Постквантовый TLS — это HTTPS, который остается защищенным даже от атакующего, располагающего мощным квантовым компьютером. Он заменяет математику, лежащую в основе современного обмена ключами (которую квантовый компьютер мог бы взломать), алгоритмами, специально разработанными для противодействия квантовым атакам.
Это не далекий научно-исследовательский проект. По состоянию на середину 2026 года более 65% веб-трафика, создаваемого людьми и проходящего через Cloudflare, уже шифруется постквантовыми алгоритмами, а Chrome, Edge и Firefox по умолчанию согласуют квантово-устойчивый обмен ключами всякий раз, когда сервер это поддерживает. Если вы недавно заходили на Google в современном браузере, вы почти наверняка использовали постквантовый TLS, даже не заметив этого.
Почему классический TLS под угрозой
Современный TLS опирается на два вида математики с открытым ключом:
- Обмен ключами (ECDHE, с использованием X25519 или P-256) — согласует общий секрет по открытому каналу.
- Подписи (RSA, ECDSA) — подтверждают подлинность сертификата.
Оба механизма основаны на задачах, которые сложны для классических компьютеров — разложение больших чисел на множители (RSA) и дискретный логарифм на эллиптической кривой (ECC). Алгоритм Шора, запущенный на достаточно мощном квантовом компьютере, эффективно решает обе эти задачи. «Криптографически значимого квантового компьютера» (CRQC) пока не существует, но область развивается достаточно быстро, чтобы планирование сместилось с вопроса «если» к вопросу «когда».
Криптография с открытым ключом → объясняет основополагающую математику, которой угрожают квантовые компьютеры.
«Собрать сейчас, расшифровать потом» — почему это актуально уже сегодня
Может показаться, что спешить некуда: ни один квантовый компьютер сегодня не способен взломать TLS, так зачем переходить прямо сейчас?
Угроза называется «собрать сейчас, расшифровать потом» (harvest now, decrypt later, HNDL). Злоумышленник записывает ваш зашифрованный трафик сегодня и сохраняет его. Когда появится квантовый компьютер — возможно, в 2030-х годах — он задним числом расшифрует сохраненный трафик.
Из-за этого крайний срок для перехода на квантово-устойчивый обмен ключами наступает гораздо раньше появления самих квантовых компьютеров. Любые данные с длительным сроком конфиденциальности — медицинские карты, финансовые данные, государственные тайны, исходный код, учетные данные — нуждаются в квантово-устойчивом шифровании уже сейчас, потому что запись трафика уже ведется.
Обмен ключами — срочно. Подписи — менее срочно. Нельзя задним числом подделать подпись на трафике, который уже произошел: подпись должна стать квантово-устойчивой только до появления квантовых компьютеров, не раньше. Именно поэтому отрасль в первую очередь внедрила постквантовый обмен ключами.
Стандарты: ML-KEM и ML-DSA
В августе 2024 года NIST опубликовал первые финализированные постквантовые стандарты:
| Стандарт | Название | Роль | Что заменяет |
|---|---|---|---|
| FIPS 203 | ML-KEM (ранее Kyber) | Инкапсуляция ключей (обмен ключами) | Обмен ключами ECDHE / RSA |
| FIPS 204 | ML-DSA (ранее Dilithium) | Цифровые подписи | Подписи RSA / ECDSA |
| FIPS 205 | SLH-DSA (SPHINCS+) | Подписи на основе хеш-функций | Консервативный резерв для подписей |
ML-KEM (Module-Lattice Key Encapsulation Mechanism) — это тот самый алгоритм, который уже внедрен в TLS. Он выпускается в трех размерах: ML-KEM-512, ML-KEM-768 и ML-KEM-1024. ML-KEM-768 — оптимальный вариант, используемый в вебе.
Гибридный обмен ключами: X25519MLKEM768
Браузеры не отказываются от классической криптографии в одночасье, переходя на чистую постквантовую. Это было бы безрассудно: ML-KEM — новый алгоритм, и уязвимость в нем могла бы сломать всё. Вместо этого TLS 1.3 использует гибридный обмен ключами, который сочетает классический и постквантовый алгоритмы.
