ChSTU repository
ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets
Learn More
Please use this identifier to cite or link to this item:
https://er.chdtu.edu.ua/handle/ChSTU/6504| Title: | Перспективи впровадження квантової криптографії в інформаційно-комунікаційних системах сектору безпеки й оборони України |
| Authors: | Гавриш, Олександр Степанович Манько, Максим Володимирович |
| Keywords: | квантова криптографія;постквантова криптографія;гібридна модель захисту;сектор безпеки й оборони;harvest now decrypt later |
| Issue Date: | 2025 |
| Abstract: | "Метою роботи є аналіз загроз квантових обчислень та розроблення гібридної моделі квантово-стійкого захисту на основі технологій QKD і PQC для спеціальних каналів зв’язку. Об’єкт дослідження – процеси криптографічного захисту інформації в інформаційно-комунікаційних системах сектору безпеки й оборони України. Методи дослідження – аналітичний огляд, математичне моделювання, порівняльний аналіз криптографічних алгоритмів та моделювання роботи захищеного каналу." |
| URI: | https://er.chdtu.edu.ua/handle/ChSTU/6504 |
| Appears in Collections: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Files in This Item:
| File | Description | Size | Format | |
|---|---|---|---|---|
| М_125_Манько_Гавриш.pdf Restricted Access | 4.19 MB | Adobe PDF | View/Open Request a copy |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ, АВТОТРАНСПОРТУ ТА
МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор __________
Володимир ПАЛАГІН
"_____" грудня 2025 року
Пояснювальна записка
до випускної роботи
освітнього ступеня «магістр»
на тему: «Перспективи впровадження квантової криптографії в інформаційно-
комунікаційних системах сектору безпеки й оборони України»
Виконав студент 2 курсу, групи мБІ-41
Спеціальність – 125 «Кібербезпека та захист
інформації»
Освітня програма – «Безпека інформаційних і
комунікаційних систем»
МАНЬКО Максим Володимирович
Керівник роботи ГАВРИШ Олександр
Рецензент БОНДАРЕНКО Максим
Черкаси 2025
Форма № Н-9.01
Черкаський державний технологічний університет
(назва вузу)
Факультет електронних технологій, автотранспорту та машинобудування
Кафедра Робототехнічних і телекомунікаційних систем та кібербезпеки
Освітній ступінь магістр
Спеціальність F5 /( 125) - «Кібербезпека та захист інформації»
Освітня програма «Безпека інформаційних і комунікаційних систем»
ЗАТВЕРДЖУЮ
Завідувач кафедри РТСК
д.т.н., професор Володимир ПАЛАГІН
« » вересня 2025 р.
ЗАВДАННЯ
на дипломний проект (роботу) здобувачу вищої освіти
Маньку Максиму Володимировичу
(прізвище, ім'я, по батькові)
1. Тема проекту (роботи) Перспективи впровадження квантової криптографії в
інформаційно-комунікаційних системах сектору безпеки й оборони України
керівник проекту (роботи) Гавриш Олександр Степанович, к.ф.-м.н., доцент
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджена наказом по університету від « » 2025 р. №
2. Строк подання студентом проекту (роботи) 1 грудня 2025 р.
3. Вихідні дані до проекту (роботи) Нормативно-правові акти України у сфері кібербезпеки
та захисту інформації; структура наявних інформаційно-комунікаційних систем сектору
безпеки й оборони України; чинні стандарти та рекомендації ITU-T, ETSI, NIST щодо
квантової та постквантової криптографії; вимоги до криптографічного захисту інформації.
4. Зміст розрахунково-пояснювальної записки (перелік питань, які потрібно розробити)______
Вступ. 1. Аналіз загроз інформаційній безпеці та стану телекомунікаційних мереж сектору
безпеки й оборони України в умовах розвитку квантових технологій. 2. Дослідження
стандартів постквантової криптографії NIST 2024 і протоколів квантового розподілу ключів
та їх застосування в інформаційно-комунікаційних системах сектору безпеки й оборони
України. 3. Розробка гібридної архітектури захищеної мережі (QKD + PQC + AES), її
математичне моделювання та дорожня карта. Висновки. Список використаних джерел.
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень)
Презентація в Power Point обсягом 17 плакатів.
6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Підпис, дата
Розділ Прізвище, ініціали та посада завдання завдання
консультанта видав прийняв
7. Дата видачі завдання 04 вересня 2025 р.
КАЛЕНДАРНИЙ ПЛАН
№ Назва етапів дипломного С т р о к виконання Примітка
з/п проекту (роботи) етапів проекту
(роботи)
1. Аналіз технічного завдання та огляд літератури 05.09.2025
2. Розробка методики проведення дослідження 17.09.2025
3. Аналіз стану інформаційно-комунікаційних систем
сектору безпеки й оборони України та вимог до їх
криптографічного захисту 25.09.2025
4. Огляд і дослідження протоколів квантового
розподілу ключів і постквантових
криптоалгоритмів 01.10.2025
5. Розробка структурних та функціональних схем
гібридної системи захисту з використанням
квантової криптографії 15.10.2025
6. Моделювання гібридної системи захисту та оцінка
її ефективності 24.10.2025
7. Оформлення пояснювальної записки 07.11.2025
8. Оформлення плакатів 25.11.2025
Студент МАНЬКО Максим
(підпис) (прізвище та ініціали)
Керівник проекту (роботи) ГАВРИШ Олександр
(підпис) (прізвище та ініціали)
ЗМІСТ
Стор.
ВСТУП 6
РОЗДІЛ 1. АНАЛІЗ ЗАГРОЗ ІНФОРМАЦІЙНІЙ БЕЗПЕЦІ ТА СТАНУ
ТЕЛЕКОМУНІКАЦІЙНИХ МЕРЕЖ СЕКТОРУ БЕЗПЕКИ Й ОБОРОНИ
УКРАЇНИ В УМОВАХ РОЗВИТКУ КВАНТОВИХ ТЕХНОЛОГІЙ 13
1.1 Сучасний стан та вразливості телекомунікаційних мереж сектору
безпеки й оборони України 13
1.2 Стратегія «Harvest Now, Decrypt Later» як довгострокова загроза для
національної безпеки 19
1.3 Вплив квантових алгоритмів Шора та Гровера на стійкість класичних
криптографічних систем 23
1.4 Міжнародний досвід впровадження квантових комунікацій та квантової
криптографії у секторі оборони країн ЄС та НАТО 28
1.5 Огляд стандартів постквантової криптографії NIST 2024 32
1.6 Принципи та протоколи квантового розподілу ключів (QKD) 35
Висновки до розділу 1 38
РОЗДІЛ 2. РОЗРОБКА ГІБРИДНОЇ АРХІТЕКТУРИ КВАНТОВО-
СТІЙКОГО КРИПТОГРАФІЧНОГО ЗАХИСТУ ІНФОРМАЦІЙНО-
КОМУНІКАЦІЙНИХ СИСТЕМ СЕКТОРУ БЕЗПЕКИ Й ОБОРОНИ
УКРАЇНИ 41
2.1 Концепція гібридного захисту: інтеграція QKD, PQC та AES-256 41
2.1.1 Цілі та вимоги до гібридної системи 42
2.1.2 Логічна схема гібридної криптосистеми 43
2.1.3 Ролі QKD, PQC та AES-256 у контексті мереж сектору безпеки й
оборони 45
2.2 Архітектура мережі спеціального призначення з інтегрованим
квантовим шаром 46
2.2.1 Базові принципи побудови архітектури 46
2.2.2 Логічна структура мережі спеціального призначення 48
2.2.3 Моделі розгортання квантового шару 50
2.3. Протокол узгодження ключів та виявлення прослуховування в каналі
зв’язку 51
2.3.1 Загальна схема протоколу між вузлами A та B 51
2.3.2 Механізм виявлення прослуховування в квантовому каналі 54
2.3.3 Захист класичного каналу узгодження 56
2.4. Проблематика інтеграції квантових рішень із наявними (legacy)
засобами зв’язку сектору безпеки й оборони України 57
2.4.1 Технологічна неоднорідність та обмеження інфраструктури
2.4.2 Управління ключами, масштабованість та роль KMS 57
2.4.3 Вартість, нормативно-правові та організаційні аспекти 58
2.4.4 Ризики впровадження та шляхи їх мінімізації 59
Висновки до розділу 2 60
РОЗДІЛ 3. МАТЕМАТИЧНЕ МОДЕЛЮВАННЯ ГІБРИДНОЇ СИСТЕМИ 62
КРИПТОГРАФІЧНОГО ЗАХИСТУ ТА ПЕРСПЕКТИВИ ЇЇ
ВПРОВАДЖЕННЯ В ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ
СИСТЕМАХ СЕКТОРУ БЕЗПЕКИ Й ОБОРОНИ УКРАЇНИ
3.1 Математичне моделювання квантового каналу та генерації секретного 65
ключа
3.1.1 Постановка задачі моделювання 65
3.1.2 Математична модель квантового каналу 65
3.1.3 Оцінка секретної швидкості генерації ключа 65
3.1.4 Інтерпретація результатів для мереж сектору безпеки й оборони 68
України
3.2 Оцінка ефективності гібридної системи криптографічного захисту в 73
мережах спеціального призначення
3.2.1 Мета та показники оцінювання 73
3.2.2 Потреба в секретному ключі для типових сегментів 73
3.2.3 Можливості QKD-лінків та кількість підтримуваних каналів 74
3.2.4 Показник покриття критичних каналів 75
3.2.5 Порівняння з суто постквантовим варіантом 77
3.2.6 Узагальнення результатів підрозділу 78
3.3 Аналіз нормативно-правового забезпечення впровадження квантових 80
технологій в Україні.
