Sebastien Rousseau

ПОСТКВАНТОВА КРИПТОГРАФІЯ

Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів

Квантовий ризик перейшов від наукового інтересу до активного регуляторного мандату. Дорожня карта G7 2026 та результати BIS Project Leap у реальних платіжних системах підтверджують: питання для рад директорів — не «чи мігрувати», а чи буде завершена міграція до закінчення криптографічного строку придатності поточних даних.

23 min read
Banner for: Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів

Квантовий ризик перейшов від наукового інтересу до активного регуляторного мандату. Після публікації дорожньої карти G7 у січні 2026 року, уточнення графіків у ЄС, Великій Британії та Австралії, а також підтвердження практичної реалізованості проєкту BIS Project Leap у реальних платіжних системах, питання для рад директорів уже не в тому, чи мігрувати, а в тому, чи вдасться завершити міграцію до того, як закінчиться криптографічний строк придатності сьогоднішніх даних.


Основні висновки

  • 2026 рік став роком посилення регуляторних вимог. Січнева дорожня карта Групи кіберекспертів G7 (G7 Cyber Expert Group), скоординований графік Групи співпраці з питань NIS ЄС та трифазний план NCSC Великої Британії перевели обговорення від усвідомлення до виконання. Управління радіотехнічної оборони Австралії (Australian Signals Directorate) пішло ще далі, встановивши жорсткий кінцевий термін до 2030 року для класичної асиметричної криптографії.
  • Вразливість є асиметричною. RSA, ECC та Диффі-Гелман є першочерговою проблемою — асиметричні алгоритми, що лежать в основі процедур встановлення зв'язку (handshakes) SWIFT, TLS, PKI, підписування коду та автентифікації в розрахункових мережах. Симетричне шифрування (AES-256) залишається стабільним за умови збереження довжини ключів. Увага ради директорів має бути зосереджена на асиметричній зоні вразливості.
  • Стратегія «перехопити зараз, розшифрувати пізніше» (harvest-now-decrypt-later) — це не сценарій майбутнього. Зловмисники вже сьогодні перехоплюють і зберігають зашифровані фінансові журнали, записи про розрахунки, матеріали злиття та поглинання (M&A) і дані транскордонних переказів із чітким наміром розшифрувати їх, як тільки з'явиться криптографічно значущий квантовий комп'ютер (CRQC). Для даних із вимогою щодо конфіденційності від 10 до 20 років цей ризик уже реалізувався.
  • Індустрія тепер має діючий орієнтир. У звіті про проєкт BIS Project Leap Phase 2 ⧉, опублікованому в грудні 2025 року, успішно замінено традиційні цифрові підписи на постквантову криптографію під час реальних переказів ліквідності через TARGET2, а також виявлено конкретні інженерні витрати (затримка перевірки, розмір пакета), з якими зіткнеться кожна програма міграції.
  • Комплект стандартів NIST є глобальним якорем. Усі основні юрисдикції посилаються на FIPS 203 (ML-KEM) ⧉ та FIPS 204 (ML-DSA), навіть якщо національні позиції розходяться щодо наборів параметрів та гібридних вимог. Радам директорів слід розглядати ML-KEM-768/ML-DSA-65 як мінімальний рівень, а ML-KEM-1024/ML-DSA-87 — як консервативний базовий варіант для довгострокових даних.
  • Гібридний підхід — єдиний надійний шлях. Жоден провідний регуляторний орган не рекомендує повний перехід виключно на нові алгоритми. Паралельний запуск класичних та квантово-стійких алгоритмів — це модель розгортання, яку схвалюють NCSC, ANSSI, BSI та яка була перевірена у проєкті Project Leap. Цей підхід є важчим за будь-юку альтернативу, але він є єдиним, який вирішує як сьогоднішню сумісність, так і загрози майбутнього.

Рік посилення регуляторних вимог

Протягом більшої частини останнього десятиліття постквантова криптографія перебувала у комфортному куточку довгострокового планування. Квантові комп'ютери були вражаючими, але далекими; криптографічна математика, що лежить в основі RSA та еліптичних кривих, вважалася стабільною основою; а розмови про міграцію велися здебільшого у вузьких спеціалізованих робочих групах. Ця позиція більше не є життєздатною.

У січні 2026 року Група кіберекспертів G7 опублікувала свою найважливішу на сьогоднішній день заяву ⧉, підготовлену під спільним головуванням Міністерства фінансів США та Банку Англії. Цей документ не є обов'язковим регуляторним актом, але він має більшу вагу, ніж звичайні рекомендації: він відображає спільну позицію міністерств фінансів, центральних банків та органів нагляду в країнах G7 щодо того, що криптографічний перехід тепер є питанням системного управління ризиками. Дорожня карта орієнтує планування на середину 2030-х років, при цьому критично важливим фінансовим системам рекомендується мігрувати раніше — таке формулювання в обережній мові представників центральних банків сигналізує про очікування, а не просто про пропозицію.

Двома місяцями раніше Інноваційний хаб BIS та Євросистема опублікували результати проєкту Project Leap Phase 2 ⧉ — технічного експерименту, в межах якого традиційні цифрові підписи були замінені на постквантову криптографію під час реальних переказів ліквідності між Банком Італії, Банком Франції, Бундесбанком Німеччини, Nexi-Colt та Swift. Головним результатом став успіх — підписані квантово-стійкими алгоритмами перекази пройшли наскрізний шлях через діючу платіжну систему. Деталі за цим заголовком є більш повчальними, і ми розглянемо їх далі в цій статті.

