TL;DR. Постквантова криптографія ставить платіжні рейки перед бінарним вибором: доробляти RSA/ECC у SWIFT MT та ISO 20022, не розрахованих на ML-KEM і ML-DSA, або замінювати на криптоагільну інфраструктуру. Рішення архітекторів — до того, як HNDL стане операційним збитком.

Points clés

Збирай зараз, розшифровуй потім: загрозова модель, що знімає опцію «зачекати». HNDL перевертає звичну криптографічну хронологію.
Проблема розміру і є інженерною проблемою. Публічна дискусія про міграцію на PQC схильна зосереджуватися на виборі алгоритму.
Доробка проти заміни: рішення, яке визначає програму. Чесне формулювання таке: доробка — це керований план міграції з коротким терміном придатності, а заміна — єдиний стабільний пункт призначення.
Криптоагільна архітектура, шар за шаром. Інфраструктурні шари, важливі для міграції на PQC, — це не бізнес-шари «дані, контроль, економіка», що підходять загальній банківській розповіді.

Постквантова платіжна інфраструктура: чому банки замінюють застарілі рейки, а не доробляють їх

Криптографічні примітиви, що автентифікують кожен оптовий платіж у промисловій експлуатації сьогодні, — RSA, ECDSA, ECDH — мають дату придатності. США закріпили цю дату у федеральному закупівельному праві наприкінці 2022 року через Quantum Computing Cybersecurity Preparedness Act ⧉. Робочий документ BIS №1208 ⧉ переніс ту саму дату придатності в наглядову рамку центральних банків. NIST FIPS 203 ⧉ і FIPS 204 ⧉ у серпні 2024 року опублікували заміни.

Платіжна інфраструктура ще не засвоїла, що це означає.

Ця стаття — інженерне обґрунтування заміни замість доробки. Її написано для архітекторів, які вже розуміють алгоритми та мають вирішити, що робити зі SWIFT MT, повідомленнями ISO 20022 pacs і pain, інтерфейсами RTGS, парками HSM і сертифікатними ієрархіями під усім цим.

Резюме для керівників / ключові висновки

Збирай-зараз-розшифровуй-потім (HNDL) — операційна загроза. У 2026 році противники записують зашифрований платіжний трафік, щоб розшифрувати його, щойно з'явиться криптоаналітично значущий квантовий комп'ютер (CRQC). Перехоплений трафік містить інструкції розрахунків, дані бенефіціарів та автентифікаційний матеріал з довгостроковою чутливістю.

NIST стандартизував заміни. ML-KEM (FIPS 203) для інкапсуляції ключів та ML-DSA (FIPS 204) для цифрових підписів — це усталений вибір. SLH-DSA (FIPS 205) покриває хеш-базовий резерв без станів.

Розрив у розмірі ламає застарілі припущення. Публічні ключі та підписи в 5–20× більші за еквіваленти RSA-2048. Це конфліктує з MTU у платіжних мережах, припущеннями про фіксований буфер в обробниках повідомлень MT та криптографічною пропускною здатністю встановлених парків HSM.

Гібрид (класичний + PQC) — це транспорт міграції, а не пункт призначення. Гібридний TLS і гібридний X.509 купують два-три роки сумісності, поки бойові рейки замінюються. Базову проблему ємності вони не вирішують.

PKI — це несівна стіна. Центр сертифікації, чий алгоритм підпису стає підробним, знецінює кожен сертифікат під собою. Інституційна експозиція банку — це ланцюг довіри, а не окрема кінцева точка.

Криптоагільність — архітектурна властивість, яку слід проєктувати. Ідентифікатори алгоритмів, формати ключів, оболонки підписів і розділи HSM мають бути параметризованими. Усе, що зашите під RSA на етапі компіляції, — це технічний борг, який стане до сплати одночасно.