3.3.1. Міжнародні стандарти та рекомендації 80
3.3.2. Національна нормативно-правова база України 80
3.3.3. Поточні прогалини та виклики 81
3.3.4. Напрями подальшого розвитку нормативної бази 82
3.4 Дорожня карта впровадження квантово-стійких технологій у критичній 82
інформаційній інфраструктурі сектору безпеки й оборони України та
практичні рекомендації
3.4.1 Короткостроковий етап (1–3 роки) 83
3.4.2 Середньостроковий етап (3–7 років) 84
3.4.3 Довгостроковий етап (7+ років) 85
3.4.4 Таблиця етапів та відповідальних заходів 86
3.4.5 Практичні рекомендації для сектору безпеки й оборони України 87
Висновки до розділу 3 88
ВИСНОВКИ 88
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 91
Додаток А – Лістинг програми моделювання квантового каналу та 96
розрахунку швидкості генерації ключа
100
ВСТУП
Стрімкий розвиток квантових обчислень та квантових комунікацій упродовж
останнього десятиліття призводить до необхідності перегляду базових засад
сучасної криптографії та систем захисту інформації. Алгоритми, стійкість яких
упродовж багатьох років вважалася достатньою з погляду класичних
обчислювальних моделей (RSA, криптографія на еліптичних кривих тощо), в
умовах появи повномасштабних квантових комп’ютерів потенційно втрачають
здатність гарантувати довгострокову конфіденційність [1]. Особливо актуальною
стає загроза реалізації сценарію типу «Harvest Now, Decrypt Later», коли
зловмисник здійснює систематичне перехоплення зашифрованого трафіку вже
сьогодні, розраховуючи на можливість його дешифрування у середньо- чи
довгостроковій перспективі за допомогою квантових обчислювальних засобів [2].
Для інформаційно-комунікаційних систем сектору безпеки й оборони
України, у яких обробляються відомості з високим рівнем критичності та тривалим
строком актуальності (оперативно-стратегічні плани, розвідувальні дані,
інформація щодо критичної інфраструктури, оборонно-промислові зв’язки тощо),
зазначені загрози мають системний характер [3-4]. В умовах тривалої збройної
агресії проти України, масового застосування засобів кібернетичного та
радіоелектронного впливу, а також нарощування противником потенціалу
зберігання й аналітичної обробки даних забезпечення квантово-стійкого
криптографічного захисту стає одним із ключових елементів національної безпеки
[5].
Сучасні телекомунікаційні й інформаційно-комунікаційні мережі
спеціального призначення значною мірою базуються на класичних
криптографічних механізмах, стійкість яких підтверджена у класичній
(неквантовій) моделі обчислень. У типовому випадку для захисту каналів зв’язку
використовуються симетричні алгоритми (зокрема AES) у поєднанні з
асиметричними алгоритмами на основі складності задач факторизації або
дискретного логарифмування (RSA, ECC) для розподілу ключів та автентифікації
[6-7]. Квантові алгоритми Шора та Гровера, реалізовані на майбутніх
масштабованих квантових комп’ютерах, здатні істотно знизити ефективну
криптографічну міцність цих схем [1, 8]. Це створює ризик ретроспективного
розкриття перехоплених сьогодні зашифрованих даних, що є критично
небезпечним для сектору безпеки й оборони.
Паралельно міжнародна наукова та інженерна спільнота розгорнула
масштабні ініціативи зі стандартизації постквантових криптографічних алгоритмів
(програма NIST PQC), а також розвитку технологій квантового розподілу ключів
(Quantum Key Distribution, QKD), які забезпечують інформаційно-теоретичну
стійкість каналів розподілу ключів [9-11]. Результатом є формування нового класу
гібридних рішень, що поєднують переваги програмно орієнтованих постквантових
схем (PQC) та фізично захищених механізмів QKD із використанням перевірених
симетричних алгоритмів шифрування [12]. Для України, яка інтегрується до
європейського безпекового простору та орієнтується на стандарти НАТО і ЄС,
питання запровадження квантово-стійких технологій у секторі безпеки й оборони
є не лише внутрішньою потребою, а й елементом міжнародної сумісності та довіри
[13-14].
Актуальність обраної теми зумовлена сукупністю таких чинників:
– зростанням потужностей потенційного противника у сфері збирання,
зберігання та обробки даних, у тому числі із перспективою застосування
квантових обчислювальних засобів [2];
– наявністю в секторі безпеки й оборони України інформації з тривалим
строком актуальності, для якої реалізація сценарію «Harvest Now, Decrypt
Later» є особливо небезпечною [3];
– переходом органів державної влади до цифрових платформ управління
обороною та безпекою, що розширює поверхню атаки й ускладнює
забезпечення цілісності та конфіденційності інформаційних потоків [15-16];
– появою міжнародних стандартів та рекомендацій (NIST PQC, ITU-T, ETSI),
які визначають орієнтири для побудови квантово-стійкої криптографічної
інфраструктури [9, 17-18];
– потребою у розробленні національних підходів до інтеграції квантових та
постквантових рішень із урахуванням специфіки інформаційно-
комунікаційних систем сектору безпеки й оборони України та чинної
нормативно-правової бази.
Ступінь наукової розробленості проблеми. Питання квантового розподілу
ключів, постквантової криптографії та їх застосування для захисту інформації
активно досліджуються у працях зарубіжних і вітчизняних учених, а також у
рамках міжнародних ініціатив і стандартів NIST, ETSI, ITU-T тощо [10, 19-20].
Водночас наявні дослідження переважно зосереджені на загальних принципах
побудови квантових мереж, формальному описі окремих протоколів або
впровадженні постквантових алгоритмів у типових інформаційних системах.
Специфічні аспекти інтеграції гібридних квантово-стійких рішень, що поєднують
протоколи QKD, постквантові криптоалгоритми та симетричне шифрування, в
інформаційно-комунікаційні системи сектору безпеки й оборони України, з
урахуванням їх структурних особливостей і національної нормативно-правової
бази, висвітлені недостатньо, що й зумовлює необхідність проведення даного
дослідження.
Магістерська робота виконана в руслі наукових досліджень кафедри
робототехнічних і телекомунікаційних систем та кібербезпеки Черкаського
державного технологічного університету, пов’язаних із розвитком методів і засобів
захисту інформації в телекомунікаційних мережах, впровадженням квантових і
постквантових криптографічних технологій, а також завданнями цифрової
трансформації сектору безпеки й оборони України. Обрана тематика узгоджується
з пріоритетними напрямами державної політики у сфері кібербезпеки, захисту
критичної інформаційної інфраструктури та підвищення стійкості оборонних
систем управління, визначеними в стратегічних документах України [3-4, 21].
Об’єктом дослідження є процеси криптографічного захисту інформації в
інформаційно-комунікаційних системах сектору безпеки й оборони України в
умовах переходу до квантово-стійких технологій.
Предметом дослідження є методи, моделі та архітектурні рішення гібридної
системи криптографічного захисту, яка поєднує протоколи квантового розподілу
ключів, постквантові криптографічні алгоритми та симетричне шифрування для
забезпечення довгострокової конфіденційності, цілісності й доступності
інформації в мережах спеціального призначення.
Метою роботи є розроблення та обґрунтування гібридної архітектури
квантово-стійкого криптографічного захисту інформаційно-комунікаційних
систем сектору безпеки й оборони України на основі інтеграції технологій
квантового розподілу ключів, постквантової криптографії та сучасних
симетричних алгоритмів шифрування, а також оцінювання перспектив її
практичного впровадження в умовах реальних технічних, організаційних та
нормативних обмежень.
Для досягнення поставленої мети необхідно вирішити такі основні завдання:
– проаналізувати сучасний стан телекомунікаційних та інформаційно-
комунікаційних мереж сектору безпеки й оборони України, їх структуру,
вразливості та особливості функціонування в умовах розвитку квантових
технологій;
– дослідити загрози типу «Harvest Now, Decrypt Later» та оцінити їх вплив на
довгострокову безпеку інформації в оборонних і безпекових структурах [2,
22];
– здійснити огляд і систематизацію стандартів постквантової криптографії
(зокрема результатів програми NIST PQC 2024 року) та визначити їх
придатність до використання в інформаційно-комунікаційних системах
сектору безпеки й оборони України [9, 23-24];
– проаналізувати принципи роботи, протоколи та обмеження технологій
квантового розподілу ключів, а також можливості їх інтеграції з існуючими
засобами захисту інформації [11, 18];
– розробити концепцію гібридної архітектури захищеної мережі спеціального
призначення із застосуванням QKD, постквантових алгоритмів і AES-256,
побудувати структурну та функціональну схеми запропонованої системи;
– сформувати математичну модель квантового каналу та процесу генерації
секретного ключа, а також модель функціонування гібридної системи
криптографічного захисту в мережах спеціального призначення;
– виконати математичне та імітаційне моделювання роботи запропонованої
гібридної системи, оцінити її стійкість до актуальних загроз, продуктивність
та доцільність застосування в умовах реальних обмежень телекомунікаційної
інфраструктури [19, 25];
– розробити дорожню карту впровадження квантово-стійких технологій у
критичній інформаційній інфраструктурі сектору безпеки й оборони
України, сформулювати практичні рекомендації щодо поетапної міграції від
класичних криптографічних рішень до гібридних;
– проаналізувати чинну нормативно-правову базу України та міжнародні
стандарти й рекомендації (NIST PQC, ITU-T, ETSI, стандарти НАТО та ЄС),
що регламентують застосування квантових і постквантових криптографічних
рішень у секторі безпеки й оборони, та визначити їх вплив на вимоги до
побудови гібридної системи криптографічного захисту [3, 14, 17].