Поєднання цих двох подій — узгодженої політики G7 та робочого підтвердження в реальній платіжній системі — дало те, чого технічна спільнота чекала десять років: остаточну відповідь на питання «чи це реально?». У травні 2026 року відповідь однозначна: так. Питання, що залишається, полягає лише у темпах впровадження.

Три вектори загроз, які мають турбувати раду директорів

Перш ніж обговорювати механіку міграції, варто точно визначити, що саме перебуває під загрозою. Квантовий ризик у корпоративному банкінгу не є однаковим для всіх криптографічних активів, і раді директорів найкраще зосередити увагу на трьох векторах, де рівень небезпеки є найвищим.

1. Перехопити зараз, розшифрувати пізніше (HNDL)

Найбільш нагальна проблема не стосується майбутнього. Вона існує вже зараз. Державні структури та висококласні кримінальні угруповання систематично перехоплюють і зберігають зашифрований фінансовий трафік — банківські перекази, потоки повідомлень SWIFT, комунікації M&A, транскордонні розрахункові журнали, своп-угоди та файли KYC — без можливості прочитати їх на даний момент. Їхня мета проста: зберегти зараз, розшифрувати пізніше, коли з'явиться комп'ютер CRQC. Як чітко зазначив Банк міжнародних розрахунків (BIS) ⧉, такий збір даних уже відбувається.

Для рад директорів наслідки неприємні, але цілком конкретні: будь-які конфіденційні дані, що передаються сьогодні за допомогою класичного асиметричного шифрування, вимоги до конфіденційності яких виходять за межі моменту появи CRQC, вже мають вважатися скомпрометованими. У разі виникнення HNDL не надходить сповіщень про порушення безпеки. У системі SIEM немає тривожних сигналів. Шифрування тримається — поки що — але дані вже залишили захищений периметр.

2. Ризик довгострокової конфіденційності

Дані корпоративного банкінгу мають незвично довгий інституційний термін придатності. Стратегічна документація щодо злиття та поглинання (M&A) може залишатися чутливою для ринку протягом десятиліття. Комунікації, що становлять комерційну таємницю, та оцінки інтелектуальної власності можуть вимагати конфіденційності протягом п'ятносцяти-двадцяти років. Транскордонні розрахункові журнали, ризики центральних контрагентів та кредитні оцінки контрагентів зберігають комерційну значущість далеко за межами їхнього безпосереднього транзакційного циклу.

Рівняння Моски ⧉ — концепція, спочатку сформульована Мікеле Москою, а нині інтегрована в усі серйозні програми міграції, формалізує цю проблему. Якщо S — термін конфіденційності даних, M — час, необхідний для міграції систем, що їх захищають, а Q — час до появи CRQC, то:

Якщо S + M > Q, дані вже під загрозою.

Для даних із двадцятирічним горизонтом конфіденційності та програми міграції, яка реально вимагає від п'яти до семи років для завершення, неявне значення Q, на яке розраховує рада директорів, має становити щонайменше 25 років. Велика кількість експертних оцінок — зокрема прогнози Forrester для Азійсько-Тихоокеанського регіону (APAC) на 2026 рік ⧉, щорічні опитування Global Risk Institute та опублікований у лютому 2026 року архітектурний документ, що пропонує реалізацію CRQC на приблизно 100 000 фізичних кубітах з використанням кодів QLDPC — вказує на те, що ця ставка є небезпечною.

3. Вразливість основних механізмів встановлення зв'язку (Handshakes)

Третій вектор є найбільш значущим з точки зору архітектури. Симетричні шифри (AES-256) залишаються порівняно стабільними; алгоритм Гровера вдвічі знижує ефективний рівень безпеки, але подвоєння довжини ключа відновлює запас міцності. Катастрофічна загроза нависла над асиметричними алгоритмами, і саме ці алгоритми забезпечують кожне автентифіковане встановлення зв'язку в корпоративних фінансах: RSA у публічній інфраструктурі ключів (PKI) SWIFT, ECDSA при автентифікації клієнт/сервер у TLS, ECDH при встановленні сеансових ключів, а також варіанти ECC у мобільній автентифікації клієнтів, підписах API та конвеєрах підписування коду.

Робочий комп'ютер CRQC із запущеним алгоритмом Шора не просто поступово послаблює ці системи. Він їх ламає. Як тільки CRQC буде введено в дію, кожне встановлення зв'язку, захищене RSA, кожен підпис ECDSA і кожен обмін ключами на еліптичних кривих можна буде відновити — не за місяці зусиль, а за лічені години. Переход від стану «захищено» до стану «скомпрометовано» є бінарним і миттєво поширюється на всі системи, що використовують відповідний алгоритм. Це і є основою регуляторної терміновості.

Посилення регулювання: аналіз за юрисдикціями

Глобальна регуляторна картина станом на травень 2026 року більше не є розрізненим набором рекомендацій. Це скоординована система термінів, які різняться за суворістю, але ведуть до однієї мети. Транснаціональний банк, що працює у великих фінансових центрах, тепер підпорядковується вимогам найбільш жорсткої юрисдикції, а не найбільш м'якої.

