В новостях периодически появляется тема «квантовые компьютеры сломают шифрование». Звучит пугающе. На деле всё сложнее. Расскажем, что это значит для VPN и когда стоит начать беспокоиться.

В чём угроза

Современная криптография держится на «сложных математических задачах»:

  • RSA, ECC — основа HTTPS и большинства VPN. Сложно факторизовать большие числа или вычислять дискретные логарифмы.
  • AES — симметричное шифрование, основа VPN-туннелей. Сложно перебрать 2^256 ключей.

«Сложно» для классических компьютеров — это «тысячи лет» вычислений. Поэтому шифрование надёжно.

Квантовые компьютеры используют принципы квантовой механики. Для определённых задач они в миллионы раз быстрее. В частности — для задач, на которых держится RSA и ECC.

Алгоритм Шора (1994) показал теоретически: квантовый компьютер с достаточным числом «кубитов» может факторизовать большое число за минуты. Это сломает RSA — основу почти всей современной криптографии.

А сейчас квантовые компьютеры есть?

Да, но небольшие. У IBM, Google, китайских лабораторий есть квантовые компьютеры на 100-1000 кубитов. Для взлома RSA-2048 нужно миллионы «логических» кубитов с коррекцией ошибок (что соответствует сотням миллионов «физических» кубитов).

Это пока не реально. Но прогресс идёт. Оценки:

  • 2025-2030: 1000-10 000 кубитов. Не угроза.
  • 2030-2040: возможно, появится «криптографически релевантный» квантовый компьютер.
  • 2040+: высокая вероятность.

То есть лет 10-15 у нас есть.

Что НЕ ломается квантом

AES-256. Симметричное шифрование. Квантовые компьютеры ускоряют перебор в корень из 2 раз, то есть AES-256 становится «всего» как AES-128 в эквиваленте. Это всё ещё непереборно. AES-256 будет безопасно даже после прихода квантов.

То есть VPN-туннель с AES-256 — устойчив. Но вот обмен ключами (initial handshake) — обычно через RSA / ECC. Это слабое звено.

«Harvest now, decrypt later»

Главная угроза сейчас — «собери сегодня, расшифруй потом». Государства могут уже сегодня записывать ваш зашифрованный трафик и хранить. Через 10-20 лет, когда появятся квантовые компьютеры, — расшифруют.

Для большинства людей это не страшно (кому интересны ваши разговоры 20 лет давности?). Но для:

  • Журналистов в режимах с долгой памятью.
  • Дипломатов.
  • Военных.
  • Серьёзного активизма.

...это уже актуальная проблема.

Post-quantum криптография

Учёные разрабатывают «постквантовую» криптографию — алгоритмы, устойчивые к квантовым атакам. В 2022 году NIST (стандартизирующая организация США) объявила первые кандидаты:

  • Kyber — для обмена ключами.
  • Dilithium — для цифровых подписей.
  • SPHINCS+ — резервный вариант подписей.

В 2024 году они стандартизированы. Сейчас идёт процесс внедрения в реальные протоколы.

Что делают компании

Большие — готовятся. Cloudflare, Google, Apple уже внедряют гибридные схемы: одновременно RSA + Kyber. Если RSA сломают — Kyber защитит.

VPN-сервисы массово ещё не перешли. Несколько лет назад начали:

  • OpenVPN — есть экспериментальная поддержка постквантовых алгоритмов.
  • WireGuard — обсуждается.
  • Платные VPN (NordVPN, ExpressVPN) — начинают добавлять.

Что у нас в AnonVPN

На сегодняшний момент мы используем стандартное TLS-шифрование. Постквантовая криптография — на радаре, мы её внедрим когда появится массовая поддержка в библиотеках, на которых работаем.

Для среднестатистического пользователя это не критично. Если ваша угроза — «правительство хочет читать мои письма через 20 лет» — тогда нужны специализированные постквантовые VPN. Их уже несколько на рынке.

Должны ли вы волноваться

Для большинства людей — нет. Квантовая угроза:

  • Не реальна сейчас (квантовых компьютеров мощных хватает только в лабораториях).
  • Не угрожает симметричному шифрованию (AES).
  • Не помешает читать YouTube или открывать Instagram через VPN.

Это техническая проблема будущего. Криптографы работают над ней с большим запасом времени.

Резюме

  • Квантовые компьютеры теоретически сломают RSA.
  • Реальная угроза — лет через 10-15.
  • AES-256 остаётся безопасным.
  • «Harvest now, decrypt later» — актуальная проблема для определённых людей.
  • Постквантовая криптография уже разрабатывается и стандартизирована.
  • Для обычных пользователей паника — преждевременная.