TL;DR. Постквантовая криптография ставит платёжные рельсы перед бинарным выбором: доработка RSA/ECC в конвертах SWIFT MT и ISO 20022, не рассчитанных на ML-KEM и ML-DSA, либо замена на криптоагильную инфраструктуру. Архитекторы должны решить до того, как HNDL станет операционной потерей.

Points clés

Собирай-сейчас-расшифровывай-позже: модель угроз, снимающая право на ожидание. HNDL переворачивает обычную криптографическую хронологию.
Проблема размера и есть инженерная проблема. Публичное обсуждение миграции на PQC обычно сводится к выбору алгоритма.
Доработка против замены: решение, которое определяет программу. Честная рамка такова: доработка — управляемый план миграции с коротким сроком годности, а замена — единственная устойчивая точка прибытия.
Криптоагильная архитектура слой за слоем. Для миграции на PQC значимы не бизнес-слои «данные, контроль, экономика», уместные в общем банковском нарративе.

Постквантовая платёжная инфраструктура: почему банки заменят, а не доработают устаревшие рельсы

Криптографические примитивы, которыми сегодня аутентифицируется каждый оптовый платёж в продакшене — RSA, ECDSA, ECDH, — имеют срок годности. Американский Quantum Computing Cybersecurity Preparedness Act ⧉ зафиксировал этот срок в федеральном закупочном праве в конце 2022 года. Рабочий документ BIS № 1208 ⧉ перенёс ту же дату в надзорную рамку центральных банков. NIST FIPS 203 ⧉ и FIPS 204 ⧉ опубликовали замены в августе 2024 года.

Платёжная инфраструктура пока не усвоила, что это значит.

Эта статья — инженерное обоснование замены вместо доработки. Она написана для архитекторов, которые уже разбираются в алгоритмах и должны решить, что делать со SWIFT MT, ISO 20022-сообщениями pacs и pain, интерфейсами RTGS, парком HSM и сертификатными иерархиями, лежащими подо всем этим.

Резюме для руководства / ключевые тезисы

Собирай-сейчас-расшифровывай-позже (HNDL) — это операционная угроза. Противники записывают зашифрованный платёжный трафик в 2026 году, чтобы расшифровать его, как только появится криптоаналитически значимый квантовый компьютер (CRQC). В перехваченном трафике — расчётные инструкции, данные бенефициаров и аутентификационный материал с долгоживущей чувствительностью.

NIST стандартизовал замены. ML-KEM (FIPS 203) для инкапсуляции ключей и ML-DSA (FIPS 204) для цифровых подписей — это значения по умолчанию. SLH-DSA (FIPS 205) закрывает запасной вариант без сохранения состояния на основе хеш-функций.

Разница в размерах ломает устаревшие допущения. Открытые ключи и подписи в 5–20 раз больше эквивалентов RSA-2048. Это сталкивается с MTU в платёжных сетях, с допущениями о фиксированных буферах в обработчиках MT-сообщений и с криптографической пропускной способностью установленного парка HSM.

Гибрид (классика + PQC) — это средство миграции, а не точка прибытия. Гибридный TLS и гибридный X.509 покупают два-три года совместимости, пока продакшен-рельсы заменяются. Базовую проблему пропускной способности они не решают.

PKI — несущая стена. Удостоверяющий центр, чей алгоритм подписи становится подделываемым, обнуляет каждый сертификат под собой. Институциональная экспозиция банка — это цепочка, а не отдельная конечная точка.

Криптоагильность — то архитектурное свойство, под которое нужно проектировать. Идентификаторы алгоритмов, форматы ключей, конверты подписей и разделы HSM должны быть параметризуемыми. Всё, что прибито к RSA на этапе компиляции, — технический долг, который придёт к погашению одновременно.