Сполучені Штати

США займають найбільш безапеляційну позицію щодо будь-якої установи, яка взаємодіє з державними системами. Набір стандартів Агентства національної безпеки (NSA) Commercial National Security Algorithm Suite 2.0 ⧉ вимагає обов'язкового використання ML-KEM-1024 та ML-DSA-87 для систем національної безпеки, причому нові системи мають розгортати PQC з січня 2027 року, а міграцію інфраструктури слід повністю завершити до 2035 року. Меморандум OMB M-23-02 зобов'яжує федеральні відомства дотримуватися цього ж графіка. Для комерційних банків прямий вплив здійснюється через ланцюжки федеральних закупівель, контракти, пов'язані з системами нацбезпеки (NSS), та непрямий тиск, який рекомендації NSA чинять на ширший ринок.

Європейський Союз

ЄС діє на трьох рівнях. Скоординована дорожня карта впровадження Європейської Комісії ⧉, деталізована Групою співпраці з питань NIS у червні 2025 року, встановлює поетапні орієнтири на 2026 рік (національні стратегії), 2030 рік (міграція систем високого ризику) та 2035 рік (повний перехід). Закон про кіберстійкість (Cyber Resilience Act) зобов'яже впроваджувати найсучасніві оновлення безпеки для цифрових продуктів з кінця 2027 року. Директива NIS2 посилює управління ризиками ІКТ, хоча жодна з цих директив не містить прямої вимоги щодо PQC. Проте національні регулятори випередили рішення Комісії. Німецьке Федеральне відомство з безпеки інформаційних технологій (BSI) вимагає гібридного обміну ключами та затверджує консервативний кошик алгоритмів ML-KEM, FrodoKEM та Classic McEliece. Французьке агентство ANSSI вимагає застосування гібридного підходу як для інкапсуляції ключів, так і для підписів. Відомство NLNCSA Нідерландів та органи влади Норвегії узгодили використання ML-KEM-1024 як консервативного базового рівня для довгострокових даних.

Велика Британія

Британський NCSC опублікував свої остаточні рекомендації в березні 2025 року та підтвердив їх у Річному звіті за 2025 рік. Трифазний графік є чітким:

Для фінансових установ Великої Британії Керівництво з PQC від CMORG (Cross-Market Operational Resilience Group) ⧉ діє разом із рекомендаціями NCSC, розглядаючи банки як об'єкти критичної національної інфраструктури та наголошуючи на готовності постачальників і узгодженості ланцюжків постачання.

Азійсько-Тихоокеанський регіон

Підхід у регіоні APAC є більш фрагментарним, але розвивається швидко. Австралійське ASD займає найсуворішу позицію у світі: класична криптографія з відкритим ключем не повинна використовуватися після закінчення 2030 року, рекомендацій щодо гібридного підходу немає, натомість обов'язковим є ML-KEM-1024 (ML-KEM-768 допускається лише до 2030 року). Організації повинні мати детальний план переходу до кінця 2026 року. Валютне управління Сінгапуру (MAS) оприлюднило офіційні вказівки щодо квантової готовності. Японія та Південна Корея інвестують значні кошти, хоча обидві країни мають власні національні розробки алгоритмів (Корея обрала NTRU+ та SMAUG-T як KEM, ALMer та HAETAE — для підписів). Національна квантова місія Індії (National Quantum Mission), підкріплена державним фінансуванням у розмірі 6 003,65 крор рупій, чітко визначає банківські та фінансові системи як стратегічний пріоритет. Прогнози Forrester щодо APAC на 2026 рік ⧉ свідчать, що кількість регіональних підприємств, які планують інвестувати у постквантові технології цього року, перевищить 90%.

Загальна позиція

Для ради директорів практичний висновок із цих географічних відмінностей є очевидним. Транснаціональний банк не може орієнтуватися на графік одного конкретного регулятора; він має орієнтуватися на найсуворіші з чинних вимог. Для більшості великих установ це означає планування переходу до кінця 2030 року для систем високого ризику та до кінця 2035 року для решти систем. При цьому організації, що підпадають під юрисдикцію ASD, повинні орієнтуватися на чистий PQC до 2030 року, а ті, що підпадають під вимоги CNSA, мають орієнтуватися на цей самий період із обов'язковим впровадженням ML-KEM-1024 та ML-DSA-87.

BIS Project Leap: що насправді довів сектор

Проєкт Project Leap заслуговує на увагу ради директорів не тому, що він є маркетинговим досягненням, а тому, що він є найбільш переконливою на сьогоднішній день наскрізною демонстрацією роботи постквантової криптографії в реальній фінансовій платіжній системі. Головний висновок простий: це працює. Проте операційні висновки криються саме в деталях.

Перша фаза (Phase 1), завершена у 2023 році, дозволила створити квантово-стійку мережу VPN між ІТ-системами Банку Франції та Бундесбанку Німеччини, при цьому платіжні повідомлення передавалися між Парижем та Франкфуртом за допомогою гібридної схеми шифрування. Друга фаза (Phase 2), завершена наприкінці 2025 року, результати якої були опубліковані в грудні ⧉, пішла значно далі. Консорціум замінив традиційні цифрові підписи на базі RSA на постквантові підписи при проведенні переказів ліквідності через TARGET2 — систему валових розрахунків у реальному часі (RTGS) Євросистеми. Учасники проєкту — Центр Євросистеми Інноваційного хабу BIS, Банк Італії, Банк Франції, Бундесбанк Німеччини, Nexi-Colt (що забезпечує підключення до TARGET2) та Swift — це саме ті інституції, інфраструктура яких згодом має пройти міграцію.

