Technologijos

Kvantiškai saugi post‑kvantinė kriptografija: kaip ją diegti internete

Išsamus, bet praktiškas gidas, kaip pasiruošti post‑kvantinei erai: nuo NIST standartų ir TLS iki realių žingsnių, kuriuos verslai gali padaryti jau dabar.
2026 26 balandžio

Kvantiškai saugi post‑kvantinė kriptografija: kaip ją diegti internete

Interneto saugumas šiuo metu remiasi matematika, kurią klasikiniai kompiuteriai laužtų milijonus metų. Tačiau kvantiniai kompiuteriai šią prielaidą griauna. Todėl prasidėjo skubus perėjimas prie post‑kvantinės kriptografijos – algoritmų, atsparių tiek klasikiniams, tiek būsimiems kvantiniams kompiuteriams.

Šiame straipsnyje draugiškai, bet tiksliai apžvelgsime, ką reiškia kvantiškai saugus internetas, ką jau nusprendė NIST, ir kokius konkrečius žingsnius šiandien turėtų daryti verslai, programuotojai ir IT skyriai.

Kodėl dabartinis šifravimas taps pažeidžiamas

Dabartinis interneto saugumas daugiausia remiasi dviem kriptografijos šeimomis:

  • Asimetrinė kriptografija – RSA, eliptinės kreivės (ECDSA, ECDH), kurios naudojamos TLS, HTTPS, skaitmeniniams parašams.
  • Simetrinė kriptografija – AES, ChaCha20 ir pan., naudojami duomenų srautui šifruoti po rakto apsikeitimo.

Kvantiniai kompiuteriai kelia grėsmę būtent asimetriniams algoritmams:

  • Shor algoritmo dėka RSA ir ECC tampa teoriškai laužomi per praktišką laiką.
  • Simetriniai algoritmai (pvz., AES) tampa silpnesni dėl Grover algoritmo, bet juos galima sustiprinti didinant rakto ilgį (pvz., AES‑256).

Didžiausia rizika – vadinamas „harvest now, decrypt later” scenarijus: užpuolikai jau šiandien gali kaupti užšifruotus srautus ir sertifikatais apsaugotus duomenis, kad ateityje, turėdami galingą kvantinį kompiuterį, juos iššifruotų. Tai ypač pavojinga:

  • medicinos ir sveikatos duomenims,
  • finansinei informacijai,
  • valstybės paslaptims ir kritinei infrastruktūrai.

Kas yra post‑kvantinė kriptografija

Post‑kvantinė kriptografija (PQC) – tai algoritmai, sukurti taip, kad būtų atsparūs tiek klasikinių, tiek kvantinių kompiuterių atakoms. Jie veikia klasikiniuose serveriuose ir naršyklėse – nereikia kvantinių įrenginių.

Šiuo metu pagrindinė kryptis – grotelinė (lattice‑based) kriptografija, tačiau yra ir kitų šeimų:

  • groteliniai algoritmai (lattices),
  • kodų teorijos algoritmai,
  • daugianarių polinomų schemos,
  • hash‑pagrįsti parašai.

Po kelerių metų analizės ir konkursų NIST jau atrinko pirmuosius standartus, kuriais turės remtis internetas.

NIST post‑kvantiniai standartai: ką turime 2024–2026 m.

JAV Nacionalinis standartų ir technologijų institutas (NIST) 2022–2024 m. paskelbė pirmąją post‑kvantinių algoritmų bangą. Svarbiausi interneto kontekstui:

Raktų apsikeitimas ir šifravimas

  • CRYSTALS‑Kyber – NIST pasirinktas pagrindinis post‑kvantinis raktų nustatymo (KEM) algoritmas. Tikėtina, kad būtent jis taps standartu TLS protokoluose.

Skaitmeniniai parašai

  • CRYSTALS‑Dilithium – pagrindinis bendros paskirties post‑kvantinis skaitmeninis parašas.
  • FALCON – efektyvesnis, bet sudėtingesnis įgyvendinti, tinkamas vietoms, kur svarbus mažas parašo dydis.
  • SPHINCS+ – hash‑pagrįstas parašas, atsarginis variantas, kai norima kuo mažiau prielaidų apie sudėtingus matematinius uždavinius.

NIST šiuos algoritmus jau judina link oficialių FIPS standartų. Tai reiškia, kad artimiausiais metais jie taps privalomi daugeliui valstybinių ir reguliuojamų sistemų, o paskui natūraliai persikels į plačiai naudojamus interneto protokolus.

Kaip post‑kvantinė kriptografija integruojama į internetą

Didžiausias iššūkis – ne pati matematika, o sklandus perėjimas. Internetas yra milžiniška, nevienalytė sistema: nuo naršyklių ir API iki IoT įrenginių. Todėl diegimas vyksta etapais.

1. Hibridinės schemos: senas + naujas kartu

Šiandien saugiausia praktika – naudoti hibridinius algoritmus, t. y. derinti klasikinį ir post‑kvantinį variantą:

  • TLS jungtyje naudojamas, pavyzdžiui, ECDHE + Kyber raktų apsikeitimas.
  • Sertifikatuose – ECDSA + Dilithium parašai.

