Постквантовая криптография в России 2026: стандарты ФСТЭК и внедрение PQC

📋 Кратко

Квантовые компьютеры достигли 1000+ логических кубитов — это делает RSA-2048 и ECC уязвимыми. ФСТЭК России и ТК 26 разрабатывают национальные стандарты постквантовой криптографии: проекты ГОСТ Р на KEM (на решётках), электронную подпись (на решётках и кодах) и хеш-подпись. В статье — детальный разбор российской PQC-нормативки, сравнение с NIST FIPS 203/204/205, дорожная карта 2026-2035 и шесть конкретных шагов для перехода организаций.

⏱ 9 минут чтения

Квантовые компьютеры больше не гипотетическая угроза. В 2025–2026 годах IBM, Google и IonQ достигли рубежа в 1000+ логических кубитов с коррекцией ошибок — этого достаточно, чтобы начать обратный отсчёт для RSA-2048 и ECC. Для России задача перехода на постквантовую криптографию стоит особенно остро: государственные информационные системы, электронная подпись, инфраструктура Госуслуг и критическая информационная инфраструктура (КИИ) — все они используют криптографию, которая станет уязвимой с появлением масштабируемого квантового компьютера.

ФСТЭК России и Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) начали работу над национальными стандартами постквантовой криптографии ещё в 2023 году. К середине 2026 года ситуация существенно продвинулась: опубликованы проекты ГОСТ Р на постквантовые алгоритмы, выпущены методические рекомендации по переходу, а несколько пилотных проектов уже внедряют гибридные PQC-схемы в ГИС федерального уровня. В этой статье — детальный разбор того, что происходит в России, как это соотносится с международными стандартами NIST и что делать организациям прямо сейчас.

⚠ Ключевые факты на 2026 год: ФСТЭК России выпустил проект методических рекомендаций по переходу на постквантовые алгоритмы. ТК 26 разрабатывает ГОСТ Р на три PQC-схемы: на решётках, на кодах и на хешах. Первый ГОСТ Р на шифрование (KEM) ожидается в 2026–2027 годах. Параллельно NIST уже стандартизировал ML-KEM (FIPS 203), ML-DSA (FIPS 204) и SLH-DSA (FIPS 205); Google Chrome, Cloudflare и AWS внедрили гибридные PQC-схемы в продакшен.
Угроза HNDL: данные перехватываются сегодня для расшифровки завтра
Угроза HNDL: данные перехватываются сегодня для расшифровки завтра

🇷🇺 Почему постквантовая угроза критична для России

Россия — одна из стран с наиболее интегрированной криптографической инфраструктурой. Электронная подпись на ГОСТ Р 34.10-2012 используется во всех государственных и корпоративных системах: от Госуслуг до банковского сектора и нотариата. Квантовый компьютер, способный взломать ECC (эллиптическую криптографию), сделает недействительными миллионы сертификатов электронной подписи, скомпрометирует TLS-соединения с ГИС и откроет доступ к архивам конфиденциальных данных.

Три группы алгоритмов ГОСТ Р для постквантовой криптографии
Три группы алгоритмов ГОСТ Р для постквантовой криптографии

Кроме того, существует угроза «Harvest Now, Decrypt Later» (HNDL) — злоумышленники уже сейчас собирают зашифрованный трафик, чтобы расшифровать его, когда квантовые компьютеры станут достаточно мощными. Для данных с длительным жизненным циклом (гостайна, персональные данные, банковская тайна, интеллектуальная собственность) это означает, что защита должна быть квантово-устойчивой уже сегодня.

По оценке Центра компетенций НТИ по направлению «Технологии доверенного взаимодействия», к 2027 году не менее 30% российских организаций из сектора КИИ должны начать пилотное внедрение постквантовых алгоритмов. С 2028 года ФСТЭК планирует сделать гибридные схемы обязательными для ГИС 1-го класса защищённости.