У звіті виділено три висновки, які має врахувати кожна програма міграції:

Для фінансового директора (CFO), який аналізує бізнес-кейс PQC, висновки проєкту Project Leap корисні саме своєю конкретикою. Вартість міграції на постквантову криптографію не обмежується однією статтею капітальних витрат. Вона включає затримку перевірки, яка впливає на угоди про рівень обслуговування (SLA), збільшення розміру повідомлень, що зачіпає бюджети на зберігання даних та пропускну здатність, а також перехідний період дудування криптографічних операцій, який впливає на планування обчислювальних потужностей. Жоден із цих факторів не є теоретичним. Усі вони були виміряні в діючій системі центрального банку.

Набір інструментів NIST: порівняння ML-KEM та ML-DSA

Технічним центром кожної авторитетної національної програми є набір стандартів постквантової криптографії NIST, опублікований у серпні 2024 року. Два з цих стандартів є безпосереднім фокусом для корпоративного банкінгу: ML-KEM (FIPS 203) для інкапсуляції ключів та ML-DSA (FIPS 204) для цифрових підписів. Вони мають спільну математичну основу — обидва спираються на складність задач навчання з помилками на модулях (Module Learning With Errors, ML-LWE) та знаходження найкоротшого вектора в модульних решітках (Module Short Integer Solution) над структурованими решітками (lattices), проте вони виконують дуже різні ролі у криптографічній системі, а їхні профілі продуктивності та розмірів суттєво відрізняються.

ML-KEM (FIPS 203) — Інкапсуляція ключів

Алгоритм ML-KEM, створений на основі CRYSTALS-Kyber, є заміною ECDH та RSA-KEM у протоколах, де дві сторони повинні узгодити спільний симетричний ключ через незахищений канал. Фактично, саме туди переноситься встановлення зв'язку у протоколі TLS після відмови від RSA та ECDH. NIST визначає три набори параметрів за зростанням стійкості безпеки та зниженням швидкості роботи: ML-KEM-512 (1-ша категорія NIST), ML-KEM-768 (3-тя категорія) та ML-KEM-1024 (5-та категорія).

ML-DSA (FIPS 204) — Цифрові підписи

Алгоритм ML-DSA, розроблений на основі CRYSTALS-Dilithium, замінює підписи RSA та ECDSA. Він забезпечує підписування сертифікатів, підписування коду, підписання документів та автентифікацію. Існують три набори параметрів: ML-DSA-44, ML-DSA-65 та ML-DSA-87, що загалом відповідають категоріям 2, 3 та 5 за класифікацією NIST.

Профіль розмірів та продуктивності

Для ІТ-директора (CIO), який оцінює масштаби міграції, найважливішими показниками є розміри створюваних об'єктів (артефактів). Ці дані є вхідними для планування пропускної здатності мережі, проектування сховищ та тестування на рівні протоколів.

Алгоритм Відкритий ключ Шифротекст / Підпис Найближчий класичний еквівалент Розмір порівняно з класичним
ML-KEM-512 800 байт 768 байт (шифротекст) ECDH P-256 (~32 байти відкр. ключ) ~25× більший
ML-KEM-768 1 184 байти 1 088 байт (шифротекст) ECDH P-384 ~25× більший
ML-KEM-1024 1 568 байт 1 568 байт (шифротекст) ECDH P-521 ~25× більший
ML-DSA-44 1 312 байт ~2 420 байт (підпис) ECDSA P-256 (64-байтний підпис) ~38× більший
ML-DSA-65 1 952 байти ~3 293 байти (підпис) ECDSA P-384 ~50× більший
ML-DSA-87 2 592 байти ~4 595 байт (підпис) ECDSA P-521 ~70× більший

Джерело: Синтез специфікацій NIST FIPS 203 ⧉ та FIPS 204 із порівняльними даними з незалежної літератури з бенчмаркінгу.

Звідси безпосередньо випливають три операційні наслідки. По-перше, розмір підпису є головним обмежуючим фактором для більшості корпоративних впроваджень. Підпис ML-DSA-65 приблизно в п'ятдесят разів більший за підпис ECDSA P-256, а ланцюжки сертифікатів TLS, що містять проміжні центри сертифікації (CA), пропорційно зростають. Робота з отимізації у цьому напрямку не є факультативною — вона є критично важливою. По-друге, алгоритм ML-KEM є конкурентоспроможним за швидкістю з ECDH, а в деяких реалізаціях — помітно швидшим, особливо на обладнанні з векторизованою підтримкою арифметики над решітками. По-третє, перевірка ML-DSA є стабільно швидкою (часто швидшою, ніж перевірка ECDSA), нове створення підпису ML-DSA включає цикл вибірки з відхиленням (rejection-sampling loop), що може вимагати кількох спроб на обмеженому за ресурсами обладнанні. Для сервісів підписування з високою пропускною здатністю цей показник слід ретельно протестувати, а не просто приймати на віру.

