Q-Day：один еще не наступивший день, но уже угрожающий настоящему?

Ли Цзянь｜Автор статьи

Последние исследования показывают, что количество квантовых бит, необходимых для взлома шифрования, снижается экспоненциально, в то время как возможности квантовых компьютеров растут экспоненциально, и временное окно для перехода на квантово-устойчивое шифрование может оказаться короче, чем предполагалось.

29 апреля, новый член Национальной академии наук США, теоретический компьютерный ученый Скотт Джоэл Ааронсон (Scott Joel Aaronson, род. 21 мая 1981) в своем блоге сообщил, что несколько ведущих экспертов по квантовым вычислениям сообщили ему, что дата Q-Day может наступить примерно в 2029 году[1].

Так называемый Q-Day — это прогноз, что в будущем квантовые компьютеры станут настолько мощными, чтобы взломать широко используемые сегодня системы шифрования, подорвать доверие, лежащее в основе работы банков, правительств, интернета, цифровых идентификаторов, облачных сервисов и блокчейна. Этот день — это Q-Day (Quantum Day).

Ааронсон предупреждает, что компании, организации, блокчейн или стандартизационные органы должны немедленно начать переход на эпоху квантонезависимого шифрования (quantum-resistant encryption).

Это предупреждение, хотя и опубликовано в личном блоге, обладает высокой ценностью для рекомендаций.

Глобальный институт рисков Канады (Global Risk Institute) в декабре 2024 года опубликовал «Отчет о временных рамках угроз квантовых технологий 2024» (Quantum Threat Timeline Report 2024[2]), в котором, основываясь на опросах экспертов, вероятность наступления Q-Day в течение десяти лет составляет 19% — 34%, а в течение двадцати лет — 60% — 82%. В последнем отчете за март 2025 года (Quantum Threat Timeline Report 2025[3]) вероятность наступления Q-Day в течение десяти лет оценивается в 28% — 49%, а в двадцатилетней перспективе — в 69% — 86%.

Результаты опросов экспертов о вероятности наступления Q-Day за последние годы. Источник: «Отчет о временных рамках угроз квантовых технологий 2025»

Это субъективные оценки отраслевых экспертов, но есть ли твердые исследования по этому вопросу?

Американская компания по исследованиям Форрестер (Forrester Research), в марте 2026 года выпустила доклад «Состояние квантовых вычислений 2026» (The State Of Quantum Computing, 2026[4]), в котором говорится, что Q-Day может наступить до 2030 года.

В отчете отмечается, что Q-Day приближается, и это обусловлено следующими тенденциями развития квантовых вычислений:

• Постоянное совершенствование алгоритмов, значительно снижающее аппаратные требования для взлома шифров.

• Постоянные прорывы в логических квантовых битах (Logical Qubits), и создание квантовых компьютеров с ошибкоустойчивостью переходит от теории к инженерии.

• Несколько компаний представили крупные дорожные карты по созданию масштабных квантовых компьютеров с ошибкоустойчивостью на различных технологических платформах.

(Слева) Идеальный квантовый компьютер предполагает наличие совершенных логических квантовых битов; (в центре) NISQ (шумные средние масштабы квантовых вычислений) использует физические квантовые биты, подверженные шумам/ошибкам (красный крест); (справа) квантовые компьютеры с ошибкоустойчивостью используют квантовую коррекцию ошибок, распределяя информацию логического бита по нескольким физическим квбитам, чтобы защитить ее от ошибок. Источник: wikicommons

За последний год развитие квантовых вычислений продолжилось в этом направлении, и одним из наиболее очевидных показателей является снижение количества квантовых бит, необходимых для взлома классических систем шифрования.

В мае 2025 года команда Google Quantum AI опубликовала статью, в которой говорится, что за счет улучшения алгоритмов и архитектур, взлом стандартов RSA-2048, используемых в онлайн-банках, электронной почте и цифровых сертификатах, потребует менее миллиона физических квантовых бит[5], что в двадцать раз меньше оценки 2019 года.

В феврале 2026 года австралийская стартап-компания Iceberg Quantum еще больше снизила необходимое число физических квантовых бит для взлома RSA-2048 до 100 тысяч.

Американский ученый-компьютерщик Питер Уиллистон Шор (Peter Williston Shor, род. 14 августа 1959) в 1994 году предложил алгоритм, позволяющий взломать асимметричные криптосистемы, основанные на факторизации и дискретных логарифмах (например, RSA, Диффи-Хеллман, эллиптические кривые). Этот алгоритм получил название алгоритм Шора. Он способен взломать все перечисленные системы, потому что все они сводятся к задаче поиска периода функции, что алгоритм Шора решает легко. Источник: Gemini, только для справки

В конце марта 2026 года были опубликованы две важные статьи, показывающие, что необходимое число квантовых бит для взлома RSA и эллиптических кривых значительно снизится.