У роботі застосовано комплекс взаємодоповнювальних методів дослідження.
Теоретичну основу становлять методи системного, структурно-функціонального та
порівняльного аналізу, що використовуються для вивчення нормативно-правової
бази, архітектури існуючих інформаційно-комунікаційних систем, а також
сучасних квантових і постквантових криптографічних рішень. Для побудови
математичних моделей квантового каналу та гібридної системи захисту залучено
апарат теорії ймовірностей, математичної статистики та теорії інформації, а також
елементи теорії кодування [19, 26]. Оцінювання ефективності запропонованих
рішень здійснюється методами математичного й імітаційного моделювання із
використанням сучасних програмних засобів моделювання дискретних процесів та
обробки експериментальних даних. При формуванні дорожньої карти міграції на
квантово-стійкі технології застосовано методи експертного аналізу, сценарного
планування, а також ризик-орієнтований підхід до управління інформаційною
безпекою.
Наукова новизна роботи полягає в такому:
– вперше для умов сектору безпеки й оборони України формалізовано вплив
загрози «Harvest Now, Decrypt Later» на довгострокову стійкість
телекомунікаційних і інформаційно-комунікаційних систем та показано
необхідність переходу до гібридних квантово-стійких рішень;
– запропоновано гібридну архітектуру криптографічного захисту, що інтегрує
протоколи квантового розподілу ключів, постквантові криптоалгоритми та
симетричне шифрування, адаптовану до структурного й технологічного
профілю відомчих мереж України;
– побудовано математичну модель квантового каналу для протоколу
BB84/decoy-state з урахуванням реалістичних параметрів оптоволоконних
ліній та детекторів, на основі якої здійснено оцінку секретної швидкості
генерації ключа й граничних відстаней [26-27];
– розроблено концептуальну дорожню карту впровадження квантово-стійких
технологій у критичну інформаційну інфраструктуру сектору безпеки й
оборони України з урахуванням міжнародних стандартів і національної
нормативної бази.
Практичне значення одержаних результатів полягає в тому, що
запропонована гібридна архітектура та розроблена дорожня карта можуть бути
використані при модернізації інформаційно-комунікаційних систем органів
сектору безпеки й оборони України, при проектуванні пілотних зон квантового
розподілу ключів у магістральних і регіональних мережах, а також під час
підготовки відомчих політик і нормативних документів щодо переходу на
квантово-стійкі криптографічні засоби. Окремі результати дослідження можуть
бути застосовані в навчальному процесі при викладанні дисциплін із кібербезпеки,
криптографії та захисту інформації в телекомунікаційних системах.
Апробація результатів роботи. Основні положення та результати
магістерської роботи доповідалися та обговорювалися на наукових конференціях
різного рівня, зокрема: Науково-практичній конференції з міжнародною участю
«Scientific Research Methodology» (15–16 листопада 2024 року, м. Черкаси,
Черкаський державний технологічний університет); Науково-практичній
конференції «Наука та методологія досліджень – 2025» (14 листопада 2025 року, м.
Черкаси, Черкаський державний технологічний університет); VIII Всеукраїнській
науково-технічній конференції «Комп'ютерні технології: інновації, проблеми,
рішення» (2–3 грудня 2025 року, м. Житомир, Державний університет
«Житомирська політехніка»). Результати роботи отримали позитивну оцінку
наукової спільноти та викликали зацікавленість фахівців у галузі кібербезпеки та
квантових технологій. Окремі положення роботи також обговорювалися на
науково-технічних семінарах кафедри робототехнічних і телекомунікаційних
систем та кібербезпеки Черкаського державного технологічного університету.
Публікації. За матеріалами магістерської роботи опубліковано три тези
доповідей у збірниках матеріалів наукових конференцій, що відображають основні
теоретичні положення, підходи та висновки дослідження.
РОЗДІЛ 1. АНАЛІЗ ЗАГРОЗ ІНФОРМАЦІЙНІЙ БЕЗПЕЦІ ТА СТАНУ
ТЕЛЕКОМУНІКАЦІЙНИХ МЕРЕЖ СЕКТОРУ БЕЗПЕКИ Й ОБОРОНИ
УКРАЇНИ В УМОВАХ РОЗВИТКУ КВАНТОВИХ ТЕХНОЛОГІЙ
1.1 Сучасний стан та вразливості телекомунікаційних мереж сектору безпеки
й оборони України
Телекомунікаційна та інформаційно-комунікаційна інфраструктура сектору
безпеки й оборони України формує основу функціонування систем управління
військами, силами безпеки, розвідки, органів державної влади у сфері оборони та
кризового реагування. До цього контуру належать мережі Міністерства оборони та
Збройних Сил України, Служби безпеки України, Міністерства внутрішніх справ,
Національної гвардії, Державної прикордонної служби, Державної служби
спеціального зв’язку та захисту інформації України (ДССЗЗІ), а також відомчі
мережі інших органів, віднесених до сектору безпеки й оборони [15, 21]. На рівні
держави координація та розвиток захищених мереж спеціального зв’язку й
урядових телекомунікацій покладені насамперед на ДССЗЗІ, яка одночасно
відповідає за технічний захист інформації та організацію урядового зв’язку.
Структурно телекомунікаційні мережі сектору безпеки й оборони можна
розглядати на трьох основних рівнях, які узагальнено на рисунку 1.1: стратегічному
(магістральні та відомчі мережі органів державної влади, Національна електронна
комунікаційна мережа, захищені дата-центри, міжвідомчі канали взаємодії),
оперативному (мережі управління оперативних командувань, регіональних органів
сектору безпеки) та тактичному (радіомережі, тактичні IP-мережі, засоби
супутникового, тропосферного та радіорелейного зв’язку, мобільні польові вузли
зв’язку). Сучасний стан телекомунікаційних мереж сектору характеризується
поєднанням кількох шарів інфраструктури: магістральних оптоволоконних ліній
зв’язку, відомчих IP/MPLS-мереж, радіорелейних і тропосферних ліній,
супутникового зв’язку, мобільних мереж операторів загального користування, а
також тактичних радіомереж (КХ, УКХ, стандартів TETRA, DMR тощо) [16].
Рисунок 1.1 – Узагальнена структурна схема телекомунікаційних мереж сектору
безпеки й оборони України
Після початку повномасштабної збройної агресії російської федерації
Україна змушена активно переорієнтовуватися на побудову стійких
телекомунікаційних рішень, що здатні працювати в умовах фізичного ураження
інфраструктури, тривалих відключень електроенергії та постійного кібернетичного
впливу. У цих умовах зросла роль як спеціальних відомчих мереж, так і ресурсів
комерційних операторів та супутникових систем зв’язку, які використовуються для
забезпечення резервних каналів, швидкого розгортання вузлів зв’язку, у тому числі
в районах ведення бойових дій. На рівні державної політики телекомунікаційна
інфраструктура розглядається як об’єкт критичної інформаційної інфраструктури,
а державні органи акцентують увагу на розвитку «стійких мереж», здатних
зберігати працездатність навіть за умов комплексного впливу противника [4, 21].
Важливим елементом поточного стану є високий рівень кіберзагроз. За
даними урядової команди реагування на комп’ютерні надзвичайні події CERT-UA,
у 2023 році було опрацьовано 2543 кіберінциденти, значна частина яких була
спрямована проти органів державної влади та об’єктів критичної інфраструктури
України, включно із сектором безпеки й оборони [5]. Водночас за даними
Оперативного центру реагування на кіберінциденти Державного центру
кіберзахисту Держспецзв’язку, Система виявлення вразливостей і реагування на
кіберінциденти та кібератаки у 2023 році опрацювала близько 18 млрд
телеметричних подій, детектувала 133 млн підозрілих подій інформаційної безпеки
та 148 тис. критичних подій, які потенційно могли бути кіберінцидентами [28]. Це
свідчить про те, що телекомунікаційні мережі сектору функціонують у режимі
постійного протиборства з технічно розвиненим противником, для якого
кіберпростір є повноцінним театром воєнних дій.
Аналітичні звіти профільних органів за 2022–2024 роки підкреслюють, що
російські кібероперації системно орієнтовані на державні органи, військові
структури та критичну інфраструктуру України, використовуючи широкий спектр
інструментів – від фішингових кампаній і шкідливого програмного забезпечення
до спроб порушити роботу реєстрів, систем управління та каналів зв’язку [5, 28].
Для телекомунікаційних мереж сектору безпеки й оборони це означає необхідність
одночасного врахування як класичних кіберзагроз (несанкціонований доступ,
DDoS, шкідливе ПЗ, атаки на мережеве обладнання), так і загроз, пов’язаних з
радіоелектронною боротьбою, фізичним ураженням вузлів та каналів зв’язку та
довгостроковим накопиченням перехопленого трафіку.
З точки зору стратегічних документів, розвиток і захист телекомунікаційних
мереж сектору безпеки й оборони України розглядається в контексті реалізації
Стратегії кібербезпеки України, інших доктринальних документів у сфері оборони
та безпеки [3]. У цих документах прямо зазначено, що сектор безпеки й оборони
відіграє ключову роль у забезпеченні національної стійкості до кіберзагроз та
повинен мати розвинені й захищені комунікаційні системи, а також здатність до
швидкого відновлення після кібератак і фізичних впливів. Водночас наголошується
на необхідності модернізації криптографічних засобів і переходу до сучасних
стандартів захисту інформації з урахуванням перспектив розвитку квантових
технологій, що безпосередньо стосується телекомунікаційних мереж сектору.