Вибір наборів параметрів

Позиції різних країн щодо вибору параметрів різняться, але спостерігається чітке зближення. Алгоритми ML-KEM-768 та ML-DSA-65 є мінімальним стандартом для бізнесу — вони схвалені NCSC Великої Британії як базовий варіант для британських організацій і є прийнятними в більшості європейських юрисдикцій. Алгоритми ML-KEM-1024 та ML-DSA-87 є консервативною верхньою межею — вони обов'язакові за стандартом NSA CNSA 2.0 для систем національної безпеки США та вимагаються ASD для австралійських регульованих організацій до 2030 року. Для даних із надвисоким рівнем довгострокової чутливості (державні розрахункові журнали, інтелектуальна власність із терміном дії понад десять років, записи про зберігання активів для довгострокових інструментів) вищі набори параметрів мають бути обрані за замовчуванням.

Спільна математична основа — спільний ризик

Важливий момент для ради директорів: безпека як ML-KEM, так і ML-DSA ґрунтується на одному сімействі задач на решітках. Майбутній криптоаналітичний прорив проти задачі Module-LWE поставить під загрозу обидва стандарти одночасно. Саме тому кілька національних відомств — зокрема BSI в Німеччині та ANSSI у Франції — рекомендують доповнювати стек на основі решіток підписами на основі хеш-функцій (SLH-DSA, FIPS 205) для довгострокового підписання документів і коду. Криптографічна гнучкість у цьому сенсі полягає не лише в можливості замінити RSA на ML-KEM. Вона полягає в можливості швидко замінити один алгоритм PQC на інший у разі змін у сфері криптоаналізу.

Логічний шлях міграції: виявлення → сортування → гібридне розгортання

Для ради директорів, яка затверджує багаторічну програму PQC, операційне питання полягає в тому, як розбити роботу на етапи, не беручи на себе неприйнятний ризик доступності послуг. Модель, яка сформувалася в дорожній карті G7, концепції NCSC, проєкті BIS Project Leap та основних національних керівних документах, передбачає три фази.

┌────────────────────────┐   ┌────────────────────────┐   ┌────────────────────────┐
│ 1. ВИЯВЛЕННЯ ТА CBOM   │ → │ 2. СОРТУВАННЯ (MOSCA)  │ → │ 3. ГІБРИДНЕ РОЗГОРТАННЯ│
│ Криптографічний реєстр │   │ Пріоритезація ризиків  │   │ Подвійна оболонка:     │
│ у всіх системах        │   │ за терміном даних      │   │ класика + PQC, гнучке  │
└────────────────────────┘   └────────────────────────┘   └────────────────────────┘

Фаза 1 — Виявлення та створення реєстру криптографічних засобів (CBOM)

Неможливо планувати міграцію для криптографічної інфраструктури, яка не була нанесена на карту, а більшість установ не мають точної карти. Тому першою фазою є створення реєстру криптографічних засобів (Cryptographic Bill of Materials, CBOM) — структурованого переліку кожного випадку використання асиметричної криптографії в організації, де для кожного випадку вказано алгоритм, довжину ключа, контекст протоколу, рівень чутливості даних та власника системи. Практичним механізмом для цього є автоматичне сканування баз коду, вебзастосунків, образів контейнерів, конфігурацій баз даних, сховищ сертифікатів, апаратних модулів безпеки (HSM) та інтерфейсів постачальників; неминучим доповненням є ручна інвентаризація застарілих систем і власних пропрієтарних протоколів.

Результат Фази 1 не є вражаючим, але це єдиний фундамент, на якому можуть триматися Фази 2 та 3. Це також той звітний документ, який більшість служб внутрішнього аудиту та зовнішніх регуляторів вимагатимуть насамперед, коли почнеться запит на підтвердження відповідності вимогам PQC.

Фаза 2 — Сортування ризиків за допомогою рівняння Моски

Маючи на руках CBOM, фінансова установа може застосувати модель Моски до кожного активу окремо. Для кожної криптографічної залежності питання полягає в тому, чи виконується умова S + M > Q — тобто, чи перевищує термін конфіденційності даних плюс час міграції прогнозований час до появи CRQC. Активи, для яких ця нерівність є найбільш критичною (довгострокові конфіденційні дані на інфраструктурі, міграція якої триває роками), переміщуються на початок черги. Активи з коротким життєвим циклом даних або вже модернізованою інфраструктурою можуть бути заплановані на пізніші етапи програми.

Саме на цій фазі найбільш чітко видно схильність ради директорів до ризику. Значення Q, під яке установа вирішує планувати свої дії, є, по суті, стратегічною ставкою на швидкість прогресу квантового апаратного забезпечення. Консервативне значення Q (середина 2030-х років) вимагає більш агресивного плану міграції та вищих капітальних витрат у найближчій перспективі. Оптимістичне значення Q (після 2040 року) дозволяє розробити більш спокійний план, але створює вищий залишковий ризик для даних, які вже сьогодні перехоплюються. Жоден варіант не є помилковим; обидва мають бути усвідомленими рішеннями ради директорів, а не автоматично прийнятими за замовчуванням рішеннями технологічного підрозділу.