Первая статья, опубликованная в arXiv (2603.28627[8]), из Калифорнийского технологического института, утверждает, что с помощью нейтральных атомных квантовых компьютеров потребуется всего несколько десятков тысяч квантовых бит для реализации алгоритма Шора и взлома эллиптических кривых за несколько дней. В пресс-релизе института говорится, что теоретически Q-Day может наступить уже к 2030 году.

Два ключевых элемента: RSA и ECC (эллиптические кривые) — обеспечивают безопасное соединение и аутентификацию. Источник: Gemini, изображение создано автоматически, содержание может быть неточным.

Команда Google Quantum AI совместно с исследователями из фонда Ethereum и Стэнфордского университета опубликовала белую книгу[10], в которой говорится, что с помощью сверхпроводниковых квантовых компьютеров потребуется менее 500 тысяч физических квантовых бит и более 1000 логических квбит для взлома эллиптических кривых за считанные минуты. Лучшие оценки на 2023 год — около 9 миллионов физических квантовых бит.

Работы Калифорнийского технологического института, хотя и требуют меньшего количества квантовых бит, отличаются медленной работой и сложностью реализации, тогда как работы Google требуют больше квантовых бит, но работают быстрее и имеют более зрелую инженерную базу.

Статьи Калифорнийского технологического института и Google вызвали волну волнения в блокчейн-сообществе[11], показав, что угроза квантовых компьютеров для криптовалют становится острой. Разработчики Ethereum уже начали масштабную работу по переходу на постквантовые алгоритмы, а некоторые известные личности призывают сообщество биткоина ускорить аналогичные меры.

30 марта 2026 года — это «день, ставший знаковым в области квантовых вычислений и криптографии»[7], написал эксперт по блокчейну Джастин Дрейк в соцсети X.

Стоит отметить, что в блоге Google было раскрыто, что, учитывая важность этого исследования, перед публикацией белой книги велись консультации с правительством, однако технические детали не разглашались, чтобы злоумышленники не использовали их[12]. Google также призывает другие команды по квантовым исследованиям следовать аналогичной практике.

Это лишь последние достижения за год, но если смотреть в более долгосрочной перспективе, прогресс квантовых вычислений за эти годы идет гораздо быстрее, чем ожидалось.

На следующем графике показана тенденция снижения числа квантовых бит, необходимых для взлома RSA-2048, и роста числа квантовых бит в крупнейших квантовых компьютерах: первое экспоненциально снижается, второе — экспоненциально растет.

Тенденция снижения числа физических квантовых бит для взлома RSA-2048 и роста числа квантовых бит в крупнейших квантовых компьютерах. Источник: Claude, создано автоматически

Хотя создание квантового компьютера, способного взломать классические системы шифрования, сталкивается с множеством инженерных трудностей, таких как необходимость высокой когерентности квантовых бит, точности операций и др., тенденция на графике показывает, что ранее казавшиеся недостижимыми аппаратные требования постепенно снижаются благодаря улучшениям алгоритмов, архитектур и технологий коррекции ошибок.

Если наступит Q-Day, что произойдет?

Что случится, если мы не подготовимся к Q-Day, и он наступит?

Как уже упоминалось, системы с открытым ключом на базе RSA и эллиптических кривых окажутся первыми, кто будет взломан квантовыми компьютерами, что разрушит основы аутентификации и цифровых подписей. При посещении банков, интернет-магазинов, электронной почты браузеры и сайты могут быть взломаны, а передаваемые данные — просмотрены злоумышленниками.

Угрозы безопасности квантовых компьютеров распространяются не только в интернете, но и в реальной жизни.

Злоумышленники смогут использовать квантовые компьютеры для взлома устройств интернета вещей, промышленных систем управления (ICS), встроенных систем, а также механизмов аутентификации, обмена ключами и цифровых подписей, что позволит им выдавать себя за легитимных управляющих центров, инженеров или обновлять вредоносное программное обеспечение, внедрять вредоносные прошивки, изменять рабочие данные, что в конечном итоге может привести к остановкам, ошибкам, повреждению оборудования, сбоям в общественных службах и даже авариям.

Пока Q-Day еще не наступил, угрозы уже есть

Тем не менее, даже сейчас угрозы для информационной безопасности, связанные с квантовыми вычислениями, уже реализуются. Это так называемая стратегия «сначала захватить, потом расшифровать» (harvest now, decrypt later, HNDL), когда злоумышленники собирают и хранят зашифрованные данные, чтобы в будущем, при наступлении Q-Day, взломать их с помощью квантовых компьютеров.

Данные, на которые нацелены HNDL, — это те, у которых «полураспад» ценности очень долгий, например:

• Государственные и военные тайны: списки разведчиков, стратегические запасы ресурсов, дипломатические тайны, медицинские карты высших руководителей, маршруты подводных лодок, чертежи новых боевых самолетов, планы размещения ядерных арсеналов.