📊 Ключевая статистика: По данным исследования Центра компетенций НТИ, 68% российских компаний из сектора КИИ не имеют плана перехода на PQC. При этом 92% используют ГОСТ Р 34.10-2012 (эллиптическая криптография), который будет скомпрометирован квантовым компьютером с ~4000 логических кубитов — этот рубеж прогнозируется на 2029–2032 годы.

📋 Стандарты ФСТЭК и ТК 26: что уже сделано и в разработке

Разработка российских постквантовых стандартов ведётся в рамках Технического комитета по стандартизации ТК 26 «Криптографическая защита информации» при участии ФСТЭК России, ФСБ России, Академии криптографии РФ, МГУ, МФТИ и ведущих компаний — КРИПТО-ПРО, ИнфоТеКС, Лаборатории Касперского.

NIST против российских ГОСТ: два пути к постквантовым стандартам
NIST против российских ГОСТ: два пути к постквантовым стандартам

Проекты ГОСТ Р на постквантовые алгоритмы

На 2026 год ТК 26 опубликовал проекты трёх групп алгоритмов:

  • ГОСТ Р на постквантовую инкапсуляцию ключей (KEM) — на основе решёточных структур, аналог ML-KEM (Kyber). Ключевой алгоритм для замены TLS-рукопожатий и VPN. Финальная редакция ожидается в конце 2026 года.
  • ГОСТ Р на постквантовую электронную подпись — два варианта: на решётках (аналог ML-DSA/Dilithium) и на кодах (code-based, аналог Classic McEliece для подписей). Разработка ведётся параллельно с международной стандартизацией.
  • ГОСТ Р на хешевую электронную подпись — на основе российского стандарта хеширования ГОСТ Р 34.11-2012 («Стрибог»). Аналог SLH-DSA (SPHINCS+), но с использованием отечественной хеш-функции.

Методические документы ФСТЭК

ФСТЭК России в 2025–2026 годах выпустил несколько важных документов, регламентирующих переход на PQC:

  • Методические рекомендации по оценке криптографической стойкости в постквантовый период (2025) — документ, описывающий критерии оценки алгоритмов и сроки их замены.
  • Проект рекомендаций по поэтапному переходу на постквантовые криптоалгоритмы для ГИС и КИИ (2026) — дорожная карта с конкретными сроками для разных классов систем.
  • Требования к гибридным криптосхемам (2026, проект) — описание архитектуры комбинированного использования классических ГОСТ и постквантовых алгоритмов.
⚡ Сравнение: NIST vs Россия
KEM: ML-KEM (FIPS 203, 2024) → Проект ГОСТ на решётках (2026–2027)
Подпись (решётки): ML-DSA (FIPS 204, 2024) → Проект ГОСТ на решётках (2026–2027)
Подпись (хеши): SLH-DSA (FIPS 205, 2024) → Проект ГОСТ на основе «Стрибог» (2027–2028)
Доп. подпись: FN-DSA (FIPS 206, 2025) → Не аналога, рассматривается code-based подход
Размер ключа ML-KEM-512: 800 байт
Размер подписи ML-DSA: 2–4 КБ
Размер подписи SLH-DSA: до 50 КБ

🌐 NIST PQC vs Российские стандарты: ключевые различия

Несмотря на схожесть математических подходов, российская программа стандартизации PQC имеет принципиальные отличия от американской NIST:

Гибридная криптография: классический ГОСТ и постквантовый алгоритм вместе
Гибридная криптография: классический ГОСТ и постквантовый алгоритм вместе

Использование отечественных криптопримитивов

Российские алгоритмы надстраиваются поверх существующей системы ГОСТ. Вместо SHA-2/SHA-3 используется ГОСТ Р 34.11-2012 («Стрибог»), вместо AES — ГОСТ Р 34.12-2015 («Магма» и «Кузнечик»). Это означает, что даже если математическая конструкция PQC-алгоритма та же, что у NIST, реализация будет несовместима без дополнительного слоя конвертации.