Збирай зараз, розшифровуй потім: загрозова модель, що знімає опцію «зачекати» #

HNDL перевертає звичну криптографічну хронологію. Класична оцінка ризику запитує, коли загроза матеріалізується. HNDL запитує, коли дані, перехоплені сьогодні, стануть корисними противнику. Для платіжних повідомлень — ідентифікаторів бенефіціарів, номерів рахунків, структурованих даних про переказ, навантажень санкційного скринінгу, внутрішньобанківських розрахункових інструкцій — вікно чутливості становить роки й десятиліття. Більшість цього трафіку вже зараз десь записана.

Графік NSA CNSA 2.0 ⧉ дає системам національної безпеки час до 2035 року для завершення переходу. Фінансові наглядачі рухаються швидше — очікування PRA щодо операційної стійкості ⧉ трактують криптографічну агільність як ризик концентрації за третіми сторонами. Очікування 2026 року — що суттєві платіжні рейки публікують свій план міграції на PQC у самозвіті про стійкість.

HNDL-противнику не потрібен CRQC сьогодні. Йому потрібні:

Мережева позиція. Відводи підводних кабелів, перехоплення на рівні ISP та скомпрометовані проміжні пристрої — усе у сфері уваги. Оптовий платіжний трафік концентрується через невелику кількість мережевих шляхів.
Сховище. Петабайт структурованих платіжних даних — це керований архів у 2026 році.
Терпіння. Перехоплення нічого не коштує за одне повідомлення. Прибуток приходить пізніше.

Аргумент міграції, отже, не «квантові комп'ютери можуть з'явитися у 2035 році». Це «будь-яка TLS-сесія, що завершиться сьогодні з обміном ключами RSA-2048, відкрита настільки довго, наскільки збереже чутливість вміщений у ній зміст».

Проблема розміру і є інженерною проблемою #

Публічна дискусія про міграцію на PQC схильна зосереджуватися на виборі алгоритму. Складніша проблема — вимірювальна.

Примітив	Публічний ключ	Підпис / шифротекст
RSA-2048	256 байтів	256 байтів (підпис)
ECDSA P-256	64 байти	64 байти (підпис)
ML-KEM-768	1184 байти	1088 байтів (шифротекст)
ML-DSA-65	1952 байти	3309 байтів (підпис)
SLH-DSA-128f	32 байти	17 088 байтів (підпис)

Ці цифри прямо відображаються на режими відмов, під які застаріла платіжна інфраструктура ніколи не проєктувалася:

Фрагментація пакетів на шляху. ClientHello з гібридом ML-KEM-768 плюс класичним X25519 перевищує типовий Ethernet MTU 1500 байтів. Проміжні пристрої між двома платіжними кінцевими точками фрагментують, відкидають або переписують рукостискання. Відмова проявляється як епізодичні TLS-помилки, що виглядають як перехідний мережевий шум.
Припущення про буфери в обробниках MT. Багато інтеграцій SWIFT MT несуть підписані оболонки під ECDSA. Помістіть туди підпис ML-DSA — і парсер або обрізає, або відхиляє.
Пропускна здатність HSM. Підписання ML-DSA на встановленому парку HSM у 3–10× повільніше за ECDSA на операцію, на обладнанні, чий бюджет ключів-на-секунду й так працює на межі під час пакетних вікон закриття дня.
Вага ланцюга сертифікатів. Чотирирівнева ієрархія CA, перевидана з підписами ML-DSA, виростає з приблизно 6 КБ до приблизно 60 КБ. Кожне TLS-рукостискання до рейки за це платить.

Шлях доробки — гасити ці обмеження по одному: більші буфери тут, швидші HSM там, толерантність до фрагментації у проміжних пристроях. Це захищений шестимісячний міст. Це не архітектура.

Доробка проти заміни: рішення, яке визначає програму #

Чесне формулювання таке: доробка — це керований план міграції з коротким терміном придатності, а заміна — єдиний стабільний пункт призначення. Питання в тому, що банк фінансує першим і як довго вікно доробки залишається відкритим, перш ніж перетвориться на постійний милицю.

