Постквантовая криптография в России 2026: стандарты ФСТЭК и внедрение PQC
📋 Кратко
Квантовые компьютеры достигли 1000+ логических кубитов — это делает RSA-2048 и ECC уязвимыми. ФСТЭК России и ТК 26 разрабатывают национальные стандарты постквантовой криптографии: проекты ГОСТ Р на KEM (на решётках), электронную подпись (на решётках и кодах) и хеш-подпись. В статье — детальный разбор российской PQC-нормативки, сравнение с NIST FIPS 203/204/205, дорожная карта 2026-2035 и шесть конкретных шагов для перехода организаций.
⏱ 9 минут чтения
Квантовые компьютеры больше не гипотетическая угроза. В 2025–2026 годах IBM, Google и IonQ достигли рубежа в 1000+ логических кубитов с коррекцией ошибок — этого достаточно, чтобы начать обратный отсчёт для RSA-2048 и ECC. Для России задача перехода на постквантовую криптографию стоит особенно остро: государственные информационные системы, электронная подпись, инфраструктура Госуслуг и критическая информационная инфраструктура (КИИ) — все они используют криптографию, которая станет уязвимой с появлением масштабируемого квантового компьютера.
ФСТЭК России и Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) начали работу над национальными стандартами постквантовой криптографии ещё в 2023 году. К середине 2026 года ситуация существенно продвинулась: опубликованы проекты ГОСТ Р на постквантовые алгоритмы, выпущены методические рекомендации по переходу, а несколько пилотных проектов уже внедряют гибридные PQC-схемы в ГИС федерального уровня. В этой статье — детальный разбор того, что происходит в России, как это соотносится с международными стандартами NIST и что делать организациям прямо сейчас.
🇷🇺 Почему постквантовая угроза критична для России
Россия — одна из стран с наиболее интегрированной криптографической инфраструктурой. Электронная подпись на ГОСТ Р 34.10-2012 используется во всех государственных и корпоративных системах: от Госуслуг до банковского сектора и нотариата. Квантовый компьютер, способный взломать ECC (эллиптическую криптографию), сделает недействительными миллионы сертификатов электронной подписи, скомпрометирует TLS-соединения с ГИС и откроет доступ к архивам конфиденциальных данных.
Кроме того, существует угроза «Harvest Now, Decrypt Later» (HNDL) — злоумышленники уже сейчас собирают зашифрованный трафик, чтобы расшифровать его, когда квантовые компьютеры станут достаточно мощными. Для данных с длительным жизненным циклом (гостайна, персональные данные, банковская тайна, интеллектуальная собственность) это означает, что защита должна быть квантово-устойчивой уже сегодня.
По оценке Центра компетенций НТИ по направлению «Технологии доверенного взаимодействия», к 2027 году не менее 30% российских организаций из сектора КИИ должны начать пилотное внедрение постквантовых алгоритмов. С 2028 года ФСТЭК планирует сделать гибридные схемы обязательными для ГИС 1-го класса защищённости.
📋 Стандарты ФСТЭК и ТК 26: что уже сделано и в разработке
Разработка российских постквантовых стандартов ведётся в рамках Технического комитета по стандартизации ТК 26 «Криптографическая защита информации» при участии ФСТЭК России, ФСБ России, Академии криптографии РФ, МГУ, МФТИ и ведущих компаний — КРИПТО-ПРО, ИнфоТеКС, Лаборатории Касперского.
Проекты ГОСТ Р на постквантовые алгоритмы
На 2026 год ТК 26 опубликовал проекты трёх групп алгоритмов:
- ГОСТ Р на постквантовую инкапсуляцию ключей (KEM) — на основе решёточных структур, аналог ML-KEM (Kyber). Ключевой алгоритм для замены TLS-рукопожатий и VPN. Финальная редакция ожидается в конце 2026 года.
- ГОСТ Р на постквантовую электронную подпись — два варианта: на решётках (аналог ML-DSA/Dilithium) и на кодах (code-based, аналог Classic McEliece для подписей). Разработка ведётся параллельно с международной стандартизацией.
- ГОСТ Р на хешевую электронную подпись — на основе российского стандарта хеширования ГОСТ Р 34.11-2012 («Стрибог»). Аналог SLH-DSA (SPHINCS+), но с использованием отечественной хеш-функции.
Методические документы ФСТЭК
ФСТЭК России в 2025–2026 годах выпустил несколько важных документов, регламентирующих переход на PQC:
- Методические рекомендации по оценке криптографической стойкости в постквантовый период (2025) — документ, описывающий критерии оценки алгоритмов и сроки их замены.
