Q-Day：ще не настав день, але вже загрожує зараз?

Лі Цзянь｜Автор статті

Останні дослідження показують, що кількість квантових бітів, необхідних для розкриття шифру, зменшується експоненційно, тоді як можливості квантових комп’ютерів зростають експоненційно, і часове вікно для завершення міграції квантового шифрування може бути коротшим, ніж ми очікували.

29 квітня, новий член Національної академії наук США, теоретичний комп’ютерний науковець Скотт Джоел Ааронсон (Scott Joel Aaronson, 21 травня 1981 —) у своєму блозі повідомив, що кілька провідних експертів з квантових обчислень у світі повідомили йому, що дата Q-Day може настати приблизно у 2029 році[1].

Під назвою Q-Day мається на увазі передбачення, що у майбутньому квантові комп’ютери стануть настільки потужними, що зможуть зламати сучасні широко використовувані системи шифрування, підірвавши довіру до банків, урядів, Інтернету, цифрової ідентифікації, хмарних сервісів та роботи блокчейну. Цей день — це і є Q-Day (Quantum Day).

Ааронсон попереджає, що компанії, організації, блокчейни або стандартизаційні органи мають негайно почати перехід до епохи квантово-стійкого шифрування (quantum-resistant encryption).

Це попередження, хоча й опубліковане з особистого блогу, має велику цінність для довідки.

Глобальний інститут ризиків Канади (Global Risk Institute) у грудні 2024 року опублікував «Звіт про часові рамки квантових загроз 2024» (Quantum Threat Timeline Report 2024[2]), у якому, ґрунтуючись на опитуванні експертів, ймовірність настання Q-Day протягом десяти років становить 19% — 34%, а протягом двадцяти років — 60% — 82%. У березні цього року був опублікований оновлений «Звіт про часові рамки квантових загроз 2025» (Quantum Threat Timeline Report 2025[3]), у якому ймовірність настання Q-Day протягом десяти років становить 28% — 49%, а протягом двадцяти — 69% — 86%.

Результати опитування експертів щодо ймовірності настання Q-day за роками у Глобальному інституті ризиків Канади. Джерело: «Звіт про часові рамки квантових загроз 2025»

Це — суб’єктивна оцінка галузевих експертів, але чи існують надійні дослідження, що підтверджують ці прогнози?

Американська компанія Forrester Research у березні 2026 року опублікувала звіт «Стан квантових обчислень 2026» (The State Of Quantum Computing, 2026[4]), у якому стверджується, що Q-Day може настати до 2030 року.

Звіт зазначає, що Q-Day наближається швидкими темпами, з огляду на такі тенденції розвитку квантових обчислень:

• Постійний прогрес алгоритмів, значне зниження апаратних бар’єрів для зламу шифру.

• Постійне проривне зростання логічних квантових бітів (Logical Qubits), з’являються протоколы з помилковою толерантністю, що переходять від теорії до інженерії.

• Кілька компаній розробляють великомасштабні маршрути для протоколів з помилковою толерантністю на різних технологічних шляхах.

(Зліва) Ідеальна модель квантових обчислень з досконалими логічними квантовими бітами; (посередині) NISQ (з шумами середнього масштабу квантові обчислення, з фізичними квантовими бітами, вразливими до шумів/помилок (червоні хрестики); (праворуч) протокол з помилковою толерантністю, що використовує квантове кодування для розподілу інформації логічного біту між кількома фізичними бітами, захищаючи її від окремих фізичних помилок. Джерело: wikicommons

За останній рік розвиток квантових обчислень за цими тенденціями триває, і одним із найочевидніших показників є зниження кількості квантових бітів, необхідних для зламу класичних систем шифрування.

У травні 2025 року команда Google Quantum AI опублікувала статтю, у якій повідомляється, що за допомогою покращених алгоритмів і архітектур зменшено кількість фізичних квантових бітів, необхідних для зламу RSA-2048, до менше ніж 1 мільйона[5], що у 20 разів менше за оцінки 2019 року.

У лютому 2026 року австралійська стартап-компанія Iceberg Quantum ще більше знизила цю кількість до 100 тисяч фізичних квантових бітів.

Американський комп’ютерний науковець Пітер Віллістон Шор (Peter Williston Shor, 14 серпня 1959 —) у 1994 році запропонував алгоритм, що використовує квантовий комп’ютер для зламу криптографії на основі факторизації та дискретних логарифмів (наприклад, RSA, протокол Діффі-Хеллмана, еліптичні криві), відомий як алгоритм Шора. Оскільки ці алгоритми базуються на математичних задачах, що зводяться до пошуку періоду функції, цей алгоритм може легко їх розв’язати. Джерело: Gemini, лише для довідки

30 березня 2026 року було опубліковано дві важливі статті, що демонструють значне зниження кількості квантових бітів, необхідних для зламу RSA та еліптичних кривих за допомогою алгоритму Шора.