Доробка означає:

Гібридний TLS (ML-KEM + X25519), термінований на існуючій межі рейки.
Подвійно підписані сертифікати (RSA — основний, ML-DSA — додатковий), випущені з PQC-спроможного підпорядкованого CA.
Більші буфери MT і жорсткіша політика MTU на платіжних VPN.
Оновлення мікропрограм HSM там, де постачальники підтримують примітиви PQC; повна заміна HSM там, де не підтримують.

Цю роботу зробити можна. Вона не усуває базової проблеми: SWIFT MT та багато імплементацій ISO 20022 кодують криптографічну оболонку всередині формату повідомлення, який прив'язує алгоритм. Наступний перехід алгоритмів — а він буде, коли ML-KEM з часом покаже слабкість або з'явиться новий стандарт, — пройде ту саму міграцію тими самими рейками.

Заміна означає прийняття того, що криптографічний шар не є властивістю формату повідомлення. Це властивість окремої сервісної оболонки, яку формат повідомлення викликає. Конкретно:

Межа транспортної безпеки переноситься у сервісну сітку або sidecar, що термінує гібридний TLS і подає рейці відкритий текст повідомлення зі стабільним інтерфейсом.
Підписи на рівні повідомлення створює виділений підписний сервіс, для якого вибір алгоритму — конфігураційний параметр, а не жорстко закодоване припущення.
Сертифікати випускає CA, чий підписний алгоритм сам ротується.
Розділи HSM адресуються за призначенням (транспорт, підпис, інкапсуляція ключів), а не за форматом повідомлення.

Проєкт заміни переживає наступну зміну алгоритму без повторного втручання у рейку.

Криптоагільна архітектура, шар за шаром #

Інфраструктурні шари, важливі для міграції на PQC, — це не бізнес-шари «дані, контроль, економіка», що підходять загальній банківській розповіді. Важливі шари — криптографічні.

Шар	Що робить	Питання PQC	Архітектурна директива
HSM / керування ключами	Генерує, зберігає та оперує ключовим матеріалом під апаратною ізоляцією	Чи підтримує встановлена мікропрограма HSM ML-KEM, ML-DSA та гібридний API інкапсуляції ключів? Яким є розрив у пропускній здатності підпису порівняно з ECDSA на тому самому залізі?	Інвентаризуйте кожен розділ HSM за підтримкою алгоритмів і ємністю на секунду. Виводьте з експлуатації все, що прив'язане до RSA без шляху оновлення мікропрограми. Розгортайте виділені розділи PQC до промислового переключення.
PKI / центр сертифікації	Видає, відкликає та з'єднує довіру через сертифікати X.509	Чи може CA підписувати ML-DSA сьогодні? Чи є випробуваний процес ротації кореня та повторного видання ланцюга? Чи розраховані відповідачі CRL та OCSP на вагу підпису ML-DSA?	Сприймайте стек CA як несівну стіну. Створіть PQC-спроможний підпорядкований CA вже зараз. Плануйте ротацію кореня під найдовговічнішу залежність від сертифікатів, а не під зручність.
Транспорт / мережа	Термінує TLS, IPsec і MACsec між платіжними кінцевими точками	Чи витримує балансувальник навантаження, WAF і шлях проміжних пристроїв гібридні рукостискання, що перевищують застарілий MTU? Чи розраховані квитки відновлення сесії на ключі PQC?	Перенесіть термінацію TLS на криптоагільну межу (sidecar або сервісна сітка). Підніміть політику MTU на платіжних VPN. Тестуйте увесь шлях зі свідомо викликаною фрагментацією.
Застосунок / корисне навантаження повідомлення	Несе SWIFT MT, повідомлення ISO 20022 pacs / pain / camt і їхні криптографічні оболонки	Чи витримує обробник повідомлень рейки підписані оболонки розміром ML-DSA? Чи є проміжні парсери обізнаними щодо алгоритмів, чи вони обрізають за довжиною?	Відокремте оболонку від корисного навантаження. Підписуйте на сервісній межі, а не всередині обробника формату повідомлення. Сприймайте ідентифікатори алгоритмів як дані, а не як схему.
Аудит / докази	Виробляє криптографічний ланцюг зберігання доказів, на який спираються наглядачі та клієнти	Чи залишаться історичні підписані записи перевіреними, коли підписний алгоритм буде застарілим? Чи є план довгострокового архівного підпису?	Доскладайте контрпідпис на архівах хеш-базовим примітивом (SLH-DSA) для гарантії, що переживе зламування будь-якого окремого алгоритму. Сприймайте аудит-ланцюг як регульований артефакт, а не побічний продукт збірки.