Загальною тенденцією останніх років є активне використання ресурсів
комерційних операторів мобільного та фіксованого зв’язку для потреб оборони й
безпеки, у тому числі для забезпечення резервних каналів та розгортання
тимчасових вузлів зв’язку. Це підвищує загальну живучість мереж, але одночасно
створює додаткові вразливості, пов’язані із залежністю від інфраструктури
операторів загального користування, її географічною розподіленістю,
неоднорідністю рівня захисту, а також політичними й договірними ризиками щодо
використання іноземних технологічних рішень у сфері супутникового та
магістрального зв’язку [16].
До ключових вразливостей телекомунікаційних мереж сектору безпеки й
оборони України можна віднести кілька груп проблем.
По-перше, це структурно-технологічна неоднорідність та наявність
застарілих компонентів. Багато відомчих мереж формувалися поступово, із
використанням різнорідного обладнання різних виробників, різних поколінь
технологій та протоколів. Частина рішень створювалася ще до широкого
усвідомлення сучасних кіберзагроз, що призводить до обмежень щодо підтримки
сучасних криптографічних протоколів, засобів моніторингу й реагування,
сегментації та мікросегментації мережі [29]. Водночас окремим викликом
залишається експлуатація успадкованих (legacy) інформаційних систем та
сегментів мережі, що історично базувалися на технологічних стандартах та
програмно-апаратних рішеннях радянського чи пострадянського зразка. Повна
заміна таких компонентів в умовах активних бойових дій ускладнена, що створює
потенційні вектори загроз через можливу наявність недекларованих функцій
(закладок) або вразливостей, відомих противнику, а також ускладнює інтеграцію
сучасних засобів безпеки.
По-друге, серйозною проблемою є орієнтація значної частини
телекомунікаційних рішень на класичні криптографічні алгоритми, стійкість яких
розрахована на умови відсутності повномасштабних квантових обчислювальних
засобів у противника. У більшості випадків захист каналів зв’язку в державних і
відомчих мережах базується на використанні симетричних алгоритмів (наприклад,
AES) у поєднанні з асиметричними алгоритмами (RSA, алгоритми на еліптичних
кривих) для розподілу ключів та автентифікації [6-7]. Умови потенційної появи
практичних квантових комп’ютерів, здатних реалізувати алгоритм Шора,
створюють ризик компрометації саме цих асиметричних механізмів у
середньостроковій перспективі. Це означає, що телекомунікаційні мережі сектору
безпеки й оборони, які сьогодні вважаються захищеними, можуть виявитися
вразливими до ретроспективного розкриття перехопленого трафіку («Harvest Now,
Decrypt Later»), якщо не буде своєчасно здійснений перехід до постквантових та
гібридних рішень [2, 29].
По-третє, слід виділити вразливості, пов’язані з організацією управління й
моніторингу мереж. Звітність ДССЗЗІ та CERT-UA демонструє, що значна
кількість інцидентів починається з успішної реалізації соціальної інженерії,
фішингових кампаній, компрометації облікових записів користувачів та
адміністраторів, а також використання вразливостей у службах віддаленого
доступу [5]. Для телекомунікаційних мереж це означає, що навіть за наявності
формально сильних криптоалгоритмів, загальна стійкість системи може бути
знижена через недоліки у керуванні доступом, сегментації адміністративних
доменів, логуванні та кореляції подій безпеки, а також через недостатню
автоматизацію процесів реагування на інциденти.
Четвертою групою є вразливості, пов’язані з інтеграцією відомчих мереж із
зовнішніми середовищами – як з мережами загального користування, так і з
міжнародними інформаційними обмінами. З одного боку, інтеграція необхідна для
оперативної взаємодії з союзниками, міжнародними організаціями, цивільними
відомствами; з іншого – вона розширює поверхню атаки, створює залежність від
безпеки зовнішніх вузлів та каналів, ускладнює побудову чітких зон довіри [13-14].
Ряд публічних інцидентів (наприклад, атаки на державні реєстри та інформаційні
системи, що вимагали тимчасового відключення сервісів) демонструють, що навіть
при локальній стійкості окремих сегментів, загальна система може зазнавати
значних функціональних обмежень у разі успішного компрометування ключових
вузлів або точок інтеграції.
П’ятою важливою вразливістю є людський фактор та ресурсні обмеження.
Тривала війна вимагає постійного напруження кадрових і фінансових ресурсів, що
впливає на можливості системного оновлення обладнання, заміни застарілих
рішень, впровадження нових технологій та безперервного підвищення кваліфікації
персоналу. Офіційні повідомлення профільних органів підкреслюють, що з боку
противника спостерігається поступове нарощування складності й масштабу
кібератак, що вимагає від українських органів безпеки і оборони підвищеної
готовності та удосконалення засобів протидії [28]. У таких умовах питання
переходу до квантово-стійких рішень може сприйматися як «перспективне», але не
першочергове, що створює ризик відставання у довгостроковому вимірі.
На рівні міжнародної співпраці Україна вже залучена до обговорення
підходів до захисту телекомунікаційних мереж в умовах розвитку квантових
технологій, зокрема через участь у заходах Міжнародного союзу електрозв’язку
(ITU) та інших міжнародних платформ, де акцентується увага на використанні
інноваційних рішень для підтримки й розбудови телекомунікаційної
інфраструктури в умовах воєнних дій [18]. Це створює передумови для подальшої
інтеграції міжнародних стандартів у національну практику, але одночасно
підсвічує розрив між теоретичними можливостями квантових комунікацій та
реальною готовністю відомчих мереж до їх впровадження.
Таким чином, сучасний стан телекомунікаційних мереж сектору безпеки й
оборони України можна охарактеризувати як функціонально достатній для
виконання завдань в умовах війни, але вразливий у довгостроковій перспективі. З
одного боку, здійснено суттєві кроки з підвищення стійкості, нарощення
резервування каналів, розгортання відомчих та міжвідомчих систем моніторингу й
реагування на кіберінциденти. З іншого – зберігаються проблеми технологічної
неоднорідності, залежності від класичних криптографічних рішень, обмежень
ресурсів і складності інтеграції з комерційною та міжнародною інфраструктурою.
У контексті розвитку квантових технологій ці вразливості набувають нового
виміру: до «класичних» кіберзагроз додається перспектива появи противника,
здатного у середньо- й довгостроковій перспективі використовувати квантові
обчислювальні засоби для ретроспективного розкриття зашифрованого трафіку,
компрометації систем управління ключами, модифікації протоколів автентифікації
[2, 7]. Це обумовлює необхідність не лише підтримки поточної стійкості
телекомунікаційних мереж сектору безпеки й оборони, але й стратегічного
планування їх трансформації у напрямку квантово-стійких та гібридних рішень, що
детально розглядається в наступних підрозділах.
1.2. Стратегія «Harvest Now, Decrypt Later» як довгострокова загроза для
національної безпеки
Стратегія «Harvest Now, Decrypt Later» (HNDL), яку також називають «store
now, decrypt later» або «steal now, decrypt later», полягає у систематичному
перехопленні й довготривалому зберіганні зашифрованих даних із розрахунком на
їх подальше розкриття у майбутньому, коли з’являться більш потужні засоби
криптоаналізу, зокрема квантові комп’ютери [2]. На відміну від класичних
кібератак, метою HNDL не є негайне порушення роботи систем чи швидке
отримання доступу до інформації, а формування масштабного «банку»
перехоплених шифртекстів, які можуть зберігатися роками або навіть
десятиліттями до моменту, коли їх дешифрування стане технічно можливим.
Ключовою передумовою для реалізації HNDL є те, що сучасні криптосистеми
з відкритим ключем, зокрема ті, що базуються на RSA та криптографії на
еліптичних кривих, вважаються стійкими до класичних обчислювальних засобів,
але є вразливими до квантового криптоаналізу, насамперед до алгоритму Шора [1].
Противник, який має можливість масово перехоплювати зашифрований трафік
телекомунікаційних мереж сектору безпеки й оборони, може не поспішати з його
розкриттям сьогодні, роблячи ставку на появу криптографічно значущих квантових
комп’ютерів (подія, відома у фаховій спільноті як «Q-Day») – момент, коли
квантові комп’ютери зможуть практично зламувати широко використовувані
асиметричні криптографічні схеми. Навіть за умови застосування сильних
симетричних алгоритмів (наприклад, AES-256), загальна стійкість системи у
квантовому контексті істотно залежить від надійності й квантової стійкості
механізмів розподілу та управління ключами [6-7]. Механізм реалізації та часовий
вимір цієї загрози наведено на рисунку 1.2.
Рисунок 1.2 – Механізм реалізації та часовий вимір загрози «Harvest Now, Decrypt
Later»
Особливо небезпечною стратегія HNDL є для інформації з довгим строком
актуальності. До такої інформації належать стратегічні військові плани,
розвідувальні дані, дипломатичне листування, відомості про оборонно-
промисловий комплекс, структуру і вразливості критичної інфраструктури,
персональні дані співробітників силових структур, які можуть використовуватися
для шантажу, вербування або цілеспрямованих інформаційно-психологічних
операцій. Навіть якщо в момент перехоплення такі дані захищені коректно
налаштованими класичними алгоритмами шифрування, злам цих алгоритмів у
майбутньому перетворює колишні «безпечні» шифртексти на джерело критично
важливої інформації. Міжнародні дослідження показують, що значна частина
великих організацій уже усвідомлює цю загрозу і розглядає HNDL-атаки як один із
ключових драйверів переходу до постквантової криптографії; провідні
постачальники мережевої інфраструктури та хмарних сервісів (зокрема, компанії
класу Cloudflare та інші провайдери безпекових рішень) відкрито рекомендують
завчасну міграцію на квантово-стійкі або гібридні протоколи для захисту чутливих
каналів [29].