Toks derinys užtikrina, kad:

  • jei post‑kvantinis algoritmas ateityje pasirodytų turintis spragų, saugumas vis dar laikosi ant klasikinio algoritmo;
  • jei klasikinius algoritmus nulauš kvantiniai kompiuteriai, saugumas liks dėl post‑kvantinio sluoksnio.

2. TLS 1.3 ir naujos šifravimo rinkinių (cipher suites) kartos

Šiandien dauguma modernių serverių ir naršyklių jau palaiko TLS 1.3. Tai gera žinia, nes:

  • TLS 1.3 turi aiškesnę, paprastesnę rankos paspaudimo (handshake) struktūrą.
  • Pridedant post‑kvantinį KEM (pvz., Kyber) reikia mažiau pakeitimų nei senojoje TLS 1.2 architektūroje.

Didieji žaidėjai (Cloudflare, Google, Mozilla, Microsoft) jau atliko bandymus su Kyber hibridiniais raktais HTTPS jungtyse. Rezultatai rodo:

  • užklausų delsa (latency) padidėja nežymiai;
  • didesni raktų ir parašų dydžiai labiau veikia tik labai apkrautas sistemas arba riboto pralaidumo tinklus.

3. Sertifikatų infrastruktūra (PKI) ir naršyklės

Norint, kad post‑kvantiniai parašai veiktų realiame internete, reikia atnaujinti:

  • sertifikatų išdavėjus (CA) – jie turi pradėti išduoti hibridinius arba PQC sertifikatus;
  • naršykles – jos turi suprasti naujus parašų tipus ir sertifikatų plėtinius;
  • operacines sistemas ir bibliotekas – OpenSSL, BoringSSL, WolfSSL ir kt. turi palaikyti PQC algoritmus.

Šis procesas jau prasidėjęs, bet iki pilno palaikymo praeis dar keleri metai. Todėl dabar geriausias pasirinkimas – hibridinis kelias.

Praktiški žingsniai verslui ir IT komandoms

Net jei jūsų organizacija dar nemato tiesioginės kvantinių kompiuterių grėsmės, delsti neapsimoka. Post‑kvantinis perėjimas truks metus, o kai kuriems sektoriams – dešimtmetį.

1. Inventorizuokite kriptografiją savo sistemoje

Pirmas žingsnis – sužinoti, ką naudojate. Sudarykite sąrašą:

  • kur naudojamas TLS (svetainės, API, vidiniai servisai);
  • kokie algoritmai aktyvūs (RSA, ECDSA, ECDH, AES ir pan.);
  • kur saugomi duomenys, kuriems reikalingas ilgas konfidencialumo laikotarpis (10+ metų);
  • kokie įrenginiai turi ribotus resursus (IoT, mobilūs, įterptiniai).

Be šio žemėlapio neįmanoma suplanuoti protingo perėjimo.

2. Pereikite prie TLS 1.3 ir šiuolaikinių bibliotekų

Jei dar naudojate TLS 1.2 ar senesnį, atnaujinimas – būtina sąlyga post‑kvantiniam diegimui. Rekomenduojama:

  • naudoti naujausias OpenSSL, BoringSSL, LibreSSL ar kitų bibliotekų versijas;
  • uždrausti pasenusius algoritmus (RSA key exchange, 3DES, RC4 ir pan.);
  • stebėti bibliotekų planus dėl PQC palaikymo (Kyber, Dilithium).

3. Testuokite hibridinius post‑kvantinius režimus

Nereikia laukti, kol kvantiniai kompiuteriai taps masiškai galingi. Jau dabar galima:

  • įjungti eksperimentinius PQC raktų apsikeitimus vidinėse testinėse aplinkose;
  • naudoti Cloudflare ar kitų tiekėjų siūlomus PQC demo režimus;
  • matuoti našumo, delstos ir tinklo apkrovos pokyčius.

Tokie bandymai padeda suprasti, kaip jūsų architektūra reaguoja į didesnius raktus ir parašus, ir kokių optimizacijų reikės.

4. Peržiūrėkite duomenų gyvavimo ciklą

Post‑kvantinė rizika labiausiai svarbi duomenims, kurie:

  • išlieka jautrūs ilgą laiką (10, 20 ar 30 metų);
  • yra saugomi arba perduodami užšifruoti šiandien.

Jei jūsų organizacija tvarko tokius duomenis, verta:

  • numatyti, kada ir kaip jie bus peršifruoti post‑kvantiniais algoritmais;
  • įvertinti, ar dabartinės raktų valdymo sistemos (KMS, HSM) bus pasirengusios PQC;
  • planuoti, kaip apsaugoti archyvinius backup’us ir ilgalaikius žurnalus.

5. Įtraukite post‑kvantinį saugumą į pirkimų ir sutarčių sąlygas

Dalis rizikos slypi ne jūsų, o tiekėjų ir partnerių sistemose. Nuo dabar verta įtraukti į:

  • RFP ir konkursus – reikalavimą turėti PQC diegimo planą;
  • sutartis – punktus dėl post‑kvantinio suderinamumo per artimiausius kelerius metus;
  • saugumo auditą – klausimus apie TLS, sertifikatus, raktų valdymą ir PQC pasirengimą.

