Ресурсные требования алгоритма Шора для факторизации RSA-2048 сократились на порядок величины менее чем за год

Шифрование, защищающее современную цифровую инфраструктуру, рухнет не в тот момент, когда будет построен квантовый компьютер. Оно рухнет в тот момент, когда противники приобретут достаточную квантовую вычислительную мощность для расшифровки уже собранных зашифрованных данных. Это временно́е обращение — угроза предшествует машине — определяет реальную структуру проблемы Q-Day и объясняет, почему разрыв в готовности, измеряемый сегодня, напрямую оборачивается нарушением безопасности, измеряемым в годах.

Механизм, находящийся под угрозой, не является экзотическим. Шифрование RSA, господствующий стандарт криптографии с открытым ключом, основан на единственной математической асимметрии: перемножить два больших простых числа вычислительно тривиально, однако извлечь эти множители из их произведения становится настолько сложнее при длинах ключей 2048 бит и более, что ни один классический компьютер не способен обратить эту операцию в практически обозримое время. Рукопожатие TLS, защищающее веб-трафик, удостоверяющие центры, аутентифицирующие личности, цифровые подписи, проверяющие финансовые транзакции — вся архитектура доверенной цифровой коммуникации держится на этой асимметрии.

Алгоритм Шора, формализованный в 1994 году, доказал, что квантовые вычисления полностью растворяют эту асимметрию. Используя квантовую суперпозицию и квантовые преобразования Фурье для нахождения периода функции модульной арифметики, кодирующей задачу факторизации, достаточно мощный квантовый компьютер мог бы восстанавливать закрытые ключи RSA за часы, а не за миллиарды лет, которые потребовались бы классической машине. Алгоритм известен уже три десятилетия. За последний год изменилась оценка ресурсов, необходимых для его выполнения.

Вам также может понравитьсяHexstrike-AI: Рассвет эры автономной эксплуатации уязвимостей нулевого дня

Аппаратные требования к криптографически значимому квантовому компьютеру были до недавнего времени настолько огромными, что функционировали как практический барьер. Ранние оценки помещали число физических кубитов, необходимых для факторизации RSA-2048, на уровне около миллиарда. К 2021 году Гидни и Экерё снизили эту оценку до примерно двадцати миллионов кубитов, работающих восемь часов — всё ещё далеко за пределами любой тогда существующей системы, но уже не астрономически. Затем, менее чем за двенадцать месяцев между 2024 и 2025 годами, три алгоритмических достижения обрушили оценку ещё на один порядок величины.

Первым стала реструктуризация способа выполнения модульного возведения в степень — центральной вычислительной операции в алгоритме Шора. Классический подход требовал квантовых регистров, достаточно больших для одновременного хранения 2048-битных целых чисел. Приближённая модульная арифметика, разработанная Шевиньяром, Фуке и Шроттенлоэром, заменила это сегментированным подходом, вычисляющим возведение в степень по частям с использованием значительно меньших регистров и допуская контролируемые ошибки, поддающиеся последующей коррекции. Квантовому компьютеру более не нужно держать всю задачу в памяти одновременно. Второе достижение устранило доминирующее узкое место стоимости в отказоустойчивых квантовых вычислениях: генерацию специальных квантовых ресурсных состояний, необходимых для некорректируемых по ошибкам операций вентилей. Выращивание магических состояний, разработанное в Google Quantum AI, выращивает состояния высокой точности из состояний более низкого качества при резко сниженных накладных расходах по сравнению с традиционной дистилляцией. Третье достижение, синтезированное в статье Крейга Гидни в 2025 году, объединило обе техники и сократило суммарное число требуемых операций вентиля Тоффоли примерно с двух триллионов до примерно 6,5 миллиарда — улучшение вычислительной эффективности более чем в сто раз.

Совокупный результат: факторизация RSA-2048 теперь представляется технически осуществимой примерно на миллионе физических кубитов в режиме работы около недели. Аппаратный разрыв между этим требованием и существующими системами остаётся реальным, однако траектория сжатия изменилась качественно. Сокращение с миллиарда до двадцати миллионов кубитов заняло двенадцать лет; сокращение с двадцати миллионов до менее чем миллиона заняло меньше одного года. Это ускорение и есть аналитически значимый сигнал.

Параллельные аппаратные достижения подкрепляют эту траекторию. Чип Willow компании Google, продемонстрированный в конце 2024 года, впервые экспериментально подтвердил, что квантовая коррекция ошибок способна подавить шум ниже порога поверхностного кода — физическое доказательство того, что шумовые предположения, лежащие в основе всех ресурсных оценок, физически достижимы. Опубликованная дорожная карта IBM проецирует первый крупномасштабный отказоустойчивый квантовый компьютер с примерно 200 логическими кубитами к 2029 году. Несколько независимых платформ продемонстрировали точность двухкубитных вентилей 99,9% и выше. Разрыв между теоретическими ресурсными требованиями и продемонстрированными аппаратными возможностями сжался с нескольких порядков величины до чего-то близкого к одному.

Это сжатие придаёт вещественную срочность угрозе, которая до сих пор трактовалась как удобно отдалённая: собирать сейчас, расшифровывать позже. Государственные и изощрённые негосударственные субъекты, годами собирающие зашифрованный сетевой трафик, располагают шифртекстами, которые станут читаемы в тот момент, когда будет существовать криптографически значимый квантовый компьютер. Надлежащий временно́й горизонт оценки риска Q-Day — не когда будут построены квантовые компьютеры, а как долго данные, шифруемые сегодня, должны оставаться конфиденциальными.

