Обговорити проєкт
§ Стаття

Post-quantum криптографія: таймлайн міграції для держсектору

· · 6 хв читання · Blog

Перехід до постквантової криптографії (PQC) є критичним імперативом для державного сектору України, зумовленим не лише потенційною загрозою з боку квантових комп’ютерів, але й посиленням регуляторного тиску та ескалацією кіберзагроз у 2026 році. Поточна криптографічна інфраструктура, що базується на алгоритмах RSA та ECC, вразлива до атак з використанням алгоритму Шора, що може призвести до компрометації конфіденційності, цілісності та автентичності даних, накопичених за десятиліття. Забезпечення довгострокової безпеки даних, особливо для критичної інфраструктури та державних інформаційних систем, вимагає негайного планування та поетапної імплементації PQC рішень. Ця стаття окреслює архітектурні та операційні аспекти міграції, а також часові рамки, необхідні для досягнення криптографічної стійкості.

Потенційна загроза з боку квантових комп’ютерів вимагає від держсектору негайного планування переходу на постквантову криптографію. Це питання не лише технічне, а й стратегічне для забезпечення довгострокової безпеки даних. Сергій Балашук, Директор, ТОВ «Айкюжн ІТ»

ТОВ «Софтлайн ІТ», як розробник захищеної платформи UnityBaseDefense, усвідомлює критичність цього переходу. Архітектура UnityBaseDefense, що вже підтримує модулі криптографічної гнучкості та інтеграцію з апаратними модулями безпеки (HSM), проектується з урахуванням майбутніх PQC стандартів. Наша платформа орієнтована на забезпечення стійкості до квантових атак, що дозволяє державним органам та об’єктам критичної інфраструктури зберігати відповідність вимогам НД ТЗІ 2.5-004/005/010, ДСТУ 4145, NIS2 та ISO 27001 в умовах еволюції загроз.

Платформа UnityBaseDefense розробляється з урахуванням майбутніх PQC стандартів, забезпечуючи модульну гнучкість та інтеграцію з HSM. Це дозволяє державним органам зберігати відповідність вимогам безпеки в умовах еволюції загроз. Антон Марреро, Президент, Softline IT

Поточний статус стандартизації PQC та регуляторні вимоги

Станом на 2026 рік, процес стандартизації PQC алгоритмів Національним інститутом стандартів і технологій США (NIST) знаходиться у фінальній фазі. Після успішного завершення третього раунду відбору, NIST опублікував драфти FIPS 203 (CRYSTALS-Kyber для інкапсуляції ключів) та FIPS 204 (CRYSTALS-Dilithium для цифрових підписів), які є основними кандидатами для широкого впровадження. Очікується, що фінальні версії цих стандартів будуть затверджені до кінця 2026 року, а наступні алгоритми, такі як SPHINCS+ та Falcon, отримають свої FIPS у 2027–2028 роках. Європейський Союз через ENISA активно співпрацює з NIST, імплементуючи рекомендації PQC у свої фреймворки, що є критичним для забезпечення відповідності NIS2, яка набула чинності на початку 2026 року та вимагає посилення кіберстійкості критичної інфраструктури.

Відповідність регуляторним вимогам, таким як NIS2 та ISO 27001, стає ключовим фактором для критичної інфраструктури. Перехід на PQC є невід’ємною частиною цієї відповідності та стратегії кіберстійкості. Юрій Сивицький, Член Наглядової ради, Intecracy Group

Для України, крім міжнародних стандартів, важливим є відповідність національним вимогам, таким як ДСТУ 4145, що регламентує використання електронного цифрового підпису. Перехід на PQC вимагатиме перегляду та адаптації цих стандартів, а також створення національних рекомендацій щодо впровадження PQC, враховуючи специфіку державних інформаційних систем та критичної інфраструктури. Архітектура UnityBaseDefense розробляється з урахуванням можливості інтеграції як зі стандартами NIST, так і з національними криптографічними рішеннями, що забезпечує гнучкість та довгострокову відповідність.

Стратегія гібридної криптографії та криптографічної гнучкості

Повна одномоментна міграція на PQC є нереалістичною. Оптимальним підходом є впровадження гібридної криптографії, що поєднує класичні (наприклад, ECDH, EdDSA) та постквантові алгоритми. Це забезпечує безпеку навіть у випадку несподіваного зламу одного з алгоритмів або виявлення вразливостей у PQC-кандидатах. Гібридні схеми, такі як TLS 1.3 з Kyber-KEM у поєднанні з X25519, вже тестуються та демонструють практичну ефективність. Архітектурні рішення повинні забезпечувати криптографічну гнучкість (crypto-agility), дозволяючи швидку заміну або оновлення криптографічних примітивів без значних змін у базовій інфраструктурі. Це включає використання модульних криптографічних бібліотек (наприклад, OpenSSL з OQS-Provider), централізоване управління ключами (KMS) та апаратні модулі безпеки (HSM), що підтримують PQC алгоритми.