Реальна практика HNDL уже простежується в діяльності окремих держав та
їхніх спеціальних служб. У відкритих джерелах описано масштабні
кібершпигунські кампанії, коли держави-агресори протягом тривалого часу
здійснювали несанкціонований доступ до телекомунікаційних, урядових та
військових систем інших країн, збираючи як відкриті, так і зашифровані масиви
даних для подальшої обробки [2, 28]. В окремих розслідуваннях виявлялися
багаторічні кампанії зі збору персональних і службових даних високопосадовців,
військових, дипломатів, які експерти прямо характеризують як форму «harvest now
/ decrypt later» із прицілом на майбутнє використання, у тому числі в умовах появи
практичних квантових обчислювальних засобів.
Для сектору безпеки й оборони України загроза HNDL має декілька
критичних вимірів. По-перше, це ризик ретроспективного розкриття історичних
комунікацій, які сьогодні формують «цифрову пам’ять» систем військового
управління, розвідки, дипломатії та оборонно-промислових зв’язків. По-друге, це
можливість побудови на основі розкритих архівів розширених профілів ключових
осіб, встановлення прихованих зв’язків між суб’єктами, виявлення цілей,
вразливих до впливу чи тиску. По-третє, це комплексний аналіз еволюції систем
управління, логістики, бойового застосування сил оборони у часі, що може надати
противнику глибоке розуміння структури, режимів функціонування та слабких
місць оборонних структур навіть після завершення активної фази конфлікту[2, 29].
HNDL-атаки підривають традиційну модель оцінювання криптографічних
ризиків, у якій часто виходять із припущення про «розумний» час життя ключів і
повідомлень. Раніше вважалося припустимим, що через 5–10 років більшість
тактичної комунікації втратить актуальність, а тому достатньо забезпечити
стійкість шифру на відповідний період. В умовах HNDL навіть відносно «старі»
дані зберігають цінність як компонент багатовимірного аналітичного профілю або
як історія еволюції систем. Виникає потреба у переосмисленні понять «життєвого
циклу чутливості» інформації та криптографічної стійкості «на горизонті
квантових загроз», коли при виборі алгоритмів, довжин ключів і строків їх
використання необхідно враховувати не лише поточний, а й прогнозований рівень
квантових ресурсів у потенційного противника на горизонті 10–25 років [7, 29].
Важливо й те, що HNDL-атаки стосуються не лише каналів зв’язку, але й
архівів зашифрованих даних – від відомчих дата-центрів і резервних копій до
хмарних і комерційних сховищ. Перехоплений або ексфільтрований шифртекст,
який сьогодні вважається недоступним для розкриття, завтра може бути
дешифрований унаслідок квантового прориву або витоку ключової інформації.
Тому заходи з протидії HNDL мають включати не лише модернізацію протоколів
передавання, а й ревізію політик зберігання зашифрованих даних, управління
ключами, регламентів архівування та доступу до резервних копій.
З огляду на це протидія HNDL в контексті національної безпеки України
повинна розглядатися як окремий, стратегічно важливий напрям. Вона має
включати, щонайменше, такі елементи:
– інвентаризацію чинних криптографічних засобів, протоколів та каналів
зв’язку в телекомунікаційних мережах сектору безпеки й оборони;
– оцінювання терміну актуальності даних, що передаються по різних
каналах, та класифікацію інформації за тривалістю збереження
конфіденційності;
– визначення пріоритетних сегментів мереж (зокрема, каналів управління,
розвідки, дипломатичних і міжвідомчих комунікацій), для яких
необхідний першочерговий перехід на постквантові криптоалгоритми;
– впровадження гібридних криптографічних схем, що поєднують класичні
та постквантові алгоритми (або класичні та квантові механізми розподілу
ключів), забезпечуючи стійкість одночасно в класичній і квантовій
моделях обчислень [12];
– мінімізацію обсягу чутливих даних, які циркулюють через потенційно
вразливі сегменти (особливо через інфраструктуру загального
користування та міжнародні канали), застосування додаткового
шарування захисту (tunnel-in-tunnel, багаторівневе шифрування);
– поетапне розгортання рішень на основі квантового розподілу ключів
(QKD) у найбільш критичних для оборони та управління вузлах мереж з
метою забезпечення інформаційно-теоретичної стійкості каналів
розподілу ключів [17, 18].
Таким чином, стратегія «Harvest Now, Decrypt Later» виступає не лише
технічною, а й операційно-стратегічною загрозою, що безпосередньо пов’язана з
розвитком квантових технологій та довготривалим зберіганням перехопленого
зашифрованого трафіку. Ігнорування цієї загрози або відкладення переходу до
квантово-стійких рішень на невизначений час може призвести до ситуації, коли
значні обсяги критично важливої інформації, що передавалася в минулому, будуть
розкриті в майбутньому без будь-якої можливості нейтралізувати наслідки. Це
обґрунтовує необхідність розроблення та впровадження гібридних архітектур
криптографічного захисту, орієнтованих на протидію HNDL-атакам, що
докладніше розглядатиметься у наступних розділах роботи.
1.3 Вплив квантових алгоритмів Шора та Гровера на стійкість класичних
криптографічних систем.
Розвиток квантових обчислень істотно змінює уявлення про стійкість
класичних криптографічних схем. Ключову роль у цьому відіграють два
фундаментальні квантові алгоритми – алгоритм Шора, орієнтований на розв’язання
задач факторизації та дискретного логарифмування у поліноміальний час, та
алгоритм Гровера, який забезпечує квадратичне прискорення для задач повного
перебору [1, 8]. Саме вони формують основу загроз для поширених сьогодні
криптографічних протоколів, що використовуються і в телекомунікаційних
мережах сектору безпеки й оборони України.
Алгоритм Шора демонструє, що задачі, на складності яких ґрунтується
безпека класичних асиметричних криптосистем (розкладання великого цілого
числа на прості множники, обчислення дискретного логарифма в
мультиплікативній групі скінченного поля або на еліптичній кривій), можуть бути
розв’язані на ідеальному квантовому комп’ютері за час, поліноміальний від
логарифма розміру модуля [1]. Це радикально відрізняється від найкращих відомих
класичних алгоритмів (типу решіткового методу числового поля), які мають
субекспоненційну, але все ж надполіноміальну складність. Практичний наслідок
очевидний: у разі появи масштабованого квантового комп’ютера з необхідною
кількістю та якістю кубітів криптосистеми на основі RSA, Diffie–Hellman, а також
усі поширені схеми на еліптичних кривих (ECDH, ECDSA, EdDSA тощо)
втрачають стійкість незалежно від довжини ключа. Збільшення розміру модуля у
таких схемах не забезпечує захист, оскільки квантовий час зламу зростає лише
поліноміально, тоді як ресурсна вартість реалізації з кожним бітом різко
збільшується.
Для телекомунікаційних мереж сектору безпеки й оборони це означає, що під
загрозою опиняється весь стек протоколів, де застосовуються асиметричні
примітиви: від процедур автентифікації та узгодження ключів (TLS, IPsec, VPN,
відомчі захищені протоколи) до інфраструктур відкритих ключів (PKI),
електронного документообігу та систем електронного цифрового підпису. Зокрема,
типовий сценарій – квантовий криптоаналіз протоколів, у яких ключі сеансу
генеруються класичним Diffie–Hellman чи його еліптичноваріантними
модифікаціями: перехопивши трафік сьогодні і маючи у майбутньому квантовий
комп’ютер, противник зможе відновити усі симетричні ключі, а отже –
розшифрувати весь архів та підроблювати повідомлення, що прямо корелює із
загрозою «Harvest Now, Decrypt Later».
На відміну від алгоритму Шора, який руйнує саме криптографічні
припущення про складність певних математичних задач, алгоритм Гровера надає
квадратичне прискорення для задач «вичерпного пошуку» – зокрема, brute-force
підбору ключа або прегенерації колізій та прообразів для хеш-функцій [8]. Якщо
класичний повний перебір n-бітового ключа вимагає в середньому ��������−���� спроб, то
квантовий пошук у моделі «чорної скриньки» потребує порядку ������������� операцій. Це
означає, що квантовий суперник може «виграти» приблизно половину бітів безпеки
симетричної схеми. У практичних термінах шифр з ключем 128 біт забезпечує в
умовах квантового пошуку рівень стійкості, близький до класичного 64-бітового,
тоді як 256-бітовий ключ зберігає ефективну стійкість на рівні ≈128 біт – що досі
вважається прийнятним запасом навіть у постквантовому контексті [6, 10].
З погляду симетричної криптографії це має двоякий ефект. З одного боку,
сучасні блокові шифри, зокрема AES-256, при правильній реалізації залишаються
придатними для використання навіть за наявності квантового суперника – за
рахунок великого простору ключів. З іншого боку, алгоритм Гровера вимагає
перегляду політики вибору довжини ключа та параметрів хеш-функцій: у системах,
де нині застосовується 128-бітовий рівень безпеки, доцільним є перехід на 192 або
256 біт, а також використання хеш-функцій з більшим розміром виходу та
посиленими конструкціями проти квантових атак типу «preimage» і «second
preimage». Це, зокрема, відображено у класифікації рівнів стійкості NIST, де
постквантові алгоритми співвідносяться з еквівалентними рівнями безпеки AES-
128, AES-192 та AES-256 [10].
Важливий аспект полягає у відмінності впливу квантових алгоритмів на
асиметричні та симетричні примітиви. Для асиметричних схем на основі
факторизації та дискретного логарифма існування алгоритму Шора фактично
означає концептуальну непридатність цих примітивів у довгостроковій
перспективі: жодне збільшення розміру ключа не здатне забезпечити прийнятний
запас стійкості «на горизонті квантових загроз». Натомість для симетричних
алгоритмів і хеш-функцій вплив Гровера проявляється у зміщенні вимог до
параметрів, але не в повній криптографічній деградації: можлива адаптація за
рахунок подвоєння довжини ключів, використання більших хешів та комбінованих
конструкцій [1, 8].
