Криптографические примитивы, которыми сегодня аутентифицируется каждый оптовый платёж в продакшене — RSA, ECDSA, ECDH, — имеют срок годности. Американский Quantum Computing Cybersecurity Preparedness Act ⧉ зафиксировал этот срок в федеральном закупочном праве в конце 2022 года. Рабочий документ BIS № 1208 ⧉ перенёс ту же дату в надзорную рамку центральных банков. NIST FIPS 203 ⧉ и FIPS 204 ⧉ опубликовали замены в августе 2024 года.
Платёжная инфраструктура пока не усвоила, что это значит.
Эта статья — инженерное обоснование замены вместо доработки. Она написана для архитекторов, которые уже разбираются в алгоритмах и должны решить, что делать со SWIFT MT, ISO 20022-сообщениями pacs и pain, интерфейсами RTGS, парком HSM и сертификатными иерархиями, лежащими подо всем этим.
Резюме для руководства / ключевые тезисы
- Собирай-сейчас-расшифровывай-позже (HNDL) — это операционная угроза. Противники записывают зашифрованный платёжный трафик в 2026 году, чтобы расшифровать его, как только появится криптоаналитически значимый квантовый компьютер (CRQC). В перехваченном трафике — расчётные инструкции, данные бенефициаров и аутентификационный материал с долгоживущей чувствительностью.
- NIST стандартизовал замены. ML-KEM (FIPS 203) для инкапсуляции ключей и ML-DSA (FIPS 204) для цифровых подписей — это значения по умолчанию. SLH-DSA (FIPS 205) закрывает запасной вариант без сохранения состояния на основе хеш-функций.
- Разница в размерах ломает устаревшие допущения. Открытые ключи и подписи в 5–20 раз больше эквивалентов RSA-2048. Это сталкивается с MTU в платёжных сетях, с допущениями о фиксированных буферах в обработчиках MT-сообщений и с криптографической пропускной способностью установленного парка HSM.
- Гибрид (классика + PQC) — это средство миграции, а не точка прибытия. Гибридный TLS и гибридный X.509 покупают два-три года совместимости, пока продакшен-рельсы заменяются. Базовую проблему пропускной способности они не решают.
- PKI — несущая стена. Удостоверяющий центр, чей алгоритм подписи становится подделываемым, обнуляет каждый сертификат под собой. Институциональная экспозиция банка — это цепочка, а не отдельная конечная точка.
- Криптоагильность — то архитектурное свойство, под которое нужно проектировать. Идентификаторы алгоритмов, форматы ключей, конверты подписей и разделы HSM должны быть параметризуемыми. Всё, что прибито к RSA на этапе компиляции, — технический долг, который придёт к погашению одновременно.
Собирай-сейчас-расшифровывай-позже: модель угроз, снимающая право на ожидание
HNDL переворачивает обычную криптографическую хронологию. Стандартная оценка риска спрашивает, когда материализуется угроза. HNDL спрашивает, когда перехваченные сегодня данные станут полезны противнику. Для платёжных сообщений — идентификаторов бенефициаров, номеров счетов, структурированных данных о назначении платежа, нагрузок для санкционного скрининга, межбанковских расчётных инструкций — окно чувствительности составляет годы и десятилетия. Большая часть этого трафика прямо сейчас где-то записывается.
Хронология NSA CNSA 2.0 ⧉ даёт системам национальной безопасности срок до 2035 года на завершение перехода. Финансовые надзорные органы движутся быстрее: ожидания PRA по операционной устойчивости ⧉ трактуют криптографическую агильность как риск концентрации по третьим сторонам. Ожидание 2026 года: значимые платёжные рельсы публикуют план миграции на PQC в самоаттестации устойчивости.
Противнику-HNDL не нужен CRQC сегодня. Противнику нужны:
- Сетевая позиция. Отводы от подводных кабелей, перехват уровня ISP и скомпрометированные промежуточные устройства — всё это в периметре. Оптовый платёжный трафик концентрируется по небольшому числу сетевых маршрутов.
- Хранилище. Петабайт структурированных платёжных данных — управляемый архив в 2026 году.
- Терпение. Перехват не стоит ничего в расчёте на сообщение. Выручка приходит позже.
Поэтому миграционный аргумент звучит не как «квантовые компьютеры могут появиться к 2035 году», а как «любая TLS-сессия, которая завершится сегодня вечером с обменом ключей RSA-2048, открыта ровно столько, сколько остаётся чувствительной её полезная нагрузка».