UnityBaseDefense реалізує принцип криптографічної гнучкості на рівні архітектури, дозволяючи адміністраторам системи динамічно конфігурувати використовувані криптографічні алгоритми для захисту даних у спокої та в русі. Це забезпечує можливість інтеграції нових PQC-алгоритмів одразу після їх стандартизації та адаптації до вимог національних регуляторів, мінімізуючи ризики та час простою.

Таймлайн міграції PQC для держсектору (2026–2035)

  1. 2026–2027: Фаза оцінки та пілотування.
    • Інвентаризація та класифікація: Ідентифікація всіх систем, що використовують криптографію, оцінка їхнього життєвого циклу даних та чутливості до квантових атак (класифікація за рівнем ризику). Фокус на даних з тривалим терміном зберігання (архіви, державні реєстри) та критичних комунікаціях.
    • Оцінка криптографічної гнучкості: Аналіз існуючих систем на предмет можливості оновлення криптографічних модулів. Визначення «криптографічно жорстких» компонентів, що потребують значних змін або заміни.
    • Пілотні проекти: Впровадження гібридних PQC-рішень у некритичних системах або тестових середовищах. Тестування продуктивності, сумісності та стійкості до атак. Використання Open Quantum Safe (OQS) бібліотек для експериментів.
    • Навчання персоналу: Підготовка IT-спеціалістів та архітекторів до роботи з PQC.
  2. 2028–2030: Фаза інтеграції та масштабування.
    • Оновлення інфраструктури: Масштабне впровадження гібридних PQC-рішень у критичні системи, що захищають конфіденційні державні дані та критичну інфраструктуру. Оновлення TLS/IPsec протоколів, VPN-шлюзів, систем аутентифікації (PKI, IdP).
    • Впровадження PQC у захищені інформаційні системи: Інтеграція PQC у розробку нових та оновлення існуючих захищених інформаційних систем, зокрема тих, що відповідають вимогам НД ТЗІ 2.5-004/005/010. UnityBaseDefense буде активно підтримувати ці процеси.
    • Управління ключами: Модернізація PKI та KMS для підтримки PQC-сертифікатів та ключів. Розгортання PQC-сумісних HSM.
    • Supply Chain Security: Забезпечення PQC-стійкості у ланцюгах постачання програмного забезпечення, що є критичним в умовах постійних інцидентів. Використання PQC-підписів для верифікації програмних компонентів.
  3. 2031–2035: Фаза оптимізації та повного переходу.
    • Повне впровадження PQC: Завершення міграції більшості систем на PQC-стійкі алгоритми. Поступове виведення з експлуатації класичних криптографічних примітивів у критично важливих компонентах.
    • Моніторинг та аудит: Постійний моніторинг ефективності PQC-рішень, аудит відповідності стандартам та регуляторним вимогам. Адаптація до нових загроз, включаючи post-LLM threats, що можуть використовувати PQC-вразливості.
    • Адаптація національних стандартів: Повна інтеграція PQC-алгоритмів у національні криптографічні стандарти України.

Архітектурні аспекти впровадження PQC у UnityBaseDefense

Архітектура UnityBaseDefense вже передбачає модульність криптографічних компонентів, що є ключовим для PQC-міграції. Це дозволяє здійснювати оновлення криптографічних бібліотек та алгоритмів без необхідності переписувати значні частини коду. Ключові архітектурні принципи включають:

  • Абстракція криптографічних примітивів: Відділення логіки використання криптографії від конкретних алгоритмів. Це дозволяє замінювати RSA/ECC на Kyber/Dilithium з мінімальними змінами на рівні API.
  • Інтеграція з HSM: Використання апаратних модулів безпеки для генерації, зберігання та управління PQC-ключами. Це забезпечує високий рівень захисту від фізичних атак та атак через бічні канали (side-channel attack).
  • PKI-інфраструктура, готова до PQC: Модернізація компонентів PKI для підтримки PQC-сертифікатів, включаючи X.509v3 розширення для PQC-алгоритмів. Розробка процедур для переходу на PQC-сертифікати.
  • Захист даних у спокої та в русі: Застосування PQC-алгоритмів для шифрування баз даних, файлових систем, а також для захисту мережевого трафіку (TLS 1.3, IPsec) між компонентами UnityBaseDefense та зовнішніми системами.
  • Zero Trust архітектура: PQC посилює принципи Zero Trust, забезпечуючи надійну автентифікацію та авторизацію навіть у разі компрометації класичних криптографічних алгоритмів.

Перехід до постквантової криптографії не є віддаленою перспективою, а нагальною потребою для державного сектору України. Архітектори та керівники безпеки повинні вже зараз розробляти стратегії міграції, що включають інвентаризацію, пілотування гібридних рішень та планування масштабного впровадження. Забезпечення криптографічної гнучкості та інтеграція з передовими PQC-стандартами у платформах, таких як UnityBaseDefense, є ключовими для досягнення довгострокової кіберстійкості та захисту критичної інформації від майбутніх квантових загроз.

Теги: #nist #post-quantum #Антон Марреро #безпека-даних #державний-сектор #кібербезпека #криптографія #Сергій Балашук #Юрій Сивицький