Skip to content
← Все статьи

Постквантовый TLS: что меняется в 2026

Коротко. Постквантовый TLS переводит обмен ключами на алгоритмы, устойчивые к квантовым компьютерам. Ключевой стандарт — ML-KEM (бывший Kyber, FIPS 203). В 2024–2025 годах Chrome и Firefox включили гибридную схему X25519MLKEM768, которая сочетает классический X25519 и постквантовый ML-KEM. Главная угроза, от которой защищает PQC, — атака «harvest now, decrypt later»: злоумышленник копит зашифрованный трафик сегодня, чтобы расшифровать его, когда появится мощный квантовый компьютер.

Почему квантовые компьютеры — угроза для TLS

Современный обмен ключами в TLS (ECDHE на X25519 или P-256) полагается на сложность дискретного логарифма. Алгоритм Шора на достаточно мощном квантовом компьютере решает эту задачу за полиномиальное время, обнуляя стойкость классической криптографии обмена ключами. Симметричное шифрование (AES) при этом остаётся относительно безопасным — достаточно удвоить длину ключа.

«Harvest now, decrypt later» означает, что данные с долгим сроком конфиденциальности — медицинские записи, гостайна, интеллектуальная собственность — нужно защищать постквантово уже сегодня, а не в день появления квантового компьютера.

Что такое ML-KEM

ML-KEM (Module-Lattice-based Key Encapsulation Mechanism) — это механизм инкапсуляции ключа на решётчатой криптографии, стандартизированный NIST как FIPS 203 в 2024 году. Он бывает трёх уровней стойкости:

  • ML-KEM-512 — уровень безопасности 1.
  • ML-KEM-768 — уровень 3, используется в гибриде X25519MLKEM768.
  • ML-KEM-1024 — уровень 5, максимальная стойкость.

Гибридный подход: лучшее из двух миров

Браузеры не доверяют PQC слепо — алгоритмы новые. Поэтому применяется гибрид: общий секрет вычисляется и через классический X25519, и через ML-KEM-768, а итоговый ключ — комбинация обоих. Если в ML-KEM найдут уязвимость, защита X25519 сохранит безопасность, и наоборот.

СхемаТипСтатус в 2026
X25519Классическая (ECDHE)Уязвима к квантовым атакам в будущем
ML-KEM-768ПостквантоваяFIPS 203, новый стандарт
X25519MLKEM768ГибридВключён в Chrome/Firefox по умолчанию

Что меняется для администраторов в 2026

Если ваш сервер не поддерживает гибридные группы, браузеры откатываются на классический X25519 — соединение не сломается, но постквантовой защиты не будет. Обновите OpenSSL/BoringSSL и стек TLS, включите поддержку X25519MLKEM768 в группах обмена ключами. Учтите: постквантовые ключи крупнее, ClientHello может превысить типичный размер пакета — проверьте, что промежуточное сетевое оборудование не режет крупные хендшейки.

Как проверить параметры TLS

Посмотреть согласованную группу обмена ключами можно через openssl s_client:

openssl s_client -connect example.com:443 -groups X25519MLKEM768 -tls1_3 </dev/null 2>/dev/null | grep -i "Negotiated\|Server Temp Key"

Для быстрой проверки доступных протоколов и шифров:

openssl s_client -connect example.com:443 -tls1_3 </dev/null 2>/dev/null | grep -E "Protocol|Cipher"

План перехода на PQC

  1. Инвентаризируйте, где используется TLS и какие данные требуют долгой конфиденциальности.
  2. Обновите криптобиблиотеки до версий с поддержкой ML-KEM.
  3. Включите гибридные группы обмена ключами на серверах.
  4. Проверьте совместимость с балансировщиками и WAF.
  5. Мониторьте срок действия и конфигурацию сертификатов.

FAQ

Нужно ли менять TLS-сертификаты на постквантовые?

Пока приоритет — постквантовый обмен ключами, а не подписи сертификатов. PQC-подписи в сертификатах стандартизируются медленнее; начните с гибридного обмена ключами.

Сломается ли соединение, если сервер не поддерживает ML-KEM?

Нет. Браузер откатится на классический X25519. Соединение установится, но без постквантовой защиты обмена ключами.

Что такое «harvest now, decrypt later»?

Это стратегия, при которой злоумышленник перехватывает и хранит зашифрованный трафик сейчас, чтобы расшифровать его в будущем квантовым компьютером.

Безопасен ли AES при квантовых компьютерах?

Относительно да. Алгоритм Гровера ускоряет перебор лишь квадратично, поэтому AES-256 остаётся стойким. Угроза в первую очередь для асимметричного обмена ключами.

Проверьте конфигурацию TLS своего сайта на SSL-чекере enterno.io — он показывает протоколы, шифры и срок действия сертификата. Пригодятся также сканер безопасности и проверка HTTP-заголовков с поддержкой HTTP/2 и HTTP/3.

Проверьте ваш сайт прямо сейчас

Проверить SSL своего сайта →
Другие статьи: SSL/TLS
SSL/TLS
Российские SSL-сертификаты и УЦ: что нужно знать
15.06.2026 · 85 просм.
SSL/TLS
Certificate Transparency Logs: обнаружение поддельных сертификатов и мониторинг домена
16.03.2026 · 217 просм.
SSL/TLS
Лучшие сервисы мониторинга SSL-сертификатов 2026
15.06.2026 · 37 просм.
SSL/TLS
Wildcard SSL-сертификаты: когда и как использовать
16.03.2026 · 139 просм.