Собирай-сейчас-расшифровывай-позже: модель угроз, снимающая право на ожидание #

HNDL переворачивает обычную криптографическую хронологию. Стандартная оценка риска спрашивает, когда материализуется угроза. HNDL спрашивает, когда перехваченные сегодня данные станут полезны противнику. Для платёжных сообщений — идентификаторов бенефициаров, номеров счетов, структурированных данных о назначении платежа, нагрузок для санкционного скрининга, межбанковских расчётных инструкций — окно чувствительности составляет годы и десятилетия. Большая часть этого трафика прямо сейчас где-то записывается.

Хронология NSA CNSA 2.0 ⧉ даёт системам национальной безопасности срок до 2035 года на завершение перехода. Финансовые надзорные органы движутся быстрее: ожидания PRA по операционной устойчивости ⧉ трактуют криптографическую агильность как риск концентрации по третьим сторонам. Ожидание 2026 года: значимые платёжные рельсы публикуют план миграции на PQC в самоаттестации устойчивости.

Противнику-HNDL не нужен CRQC сегодня. Противнику нужны:

Сетевая позиция. Отводы от подводных кабелей, перехват уровня ISP и скомпрометированные промежуточные устройства — всё это в периметре. Оптовый платёжный трафик концентрируется по небольшому числу сетевых маршрутов.
Хранилище. Петабайт структурированных платёжных данных — управляемый архив в 2026 году.
Терпение. Перехват не стоит ничего в расчёте на сообщение. Выручка приходит позже.

Поэтому миграционный аргумент звучит не как «квантовые компьютеры могут появиться к 2035 году», а как «любая TLS-сессия, которая завершится сегодня вечером с обменом ключей RSA-2048, открыта ровно столько, сколько остаётся чувствительной её полезная нагрузка».

Проблема размера и есть инженерная проблема #

Публичное обсуждение миграции на PQC обычно сводится к выбору алгоритма. Куда тяжелее проблема размерности.

Примитив	Открытый ключ	Подпись / шифротекст
RSA-2048	256 байт	256 байт (подпись)
ECDSA P-256	64 байта	64 байта (подпись)
ML-KEM-768	1184 байта	1088 байт (шифротекст)
ML-DSA-65	1952 байта	3309 байт (подпись)
SLH-DSA-128f	32 байта	17 088 байт (подпись)

Эти числа напрямую отображаются в режимы отказа, под которые устаревшая платёжная инфраструктура никогда не проектировалась:

Фрагментация пакетов на маршруте. ClientHello с гибридным ML-KEM-768 плюс классический X25519 превышает типичный Ethernet MTU в 1500 байт. Промежуточные устройства между двумя платёжными конечными точками фрагментируют, отбрасывают или переписывают рукопожатие. На поверхности — перемежающиеся ошибки TLS, выглядящие как преходящий сетевой шум.
Буферные допущения в обработчиках MT. Многие интеграции SWIFT MT носят подписанные конверты, рассчитанные на ECDSA. Поместите подпись ML-DSA в тот же конверт — и парсер либо обрежет, либо отклонит.
Пропускная способность HSM. Подпись ML-DSA на установленном парке HSM в 3–10 раз медленнее ECDSA на операцию — на оборудовании, чей бюджет ключей в секунду уже идёт под нагрузкой в окнах конца дня.
Вес сертификатной цепочки. Четырёхуровневая иерархия CA, переизданная с подписями ML-DSA, разрастается примерно с 6 КБ до примерно 60 КБ. Каждое TLS-рукопожатие к рельсу платит эту цену.

Путь доработки — точечно вытягивать эти ограничения по одному: побольше буферы здесь, побыстрее HSM там, терпимость к фрагментации в промежуточных устройствах. Это защищаемый шестимесячный мост. Это не архитектура.

Доработка против замены: решение, которое определяет программу #

Честная рамка такова: доработка — управляемый план миграции с коротким сроком годности, а замена — единственная устойчивая точка прибытия. Решение в том, что банк финансирует первым и сколько остаётся открытым окно доработки, прежде чем оно превратится в постоянный костыль.

