Постквантовая крипта: кто уже включил ML-KEM в проде или ещё рано суетиться?

[cohenst1]

Вопрос назрел давно, хочу собрать мнения практиков, а не маркетинговую жвачку от вендоров. Стандарты по постквантовым алгоритмам уже финализированы, ML-KEM в TLS как гибрид с X25519 поддерживают современные браузеры из коробки, в свежих OpenSSH гибридный обмен ключами вообще дефолт. Вопрос: вы это реально включаете в проде уже сейчас, или пока ждёте и сидите на классике? Угроза 'собери шифртекст сегодня, расшифруй через 10 лет квантовым компом' меня лично напрягает для долгоживущих секретов.

[lost300z]

Включили гибрид на фронтовых веб-серверах ещё в начале года, и знаете — ничего не взорвалось. ClientHello потолстел из-за размера ключа ML-KEM, на это надо закладываться, если у вас злые мидлбоксы режут крупные пакеты на хэндшейке. У нас пара старых балансировщиков подавилась как раз из-за фрагментации, лечилось обновлением. Производительность по CPU практически не просела, накладные расходы на инкапсуляцию копеечные на фоне самого TLS.

[Donegal]

А я считаю, что для большинства тут это суета на ровном месте. Криптографически релевантного квантового компьютера, который реально ломает X25519 или RSA, пока нет и в ближайшие годы вряд ли будет. Гораздо чаще данные утекают через дырявое приложение, фишинг и слитые токены, а не через взлом нормального обмена ключами. Я бы сначала закрыл базовую гигиену, а уже потом гонялся за постквантом, иначе это безопасность ради галочки.

[sleepypanic]

Не соглашусь с тезисом 'рано'. Тут весь смысл в модели 'harvest now, decrypt later'. Если у тебя есть данные, которые должны оставаться секретными лет десять-пятнадцать — медицина, гостайна-адъюнкт, долгие коммерческие договоры — то противник пишет твой трафик уже сегодня, чтобы спокойно расшифровать, когда железо появится. Для эфемерных сессий, которые протухают за час, согласен, можно не спешить. То есть ответ зависит от срока жизни секрета, а не от того, есть квантовый комп сегодня или нет.

[postgres2]

По части обмена ключами всё неплохо, а вот с постквантовыми подписями пока грустнее: они заметно крупнее и тяжелее, и пихать их везде подряд больно — раздувает сертификаты и рукопожатия. Так что в проде разумно сейчас гибридный KEM включать, а с миграцией подписей и PKI не торопиться, дать экосистеме дозреть. Мы для себя решили: транспорт — постквант уже сейчас, инфраструктура подписей — поэтапно в течение пары лет.

[Macrano]

По СНГ-специфике добавлю ложку дёгтя. У нас же есть свои обязательные ГОСТовые алгоритмы для ряда систем, и постквантовая история с международными стандартами туда вписывается криво. Если вы под регулятора с требованием отечественной криптографии, то вы не можете просто взять и включить ML-KEM на госсегменте — придётся ждать, пока появятся сертифицированные отечественные постквантовые схемы и СКЗИ под них. Для внешних публичных сервисов гибрид включить можно хоть завтра, а вот для регулируемого контура это вопрос не технический, а бумажный, и он надолго.