Проблема размера и есть инженерная проблема
Публичное обсуждение миграции на PQC обычно сводится к выбору алгоритма. Куда тяжелее проблема размерности.
| Примитив | Открытый ключ | Подпись / шифротекст |
|---|---|---|
| RSA-2048 | 256 байт | 256 байт (подпись) |
| ECDSA P-256 | 64 байта | 64 байта (подпись) |
| ML-KEM-768 | 1184 байта | 1088 байт (шифротекст) |
| ML-DSA-65 | 1952 байта | 3309 байт (подпись) |
| SLH-DSA-128f | 32 байта | 17 088 байт (подпись) |
Эти числа напрямую отображаются в режимы отказа, под которые устаревшая платёжная инфраструктура никогда не проектировалась:
- Фрагментация пакетов на маршруте. ClientHello с гибридным ML-KEM-768 плюс классический X25519 превышает типичный Ethernet MTU в 1500 байт. Промежуточные устройства между двумя платёжными конечными точками фрагментируют, отбрасывают или переписывают рукопожатие. На поверхности — перемежающиеся ошибки TLS, выглядящие как преходящий сетевой шум.
- Буферные допущения в обработчиках MT. Многие интеграции SWIFT MT носят подписанные конверты, рассчитанные на ECDSA. Поместите подпись ML-DSA в тот же конверт — и парсер либо обрежет, либо отклонит.
- Пропускная способность HSM. Подпись ML-DSA на установленном парке HSM в 3–10 раз медленнее ECDSA на операцию — на оборудовании, чей бюджет ключей в секунду уже идёт под нагрузкой в окнах конца дня.
- Вес сертификатной цепочки. Четырёхуровневая иерархия CA, переизданная с подписями ML-DSA, разрастается примерно с 6 КБ до примерно 60 КБ. Каждое TLS-рукопожатие к рельсу платит эту цену.
Путь доработки — точечно вытягивать эти ограничения по одному: побольше буферы здесь, побыстрее HSM там, терпимость к фрагментации в промежуточных устройствах. Это защищаемый шестимесячный мост. Это не архитектура.
Доработка против замены: решение, которое определяет программу
Честная рамка такова: доработка — управляемый план миграции с коротким сроком годности, а замена — единственная устойчивая точка прибытия. Решение в том, что банк финансирует первым и сколько остаётся открытым окно доработки, прежде чем оно превратится в постоянный костыль.
Доработка означает:
- Гибридный TLS (ML-KEM + X25519), терминируемый на существующей границе рельса.
- Двойно-подписанные сертификаты (RSA — основной, ML-DSA — вторичный), выпускаемые подчинённым CA с поддержкой PQC.
- Расширенные MT-буферы и более жёсткая политика MTU на платёжных VPN.
- Обновления прошивок HSM там, где вендоры поддерживают PQC-примитивы; полная замена HSM там, где не поддерживают.
Эту работу можно сделать. Базовую проблему она не решает: SWIFT MT и многие реализации ISO 20022 кодируют криптографический конверт внутри формата сообщения, который прибивает алгоритм. Следующий алгоритмический переход — а он случится, когда ML-KEM в конце концов покажет слабость или его сменит новый стандарт, — прогонит ту же миграцию по тем же рельсам ещё раз.
Замена означает признание того, что криптографический слой не является свойством формата сообщения. Это свойство отделимого сервиса конвертов, к которому формат сообщения обращается. Конкретно:
- Граница транспортной безопасности уходит в сервисную сетку или сайдкар, который терминирует гибридный TLS и предъявляет рельсу открытое сообщение через стабильный интерфейс.
- Подписи на уровне сообщения производит выделенный сервис подписи, выбор алгоритма которого — конфигурационный параметр, а не зашитое допущение.
- Сертификаты выпускает CA, чей алгоритм подписи сам ротируем.
- Разделы HSM адресуются по назначению (транспорт, подпись, инкапсуляция ключей), а не по формату сообщения.
Замена переживает следующую смену алгоритма без касания рельса.