Доработка означает:

Гибридный TLS (ML-KEM + X25519), терминируемый на существующей границе рельса.
Двойно-подписанные сертификаты (RSA — основной, ML-DSA — вторичный), выпускаемые подчинённым CA с поддержкой PQC.
Расширенные MT-буферы и более жёсткая политика MTU на платёжных VPN.
Обновления прошивок HSM там, где вендоры поддерживают PQC-примитивы; полная замена HSM там, где не поддерживают.

Эту работу можно сделать. Базовую проблему она не решает: SWIFT MT и многие реализации ISO 20022 кодируют криптографический конверт внутри формата сообщения, который прибивает алгоритм. Следующий алгоритмический переход — а он случится, когда ML-KEM в конце концов покажет слабость или его сменит новый стандарт, — прогонит ту же миграцию по тем же рельсам ещё раз.

Замена означает признание того, что криптографический слой не является свойством формата сообщения. Это свойство отделимого сервиса конвертов, к которому формат сообщения обращается. Конкретно:

Граница транспортной безопасности уходит в сервисную сетку или сайдкар, который терминирует гибридный TLS и предъявляет рельсу открытое сообщение через стабильный интерфейс.
Подписи на уровне сообщения производит выделенный сервис подписи, выбор алгоритма которого — конфигурационный параметр, а не зашитое допущение.
Сертификаты выпускает CA, чей алгоритм подписи сам ротируем.
Разделы HSM адресуются по назначению (транспорт, подпись, инкапсуляция ключей), а не по формату сообщения.

Замена переживает следующую смену алгоритма без касания рельса.

Криптоагильная архитектура слой за слоем #

Для миграции на PQC значимы не бизнес-слои «данные, контроль, экономика», уместные в общем банковском нарративе. Значимые слои — криптографические.

Слой	Что делает	Вопрос по PQC	Архитектурная директива
HSM / управление ключами	Генерирует, хранит и оперирует ключевым материалом под аппаратной изоляцией	Поддерживает ли установленная прошивка HSM ML-KEM, ML-DSA и гибридный API инкапсуляции ключей? Какова дельта пропускной способности подписи по сравнению с ECDSA на том же оборудовании?	Инвентаризировать каждый раздел HSM по поддержке алгоритмов и по производительности в секунду. Выводить из эксплуатации всё, что прибито к RSA без пути обновления прошивки. До производственного перехода поднять выделенные PQC-разделы.
PKI / удостоверяющий центр	Выпускает, отзывает и связывает доверие через сертификаты X.509	Может ли CA сегодня подписывать ML-DSA? Есть ли проверенная процедура ротации корня и переиздания цепочки? Рассчитаны ли респондеры CRL и OCSP под вес подписи ML-DSA?	Относиться к стеку CA как к несущей стене. Уже сейчас поднять PQC-способный подчинённый CA. Сроки ротации корня привязывать к самой долгоживущей сертификатной зависимости, а не к удобству.
Транспорт / сеть	Терминирует TLS, IPsec и MACsec между платёжными конечными точками	Терпит ли путь — балансировщик, WAF, промежуточные устройства — гибридные рукопожатия, превышающие устаревший MTU? Рассчитаны ли тикеты возобновления сессии под PQC-ключи?	Перенести терминацию TLS на криптоагильную границу (сайдкар или сетка). Поднять политику MTU на платёжных VPN. Тестировать весь путь с намеренно вызванной фрагментацией.
Приложение / полезная нагрузка сообщения	Несёт сообщения SWIFT MT, ISO 20022 pacs / pain / camt и их криптографические конверты	Терпит ли обработчик сообщений рельса подписанные конверты размера ML-DSA? Алгоритм-осведомлены ли промежуточные парсеры или они обрезают по длине?	Отделить конверт от полезной нагрузки. Подписывать на границе сервиса, а не внутри обработчика формата сообщения. Идентификаторы алгоритмов трактовать как данные, а не как схему.
Аудит / доказательства	Производит криптографическую цепочку доверия, на которую опираются надзорные органы и клиенты	Останутся ли исторические подписанные записи верифицируемыми после устаревания алгоритма подписи? Есть ли план долгосрочной архивной подписи?	Контрподписывать архивы примитивом на основе хеш-функций (SLH-DSA) — гарантия пережёвет любой одиночный взлом алгоритма. Относиться к аудиторской цепочке как к регулируемому артефакту, а не как к побочному продукту сборки.