Именованная группа, которую вы увидите в 2026 году, — это X25519MLKEM768:
X25519MLKEM768 = X25519 (классический ECDHE) + ML-KEM-768 (постквантовый)
Два общих секрета конкатенируются (32 байта от X25519 + 32 байта от ML-KEM = объединенный секрет размером 64 байта) и подаются на вход в схему формирования ключей TLS.
Гарантия безопасности звучит как «защищено, если выдерживает хотя бы один из алгоритмов». Чтобы восстановить ключ сессии, атакующему придется взломать и X25519, и ML-KEM-768. Таким образом:
- Если в ML-KEM-768 обнаружится уязвимость → X25519 всё равно защитит вас (от классических атакующих).
- Если квантовый компьютер взломает X25519 → ML-KEM-768 всё равно защитит вас.
Именно из-за этой подстраховки «с двойным запасом» гибридный режим стал стандартом по умолчанию повсюду, а не чистый постквантовый.
Куда это встраивается в рукопожатие
Гибридный обмен ключами использует то же самое рукопожатие TLS 1.3, что описано в статье Что такое TLS 1.3 →. Единственное отличие — в key_share: сообщение ClientHello несет ключевую долю X25519MLKEM768 вместо обычной X25519. Ключи ML-KEM крупнее (~1.2 KB против 32 байт), поэтому ClientHello увеличивается примерно на килобайт — обычно это пренебрежимо мало, хотя иногда сообщение может выходить за границы пакета в сетях с ограничениями.
При этом по-прежнему обеспечивается прямая секретность →: новая пара ключей для каждого соединения, в постквантовом исполнении.
Что уже внедрено в 2026 году
| Компонент | Статус постквантовой поддержки (середина 2026) |
|---|---|
| Chrome / Edge | X25519MLKEM768 согласуется по умолчанию |
| Firefox | X25519MLKEM768 поддерживается и включен |
| Cloudflare | 65%+ трафика, создаваемого людьми, шифруется PQ; обмен ключами реализован |
| Предоставляет постквантовый обмен ключами | |
| AWS | ML-KEM в KMS, ACM, Secrets Manager; отказ от устаревшего Kyber в 2026 году |
| OpenSSL 3.5+ | Встроенная поддержка ML-KEM и X25519MLKEM768 |
| Java (SunJSSE) | X25519MLKEM768 включен по умолчанию |
Часть, которая еще не реализована в массовом масштабе, — это постквантовые сертификаты, то есть подписание сертификатов с помощью ML-DSA вместо RSA/ECDSA. Подписи и открытые ключи ML-DSA гораздо крупнее (килобайты против ~64 байт), что раздувает рукопожатие и нагружает ограничения на размер цепочки сертификатов. Cloudflare планирует внедрить ML-DSA на соединениях с origin-серверами к середине 2026 года и изучает Merkle Tree Certificates, чтобы удержать размер под контролем, рассчитывая достичь полной постквантовой защиты (включая аутентификацию) к 2029 году.
Как проверить, используете ли вы постквантовый TLS
В браузере
Откройте любой крупный сайт в Chrome → DevTools → вкладка Security → посмотрите детали соединения. Постквантовое соединение показывает обмен ключами вида X25519MLKEM768 (или X25519Kyber768 в более старых сборках).
С помощью OpenSSL 3.5+
openssl s_client -connect cloudflare.com:443 -groups X25519MLKEM768 2>/dev/null | grep -i "Negotiated TLS1.3 group"
# Ожидается: Negotiated TLS1.3 group: X25519MLKEM768
Если вы получаете ошибку или другую группу, значит, либо ваш OpenSSL старше версии 3.5, либо сервер пока не предлагает постквантовый обмен ключами.