Фаза 3 — Гібридне розгортання

Після визначення пріоритетних активів розгортання має відбуватися за гібридною схемою, яка була перевірена в проєкті Project Leap і схвалена NCSC, ANSSI, BSI та дорожньою картою G7. Гібридне розгортання передбачає паралельний запуск класичного та постквантового алгоритмів із об'єднанням їхніх результатів в єдину оболонку. Така комбінація захищає як від класичних атак (класичний алгоритм захищає сьогодні), так і від квантових атак (алгоритм PQC захищатиме завтра). Зокрема, поширеною моделлю є поєднання X25519 з ML-KEM-768 або ML-KEM-1024 для інкапсуляції ключів, а також ECDSA у поєднанні з ML-DSA для підписів, де використання подвійних підписів є практично реалізованим.

Висновки проєкту Project Leap про те, що гібридний підхід є «значно, значно важчим», ніж використання будь-кого з алгоритмів окремо, є тверезою противагою цій рекомендації. Радам директорів слід очікувати зростання вимог до обчислювальних потужностей та обсягів зберігання даних, збільшення часу встановлення зв'язку (handshakes), а також додаткової складності ланцюжків сертифікатів під час перехідного періоду. Компроміс полягає в тому, що гібридний варіант усуває найбільше джерело ризику міграції: різкий перехід від однієї криптографічної основи до іншої у робочому середовищі.

Скільки це коштує і чому бездіяльність обійдеться дорожче

Аналіз Mastercard, опублікований на початку 2026 року ⧉, оцінює вартість міграції на PQC у світовому фінансовому секторі у 28–42 мільярди доларів. У межах цієї суми дослідження RedCompass Labs та CMORG ⧉, які відстежують реальні витрати установ, показують, що банки першого ешелону виділяють від 20 до 30 мільйонів доларів щорічно на програми підготовки, при цьому терміни впровадження охоплюють кілька циклів зміни керівництва. Це значні цифри. Проте вони не є визначальними для порівняння.

Справжнім орієнтиром для порівняння є вартість хоча б одного випадку ретроспективного розшифрування. Для установи, чий перехоплений трафік платіжних доручень, листування щодо M&A або дані про ризики контрагентів стануть доступними для зловмисника у 2032 році, операційні та репутаційні витрати не обмежуватимуться статтею капітальних витрат на міграцію. Вони визначатимуться цінністю стратегічної інформації за останнє decade (десятиліття) — а для будь-якої системно важливої фінансової установи ця цінність є суттєво вищою за будь-який можливий бюджет міграції. Визначення криптографічного переходу групою G7 як проблеми системного управління ризиками, а не просто як технологічного оновлення, є правильним, і ради директорів повинні підходити до цього питання саме з такої позиції.

Варто виділити ще одну статтю витрат. Міграція на PQC є стимулом для розвитку криптографічної гнучкості (crypto-agility) — архітектурної можливості замінювати криптографічні алгоритми без перебудови систем, які від них залежать. Більшість установ наразі не мають криптографічної гнучкості; їхня залежність від RSA та ECC глибоко інтегрована у системи PKI, ланцюжки підписування коду, інтеграції з постачальниками та спеціалізовані протоколи, що накопичувалися десятиліттями. Інвестиції у гнучкість, зроблені під тиском переходу на PQC, є довгостроковими. Вони знадобляться знову, коли настане час наступного криптографічного переходу — будь то заміна алгоритмів PQC на базі решіток, впровадження систем квантового розподілу ключів або щось інше, чого ще немає у планах стандартизації. За правильного підходу капітальні витрати на міграцію PQC є одноразовою інвестицією, яка забезпечує постійну свободу вибору рішень у майбутньому.

Висновок

Необхідність розв'язання питання постквантової міграції як пріоритету для ради директорів у 2026 році ґрунтується не на неминучості появи CRQC. Його оцінки залишаються вельми невизначеними — авторитетні наукові думки оцінюють ймовірність появи CRQC до 2028 року значно менше ніж в один відсоток, прогнозуючи її зростання приблизно до п'ятдесяти відсотків у 2037–2040 роках. Проте ця необхідність базується на трьох інших фактах, які є цілком визначеними.

По-перше, збір даних для подальшого розшифрування (harvest-now-decrypt-later) відбувається вже сьогодні, і дані з вимогою щодо конфіденційності понад десять років опиняються під загрозою незалежно від того, коли саме з'явиться CRQC. По-друге, міграція криптографічної інфраструктури великої фінансової установи триває від п'яти до семи років навіть за належного фінансування та уваги з боку керівництва — це означає, що програма, розпочата у 2026 році, завершиться приблизно у 2031 році, що повністю вписується в рамки консервативної оцінки ймовірності появи CRQC. По-третє, очікування регуляторів суттєво посилилися за останні дванадцять місяців, і установи, у протоколах засідань рад директорів яких за 2026 рік зафіксовано чітку програму PQC, перебуватимуть у вигіднішому становищі порівняно з тими, хто обмежився спостереженням.

Організації, які починають роботу зараз, мають перевагу вибору. Вони можуть розподілити завдання за циклами зміни керівництва, інтегрувати їх у ширші ініціативи з підвищення стійкості та врахувати операційні витрати на гібридне розгортання у звичайному капітальному плануванні. Ті ж, хто зволікає, змушені будуть виконувати ту саму роботу в жорсткіші терміни, з меншими можливостями для маневру та в умовах дефіциту сумісного з PQC обладнання, спеціалістів та можливостей постачальників. Вартість завчасних дій є відомою; вартість запізнілих кроків є асиметричною саме в тому сенсі, якого намагається уникнути система управління ризиками.