Криптографический ответ на эту угрозу имеет название, набор стандартов и временной график соответствия требованиям. Постквантовая криптография замещает задачи целочисленной факторизации и дискретного логарифма, лежащие в основе RSA и криптографии на эллиптических кривых, математическими структурами, считающимися стойкими к классическим и квантовым атакам. Основное семейство, принятое глобальными органами стандартизации, — криптография на решётках, основывающая безопасность на трудности задачи о кратчайшем векторе и связанных геометрических задачах в пространствах высокой размерности. В августе 2024 года NIST финализировал три постквантовых криптографических стандарта. В марте 2025 года пятым алгоритмом был выбран HQC в качестве альтернативы на основе кодов к ML-KEM.

Рекомендуем к прочтениюПризрак у власти: когда автономный ИИ опережает системы, созданные для его сдерживания

Наличие стандартов не решает проблему миграции. Оно её начинает. Криптографические переходы подобного масштаба исторически требовали от пятнадцати до двадцати лет для полного охвата инфраструктуры, а эта миграция структурно сложнее любого предшественника. Инфраструктура открытых ключей должна быть переработана на каждом уровне. Аппаратные модули безопасности, хранящие и управляющие ключами, должны быть заменены или обновлены; удостоверяющие центры должны выпустить новые иерархии учётных данных; реализации TLS на миллиардах конечных точек должны быть обновлены; протоколы, встроенные во встроенные системы, промышленную управляющую инфраструктуру и долгосрочные финансовые системы, должны быть проверены и заменены.

Россия обладает одной из глубочайших мировых традиций в математике, физике и криптографии — традицией, сформировавшей и продолжающей питать исследования в области теоретических основ вычислений и информационной безопасности. Задача постквантового перехода предстаёт здесь не только как инженерная, но и как фундаментальная математическая: нахождение задач, вычислительная трудность которых устойчива как к классическим, так и к квантовым алгоритмам, представляет проблему глубинной теории сложности. Регуляторная среда ответила сжатыми сроками, отражающими срочность аппаратной траектории. Требование NSA CNSA 2.0 предписывает, чтобы все новые системы национальной безопасности были квантово-защищены к январю 2027 года. Группа сотрудничества NIS Европейского союза опубликовала в 2025 году координированную дорожную карту реализации. Оценка квантовой готовности IBM Institute for Business Value 2025 года выявила глобальный средний балл всего 25 из 100.

Финансовый сектор сталкивается с особой сложностью. Глобальная банковская инфраструктура маршрутизирует транзакции через десятки тысяч криптографических конечных точек, при глубокой зависимости от аппаратных модулей безопасности, стеков платёжных протоколов и систем соответствия требованиям регуляторов, не проектировавшихся с учётом криптографической гибкости. Нормативное обязательство по миграции на PQC сталкивается с процессами управления изменениями, типично действующими на временных горизонтах в несколько лет даже для незначительных обновлений протоколов.

Практический совет, вытекающий из этого технического ландшафта, — не паника, а поэтапные, приоритизированные действия. Криптографическая инвентаризация — необходимое условие: организации не могут мигрировать то, что не могут обнаружить. Системы, обрабатывающие данные с длительными горизонтами конфиденциальности — засекреченные правительственные коммуникации, долгосрочные финансовые записи, медицинские данные, интеллектуальная собственность — должны быть приоритизированы для ранней миграции ещё до нормативного дедлайна. Гибридные криптографические развёртывания, сочетающие ML-KEM с классическими алгоритмами обмена ключами параллельно, предлагают практический мост: данные, защищённые гибридной схемой, требуют от противника одновременно взломать классическую и постквантовую компоненты, существенно повышая стоимость любой атаки по принципу «собери сейчас — расшифруй потом».

То, что алгоритмические достижения 2024 и 2025 годов принципиально изменили, — это распределение неопределённости вокруг Q-Day. Прежний консенсус удобно располагал криптографически значимые квантовые вычисления в 2030-х годах, с существенными доверительными интервалами, уходящими к 2040-м. Сжатие ресурсных оценок до менее миллиона кубитов в совокупности с дорожной картой IBM на 2029 год и экспериментальным подтверждением Google коррекции ошибок ниже порога сместили достоверные оценки значимо вперёд и сузили диапазон неопределённости.

Переход к постквантовой криптографии не завершается с развёртыванием алгоритмов на решётках. Он создаёт новую криптографическую поверхность, долгосрочная безопасность которой опирается на предположения о трудности геометрических задач в пространствах высокой размерности — предположения, выдержавшие десятилетия классического криптоанализа, но ещё не прошедшие испытание квантовыми компьютерами, которые в конечном счёте будут существовать в крупном масштабе. То, чего требует настоящий момент, — не уверенность в сроках зрелости квантовых вычислений, а трезвая оценка того, что означает строить институт, чья позиция безопасности по-прежнему основана на предположении о трудности факторизации больших простых чисел. У этого предположения есть дата истечения.

Похожие материалы

Гамбит «Ловца Солнца»: За кулисами плана Google по завоеванию будущего ИИ

Maestro: игра о дирижировании в VR получила DLC по «Звёздным войнам» и вышла на PSVR2

Алгоритмический спиритизм: скорбь, датаизм и смерть конечности

Destiny 2 раскрывает детали коллаборации с Lucasfilm Games в дополнении Renegades

Endflame анонсирует Silent Road: психологический хоррор в японских декорациях

Укрощение группового чата: как WhatsApp конструирует нашу цифровую социальную жизнь