Проверьте версию OpenSSL
openssl version
# Требуется: OpenSSL 3.5+ для встроенной поддержки X25519MLKEM768
Как включить это на своем сервере
Для большинства сайтов ответ прост — обновитесь и не отключайте это: постквантовый гибридный обмен ключами включается автоматически, как только ваш стек начинает его поддерживать.
Nginx / Apache
Постквантовый обмен ключами живет в вашей TLS-библиотеке, а не в конфигурации веб-сервера. Соберите или запустите ваш сервер на базе OpenSSL 3.5+ (или BoringSSL с поддержкой ML-KEM). После связывания X25519MLKEM768 предлагается автоматически наряду с X25519 — никаких новых директив не требуется. Не фиксируйте ssl_ecdh_curve на одной классической кривой, иначе вы исключите гибридную группу.
За CDN
Самый простой путь: разместите свой сайт за Cloudflare (или другим CDN с поддержкой PQC). Соединение от браузера до граничного сервера сразу становится постквантовым, без каких-либо изменений на вашем origin-сервере. Именно так большая часть из тех 65% трафика стала квантово-устойчивой — операторы вообще не трогали свои origin-серверы.
Ваш сертификат пока не меняется
Для постквантового обмена ключами вам не нужен новый сертификат. Ваш существующий сертификат RSA или ECC прекрасно работает: гибридный обмен ключами защищает сессию, а сертификат пока по-прежнему использует классические подписи. Постквантовые сертификаты (ML-DSA) — это отдельная, более поздняя миграция.
Часто задаваемые вопросы
Нужно ли покупать специальный «квантово-устойчивый сертификат»?
Нет. Постквантовый обмен ключами (самая срочная часть) вообще не затрагивает ваш сертификат — ваш текущий сертификат RSA/ECC продолжает работать. Любой, кто сегодня продает «квантово-устойчивый SSL-сертификат», в основном занимается маркетингом; промышленные постквантовые подписи (ML-DSA) публичные центры сертификации пока массово не выдают.
Постквантовый TLS работает медленнее?
Практически нет. ML-KEM-768 вычислительно быстр — зачастую быстрее, чем ECDHE. Основные затраты связаны с размером: более крупные ключевые доли добавляют к рукопожатию ~1 KB, что может стоить одного дополнительного обмена данными только в сетях с очень малыми ограничениями на размер пакетов. Для подавляющего большинства пользователей разница неощутима.
Когда квантовые компьютеры действительно взломают RSA?
Никто не знает. Достоверные оценки варьируются от начала 2030-х годов до «возможно, никогда в массовом масштабе». Но из-за стратегии «собрать сейчас, расшифровать потом» крайний срок внедрения постквантового обмена ключами уже наступил — именно поэтому браузеры и CDN перешли на него в 2024–2026 годах, а не стали ждать.
А как насчет TLS 1.2?
Постквантовый гибридный обмен ключами определен только для TLS 1.3. Это еще одна причина включить TLS 1.3 → — это единственный путь к квантово-устойчивому HTTPS. TLS 1.2 не получит постквантового обмена ключами.
ML-KEM — это то же самое, что Kyber?
Да — ML-KEM представляет собой стандартизированную NIST версию алгоритма, ранее называвшегося CRYSTALS-Kyber. Более старые сборки браузеров и инструменты показывают Kyber768; стандартизированные внедрения используют ML-KEM-768. Они тесно связаны, но не идентичны бит в бит, поэтому клиент на финальном стандарте и сервер на предстандартной версии могут не согласовать соединение. К 2026 году экосистема в основном перешла на финальный ML-KEM.
Нужно ли мне что-то делать прямо сейчас?
Для типичного сайта: убедитесь, что вы используете TLS 1.3, поддерживайте свою TLS-библиотеку в актуальном состоянии (OpenSSL 3.5+) и рассмотрите вариант CDN с поддержкой PQC, если вы работаете с долгоживущими конфиденциальными данными. Этого достаточно, чтобы получить квантово-устойчивый обмен ключами уже сегодня. Постквантовые сертификаты могут подождать, пока стандарты и инструментарий центров сертификации не станут зрелыми.