Криптоагильная архитектура слой за слоем
Для миграции на PQC значимы не бизнес-слои «данные, контроль, экономика», уместные в общем банковском нарративе. Значимые слои — криптографические.
| Слой | Что делает | Вопрос по PQC | Архитектурная директива |
|---|---|---|---|
| HSM / управление ключами | Генерирует, хранит и оперирует ключевым материалом под аппаратной изоляцией | Поддерживает ли установленная прошивка HSM ML-KEM, ML-DSA и гибридный API инкапсуляции ключей? Какова дельта пропускной способности подписи по сравнению с ECDSA на том же оборудовании? | Инвентаризировать каждый раздел HSM по поддержке алгоритмов и по производительности в секунду. Выводить из эксплуатации всё, что прибито к RSA без пути обновления прошивки. До производственного перехода поднять выделенные PQC-разделы. |
| PKI / удостоверяющий центр | Выпускает, отзывает и связывает доверие через сертификаты X.509 | Может ли CA сегодня подписывать ML-DSA? Есть ли проверенная процедура ротации корня и переиздания цепочки? Рассчитаны ли респондеры CRL и OCSP под вес подписи ML-DSA? | Относиться к стеку CA как к несущей стене. Уже сейчас поднять PQC-способный подчинённый CA. Сроки ротации корня привязывать к самой долгоживущей сертификатной зависимости, а не к удобству. |
| Транспорт / сеть | Терминирует TLS, IPsec и MACsec между платёжными конечными точками | Терпит ли путь — балансировщик, WAF, промежуточные устройства — гибридные рукопожатия, превышающие устаревший MTU? Рассчитаны ли тикеты возобновления сессии под PQC-ключи? | Перенести терминацию TLS на криптоагильную границу (сайдкар или сетка). Поднять политику MTU на платёжных VPN. Тестировать весь путь с намеренно вызванной фрагментацией. |
| Приложение / полезная нагрузка сообщения | Несёт сообщения SWIFT MT, ISO 20022 pacs / pain / camt и их криптографические конверты | Терпит ли обработчик сообщений рельса подписанные конверты размера ML-DSA? Алгоритм-осведомлены ли промежуточные парсеры или они обрезают по длине? | Отделить конверт от полезной нагрузки. Подписывать на границе сервиса, а не внутри обработчика формата сообщения. Идентификаторы алгоритмов трактовать как данные, а не как схему. |
| Аудит / доказательства | Производит криптографическую цепочку доверия, на которую опираются надзорные органы и клиенты | Останутся ли исторические подписанные записи верифицируемыми после устаревания алгоритма подписи? Есть ли план долгосрочной архивной подписи? | Контрподписывать архивы примитивом на основе хеш-функций (SLH-DSA) — гарантия пережёвет любой одиночный взлом алгоритма. Относиться к аудиторской цепочке как к регулируемому артефакту, а не как к побочному продукту сборки. |
Дисциплина в том, чтобы каждый выбор алгоритма на каждом слое был конфигурационным значением. Институция, прибившая RSA-2048 на любом из этих слоёв, наследует скоординированное окончание срока службы в день падения этого алгоритма.
Что это означает по типам банков
Профиль экспозиции разнится по институциям. Соответственно разнятся и директивы.
Глобальные банки
У глобальных банков — самый крупный установленный парк HSM, самые длинные сертификатные цепочки и самые сложные сетевые маршруты между контрагентами. Доминирующий риск — не выбор алгоритма, а стоимость координации смены алгоритмов одновременно по сотням внутренних сервисов и десяткам внешних контрагентов.
Директива: профинансировать в 2026 году PQC-способный CA, криптоагильную транспортную границу и сервис подписи с параметризацией алгоритма ещё до доработки какого-либо рельса. Тогда доработка становится рутинной производственной правкой в известной рамке. Без рамки каждая доработка рельса заново перетряхивает одни и те же архитектурные решения.
Региональные банки
У региональных банков меньше алгоритмической поверхности, но пропорционально меньше специалистов. Доминирующий риск — вендорский замок HSM на алгоритмах, поддержку которых вендор не зафиксировал.
Директива: вписывать поддержку PQC — конкретно ML-KEM и ML-DSA, с проверенным путём обновления прошивки — в каждый продлеваемый контракт по HSM начиная с 2026 года. Банки без этого пункта наследуют принудительную замену оборудования по графику вендора, а не своему.
Финтехи и PSP
Поставщики платёжных услуг и финтехи обычно стоят между банком-контрагентом и торговцем или системой конечного пользователя. Их криптографическая экспозиция — это API-границы с обеих сторон.
Директива: предъявить гибридный TLS-интерфейс — классика плюс ML-KEM — на банк-обращённой стороне как обязательный минимум в коммерческих разговорах 2026 года. Финтех, приходящий с уже продемонстрированной PQC-совместимостью, выигрывает интеграционные циклы у того, кто ещё не начал.
Корпоративные казначеи
Казначеи не оперируют криптографической инфраструктурой напрямую. Они её потребляют — каждый банковский API, каждая защищённая передача файлов, каждое подписанное подтверждение зависят от PKI банка.