- Проект рекомендаций по поэтапному переходу на постквантовые криптоалгоритмы для ГИС и КИИ (2026) — дорожная карта с конкретными сроками для разных классов систем.
- Требования к гибридным криптосхемам (2026, проект) — описание архитектуры комбинированного использования классических ГОСТ и постквантовых алгоритмов.
KEM: ML-KEM (FIPS 203, 2024) → Проект ГОСТ на решётках (2026–2027)
Подпись (решётки): ML-DSA (FIPS 204, 2024) → Проект ГОСТ на решётках (2026–2027)
Подпись (хеши): SLH-DSA (FIPS 205, 2024) → Проект ГОСТ на основе «Стрибог» (2027–2028)
Доп. подпись: FN-DSA (FIPS 206, 2025) → Не аналога, рассматривается code-based подход
Размер ключа ML-KEM-512: 800 байт
Размер подписи ML-DSA: 2–4 КБ
Размер подписи SLH-DSA: до 50 КБ
🌐 NIST PQC vs Российские стандарты: ключевые различия
Несмотря на схожесть математических подходов, российская программа стандартизации PQC имеет принципиальные отличия от американской NIST:
Использование отечественных криптопримитивов
Российские алгоритмы надстраиваются поверх существующей системы ГОСТ. Вместо SHA-2/SHA-3 используется ГОСТ Р 34.11-2012 («Стрибог»), вместо AES — ГОСТ Р 34.12-2015 («Магма» и «Кузнечик»). Это означает, что даже если математическая конструкция PQC-алгоритма та же, что у NIST, реализация будет несовместима без дополнительного слоя конвертации.
Сроки и жёсткость требований
NIST действует по принципу рекомендаций: стандарты опубликованы, но внедрение оставлено на усмотрение рынка и отраслевых регуляторов. В России ФСТЭК планирует ввести обязательные требования к переходу на PQC для государственных информационных систем через механизм приказов (аналогично Приказу №117) — это сделает миграцию обязательной, а не добровольной.
Акцент на импортозамещение
Все российские PQC-решения должны использовать сертифицированные ФСТЭК и ФСБ средства криптографической защиты информации (СКЗИ). Иностранные реализации liboqs, OpenSSL и BoringSSL с PQC-патчами не могут быть использованы в ГИС и КИИ без прохождения сертификации в системе ФСТЭК/ФСБ.
🔄 Гибридные схемы: российский подход к плавному переходу
Как и в международной практике, российские регуляторы рекомендуют не прямой переход с классической криптографии на PQC «за один день», а использование гибридных схем (hybrid key exchange) в переходный период.
Гибридная схема в российской интерпретации — это комбинация:
- Классический ГОСТ-алгоритм — ГОСТ Р 34.10-2012 для подписи или ГОСТ Р 34.10-2018/VKO для выработки общего ключа
- Постквантовый алгоритм — будущий ГОСТ на решётчатый KEM или решётчатую подпись
- Комбинированный результат — ключ или подпись, валидные только при корректной работе обоих алгоритмов
Достоинства гибридной схемы: даже если постквантовый алгоритм будет скомпрометирован, классическая криптография обеспечивает защиту, и наоборот. Кроме того, сохраняется совместимость с существующей инфраструктурой PKI (удостоверяющие центры, центры сертификации).
Первый российский пилот гибридной PQC-схемы был запущен в 2025 году на базе платформы КРИПТО-ПРО CSP с использованием экспериментального модуля постквантовой подписи. В 2026 году аналогичные пилоты проводят ИнфоТеКС (ViPNet PQC) и Лаборатория Касперского.
🗺 Дорожная карта миграции на PQC для российских организаций
На основе методических документов ФСТЭК и рекомендаций ТК 26 можно составить следующую дорожную карту перехода на постквантовую криптографию:
| Период | Действия | Для кого обязательно |
|---|---|---|
| 2026–2027 | Инвентаризация криптографии, аудит ключей и сертификатов, пилотные проекты гибридных схем, разработка дорожной карты | Организации КИИ, ГИС 1-го и 2-го классов (рекомендательно) |
| 2027–2028 | Утверждение ГОСТ Р на PQC, начало сертификации СКЗИ с PQC-модулями, развёртывание гибридных TLS/VPN пилотных зон | ГИС 1-го класса (обязательно с 2028), ГИС 2-го класса (рекомендательно) |
| 2028–2030 | Массовое внедрение гибридных схем, переход к чистым PQC-алгоритмам для новых систем, обновление PKI-инфраструктуры | Все ГИС, КИИ, банковский сектор (обязательно) |
| 2030–2035 | Полный переход на PQC, вывод из эксплуатации классических криптоалгоритмов для задач подписи и шифрования | Все государственные и корпоративные системы (обязательно) |
🛡 Шесть шагов для подготовки к PQC-миграции
Переход на постквантовую криптографию — процесс на 5–10 лет, но начать нужно уже сегодня. Вот конкретные шаги для организаций:
- Проведите инвентаризацию криптографии. Составьте полный реестр всех используемых криптоалгоритмов: TLS-сертификаты, электронные подписи, VPN-ключи, шифрование баз данных, HSM-модули. Для каждого элемента укажите тип алгоритма, длину ключа, срок действия сертификата, вендора и версию ПО.