Дисципліна полягає в тому, щоб зробити кожен вибір алгоритму конфігураційним значенням на кожному шарі. Інституція, що жорстко кодує RSA-2048 на будь-якому з цих шарів, успадковує скоординовану подію кінця життя, коли цей алгоритм впаде.

Що це означає за типом банку #

Профіль експозиції відрізняється за установами. Відповідно відрізняються й директиви.

Глобальні банки #

Глобальні банки оперують найбільшими встановленими парками HSM, найдовшими ланцюгами сертифікатів і найскладнішими мережевими шляхами між контрагентами. Домінантний ризик — не вибір алгоритму, а вартість координації зміни алгоритмів через сотні внутрішніх сервісів і десятки зовнішніх контрагентів одночасно.

Директива — профінансувати PQC-спроможний CA, криптоагільну транспортну межу та підписний сервіс із параметризованим алгоритмом як роботу 2026 року, до того як буде доопрацьовано будь-яку окрему рейку. Доробка тоді стає рутинною промисловою зміною в межах відомої рамки. Без рамки кожна доробка рейки наново перевідкриває ті самі архітектурні рішення.

Регіональні банки #

Регіональні банки мають меншу алгоритмічну поверхню, але пропорційно менше фахового персоналу. Домінантний ризик — прив'язка до постачальника HSM щодо алгоритмів, які постачальник не зобов'язався підтримувати.

Директива — записати підтримку PQC, конкретно ML-KEM та ML-DSA з випробуваним шляхом оновлення мікропрограми, у кожне поновлення контракту HSM від 2026 року і далі. Банки без цієї клаузули успадковують вимушену апаратну заміну за графіком постачальника, а не за власним.

Фінтехи та PSP #

Постачальники платіжних послуг і фінтехи зазвичай сидять між банком-контрагентом і системою торговця чи кінцевого користувача. Їхня криптографічна експозиція — це API-межа з обох боків.

Директива — публікувати гібридний TLS-інтерфейс (класичний плюс ML-KEM) на стороні, оберненій до банку, як обов'язкову умову в комерційних розмовах 2026 року. Фінтех, який приходить із вже продемонстрованою сумісністю PQC, виграє цикли інтеграції в фінтеха, який ще не почав.

Корпоративні казначеї #

Казначеї не оперують криптографічною інфраструктурою прямо. Вони її споживають — кожен банківський API, кожна захищена передача файлів, кожне підписане підтвердження залежить від банківської PKI.

Директива — додати три питання до кожного RFP банку у 2026 році: які алгоритми PQC банк використовує сьогодні у клієнтському TLS, який план банку щодо платіжних підтверджень, підписаних ML-DSA, та як банк має намір зберегти перевірюваність історичних підписаних записів, коли RSA буде застарілим. Банки, які не можуть відповісти на ці питання, сигналізують щось про базову інженерну готовність.

Що відбувається далі #

Перша хвиля розгортання PQC у платежах буде непомітною для кінцевих користувачів. Гібридний TLS з'являється у рукостисканні, ланцюги сертифікатів ростуть, затримка підпису HSM збільшується на кілька мілісекунд, а рейки продовжують працювати. Це шлях успіху.

Видимі відмови будуть зумовлені доробкою: рейка, що не приймає підписану ML-DSA оболонку без обрізки; CA, чия точка розподілу CRL давиться новою вагою підпису; проміжний пристрій, що фрагментує гібридні рукостискання на переставлені ClientHello. Ці відмови приходитимуть у промислову експлуатацію протягом 2027 року.