У контексті телекомунікаційних мереж сектору безпеки й оборони України
така асиметрія наслідків має принципове значення. З одного боку, необхідно
планувати повну відмову від класичних протоколів відкритого ключа (RSA, DH,
ECDH, ECDSA) на користь постквантових схем (ґраткові, кодові, багатозмінні
тощо) та/або квантових механізмів розподілу ключів. З іншого боку, існуючі
симетричні алгоритми, що вже застосовуються у відомчих засобах
криптографічного захисту (AES-256, стійкі режими блокового шифрування,
сучасні хеш-функції), можуть залишатися основою конфіденційності й цілісності
трафіку за умови коректної реалізації, ретельного вибору параметрів і посилення
процедур керування ключами. Певне пом’якшення загрози пов’язане з тим, що
практична реалізація алгоритмів Шора та Гровера проти реальних криптосистем
потребує на порядок більше ресурсів, ніж демонстраційні лабораторні
експерименти. Оцінки показують, що для факторизації 2048-бітового модуля RSA
із використанням алгоритму Шора необхідні мільйони логічних кубітів та значний
час роботи квантового процесора з квантовою корекцією помилок. Однак з огляду
на швидкість розвитку квантових технологій, а також на великий строк
актуальності інформації у секторі безпеки й оборони, робити ставку на «технічну
нереалістичність» цих атак є стратегічно небезпечним [10]. Схему впливу
квантових алгоритмів на класичну криптографію наведено на рис. 1.3.
Рисунок 1.3 – Вплив квантових алгоритмів Шора та Гровера на стійкість
класичних криптографічних систем
Таким чином, квантові алгоритми Шора та Гровера по-різному, але
взаємодоповнювально підривають стійкість класичних криптографічних систем.
Алгоритм Шора робить непридатними для довгострокового захисту всі поширені
сьогодні асиметричні схеми на основі факторизації й дискретного логарифма, що
безпосередньо загрожує інфраструктурам відкритих ключів, протоколам
автентифікації та узгодження ключів у телекомунікаційних мережах сектору
безпеки й оборони України. Алгоритм Гровера знижує ефективний рівень стійкості
симетричних алгоритмів і хеш-функцій, вимагаючи перегляду довжин ключів,
запасів безпеки та параметрів протоколів, але не скасовуючи можливість їх
подальшого використання. Сукупний ефект цих двох алгоритмів формує
необхідність переходу до гібридних квантово-стійких рішень, у яких постквантові
та квантові механізми розподілу ключів поєднуються із перевіреними
симетричними примітивами – що й буде розглянуто в наступних підрозділах.
1.4 Міжнародний досвід впровадження квантових комунікацій та квантової
криптографії у секторі оборони країн ЄС та НАТО.
У країнах Європейського Союзу та НАТО квантові комунікації
розглядаються як один із ключових напрямів зміцнення стійкості критичних
інформаційно-комунікаційних систем до майбутніх квантових загроз. За останнє
десятиліття відбувся перехід від суто лабораторних демонстрацій протоколів
квантового розподілу ключів (QKD) до розгортання пілотних та передопераційних
мереж, орієнтованих на захист урядових, оборонних і критичних інфраструктур
[13, 14]. Це супроводжується формуванням стратегічних ініціатив на рівні ЄС і
НАТО, а також створенням національних дослідницьких і випробувальних
майданчиків у державах–членах.
У межах Європейського Союзу центральним елементом політики у сфері
квантової безпеки комунікацій є ініціатива European Quantum Communication
Infrastructure (EuroQCI), започаткована у 2019 році на підставі спільної декларації
всіх держав–членів [13]. Її метою є побудова багаторівневої квантової
комунікаційної інфраструктури, що охоплюватиме всю територію ЄС (включаючи
заморські території) та забезпечуватиме захист урядового зв’язку, критичної
інфраструктури й інших чутливих сервісів. Перші сервіси EuroQCI мають
базуватися на QKD як технології встановлення секретних ключів з інформаційно-
теоретичною стійкістю, інтегрованій у наявні оптичні та супутникові мережі. У
рамках програми IRIS² та цифрової стратегії ЄС EuroQCI розглядається як
компонент загальноєвропейської захищеної супутниково-наземної
інфраструктури, спрямованої на захист державних і оборонних комунікацій від
сучасних і квантових загроз [29].
Важливу роль у формуванні практичного досвіду відіграють національні та
регіональні квантові мережі. Одним із ранніх прикладів стала мережа
SwissQuantum у районі Женеви, яка працювала понад півтора року в реальному
середовищі й продемонструвала можливість надійної експлуатації QKD-каналів
між трьома вузлами із застосуванням багаторівневої системи управління ключами
та інтеграцією в прикладні сервіси [19]. На базі попереднього досвіду у 2025 році в
Женеві було запущено нову Geneva Quantum Network – консорціум університетів,
промисловості та публічних інститутів, який розгортає квантову мережу для
тестування наступних поколінь технологій QKD та їх інтеграції з класичною
інфраструктурою. Такі мережі слугують «живими лабораторіями» для
відпрацювання протоколів, апаратних рішень та моделей експлуатації, що в
подальшому можуть бути адаптовані до потреб оборони.
Показовим прикладом оборонно-орієнтованого підходу є німецька ініціатива
QuNET, започаткована Федеральним міністерством освіти і досліджень (BMBF). Її
мета – створення національної експертизи та технологічної бази для квантово-
захищених мереж, придатних для використання федеральними відомствами та в
перспективі – структурами безпеки й оборони. У першій фазі QuNET-alpha
розгортається пілотний квантовий маршрут між федеральними органами влади з
інтеграцією QKD у гібридні (класично-квантові) системи зв’язку, що мають
забезпечити захист каналів від прослуховування та маніпуляцій. Характерною
рисою QuNET є поєднання фундаментальних досліджень з практичними
завданнями національної технологічної суверенності, що безпосередньо
співвідноситься з потребами сектора оборони [29].
Крім суто державних ініціатив, важливу роль відіграють проєкти, які
залучають великих операторів зв’язку та промислових партнерів. У Великій
Британії – країні НАТО та важливому партнері ЄС у сфері безпеки – компанії BT і
Toshiba спільно з консалтинговою компанією EY запустили перший комерційний
випробувальний проєкт квантово-захищеної міської мережі, що використовує QKD
для захисту зв’язку між кількома об’єктами в Лондоні по стандартних волоконно-
оптичних лініях. Ця ініціатива демонструє можливість впровадження квантових
засобів захисту в масштабах мегаполісу на базі наявної інфраструктури, що є
принципово важливим для переходу від експериментальних мереж до сервісів, які
можуть бути використані як органами влади, так і оборонними структурами.
На рівні НАТО квантові технології, зокрема квантово-захищений зв’язок,
офіційно віднесені до переліку Emerging and Disruptive Technologies (EDT), які
мають критичне значення для оборони й колективної безпеки Альянсу [14]. У 2024
році НАТО ухвалило Quantum Technologies Strategy, де прямо зазначено, що поява
працездатного квантового комп’ютера здатна зруйнувати чинні криптографічні
протоколи, а тому розгортання постквантових рішень і, у перспективі,
застосування QKD розглядаються як ключові напрями забезпечення стійких
комунікацій у повітряному, космічному, кібер-, наземному й морському доменах.
У низці публікацій НАТО та партнерських аналітичних центрів підкреслюється, що
Альянс має формувати «quantum-ready» інфраструктуру, де мережі зв’язку
поступово посилюються постквантовою криптографією та доповнюються
експериментальними системами QKD.
Практичним виявом цієї політики є підтримка НАТО дослідницьких
проєктів, спрямованих на інтеграцію QKD у мультидоменно-оптичні мережі
оборонного призначення. Наприклад, проєкт DISCRETION в рамках структур
НАТО та ЄС розробляє SDN-рішення, що поєднує класичну мережеву
інфраструктуру з квантовим шаром QKD для забезпечення захищених каналів
зв’язку європейських оборонних структур. Паралельно проводяться експерименти
з використанням QKD у космічному сегменті (квантово-захищені супутникові
канали) та підводному середовищі, що має значення для морських операцій і
зв’язку з підводними платформами.
Характерною рисою міжнародного досвіду є те, що більшість проєктів не
обмежуються суто військовим або суто цивільним застосуванням. Натомість
створюються багатосторонні консорціуми, у яких беруть участь міністерства
оборони, національні служби безпеки, агентства з кібербезпеки, наукові установи,
університети, оператори зв’язку та виробники телекомунікаційного й квантового
обладнання. Такий підхід дозволяє поєднати вимоги оборонного сектора щодо
стійкості та секретності з можливостями промисловості щодо масштабного
виробництва, а також забезпечити трансфер технологій між цивільними та
військовими сегментами.
Аналізуючи міжнародний досвід, можна виділити кілька спільних тенденцій,
які є релевантними для сектору безпеки й оборони України:
– перехід від локальних експериментів до національних та наднаціональних
квантових мереж, орієнтованих на захист урядового зв’язку та критичної
інфраструктури (EuroQCI, QuNET, Geneva Quantum Network);
– інтеграція QKD у наявні оптоволоконні та супутникові мережі як
додаткового «квантового шару», що доповнює класичні криптографічні
засоби, а не замінює їх повністю [18];
– поєднання постквантової криптографії та QKD у гібридних схемах, які мають
забезпечити стійкість як у класичній, так і квантовій моделях загроз [29];
– орієнтація на довгострокову стійкість і технологічний суверенітет, з
акцентом на власні елементи квантової інфраструктури та зменшення
залежності від зовнішніх постачальників;
– створення випробувальних полігонів і пілотних ділянок у реальних мережах,
що дає змогу відпрацювати не лише фізичний рівень (канали, детектори,
генератори фотонів), а й рівні управління ключами, інтеграції з відомчими
протоколами та експлуатації в умовах реальних обмежень.