Директива: добавить три вопроса в каждый банковский RFP в 2026 году — какие алгоритмы PQC банк уже использует в клиентском TLS; каков план банка по платёжным подтверждениям, подписанным ML-DSA; как банк намерен сохранить верифицируемость исторических подписанных записей после устаревания RSA. Банки, не отвечающие на эти вопросы, сигнализируют о состоянии своей инженерной готовности.
Что произойдёт дальше
Первая волна разворачивания PQC в платежах будет невидимой для конечных пользователей. Гибридный TLS появляется в рукопожатии, сертификатные цепочки растут, задержка подписи HSM прибавляет несколько миллисекунд, а рельсы продолжают работать. Это сценарий успеха.
Видимыми же станут сбои, вызванные доработкой: рельс, не принимающий подписанный ML-DSA конверт без обрезки; CA, чья точка распространения CRL давится новым весом подписи; промежуточное устройство, фрагментирующее гибридные рукопожатия в переупорядоченные ClientHello. Эти отказы лягут в продакшен в течение 2027 года.
Архитектурное решение 2026 года — финансировать ли инфраструктуру замены, делающую доработку нерелевантной, или серию точечных правок по рельсам, каждая из которых выглядит дешевле по отдельности, а в сумме складывается в более долгую и дорогую миграцию. Банк, выбравший первый путь, проведёт переход с тихими операциями. Банк, выбравший второй, потратит остаток десятилетия на объяснение разборов инцидентов надзорным органам.
PQC — не криптографическая проблема, переодетая в инфраструктурную. Это инфраструктурная проблема, которую так уж случилось запустить криптографии.
Часто задаваемые вопросы
Есть ли срок, который принуждает к этой работе?
Жёсткие регуляторные сроки — юрисдикционные. Американский Quantum Computing Cybersecurity Preparedness Act ⧉ связывает федеральные системы. Хронология NSA CNSA 2.0 ⧉ ставит 2035 год для систем национальной безопасности. Публикация BIS Project Leap ⧉ и рабочая программа FSB подтягивают этот горизонт ближе для системной платёжной инфраструктуры. HNDL означает, что операционный таймер пошёл задолго до любой из этих номинальных дат.
Почему рекомендованной инкапсуляцией ключей выступает ML-KEM, а не что-то побыстрее?
ML-KEM (стандартизованная версия CRYSTALS-Kyber) дал лучшее сочетание малого шифротекста и малых ключей среди решёточных кандидатов — при зрелых реализациях и закалке от атак по побочным каналам. NIST опубликовал его как FIPS 203 ⧉. Более быстрые кандидаты существуют, но несут больший размер или слабее уверены в параметрах безопасности.
Почему не использовать SLH-DSA везде вместо ML-DSA?
SLH-DSA (стандартизованная версия SPHINCS+) построена на хеш-функциях и потому опирается только на их стойкость — это наиболее консервативное доступное допущение. Его подписи в 5–20 раз больше, чем у ML-DSA. Это приемлемо для архивной контрподписи, но неработоспособно для транзакционной подписи, где размер на сообщение значит. Стандартная схема: ML-DSA — для продакшен-подписи, SLH-DSA — для архивной гарантии.
Может ли банк просто подождать, пока рельсы опубликуют профили PQC?
Банк, который ждёт, получает миграционное окно, которое опубликует рельс — а оно короче его собственного цикла внутренних изменений. К моменту, когда SWIFT, местный оператор RTGS и соответствующие CCP опубликуют каждый свой профиль PQC, миграционное окно составит от двенадцати до двадцати четырёх месяцев. Банки, не выстроившие заранее CA, транспорт и HSM-возможности, в него без операционных срезов углов не уложатся.
Что профинансировать в первую очередь как точку максимального рычага?
PQC-способный подчинённый удостоверяющий центр, интегрированный в существующий PKI, способный выпускать двухалгоритмные сертификаты (RSA плюс ML-DSA) без срыва производственного доверия. Это даёт примитив ротации. Всё остальное — модернизация транспорта, планирование разделов HSM, изменения конвертов сообщений — можно расписать вокруг него.
Источники
- Congress.gov, (2022). H.R. 7535 — Quantum Computing Cybersecurity Preparedness Act ⧉.
- NIST, (2024). FIPS 203 — Module-Lattice-Based Key-Encapsulation Mechanism Standard ⧉.
- NIST, (2024). FIPS 204 — Module-Lattice-Based Digital Signature Standard ⧉.