• Бизнес и интеллектуальная собственность: рецепты и технологии новых лекарств, разработанных за миллиарды долларов, исходный код технологических гигантов, данные клиентов.

• Личная и семейная тайна: геномные данные, номера социального страхования, семейные истории болезней.

Поэтому ускорение перехода к постквантовым системам безопасности — это не только вопрос подготовки к Q-Day, но и защита текущих чувствительных данных.

Постквантовое шифрование****** (Post-quantum cryptography, PQC)******

В 2024 году Национальный институт стандартов и технологий США (NIST) выпустил первые стандарты постквантового шифрования — ML-KEM (FIPS 203), ML-DSA (FIPS 204) и SLH-DSA (FIPS 205)[19], что означает, что компании и правительства по всему миру получили «чертежи противодействия квантам», и переход на PQC переходит в стадию внедрения.

Многие ведущие технологические компании США также готовятся к эпохе постквантового шифрования. Например, последние версии браузеров Google Chrome, Microsoft Edge, Mozilla Firefox[20], а также поставщик инфраструктуры Cloudflare[21] уже внедрили алгоритмы PQC. Однако для полной защиты необходимо, чтобы все компоненты — сайты, внутренние сети, API, приложения, сертификаты, подписи кода, прошивки, блокчейны — прошли миграцию на PQC. Если какой-либо этап не будет выполнен, это может стать уязвимостью.

Многие зарубежные мессенджеры уже реализовали переход на постквантовое шифрование, например, Apple в начале 2024 года обновила iMessage, внедрив протокол PQ3[22], Signal в 2023 году реализовал постквантовое шифрование для начальных этапов переписки[23], а к 2025 году — для долгосрочных сообщений[24]. Протокол Signal также используется в WhatsApp[25]. Эти приложения создали надежные барьеры против HNDL.

Некоторые российские компании, ориентированные на внутренний и международный рынок, также внедряют стандарты NIST, например, Alibaba Cloud[26], Tencent Cloud[27].

Конечно, стандарты NIST не являются единственно возможными. Например, в Китае разрабатывают собственные стандарты, отличные от американских. Во время сессии Всекитайского собрания народных представителей 2026 года академик-врач по криптографии Ван Сяоюнь заявил, что «в течение трех лет в Китае может быть принят полный национальный стандарт по постквантовой криптографии»[28]. Также Агентство национальной безопасности США (NSA) в 2022 году запустило комплект алгоритмов CNSA2.0 (Commercial National Security Algorithm Suite 2.0[29]), который устанавливает конечные сроки обновления сетевого оборудования, облачных сервисов и операционных систем — 2025–2030 годы. Эти обновления, хотя и предназначены для оборонных закупок, в конечном итоге распространятся и на гражданский сектор.

Не все области успеют подготовиться к Q-Day:

• Информация, уже захваченная HNDL-атакующими, может оставаться уязвимой, если злоумышленники не смогут ее расшифровать в будущем или ценность данных со временем снизится.

• Некоторые малые и средние предприятия, критическая инфраструктура, такие как водоканалы, региональные медицинские учреждения, производственные и сервисные компании, зачастую не имеют ресурсов для своевременного перехода на PQC.

• Старое оборудование, например, устройства интернета вещей или промышленные системы, зачастую не способны выполнить алгоритмы PQC из-за ограничений по памяти и вычислительным возможностям. Их придется заменять вручную или искать инновационные решения, что сложно реализовать в масштабах сотен миллиардов устройств, и в будущем возможны пробелы, используемые хакерами.

Даже если невозможно полностью перейти на PQC, можно снизить риски, усилив управление, например, физической изоляцией, использованием закрытых сетей, белых списков, ручным одобрением.

Заключение

Мы живем в городе из бетона и стали, но также — в невидимом городе, построенном из ключей, сертификатов, подписей и протоколов.

В этом городе нет стен, но есть шифры; нет рвов, но есть алгоритмы; нет стражей, но есть бесчисленные безопасные протоколы, которые работают молча. Они незаметны, но позволяют нам ежедневно переводить деньги, входить в системы, общаться, водить машину, лечиться, работать и жить.

На протяжении десятилетий криптография была тихой основой, поддерживающей процветание эпохи интернета. Перед угрозой Q-Day инженеры, криптографы, стандартизаторы, компании и правительства смогут преодолеть опасности, как это было при решении кризиса тысячелетней даты.

В один из будущих дней квантовые компьютеры могут стать настолько мощными, что взломают современные пароли. Тогда мы надеемся, что они откроют новые двери в медицине, материаловедении, климатологии, а не сломают старые замки, которые мы так и не успели починить.