Перша стаття з Каліфорнійського технологічного інституту (arXiv: 2603.28627[8]) стверджує, що використовуючи нейтральні атоми у квантових комп’ютерах, достатньо кількох десятків тисяч квантових бітів для реалізації алгоритму Шора і зламу еліптичних кривих за кілька днів. У прес-релізі Каліфорнійського інституту зазначається, що теоретично Q-Day може настати до 2030 року.

RSA та ECC (еліптична криптографія) — два основних механізми: встановлення безпечних з’єднань і підтвердження ідентичності. Джерело: Gemini, зображення створене автоматично, можливо, не зовсім точно, лише для довідки

Команда Google Quantum AI у співпраці з фондом Ethereum та дослідниками Стенфордського університету опублікувала білий документ[10], у якому стверджується, що використовуючи надпровідні квантові комп’ютери, потрібно менше 500 тисяч фізичних бітів і понад 1000 логічних бітів для зламу еліптичних кривих за кілька хвилин. Найкращі оцінки 2023 року — близько 9 мільйонів фізичних бітів.

Хоча робота Каліфорнійського інституту вимагає менше квантових бітів, вона повільніша і складніша у реалізації, тоді як робота Google потребує більше бітів, але швидша і більш зріла з технічної точки зору.

Статті Каліфорнійського інституту і Google викликали хвилю у криптосфері[11], що змусила її усвідомити, що квантові комп’ютери становлять серйозну загрозу для криптовалюти. Розробники Ethereum вже розпочали масштабний перехід на постквантові алгоритми, а деякі відомі особи закликають спільноту Bitcoin прискорити аналогічні заходи.

30 березня 2026 року — це «день історичного значення у галузі квантових обчислень і криптографії»[7], написав у Twitter експерт з блокчейну Джастін Дрейк.

Варто зазначити, що у блозі Google було повідомлено, що через важливість дослідження, перед публікацією білий документ був узгоджений з урядом, але технічні деталі не розкривалися, щоб уникнути зловмисних намірів[12]. Google також закликає інші дослідницькі групи дотримуватися подібної практики.

Це лише останні дослідження за рік, але якщо подивитися на довгострокову перспективу, швидкість прогресу квантових обчислень перевищує всі очікування.

Нижче показано тенденцію зниження кількості фізичних квантових бітів для зламу RSA-2048 і зростання кількості бітів у найбільших квантових комп’ютерах: перше експоненційно зменшується, друге — експоненційно зростає.

Тенденція зниження кількості фізичних квантових бітів для зламу RSA-2048 і зростання кількості бітів у найбільших квантових комп’ютерах. Джерело: Claude, створено автоматично

Хоча для створення квантового комп’ютера, здатного зламати класичні системи шифрування, потрібно подолати багато інженерних труднощів, таких як час когерентності, точність керування та інші, тенденція на графіку показує, що бар’єри у апаратному забезпеченні, які раніше здавалися неймовірними, поступово знижуються завдяки покращенню алгоритмів, архітектур і технологій корекції помилок.

Якщо настане Q-Day, що тоді?

Що станеться, якщо ми ще не підготувалися до Q-Day, і він настане?

Як уже згадувалося, системи шифрування на основі RSA та еліптичних кривих будуть першими, хто зазнає зломів квантовими комп’ютерами, і основи безпеки ідентифікації та цифрових підписів будуть зруйновані. Ви можете втратити безпечний канал із банками, інтернет-магазинами, поштовими сервісами — браузери і сайти можуть бути зламані, і ваші дані — логіни, замовлення, транзакції — можуть бути викрадені.

Загроза безпеки квантових комп’ютерів поширюється не лише в Інтернеті, а й у реальному житті.

Зловмисники зможуть використовувати квантові комп’ютери для зламу пристроїв Інтернету речей, промислових систем управління (ICS), вбудованих систем, механізмів аутентифікації, обміну ключами і підпису програмного забезпечення, видаючи себе за легальні контролери, інженерів або оновлення прошивки, що може призвести до відключень, неправильних дій, пошкоджень обладнання, перерв у громадських послугах і навіть аварій.

Ще до настання Q-Day, загрози вже існують

Навіть зараз, загроза безпеці інформації від квантових обчислень цілком можлива. Це — «збір і зберігання даних для подальшого розкриття (harvest now, decrypt later, HNDL)», тобто збір зашифрованих даних зараз, щоб у майбутньому, коли настане Q-Day, зламати їх за допомогою квантових комп’ютерів.

Дані, що мають тривалий «піврозпад», — це, наприклад:

• Державна і військова таємниця: глобальні розвідувальні мережі і агентурні списки, стратегічні ресурси, дипломатичні документи, медичні архіви керівників, маршрути підводних човнів, креслення нових бойових літаків, плани розміщення ядерної зброї.

• Бізнес і інтелектуальна власність: формули і технології нових ліків, розроблені за сотні мільйонів доларів, вихідний код технологічних гігантів, дані клієнтів.