- NIST, (2024). FIPS 205 — Stateless Hash-Based Digital Signature Standard ⧉.
- NSA, (2022). Commercial National Security Algorithm Suite 2.0 ⧉.
- BIS, (2024). Working Paper No. 1208 — Project Leap: Quantum-proofing the financial system ⧉.
- Bank of England (PRA), (2024). SS1/21 — Operational resilience: Impact tolerances for important business services ⧉.
Последняя проверка .
Последняя проверка .
Перепубликовать эту статью
Скопировать формат для Medium
# Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau > Originally published at [https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/](https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/) Постквантовая криптография ставит платёжные рельсы перед бинарным выбором: доработка RSA/ECC в конвертах SWIFT MT и ISO 20022, не рассчитанных на ML-KEM и ML-DSA, либо замена на криптоагильную инфраструктуру. Архитекторы должны решить до того, как HNDL станет операционной потерей. Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/
Скопировать формат для Mastodon
Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau Постквантовая криптография ставит платёжные рельсы перед бинарным выбором: доработка RSA/ECC в конвертах SWIFT MT и ISO 20022, не рассчитанных на ML-KEM и ML-DSA, либо замена на криптоагильную инфраструктуру. Архитекторы должны решить до того, как HNDL станет операционной потерей. https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/
Копировать в формате для LinkedIn
Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau Постквантовая криптография ставит платёжные рельсы перед бинарным выбором: доработка RSA/ECC в конвертах SWIFT MT и ISO 20022, не рассчитанных на ML-KEM и ML-DSA, либо замена на криптоагильную инфраструктуру. Вот ключевые стратегические выводы: - Собирай-сейчас-расшифровывай-позже: модель угроз, снимающая право на ожидание. HNDL переворачивает обычную криптографическую хронологию. - Проблема размера и есть инженерная проблема. Публичное обсуждение миграции на PQC обычно сводится к выбору алгоритма. - Доработка против замены: решение, которое определяет программу. Честная рамка такова: доработка — управляемый план миграции с коротким сроком годности, а замена — единственная устойчивая точка прибытия. - Криптоагильная архитектура слой за слоем. Для миграции на PQC значимы не бизнес-слои «данные, контроль, экономика», уместные в общем банковском нарративе. Каков подход вашей организации к вызовам, описанным в этой статье? → https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/ #ПостквантоваяКриптография #PqcПлатежи #Криптоагильность #СобирайСейчасРасшифровывайПозже #Hndl Sebastien Rousseau | CC-BY-4.0
Цитировать эту статью
Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau
Постквантовая криптография ставит платёжные рельсы перед бинарным выбором: доработка RSA/ECC в конвертах SWIFT MT и ISO 20022, не рассчитанных на ML-KEM и ML-DSA, либо замена на криптоагильную инфраструктуру. Архитекторы должны решить до того, как HNDL станет операционной потерей.
BibTeX
@online{rousseau2026постквантовая,
author = {Rousseau, Sebastien},
title = {{Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau}},
year = {2026},
url = {https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/},
urldate = {2026}
}RIS
TY - GEN AU - Rousseau, Sebastien TI - Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau PY - 2026 UR - https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/ ER -
Vancouver
Rousseau S. Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau. sebastienrousseau.com. 2026 May 31. Available from: https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/
Chicago
Rousseau, Sebastien. "Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau." sebastienrousseau.com. May 31, 2026. https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/.
APA
Rousseau, S. (2026, May 31). Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/
Опубликовать заново
Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau
Постквантовая криптография ставит платёжные рельсы перед бинарным выбором: доработка RSA/ECC в конвертах SWIFT MT и ISO 20022, не рассчитанных на ML-KEM и ML-DSA, либо замена на криптоагильную инфраструктуру. Архитекторы должны решить до того, как HNDL станет операционной потерей.
Эта статья распространяется по лицензии Creative Commons Attribution 4.0 International. При повторной публикации требуется указание канонической ссылки.
Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы — Sebastien Rousseau Постквантовая криптография ставит платёжные рельсы перед бинарным выбором: доработка RSA/ECC в конвертах SWIFT MT и ISO 20022, не рассчитанных на ML-KEM и ML-DSA, либо замена на криптоагильную инфраструктуру. Архитекторы должны решить до того, как HNDL станет операционной потерей. Originally published at https://sebastienrousseau.com/ru/2026-05-31-post-quantum-payments-infrastructure-replace-rather-than-retrofit-2026/ by Sebastien Rousseau. Licensed under CC-BY-4.0.