Дисциплина в том, чтобы каждый выбор алгоритма на каждом слое был конфигурационным значением. Институция, прибившая RSA-2048 на любом из этих слоёв, наследует скоординированное окончание срока службы в день падения этого алгоритма.

Что это означает по типам банков #

Профиль экспозиции разнится по институциям. Соответственно разнятся и директивы.

Глобальные банки #

У глобальных банков — самый крупный установленный парк HSM, самые длинные сертификатные цепочки и самые сложные сетевые маршруты между контрагентами. Доминирующий риск — не выбор алгоритма, а стоимость координации смены алгоритмов одновременно по сотням внутренних сервисов и десяткам внешних контрагентов.

Директива: профинансировать в 2026 году PQC-способный CA, криптоагильную транспортную границу и сервис подписи с параметризацией алгоритма ещё до доработки какого-либо рельса. Тогда доработка становится рутинной производственной правкой в известной рамке. Без рамки каждая доработка рельса заново перетряхивает одни и те же архитектурные решения.

Региональные банки #

У региональных банков меньше алгоритмической поверхности, но пропорционально меньше специалистов. Доминирующий риск — вендорский замок HSM на алгоритмах, поддержку которых вендор не зафиксировал.

Директива: вписывать поддержку PQC — конкретно ML-KEM и ML-DSA, с проверенным путём обновления прошивки — в каждый продлеваемый контракт по HSM начиная с 2026 года. Банки без этого пункта наследуют принудительную замену оборудования по графику вендора, а не своему.

Финтехи и PSP #

Поставщики платёжных услуг и финтехи обычно стоят между банком-контрагентом и торговцем или системой конечного пользователя. Их криптографическая экспозиция — это API-границы с обеих сторон.

Директива: предъявить гибридный TLS-интерфейс — классика плюс ML-KEM — на банк-обращённой стороне как обязательный минимум в коммерческих разговорах 2026 года. Финтех, приходящий с уже продемонстрированной PQC-совместимостью, выигрывает интеграционные циклы у того, кто ещё не начал.

Корпоративные казначеи #

Казначеи не оперируют криптографической инфраструктурой напрямую. Они её потребляют — каждый банковский API, каждая защищённая передача файлов, каждое подписанное подтверждение зависят от PKI банка.

Директива: добавить три вопроса в каждый банковский RFP в 2026 году — какие алгоритмы PQC банк уже использует в клиентском TLS; каков план банка по платёжным подтверждениям, подписанным ML-DSA; как банк намерен сохранить верифицируемость исторических подписанных записей после устаревания RSA. Банки, не отвечающие на эти вопросы, сигнализируют о состоянии своей инженерной готовности.

Что произойдёт дальше #

Первая волна разворачивания PQC в платежах будет невидимой для конечных пользователей. Гибридный TLS появляется в рукопожатии, сертификатные цепочки растут, задержка подписи HSM прибавляет несколько миллисекунд, а рельсы продолжают работать. Это сценарий успеха.

Видимыми же станут сбои, вызванные доработкой: рельс, не принимающий подписанный ML-DSA конверт без обрезки; CA, чья точка распространения CRL давится новым весом подписи; промежуточное устройство, фрагментирующее гибридные рукопожатия в переупорядоченные ClientHello. Эти отказы лягут в продакшен в течение 2027 года.