Для України в контексті євроатлантичної інтеграції досвід країн ЄС і НАТО
є важливим орієнтиром, який дозволяє забезпечити майбутню технологічну
сумісність систем спеціального зв’язку [14]. Він засвідчує, що впровадження
квантових комунікацій у секторі оборони не може бути ізольованим відомчим
проєктом, а потребує системної координації на державному рівні із залученням
наукової спільноти та індустрії. Ці висновки покладено в основу національної
дорожньої карти переходу до квантово-стійких рішень, що розглядається в
підрозділі 3.4
1.5 Огляд стандартів постквантової криптографії NIST 2024
У відповідь на загрози, пов’язані з появою криптографічно значущих
квантових комп’ютерів, Національний інститут стандартів і технологій США
(NIST) у 2016 році ініціював відкритий процес стандартизації постквантових
криптографічних алгоритмів (Post-Quantum Cryptography, PQC) [10]. У рамках
цього процесу було подано 82 алгоритми-кандидати, які протягом кількох раундів
проходили криптоаналіз та практичну оцінку з боку міжнародної спільноти. У 2022
році NIST оголосив першу групу алгоритмів, відібраних для подальшої
стандартизації: CRYSTALS-Kyber для узгодження ключів (KEM) та CRYSTALS-
Dilithium, FALCON і SPHINCS+ для цифрових підписів, а у 2024 році оприлюднив
перші фіналізовані стандарти у форматі FIPS.
У серпні 2024 року NIST затвердив три базові стандарти постквантової
криптографії, які задають орієнтир для подальшої модернізації криптографічної
інфраструктури:
FIPS 203 – Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM).
Стандарт описує механізм узгодження (інкапсуляції) ключів, раніше відомий як
CRYSTALS-Kyber. ML-KEM призначений для захисту обміну секретними
ключами в протоколах типу TLS, IPsec/VPN, захищеного електронного листування,
службових протоколів тощо [9]. Безпека ML-KEM ґрунтується на складності задач
module-LWE (module learning with errors) у ґраткових структурах, які на сьогодні
вважаються стійкими і до класичного, і до квантового криптоаналізу. Стандарт
передбачає кілька наборів параметрів (ML-KEM-512, -768, -1024), що відповідають
орієнтовно різним рівням стійкості (аналогам AES-128/192/256) і дозволяють
балансувати між продуктивністю та запасом безпеки [9, 12].
FIPS 204 – Module-Lattice-Based Digital Signature Standard (ML-DSA). Цей
стандарт визначає модуль-решіткову схему цифрового підпису на основі
алгоритму CRYSTALS-Dilithium. ML-DSA забезпечує генерацію та перевірку
підписів із постквантовим рівнем стійкості та декількома варіантами параметрів
(різні співвідношення між розміром ключів/підписів і рівнем безпеки) [23]. Основні
сфери застосування – інфраструктури відкритих ключів (PKI), автентифікація
програмного забезпечення, захист протоколів (TLS, IPsec, SSH тощо), електронний
документообіг та інші системи, де сьогодні застосовуються класичні
RSA/ECDSA/EdDSA.
FIPS 205 – Stateless Hash-Based Digital Signature Standard (SLH-DSA).
Стандарт описує безстанну хеш-орієнтовану схему підпису, що є
стандартизованою версією алгоритму SPHINCS+. На відміну від ML-DSA, SLH-
DSA не базується на алгебраїчних структурах і використовує лише криптографічні
хеш-функції, що робить його надзвичайно консервативним з точки зору припущень
безпеки [24]. Недоліком є більші розміри ключів і підписів та нижча
продуктивність, однак натомість забезпечується додаткова криптографічна
«різноманітність» і резервний варіант на випадок появи нових атак на решіткові
схеми. Узагальнену класифікацію та сфери застосування цих стандартів наведено
на рис. 1.4.
Рисунок 1.4 – Стандарти постквантової криптографії NIST 2024 та їх основні
сфери застосування
Таким чином, обрані NIST алгоритми покривають два ключові класи задач
сучасної криптографії – узгодження (інкапсуляція) ключів та цифрові підписи. Це
відповідає типовому використанню криптографії в телекомунікаційних системах:
захист трафіку в мережах загального користування, автентифікація серверів і
клієнтів, підписання програмних оновлень і службових повідомлень,
функціонування PKI. Переважна частина відібраних алгоритмів базується на
ґраткових задачах, які забезпечують прийнятний баланс між безпекою та
продуктивністю і добре підходять для реалізації як у програмному, так і в
апаратному забезпеченні, тоді як SLH-DSA виступає більш консервативним хеш-
орієнтованим доповненням.
Особливе значення для телекомунікаційних систем має саме ML-KEM
(Kyber), який розглядається як основний кандидат для впровадження у протоколи
захисту транспортного рівня (TLS 1.3 і вище), VPN-рішення, протоколи
захищеного обміну ключами в мережах 5G/6G, IoT-інфраструктурах та хмарних
сервісах. Провідні постачальники мережевих і хмарних рішень уже
експериментують із гібридними схемами на основі класичних алгоритмів (ECDH,
RSA) у поєднанні з ML-KEM, щоб забезпечити стійкість до сценарію «Harvest Now,
Decrypt Later» за рахунок одночасного використання класичної та постквантової
криптографії при узгодженні ключів [12].
Важливим практичним аспектом є інтеграція PQC в існуючу протокольну та
апаратну інфраструктуру. Більшість телекомунікаційних протоколів мають
усталені формати повідомлень, обмеження на розміри ключів і підписів, а також
жорсткі вимоги до затримок і пропускної здатності. Обрані NIST алгоритми
враховують ці обмеження: у порівнянні з рядом інших кандидатів вони мають
відносно компактні ключі й підписи та забезпечують прийнятну швидкодію навіть
на обмежених апаратних платформах [10]. Разом з тим у рекомендаціях NIST і
профільних організацій підкреслюється доцільність гібридних рішень, коли
постквантовий алгоритм використовується разом із класичним (наприклад, ML-
KEM + ECDH, ML-DSA + ECDSA), що дозволяє зберегти сумісність зі спадковими
системами та мінімізувати ризики, пов’язані з потенційними майбутніми
вразливостями [7].
У контексті інформаційно-комунікаційних систем сектору безпеки й оборони
України стандарти NIST PQC 2024 року формують методичну та технологічну
основу для планування переходу до квантово-стійких рішень. Вони, з одного боку,
виступають де-факто міжнародним орієнтиром, оскільки саме ML-KEM, ML-DSA
та SLH-DSA будуть масово підтримуватися в комерційних засобах захисту та
міжнародних протоколах. З іншого боку, на їх основі можуть бути розроблені
національні стандарти й профілі застосування для захищеного урядового та
спеціального зв’язку, відомчих телекомунікаційних мереж, криптографічних
модулів і засобів автентифікації доступу до систем управління військами та
об’єктами критичної інформаційної інфраструктури [15]. Це створює підґрунтя для
побудови гібридних архітектур типу QKD+PQC+AES-256, що розглядатимуться в
розділі 2.
1.6 Принципи та протоколи квантового розподілу ключів (QKD)
Квантовий розподіл ключів (Quantum Key Distribution, QKD) – це клас
криптографічних протоколів, які дозволяють двом сторонам (традиційно Алісі та
Бобу) сформувати спільний секретний ключ, використовуючи властивості
квантових систем [11, 20]. На відміну від класичної криптографії, де стійкість
ґрунтується на складності математичних задач, безпека QKD базується на
фундаментальних законах квантової механіки – зокрема, на неможливості точного
вимірювання квантового стану без його спотворення (принцип невизначеності) та
теоремі про заборону клонування квантових станів. Це забезпечує інформаційно-
теоретичну стійкість процесу розподілу ключів: будь-яка спроба непомітного
перехоплення неминуче залишає сліди у вигляді підвищення рівня помилок [19].
Типова QKD-система використовує два канали: квантовий канал
(оптоволоконний або вільнопросторовий), через який передаються квантові стани
(фотони), та класичний автентифікований канал, по якому сторони обмінюються
службовою інформацією (порівняння базисів, виявлення помилок, узгодження
ключа). У разі спроби перехоплення (Ева) вимірювання квантових станів
зловмисником призводить до появи додаткових помилок у бітових послідовностях,
що дозволяє Алісі та Бобу оцінити рівень квантової бітової помилки (Quantum Bit
Error Rate, ����������������) і прийняти рішення – продовжувати формування ключа чи
вважати канал скомпрометованим [11, 26].
Найбільш відомим і історично першим є протокол BB84, запропонований Ч.
Беннетом і Ж. Брассаром у 1984 році. У BB84 інформація кодується в
поляризаційних станах одиночних фотонів за допомогою двох несумісних базисів
(наприклад, горизонтальний/вертикальний та діагональний). Аліса надсилає
послідовність фотонів у випадково обраних базисах, Боб вимірює їх також у
випадково обраних базисах, після чого сторони через класичний канал узгоджують,
які вимірювання були виконані в однакових базисах – відповідні біти утворюють
«сиру» версію ключа. Далі виконуються процедури корекції помилок (узгодження
інформації) та підсилення приватності, що дозволяє отримати скорочений, але
інформаційно-теоретично захищений ключ, знання якого для потенційного
противника є довільно малим [11]. Принципову схему роботи протоколу наведено
на рис. 1.5.