Techniniai iššūkiai: ne tik didesni raktai

Post‑kvantinė kriptografija nėra tiesiog „didesnis RSA”. Ji turi savitų iššūkių, kuriuos turi žinoti architektai ir programuotojai.

Didesni raktai ir parašai

Palyginti su RSA ar ECC, daugelio PQC algoritmų:

  • viešieji raktai ir parašai yra kelis ar keliolika kartų didesni;
  • tai reiškia daugiau duomenų TLS rankos paspaudimo metu;
  • gali padidėti paketų fragmentacija ir TCP rankos paspaudimo skaičius.

Praktikoje tai dažniausiai priimtina, bet labai apkrautos sistemos (ypač mobiliuose tinkluose) turi tai įvertinti.

Našumas ir resursai

Dauguma NIST pasirinktų algoritmų yra pakankamai greiti serveriams ir desktop’ams, tačiau:

  • IoT ir įterptinės sistemos gali susidurti su CPU ir atminties ribojimais;
  • reikės specialių, optimizuotų bibliotekų silpnesniems įrenginiams;
  • HSM ir kriptografinės kortelės turės būti atnaujintos arba pakeistos.

Implementavimo saugumas

Nauji algoritmai – naujos klaidos. Net jei matematika tvirta, implementacijos gali būti pažeidžiamos:

  • šoninių kanalų atakoms (side‑channel),
  • laiko matavimo (timing) atakoms,
  • atsitiktinių skaičių generavimo klaidoms.

Todėl rekomenduojama naudoti plačiai audituotas bibliotekas ir vengti savarankiškų „naminių” PQC įgyvendinimų.

Reguliavimas ir standartizacija: kas laukia toliau

Post‑kvantinė kriptografija nėra tik technologinis klausimas – tai ir reguliacinis procesas.

Artimiausiais metais tikėtina:

  • oficialūs NIST FIPS standartai Kyber, Dilithium ir kitoms schemoms;
  • naujų ETSI, ISO, ENISA gairių dėl PQC diegimo Europos rinkoje;
  • nacionalinės kibernetinio saugumo agentūros (tarp jų ir Lietuvos) leis rekomendacijas kritinei infrastruktūrai;
  • bankų, sveikatos ir viešojo sektoriaus reguliuotojai pradės reikalauti post‑kvantinių planų ir terminų.

Organizacijos, kurios pradės ruoštis dabar, turės mažiau streso ir mažesnes sąnaudas, kai post‑kvantinės priemonės taps privalomos.

Išvados: kada laikas veikti?

Kvantiniai kompiuteriai, galintys praktiškai laužyti RSA ir ECC, dar nėra kasdienybė. Tačiau:

  • kriptografiniai perėjimai užtrunka 5–10 metų;
  • jautri informacija, kurią šifruojame šiandien, turi išlikti paslaptyje dešimtmečius;
  • NIST jau pasirinko pirmuosius standartus – tai aiškus signalas rinkai.

Todėl racionali strategija:

  • dabar – inventorizuoti, planuoti, testuoti hibridinius sprendimus;
  • per artimiausius 2–5 metus – palaipsniui diegti PQC į naujas ir kritines sistemas;
  • ilguoju laikotarpiu – visiškai pereiti prie kvantiškai saugių algoritmų, išlaikant galimybę keisti schemas, jei bus rasta naujų pažeidžiamumų.

Post‑kvantinė kriptografija nėra panika – tai natūrali interneto saugumo evoliucija. Kuo anksčiau pradėsite, tuo sklandesnis bus perėjimas.

DUK: kvantiškai saugi post‑kvantinė kriptografija

Ar man reikia post‑kvantinės kriptografijos jau dabar?

Jei tvarkote duomenis, kurių konfidencialumas turi būti išlaikytas 10 ar daugiau metų (medicina, finansai, valstybės paslaptys, ilgalaikiai kontraktai), atsakymas – taip, verta ruoštis dabar. Kitiems sektoriams rekomenduojama bent jau atlikti kriptografijos inventorizaciją ir stebėti NIST bei tiekėjų gaires.

Ar post‑kvantinė kriptografija sulėtins mano svetainę?

Pirmieji bandymai rodo, kad įprastoms svetainėms ir SaaS sistemoms skirtumas bus minimalus. Hibridiniai TLS raktų apsikeitimai šiek tiek padidina rankos paspaudimo dydį, bet vartotojai dažniausiai to nepastebi. Daugiau dėmesio reikės skirti itin apkrautoms sistemoms ir riboto pralaidumo tinklams.

Ar užteks pereiti prie AES‑256, kad būčiau saugus nuo kvantinių atakų?

Ne. AES‑256 padeda nuo kvantinių atakų prieš simetrinį šifravimą, tačiau didžiausia rizika slypi asimetriniuose algoritmuose (RSA, ECC), kurie naudojami raktų apsikeitimui ir skaitmeniniams parašams. Būtent jie turi būti pakeisti arba papildyti post‑kvantiniais algoritmais, tokiais kaip Kyber ir Dilithium.