Архитектурное решение 2026 года — финансировать ли инфраструктуру замены, делающую доработку нерелевантной, или серию точечных правок по рельсам, каждая из которых выглядит дешевле по отдельности, а в сумме складывается в более долгую и дорогую миграцию. Банк, выбравший первый путь, проведёт переход с тихими операциями. Банк, выбравший второй, потратит остаток десятилетия на объяснение разборов инцидентов надзорным органам.

PQC — не криптографическая проблема, переодетая в инфраструктурную. Это инфраструктурная проблема, которую так уж случилось запустить криптографии.

Часто задаваемые вопросы #

Есть ли срок, который принуждает к этой работе?

Жёсткие регуляторные сроки — юрисдикционные. Американский Quantum Computing Cybersecurity Preparedness Act ⧉ связывает федеральные системы. Хронология NSA CNSA 2.0 ⧉ ставит 2035 год для систем национальной безопасности. Публикация BIS Project Leap ⧉ и рабочая программа FSB подтягивают этот горизонт ближе для системной платёжной инфраструктуры. HNDL означает, что операционный таймер пошёл задолго до любой из этих номинальных дат.

Почему рекомендованной инкапсуляцией ключей выступает ML-KEM, а не что-то побыстрее?

ML-KEM (стандартизованная версия CRYSTALS-Kyber) дал лучшее сочетание малого шифротекста и малых ключей среди решёточных кандидатов — при зрелых реализациях и закалке от атак по побочным каналам. NIST опубликовал его как FIPS 203 ⧉. Более быстрые кандидаты существуют, но несут больший размер или слабее уверены в параметрах безопасности.

Почему не использовать SLH-DSA везде вместо ML-DSA?

SLH-DSA (стандартизованная версия SPHINCS+) построена на хеш-функциях и потому опирается только на их стойкость — это наиболее консервативное доступное допущение. Его подписи в 5–20 раз больше, чем у ML-DSA. Это приемлемо для архивной контрподписи, но неработоспособно для транзакционной подписи, где размер на сообщение значит. Стандартная схема: ML-DSA — для продакшен-подписи, SLH-DSA — для архивной гарантии.

Может ли банк просто подождать, пока рельсы опубликуют профили PQC?

Банк, который ждёт, получает миграционное окно, которое опубликует рельс — а оно короче его собственного цикла внутренних изменений. К моменту, когда SWIFT, местный оператор RTGS и соответствующие CCP опубликуют каждый свой профиль PQC, миграционное окно составит от двенадцати до двадцати четырёх месяцев. Банки, не выстроившие заранее CA, транспорт и HSM-возможности, в него без операционных срезов углов не уложатся.

Что профинансировать в первую очередь как точку максимального рычага?

PQC-способный подчинённый удостоверяющий центр, интегрированный в существующий PKI, способный выпускать двухалгоритмные сертификаты (RSA плюс ML-DSA) без срыва производственного доверия. Это даёт примитив ротации. Всё остальное — модернизация транспорта, планирование разделов HSM, изменения конвертов сообщений — можно расписать вокруг него.

Источники #

Congress.gov, (2022). H.R. 7535 — Quantum Computing Cybersecurity Preparedness Act ⧉.
NIST, (2024). FIPS 203 — Module-Lattice-Based Key-Encapsulation Mechanism Standard ⧉.
NIST, (2024). FIPS 204 — Module-Lattice-Based Digital Signature Standard ⧉.
NIST, (2024). FIPS 205 — Stateless Hash-Based Digital Signature Standard ⧉.
NSA, (2022). Commercial National Security Algorithm Suite 2.0 ⧉.
BIS, (2024). Working Paper No. 1208 — Project Leap: Quantum-proofing the financial system ⧉.
Bank of England (PRA), (2024). SS1/21 — Operational resilience: Impact tolerances for important business services ⧉.

Последняя проверка 2026-05-31.