• Особиста приватність: геномні дані, номери соціального страхування, родинна історія хвороб.

Тому прискорення переходу до постквантової безпеки — це не лише питання часу для Q-Day, а й для захисту актуальної конфіденційної інформації.

Постквантове шифрування****** (Post-quantum cryptography, PQC)******

У 2024 році Національний інститут стандартів і технологій США (NIST) опублікував перші стандарти постквантового шифрування — ML-KEM (FIPS 203), ML-DSA (FIPS 204) і SLH-DSA (FIPS 205)[19], що означає, що глобальні компанії і уряди отримали «план дій щодо протидії квантовим загрозам», і перехід до PQC перейшов у стадію впровадження.

Багато провідних американських технологічних компаній також готуються до епохи постквантового шифрування. Наприклад, нові версії браузерів Google Chrome, Microsoft Edge, Mozilla Firefox[20], а також провайдери інфраструктури Cloudflare[21] вже завершили розгортання алгоритмів PQC. Однак для забезпечення квантової безпеки потрібно, щоб усі сайти, внутрішні мережі, API, додатки, сертифікати, підписи коду, прошивки і блокчейн-підписи перейшли на PQC. Якщо будь-який ланцюг залишиться без оновлення, це може стати точкою вразливості.

Багато міжнародних чат-додатків вже перейшли на постквантове шифрування, наприклад, Apple у 2024 році оновила iMessage, запровадивши протокол PQ3[22], Signal у 2023 році впровадив постквантове шифрування для початкових повідомлень[23], а у 2025 році — для довгострокових історій переписки[24], і цей протокол використовується у WhatsApp[25]. Ці додатки вже створили високий бар’єр для HNDL.

Деякі китайські компанії, що обслуговують внутрішній і міжнародний ринок, також впроваджують стандарти NIST, наприклад, Alibaba Cloud[26], Tencent Cloud[27].

Звісно, стандарти NIST не є єдиним світовим рішенням, і Китай розвиває власні стандарти у напрямку, відмінному від американського. Під час сесії Всекитайського з’їзду у 2026 році депутат Національної народної асамблеї і експерт з криптографії Ван Сяоюнь заявила, що «протягом трьох років Китай має намір ухвалити повний національний стандарт постквантового шифрування»[28]. Крім того, ще у 2022 році Агентство національної безпеки США запустило пакет алгоритмів CNSA2.0 (Commercial National Security Algorithm Suite 2.0[29]), що встановлює кінцевий термін для оновлення мережевого обладнання, хмарних сервісів і операційних систем — 2025–2030 роки. Хоча ці оновлення стосуються військових закупівель, у майбутньому вони поширяться і на цивільний сектор.

Не всі сфери рухаються успішно, і у деяких галузях підготовка до Q-Day може бути дуже слабкою:

• Інформація, яка вже була перехоплена HNDL-злочинцями, може залишатися недоступною для розкриття, якщо зловмисники ще не мають достатніх ресурсів для розшифрування або цінність даних з часом зменшується.

• Малі і середні підприємства, критична інфраструктура, наприклад, місцеві водоканали, регіональні медичні заклади, невеликі виробничі або сервісні компанії, часто не мають достатніх ресурсів для швидкого оновлення систем і впровадження PQC.

• Старі фізичні системи (наприклад, пристрої Інтернету речей, промислові системи управління) часто не здатні працювати з PQC через обмежену пам’ять і обчислювальні ресурси, і їх потрібно замінювати вручну або шукати інноваційні рішення. Оскільки таких пристроїв у світі сотні мільярдів, це — величезна робота, і можливі пропуски, які зловмисники можуть використати для атак.

Навіть якщо не вдасться повністю перейти на PQC, можна знизити ризики за допомогою посилення управління, фізичної ізоляції, роботи у приватних мережах, використання білих списків, ручного контролю тощо.

Висновки

Ми живемо у місті з бетонних і залізобетонних будівель, але водночас — у безформному місті, побудованому з ключів, сертифікатів, підписів і протоколів.

Це місто без стін, але з паролями; без річки, але з алгоритмами; без охоронців, але з безліччю мовчазних захисних протоколів. Вони непомітні, але щодня дозволяють нам переказувати гроші, входити у системи, спілкуватися, керувати машинами, лікуватися і жити.

Протягом десятиліть криптографія була тихою опорою, що підтримувала розквіт Інтернету. Перед загрозою Q-Day інженери, криптографи, стандартисти, підприємства і уряди зможуть подолати цю кризу, як це було у 2000 році з проблемою «тисячолітньої помилки».

Можливо, колись квантові комп’ютери стануть настільки потужними, що зможуть зламати сучасні системи шифрування. Тоді ми сподіваємося, що вони відкриють нові двері у дослідження нових ліків, матеріалів, моделювання клімату — а не знімуть старі замки безпеки, які ми так і не змогли закрити.