- Определите критичные системы. Расставьте приоритеты: какие системы содержат данные с длительным жизненным циклом (персональные данные, банковская тайна, гостайна) и наиболее уязвимы для HNDL-атак. Они должны мигрировать в первую очередь — уже на этапе гибридных схем.
- Проверьте поддержку PQC у вендоров. Запросите у поставщиков СКЗИ (КРИПТО-ПРО, ИнфоТеКС, Систематика, Аладдин Р.Д.) дорожные карты PQC-сертификации. Убедитесь, что используемые HSM (Thales Luna 7+, Utimaco, nCipher, или российские аналоги) поддерживают обновление крипто-модулей без замены оборудования.
- Внедрите практику crypto-agility. На этапе проектирования или модернизации систем закладывайте возможность замены криптоалгоритмов через конфигурацию, а не через переписывание кода. Используйте крипто-провайдеры с абстракцией алгоритмов (CryptoAPI, PKCS#11, OpenSSL provider).
- Запустите пилот гибридной схемы. Выберите один некритичный сервис и настройте гибридную PQC-схему. Измерьте влияние на производительность: ML-KEM добавляет 2–5 мс к TLS-рукопожатию, ML-DSA увеличивает размер подписи в 2–4 раза по сравнению с ECDSA. Зафиксируйте метрики до и после.
- Следите за регуляторикой. Подпишитесь на обновления ТК 26, ФСТЭК России и ФСБ. Участвуйте в публичных обсуждениях проектов ГОСТ и методических документов — это позволит повлиять на сроки и требования до их утверждения.
📌 Выводы
Постквантовая криптография в России перешла из стадии обсуждения в стадию практической реализации. ТК 26 и ФСТЭК опубликовали проекты ГОСТ Р и методические рекомендации, первые пилоты гибридных схем запущены. Ключевое отличие российского подхода — обязательность требований для государственных систем и привязка к существующей инфраструктуре ГОСТ.
Организациям, особенно работающим с ГИС и КИИ, необходимо начать подготовку к PQC-миграции уже в 2026 году. Инвентаризация криптографии, внедрение практик crypto-agility и запуск пилотных проектов — три шага, которые не требуют откладывания. Те, кто начнёт сейчас, пройдут переход с минимальными затратами; те, кто отложит, рискуют столкнуться с жёсткими регуляторными сроками и дефицитом ресурсов.
Россия идёт по пути, схожему с международным (NIST, NCSC, BSI), но с существенными особенностями: собственные хеш-функции, обязательная сертификация, требования импортозамещения. Это означает, что просто скопировать международные решения не получится — нужны отечественные реализации, прошедшие сертификацию ФСТЭК/ФСБ. Но математическая основа — решётки, коды, хеши — едина для всего мира, и это позволяет использовать лучшие международные практики при разработке собственных стандартов.
📚 Читайте также
- Приказ ФСТЭК №117: новые требования безопасности IT-инфраструктуры — 2026
- Мошенники пугают блокировкой СБП: схема с кодами из СМС набирает обороты
- Первая полностью автономная атака ИИ: разведка, кража и шифрование без человека
- DeepSeek создал вымогательское ПО: как AI заражает Android за 5 минут
- Защита CI/CD пайплайнов: как предотвратить компрометацию поставки кода
📖 Термины
Pqc · Quantum Crypto · Шифрование
🔗 Источники
- NIST Post-Quantum Cryptography — официальный проект стандартизации PQC
- NIST releases first encryption tools to resist quantum computing — BleepingComputer
- UK urges critical orgs to adopt quantum cryptography by 2035 — BleepingComputer
- Технический комитет по стандартизации ТК 26 «Криптографическая защита информации»
- ФСТЭК России — официальный сайт, раздел методических документов