Сроки и жёсткость требований

NIST действует по принципу рекомендаций: стандарты опубликованы, но внедрение оставлено на усмотрение рынка и отраслевых регуляторов. В России ФСТЭК планирует ввести обязательные требования к переходу на PQC для государственных информационных систем через механизм приказов (аналогично Приказу №117) — это сделает миграцию обязательной, а не добровольной.

Акцент на импортозамещение

Все российские PQC-решения должны использовать сертифицированные ФСТЭК и ФСБ средства криптографической защиты информации (СКЗИ). Иностранные реализации liboqs, OpenSSL и BoringSSL с PQC-патчами не могут быть использованы в ГИС и КИИ без прохождения сертификации в системе ФСТЭК/ФСБ.

🔄 Гибридные схемы: российский подход к плавному переходу

Как и в международной практике, российские регуляторы рекомендуют не прямой переход с классической криптографии на PQC «за один день», а использование гибридных схем (hybrid key exchange) в переходный период.

Четыре этапа перехода на постквантовую криптографию до 2035 года
Четыре этапа перехода на постквантовую криптографию до 2035 года

Гибридная схема в российской интерпретации — это комбинация:

  • Классический ГОСТ-алгоритм — ГОСТ Р 34.10-2012 для подписи или ГОСТ Р 34.10-2018/VKO для выработки общего ключа
  • Постквантовый алгоритм — будущий ГОСТ на решётчатый KEM или решётчатую подпись
  • Комбинированный результат — ключ или подпись, валидные только при корректной работе обоих алгоритмов

Достоинства гибридной схемы: даже если постквантовый алгоритм будет скомпрометирован, классическая криптография обеспечивает защиту, и наоборот. Кроме того, сохраняется совместимость с существующей инфраструктурой PKI (удостоверяющие центры, центры сертификации).

Первый российский пилот гибридной PQC-схемы был запущен в 2025 году на базе платформы КРИПТО-ПРО CSP с использованием экспериментального модуля постквантовой подписи. В 2026 году аналогичные пилоты проводят ИнфоТеКС (ViPNet PQC) и Лаборатория Касперского.

💡 Важно: Требования crypto-agility — способности криптосистемы быстро менять алгоритмы без изменения архитектуры — должны быть заложены на этапе проектирования новых СКЗИ и PKI-инфраструктуры. Невозможность замены алгоритма без замены оборудования — одна из главных ошибок при подготовке к PQC-миграции.

🗺 Дорожная карта миграции на PQC для российских организаций

На основе методических документов ФСТЭК и рекомендаций ТК 26 можно составить следующую дорожную карту перехода на постквантовую криптографию:

Шесть практических шагов для подготовки к PQC-миграции
Шесть практических шагов для подготовки к PQC-миграции
Период Действия Для кого обязательно
2026–2027 Инвентаризация криптографии, аудит ключей и сертификатов, пилотные проекты гибридных схем, разработка дорожной карты Организации КИИ, ГИС 1-го и 2-го классов (рекомендательно)
2027–2028 Утверждение ГОСТ Р на PQC, начало сертификации СКЗИ с PQC-модулями, развёртывание гибридных TLS/VPN пилотных зон ГИС 1-го класса (обязательно с 2028), ГИС 2-го класса (рекомендательно)
2028–2030 Массовое внедрение гибридных схем, переход к чистым PQC-алгоритмам для новых систем, обновление PKI-инфраструктуры Все ГИС, КИИ, банковский сектор (обязательно)
2030–2035 Полный переход на PQC, вывод из эксплуатации классических криптоалгоритмов для задач подписи и шифрования Все государственные и корпоративные системы (обязательно)

🛡 Шесть шагов для подготовки к PQC-миграции

Переход на постквантовую криптографию — процесс на 5–10 лет, но начать нужно уже сегодня. Вот конкретные шаги для организаций:

Главный риск: данные собирают сейчас, расшифруют через 5–7 лет
Главный риск: данные собирают сейчас, расшифруют через 5–7 лет
  1. Проведите инвентаризацию криптографии. Составьте полный реестр всех используемых криптоалгоритмов: TLS-сертификаты, электронные подписи, VPN-ключи, шифрование баз данных, HSM-модули. Для каждого элемента укажите тип алгоритма, длину ключа, срок действия сертификата, вендора и версию ПО.
  2. Определите критичные системы. Расставьте приоритеты: какие системы содержат данные с длительным жизненным циклом (персональные данные, банковская тайна, гостайна) и наиболее уязвимы для HNDL-атак. Они должны мигрировать в первую очередь — уже на этапе гибридных схем.
  3. Проверьте поддержку PQC у вендоров. Запросите у поставщиков СКЗИ (КРИПТО-ПРО, ИнфоТеКС, Систематика, Аладдин Р.Д.) дорожные карты PQC-сертификации. Убедитесь, что используемые HSM (Thales Luna 7+, Utimaco, nCipher, или российские аналоги) поддерживают обновление крипто-модулей без замены оборудования.
  4. Внедрите практику crypto-agility. На этапе проектирования или модернизации систем закладывайте возможность замены криптоалгоритмов через конфигурацию, а не через переписывание кода. Используйте крипто-провайдеры с абстракцией алгоритмов (CryptoAPI, PKCS#11, OpenSSL provider).
  5. Запустите пилот гибридной схемы. Выберите один некритичный сервис и настройте гибридную PQC-схему. Измерьте влияние на производительность: ML-KEM добавляет 2–5 мс к TLS-рукопожатию, ML-DSA увеличивает размер подписи в 2–4 раза по сравнению с ECDSA. Зафиксируйте метрики до и после.
  6. Следите за регуляторикой. Подпишитесь на обновления ТК 26, ФСТЭК России и ФСБ. Участвуйте в публичных обсуждениях проектов ГОСТ и методических документов — это позволит повлиять на сроки и требования до их утверждения.
📌 Ключевой срок: По оценке ФСТЭК, к 2028 году гибридные PQC-схемы станут обязательными для ГИС 1-го класса защищённости. Организации, не начавшие подготовку в 2026 году, рискуют столкнуться с дефицитом сертифицированных СКЗИ и квалифицированных специалистов в 2028–2029 годах.

📌 Выводы

Постквантовая криптография в России перешла из стадии обсуждения в стадию практической реализации. ТК 26 и ФСТЭК опубликовали проекты ГОСТ Р и методические рекомендации, первые пилоты гибридных схем запущены. Ключевое отличие российского подхода — обязательность требований для государственных систем и привязка к существующей инфраструктуре ГОСТ.

Организациям, особенно работающим с ГИС и КИИ, необходимо начать подготовку к PQC-миграции уже в 2026 году. Инвентаризация криптографии, внедрение практик crypto-agility и запуск пилотных проектов — три шага, которые не требуют откладывания. Те, кто начнёт сейчас, пройдут переход с минимальными затратами; те, кто отложит, рискуют столкнуться с жёсткими регуляторными сроками и дефицитом ресурсов.

Россия идёт по пути, схожему с международным (NIST, NCSC, BSI), но с существенными особенностями: собственные хеш-функции, обязательная сертификация, требования импортозамещения. Это означает, что просто скопировать международные решения не получится — нужны отечественные реализации, прошедшие сертификацию ФСТЭК/ФСБ. Но математическая основа — решётки, коды, хеши — едина для всего мира, и это позволяет использовать лучшие международные практики при разработке собственных стандартов.

⚠ Главный риск 2026 года: иллюзия, что «до квантового компьютера ещё далеко». Угроза HNDL действует уже сегодня — данные, собранные сейчас, будут расшифрованы через 5–7 лет. Если ваша информация сохраняет актуальность дольше этого срока, гибридное PQC-шифрование должно быть внедрено уже сегодня.

📚 Читайте также

📖 Термины

Pqc · Quantum Crypto · Шифрование

🔗 Источники