Архітектурне рішення 2026 року — фінансувати інфраструктуру заміни, що робить доробку неактуальною, або фінансувати послідовність виправлень окремих рейок, кожне з яких індивідуально виглядає дешевшим і в сумі дає довшу й дорожчу міграцію. Банк, що обере перший шлях, веде тихіші операції впродовж переходу. Банк, що обере другий, проведе решту десятиліття, пояснюючи розбори інцидентів наглядачам.

PQC — це не криптографічна проблема, переодягнена в інфраструктурну. Це інфраструктурна проблема, яку випадково почала криптографія.

Поширені запитання #

Чи є дедлайн, що змушує до цієї роботи?

Жорсткі регуляторні дедлайни — юрисдикційні. США Quantum Computing Cybersecurity Preparedness Act ⧉ зобов'язує федеральні системи. Графік NSA CNSA 2.0 ⧉ націлений на 2035 рік для систем національної безпеки. Публікація BIS Project Leap ⧉ і робоча програма FSB підтягують цей горизонт ближче для системної платіжної інфраструктури. HNDL означає, що операційний годинник пішов задовго до будь-якої з цих номінальних дат.

Чому ML-KEM рекомендований для інкапсуляції ключів, а не щось швидше?

ML-KEM (стандартизована версія CRYSTALS-Kyber) дав найкраще поєднання малих розмірів шифротексту та ключів серед ґраткових кандидатів, зі зрілими реалізаціями та посиленням проти сторонньоканальних атак. NIST опублікував його як FIPS 203 ⧉. Швидші кандидати існують, але мають більший розмір або слабші довірчі інтервали щодо параметрів безпеки.

Чому не використовувати SLH-DSA всюди замість ML-DSA?

SLH-DSA (стандартизована версія SPHINCS+) — хеш-базована й тому покладається лише на безпеку хеш-функції, що є найконсервативнішим доступним припущенням. Її підписи у 5–20× більші за ML-DSA. Це прийнятно для архівного контрпідпису, але непрацездатно для транзакційного підпису, де розмір на повідомлення має значення. Стандартний патерн — ML-DSA для промислового підпису та SLH-DSA для архівних гарантій.

Чи може банк просто чекати, поки рейки опублікують профілі PQC?

Банк, що чекає, успадковує вікно міграції, яке публікує рейка, — а воно коротше за внутрішній цикл змін самого банку. До моменту, коли SWIFT, місцевий оператор RTGS та відповідні CCP кожен опублікує свій профіль PQC, вікно міграції становитиме від дванадцяти до двадцяти чотирьох місяців. Банки, що не побудували заздалегідь свою CA, транспортну та HSM-спроможність, не вкладуться в нього без операційних обхідних шляхів.

Що є найвищим важелем для першочергового фінансування?

PQC-спроможний підпорядкований центр сертифікації, інтегрований у наявну PKI, що може видавати сертифікати з двома алгоритмами (RSA плюс ML-DSA) без зриву промислової довіри. Це задає примітив ротації. Усе інше — оновлення транспорту, планування розділів HSM, зміни оболонок повідомлень — можна планувати навколо нього.

Джерела #

Congress.gov, (2022). H.R. 7535 — Quantum Computing Cybersecurity Preparedness Act ⧉.
NIST, (2024). FIPS 203 — Module-Lattice-Based Key-Encapsulation Mechanism Standard ⧉.
NIST, (2024). FIPS 204 — Module-Lattice-Based Digital Signature Standard ⧉.
NIST, (2024). FIPS 205 — Stateless Hash-Based Digital Signature Standard ⧉.
NSA, (2022). Commercial National Security Algorithm Suite 2.0 ⧉.
BIS, (2024). Working Paper No. 1208 — Project Leap: Quantum-proofing the financial system ⧉.
Bank of England (PRA), (2024). SS1/21 — Operational resilience: Impact tolerances for important business services ⧉.

Останній перегляд 2026-05-31.