Для ознайомлення з попереднім контекстом на цьому сайті: у матеріалі за квітень 2026 року про стиснення квантових порогів розглянуто траєкторію розвитку апаратного забезпечення; у листопадовому аналізі CRYSTALS-Kyber за 2023 рік описано математичні основи, які тепер стандартизовані як ML-KEM; у грудневій статті 2023 року про квантовий розподіл ключів розглядається додаткова надбудова QKD; а відкрита еталонна бібліотека KyberLib пропонує готову реалізацію базових примітивів на мові Rust для установ, які бажають безпосередньо вивчити криптографічну складову. Робота з практичними та технічними деталями, а не лише з регуляторними заголовками, — це саме те, що дозволяє радам директорів відрізняти реальні програми міграції від формального дотримання вимог.

Часті запитання

Коли насправді з'явиться криптографічно значущий квантовий комп'ютер?

Достовірні оцінки дуже різняться. Станом на початок 2026 року публічні квантові демонстрації досягли приблизно від 24 до 28 логічних кубітів, тоді як для CRQC, за оцінками, потрібно близько 6 000 логічних кубітів, що базуються на кількості від 100 000 до кількох мільйонів фізичних кубітів, залежно від методу виправлення помилок. Консенсус експертів оцінює ймовірність появи CRQC до 2028 року менш ніж в один відсоток, а до 2037–2040 років — приблизно у п'ятдесят відсотків, із суттєвими розбіжностями між різними прогнозами. Останні скорочення теоретичних оцінок ресурсів — з 20 мільйонів кубітів кілька років тому до менш ніж одного мільйона у роботі Гідні 2025 року та до приблизно 100 000 у статті про архітектуру QLDPC за лютий 2026 року — значно скоротили горизонт планування. Для ради директорів прийнятним орієнтиром планування є середина 2030-х років для систем високого ризику, кінець 2030-х як консервативна середина, та раніше, якщо головною проблемою є ризик HNDL.

Чому саме гібридне розгортання, а не чистий перехід на постквантові алгоритми?

На це є три причини. По-перше, ML-KEM та ML-DSA, хоча й пройшли ретельну перевірку, мають коротшу історію криптоаналізу, ніж RSA та ECC. Гібридна схема залишається безпечною, якщо діє хоча б один із її компонентів; чиста схема PQC опиняється під загрозою, якщо задача на решітках буде несподівано вирішена. По-друге, гібридний підхід забезпечує зворотну сумісність із контрагентами, які ще не здійснили міграцію, що є критично важливим під час багаторічного переходу всієї галузі. По-третє, кожен авторитетний регуляторний орган, за винятком Управління радіотехнічної оборони Австралії (ASD), прямо рекомендує використання гібридного підходу на перехідний період: NCSC, ANSSI, BSI, NLNCSA та концепція G7 підтримують модель подвійної оболонки. Компромісом, як показав проєкт Project Leap, є помітне збільшення обчислювальних накладних витрат та обсягів збереження даних. Це ціна за збереження свободи вибору.

Чи потрібні нам одночасно ML-KEM та ML-DSA, чи можна обрати один із них?

Обидва. Алгоритми ML-KEM та ML-DSA виконують різні криптографічні завдання. ML-KEM замінює примітиви встановлення ключів у протоколах TLS, VPN, мобільній автентифікації та аналогічних середовищах, де двом сторонам необхідно узгодити спільний симетричний ключ. ML-DSA замінює примітиви цифрового підпису в сертифікатах PKI, підписі коду, підписанні документів, автентифікації повідомлень типу SWIFT та підтвердженні ідентичності. Криптографічна інфраструктура організації використовує обидва типи примітивів у різних місцях; міграція має охоплювати обидва напрями. Суттєво більший розмір підпису ML-DSA (у 50–70 разів більший за ECDSA), як правило, є складнішим завданням з операційної точки зору; планування мережі та сховищ для ML-DSA становить основну частину оцінки ресурсів більшості проектів міграції.

Як вимірювати прогрес у програмі такого масштабу?

Практичними є три метрики, які відповідають основним регуляторним вимогам. Охоплення CBOM — який відсоток асиметричних криптографічних засобів установи було каталогізовано, класифіковано та позначено за пріоритетом міграції. Покриття міграції для активів високого ризику — який відсоток активів, для яких виконується умова Mosca S + M > Q, було переведено на гібридний PQC. Охоплення криптографічної гнучності — який відсоток систем із криптографічними залежностями може змінювати алгоритми без зміни коду, лише шляхом налаштування конфігурації. Дорожня карта G7 CEG, трифазний план NCSC та скоординована дорожня карта ЄС загалом орієнтуються саме на ці три метрики, хоча й можуть використовувати різну термінологію.

Скільки коштує відкладення міграції ще на рік?

