Пост-квантовое шифрование входит в стандарт VPN: что изменилось

Квантовые компьютеры пока не взломали ни одного VPN - но гонка уже началась. В 2024 году NIST утвердил первые в истории стандарты пост-квантовой криптографии, и ведущие VPN-провайдеры начали их внедрять. Это меняет всё: шифрование, которое защищало вас ещё вчера, завтра может стать устаревшим.

Что такое пост-квантовое шифрование

Современные VPN используют криптографию на основе математических задач, которые классическим компьютерам решить практически невозможно - разложение больших чисел на простые множители (RSA) или дискретное логарифмирование (ECC). Квантовый компьютер с достаточным числом кубитов решит эти задачи за минуты с помощью алгоритма Шора.

Пост-квантовая криптография (PQC) - это новое поколение алгоритмов, устойчивых к атакам как классических, так и квантовых машин. Они строятся на математических задачах иного рода: решётчатой криптографии, хеш-функциях, кодовой теории - задачах, для которых у квантовых компьютеров нет аналога алгоритма Шора.

Стандарты NIST: август 2024

В августе 2024 года Национальный институт стандартов и технологий США (NIST) опубликовал первые три финализированных стандарта PQC:

• ML-KEM (CRYSTALS-Kyber) - механизм инкапсуляции ключей, замена RSA/ECDH при обмене ключами
• ML-DSA (CRYSTALS-Dilithium) - алгоритм цифровой подписи
• SLH-DSA (SPHINCS+) - подпись на основе хеш-функций, резервный вариант

В марте 2025 года NIST выбрал алгоритм HQC (Hamming Quasi-Cyclic) для стандартизации в качестве резервного KEM - страховки на случай, если в ML-KEM обнаружат уязвимости. Финализация документации продолжается.

Кто уже внедрил: NordVPN и ExpressVPN впереди

NordVPN стал одним из первых коммерческих VPN-провайдеров, внедривших PQC. В 2024 году поддержка ML-KEM появилась в протоколе NordLynx (на базе WireGuard) для Linux, а в 2025 году покрытие распространилось на все платформы: Windows, macOS, iOS, Android, Android TV и tvOS. На 2026 год запланировано добавление пост-квантовой аутентификации - чтобы защита охватывала не только шифрование, но и верификацию личности.

ExpressVPN интегрировал ML-KEM в собственный протокол Lightway, используя ключи уровня NIST Security Level 5 - максимального уровня защиты. Внедрение прошло одновременно на всех платформах (Android, iOS, Linux, Mac, Windows) без заметного влияния на скорость соединения.

WireGuard + Rosenpass: открытый стандарт

Для пользователей WireGuard существует открытое расширение Rosenpass - отдельный демон, добавляющий пост-квантовый обмен ключами поверх стандартного WireGuard. Rosenpass использует Classic McEliece и Kyber/ML-KEM одновременно, реализуя принцип гибридной криптографии: даже если один из алгоритмов окажется скомпрометирован, соединение защищает второй.

Большинство провайдеров отстают

Несмотря на то что стандарты утверждены, большинство коммерческих VPN по состоянию на начало 2026 года всё ещё не внедрили пост-квантовую защиту. Cisco планирует поддержку ML-KEM в корпоративных продуктах (ASA, FTD, AnyConnect/Secure Client) в рамках IKEv2 - внедрение ожидается по мере выхода обновлений. Cloudflare применяет ML-KEM как в HTTPS, так и в своём VPN-клиенте WARP - одном из первых в отрасли.

Это означает: если ваш VPN-провайдер не упоминает ML-KEM или пост-квантовую защиту - с высокой вероятностью вы её ещё не получили.

Что это значит для вас

• При выборе VPN проверяйте поддержку ML-KEM / пост-квантового шифрования в протоколах
• Гибридные схемы (классика + PQC одновременно) сейчас безопаснее, чем только классические
• Если вы работаете с данными, чувствительными на горизонте 10+ лет - действуйте уже сейчас
• Смена стандартов требует обновления клиентских приложений - держите VPN обновлённым