы «старый + новый» уже потеряли смысл; pure ML-DSA-44 теперь единственный вариант.

Хорошие новости

Симметричное шифрование (AES-128) НЕ требует апгрейда! Распространённый миф про удвоение до AES-256 основан на упрощённом понимании алгоритма Гровера.AES работает как раньше — спи спокойно.

Плохие новости

• Trusted Execution Environments (TEE, Intel SGX / AMD SEV-SNP) просто уничтожены этой ситуацией; все их ключи без PQ-защиты придётся списывать.TEE — защищённые области в процессоре для секретных вычислений.
• Криптосистемы идентичности типа atproto должны мигрировать очень быстро.atproto (Authenticated Transfer Protocol) — протокол децентрализованной идентичности от Bluesky; как ActivityPub, только лучше.
• File encryption особенно уязвим к «store now decrypt later»; скоро придётся отваливаться старым версиям без PQ-защиты ошибками авторизации.

Вывод

Филиппо говорит ключевую вещь: он начал преподавать студентам RSA (RSA) — алгоритм шифрования с открытым ключом) и ECDSA только как «наследие», legacy algorithmsБудущие специалисты столкнутся с ними именно так же, как мы сейчас сталкиваемся с FTP или HTTP без S — как исторический артефакт.

  idea ──▶ draft ──▶ review ──▶ publish

Ссылки

• A cryptography engineer’s perspective on quantum computing timelines