Ціна не є нульовою, і вона є асиметричною. Очікування протягом одного року означає втрату року захисту від HNDL для довгострокових даних — дані, вимоги до конфіденційності яких діють до 2040 року, залишаються відкритими на рік довше, ніж потрібно. Це скорочує вікно міграції до встановлених регуляторних термінів (ASD 2030, етапи NSA CNSA 2.0, цілі ЄС для критичних систем на 2030 рік), що підвищує ризики впровадження та обмежує можливості планування черговості. Таке зволікання також наражає установу на дефіцит постачальників та дефіцит кваліфікованих кадрів, який вже зараз помітний на ринку і лише посилюватиметься у міру переходу найбільших гравців галузі від планування до втілення. Ця вартість не є катастрофічною в межах окремого року, але вона накопичується, а регуляторне середовище схиляється до того, що радам директорів доведеться пояснювати причини зволікання, а не витрати на міграцію.

References

Останній перегляд: .

Останній перегляд: .

Останній перегляд .

Перепублікувати цю статтю

Скопіювати формат для Medium

# Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/](https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/)

Квантовий ризик перейшов від наукового інтересу до активного регуляторного мандату. Після публікації дорожньої карти G7 у січні 2026 року, прояснення термінів в ЄС, Великій Британії та Австралії, а також доведення практичної реалізованості проєкту BIS Project Leap на рівні центральних банків, питання для рад директорів уже не в тому, чи мігрувати, а в тому, чи вдасться завершити міграцію до того, як закінчиться криптографічний строк придатності сьогоднішніх даних.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/

Скопіювати формат для Mastodon

Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau

Квантовий ризик перейшов від наукового інтересу до активного регуляторного мандату. Після публікації дорожньої карти G7 у січні 2026 року, прояснення термінів в ЄС, Великій Британії та Австралії, а також доведення практичної реалізованості проєкту BIS Project Leap на рівні центральних банків, питанн…

https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/

Копіювати відформатоване для LinkedIn

Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau

Квантовий ризик перейшов від наукового інтересу до активного регуляторного мандату.

Ось ключові стратегічні висновки:

- Рік посилення регуляторних вимог. Протягом більшої частини останнього десятиліття постквантова криптографія перебувала у комфортному куточку довгострокового планування.
- Три вектори загроз, які мають турбувати раду директорів. Перш ніж обговорювати механіку міграції, варто точно визначити, що саме перебуває під загрозою.
- Посилення регулювання: аналіз за юрисдикціями. Глобальна регуляторна картина станом на травень 2026 року більше не є розрізненим набором рекомендацій.
- BIS Project Leap: що насправді довів сектор. Проєкт Project Leap заслуговує на увагу ради директорів не тому, що він є маркетинговим досягненням, а тому, що він є найбільш переконливою на сьогоднішній день наскрізною демонстрацією роботи постквантової…

Яким є підхід вашої організації до викликів, описаних у цій статті?

→ https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/

#ПостквантоваКриптографія #МіграціяPqc #КорпоративнийБанкінг #ФінансовіПослуги #ДорожняКартаG7Ceg

Sebastien Rousseau | CC-BY-4.0
Цитувати цю статтю

Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau

Квантовий ризик перейшов від наукового інтересу до активного регуляторного мандату. Після публікації дорожньої карти G7 у січні 2026 року, прояснення термінів в ЄС, Великій Британії та Австралії, а також доведення практичної реалізованості проєкту BIS Project Leap на рівні центральних банків, питання для рад директорів уже не в тому, чи мігрувати, а в тому, чи вдасться завершити міграцію до того, як закінчиться криптографічний строк придатності сьогоднішніх даних.

BibTeX

@online{rousseau2026захист,
  author  = {Rousseau, Sebastien},
  title   = {{Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/},
  urldate = {2026}
}

RIS

TY  - GEN
AU  - Rousseau, Sebastien
TI  - Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/
ER  -

Vancouver

Rousseau S. Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau. sebastienrousseau.com. 2026 May 14. Available from: https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/

Chicago

Rousseau, Sebastien. "Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau." sebastienrousseau.com. May 14, 2026. https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/.

APA

Rousseau, S. (2026, May 14). Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/

Перевидати цю статтю

Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau

Квантовий ризик перейшов від наукового інтересу до активного регуляторного мандату. Після публікації дорожньої карти G7 у січні 2026 року, прояснення термінів в ЄС, Великій Британії та Австралії, а також доведення практичної реалізованості проєкту BIS Project Leap на рівні центральних банків, питання для рад директорів уже не в тому, чи мігрувати, а в тому, чи вдасться завершити міграцію до того, як закінчиться криптографічний строк придатності сьогоднішніх даних.

Ця стаття поширюється за ліцензією Creative Commons Attribution 4.0 International. Перевидання вимагає посилання на канонічну URL-адресу.

Захист реєстру: посібник для рад директорів з постквантової міграції для корпоративних фінансів — Sebastien Rousseau

Квантовий ризик перейшов від наукового інтересу до активного регуляторного мандату. Після публікації дорожньої карти G7 у січні 2026 року, прояснення термінів в ЄС, Великій Британії та Австралії, а також доведення практичної реалізованості проєкту BIS Project Leap на рівні центральних банків, питання для рад директорів уже не в тому, чи мігрувати, а в тому, чи вдасться завершити міграцію до того, як закінчиться криптографічний строк придатності сьогоднішніх даних.

Originally published at https://sebastienrousseau.com/uk/2026-05-14-zakhyst-knyhy-postkvantova-migratsiya-korporatyvnykh-finansiv/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.