Рисунок 1.5 – Принципова схема роботи системи квантового розподілу
ключів за протоколом BB84
Іншим фундаментальним протоколом є E91, запропонований А. Еккертом,
який використовує явище квантової заплутаності. У цьому випадку джерело
генерує пари заплутаних фотонів і надсилає їх Алісі та Бобу. Завдяки
корельованості вимірювань заплутаних часток сторони можуть отримати спільні
бітові послідовності, а безпека протоколу пов’язана з порушенням нерівностей
Белла у разі відсутності шпигуна [28]. Перевага такого підходу полягає у
можливості побудови схем із підвищеними гарантіями безпеки (у перспективі –
«device-independent» QKD), однак практична реалізація E91 є складнішою, ніж
BB84, через високі вимоги до джерел заплутаних пар і стабільності каналів.
Протоколи BB84, E91 та їхні модифікації належать до дискретно-змінних
схем (Discrete-Variable QKD, DV-QKD), які історично є основою більшості
практичних і комерційних реалізацій квантового розподілу ключів. З метою
підвищення придатності BB84 для довгих оптоволоконних ліній та реальних
джерел світла було запропоновано протокол «decoy-state BB84» [26]. У цьому
варіанті Аліса час від часу передає фотони з іншими інтенсивностями
(«приманки»), що дозволяє виявляти атаки типу «розділення одиничного фотона»
(Photon Number Splitting, PNS-атаки), які експлуатують недосконалість реальних
джерел (коли замість одиничних фотонів утворюються багатофотонні імпульси).
На сьогодні модифікації decoy-state BB84 є одними з найбільш поширених у
комерційних QKD-системах [27].
Незважаючи на унікальні криптографічні властивості, практичне
застосування QKD обмежується низкою чинників. По-перше, це обмеження
дальності та швидкості: у волоконно-оптичних системах поодинокі фотони
зазнають значних втрат, а рівень помилок зростає з відстанню, що обмежує
довжину прямих QKD-лінків сотнями кілометрів без використання довірених
вузлів або квантових повторювачів [25]. По-друге, реальні системи є вразливими
до прикладних (side-channel) атак – через недосконалі детектори, джерела, оптичні
компоненти, електроніку керування. Це вимагає ретельного інженерного захисту,
стандартизації вимог до обладнання та незалежного аудиту реалізацій. Окрім того,
QKD потребує спеціалізованого оптико-електронного обладнання, що впливає на
вартість і складність розгортання. Міжнародні організації (насамперед ITU-T та
ETSI) вже розробляють рекомендації щодо інтеграції QKD у телекомунікаційні
мережі та побудови квантово-захищених інфраструктур, що є важливим
орієнтиром для національних проєктів [17-18].
Для інформаційно-комунікаційних систем сектору безпеки й оборони
України QKD доцільно розглядати не як універсальну заміну класичної
криптографії, а як компонент гібридної системи захисту, призначений для генерації
й розподілу високоякісних секретних ключів між стратегічно важливими вузлами
(центри управління, опорні вузли зв’язку, командні пункти, криптографічні
шлюзи). Отримані квантові ключі можуть використовуватись у поєднанні з
симетричними алгоритмами (наприклад, AES-256) та постквантовими схемами
автентифікації, формуючи багаторівневий ешелонований захист каналів
спеціального зв’язку [6]. Такий підхід дозволяє одночасно знизити ризики,
пов’язані з HNDL-атаками щодо класичних алгоритмів розподілу ключів, і
підвищити стійкість телекомунікаційної інфраструктури до майбутніх квантових
загроз, що створює підґрунтя для розроблення гібридної архітектури квантово-
стійкого криптографічного захисту в наступних розділах роботи.
Висновки до розділу 1
У розділі 1 проаналізовано сучасний стан телекомунікаційних та
інформаційно-комунікаційних мереж сектору безпеки й оборони України, а також
ключові фактори, які визначають їхню стійкість в умовах розвитку квантових
технологій. Показано, що ці мережі мають складну багаторівневу структуру
(магістральні, відомчі, тактичні, мобільні та супутникові сегменти), функціонують
у режимі постійного кібернетичного та радіоелектронного протиборства і є одним
із базових елементів критичної інформаційної інфраструктури держави [4, 16].
Встановлено, що до основних вразливостей телекомунікаційних мереж
сектору належать: технологічна неоднорідність і наявність legacy-компонентів,
орієнтація на класичні криптографічні алгоритми, обмеження існуючих систем
управління та моніторингу, інтеграція з мережами загального користування та
міжнародними інформаційними обмінами, а також людський фактор і ресурсні
обмеження. Сукупність цих чинників призводить до того, що навіть за формально
коректного використання сучасних алгоритмів шифрування загальна стійкість
мереж визначається найслабшими ланками інфраструктури, організаційних
процесів і підготовки персоналу [5, 29].
Показано, що стратегія «Harvest Now, Decrypt Later» формує якісно новий
тип довгострокової загрози для національної безпеки. Противник, який має
можливість масового перехоплення зашифрованого трафіку, може накопичувати
шифртексти з прицілом на їх розкриття у майбутньому із застосуванням квантових
обчислювальних засобів. Для сектору безпеки й оборони України це означає ризик
ретроспективного розкриття історичних комунікацій стратегічного, оперативного
й розвідувального характеру, побудови розширених профілів ключових осіб та
глибокого аналізу еволюції систем управління й логістики [2, 7].
У ході огляду стандартів постквантової криптографії NIST 2024 року
встановлено, що алгоритми ML-KEM, ML-DSA та SLH-DSA створюють
міжнародно визнану основу для поетапної міграції від класичних криптографічних
схем до квантово-стійких рішень [9, 23, 24]. Ці алгоритми орієнтовані на захист
обміну ключами та цифрові підписи, забезпечують прийнятний баланс між
безпекою й продуктивністю та можуть бути інтегровані в існуючі протоколи
зв’язку з використанням гібридних підходів (поєднання класичних і постквантових
механізмів).
Проаналізовано принципи роботи та базові протоколи квантового розподілу
ключів (BB84, E91, decoy-state BB84). Показано, що QKD забезпечує
інформаційно-теоретичну стійкість розподілу секретних ключів завдяки
використанню фундаментальних законів квантової механіки та дозволяє виявляти
спроби прослуховування за підвищенням рівня помилок у каналі [11, 19]. Водночас
виявлено низку практичних обмежень цієї технології, пов’язаних із дальністю та
швидкістю передавання, необхідністю спеціалізованого обладнання та чутливістю
до побічних каналів атак, що обумовлює потребу в ретельній стандартизації й
інженерному супроводі впровадження.
Узагальнюючи результати розділу, можна зробити висновок, що в умовах
розвитку квантових технологій телекомунікаційні мережі сектору безпеки й
оборони України мають переходити від суто класичних засобів захисту до
гібридних квантово-стійких рішень. Поєднання постквантових алгоритмів NIST,
технологій квантового розподілу ключів та AES-256 знижує ризики HNDL-атак і
формує основу гібридної системи криптографічного захисту, яка розробляється в
розділі 2.
РОЗДІЛ 2. РОЗРОБКА ГІБРИДНОЇ АРХІТЕКТУРИ КВАНТОВО-
СТІЙКОГО КРИПТОГРАФІЧНОГО ЗАХИСТУ ІНФОРМАЦІЙНО-
КОМУНІКАЦІЙНИХ СИСТЕМ СЕКТОРУ БЕЗПЕКИ Й ОБОРОНИ
УКРАЇНИ
2.1. Концепція гібридного захисту: інтеграція QKD, PQC та AES-256
Аналіз загроз (розділ 1) засвідчив, що використання виключно класичних
алгоритмів (RSA, ECC) створює критичні ризики в контексті стратегії «Harvest
Now, Decrypt Later» [2]. Оскільки повна заміна інфраструктури наразі неможлива
через технологічні й економічні обмеження, доцільним є гібридний підхід:
поєднання квантового розподілу ключів (QKD), постквантової криптографії (PQC)
та симетричного алгоритму AES-256, який покладено в основу архітектури, що
детально розглядається в цьому розділі.
Концепція гібридного захисту передбачає розподіл функцій між трьома
основними криптографічними компонентами:
– QKD-підсистема – забезпечує генерацію та розподіл інформаційно-
теоретично стійких секретних ключів між вузлами мережі за допомогою
квантових каналів (оптоволоконних або вільнопросторових) для найбільш
критичних магістральних і міжвідомчих з’єднань [17, 18].
– PQC-підсистема – реалізує постквантові алгоритми узгодження ключів та
цифрових підписів, стандартизовані NIST (ML-KEM, ML-DSA, SLH-DSA),
для захисту обміну ключовою інформацією й автентифікації вузлів мережі,
особливо там, де QKD недоступний [9, 23, 24].
– Симетрична підсистема – здійснює шифрування корисного трафіку за
допомогою AES-256 у режимах, що забезпечують конфіденційність та
цілісність (наприклад, GCM), використовуючи ключі, сформовані QKD й/або
PQC [6, 30].
При цьому важливу роль відіграє система керування ключами та політиками
(KMS/PKI), яка приймає ключовий матеріал від QKD-підсистеми, керує
постквантовими сертифікатами й параметрами алгоритмів, формує сеансові ключі
для симетричних протоколів та розподіляє їх між засобами шифрування каналів
[29, 31].
2.1.1 Цілі та вимоги до гібридної системи
Основними цілями розробки гібридної системи квантово-стійкого
криптографічного захисту для інформаційно-комунікаційних систем сектору
безпеки й оборони України є:
– забезпечення довгострокової конфіденційності службової інформації в
умовах можливого виникнення повномасштабних квантових
обчислювальних засобів у противника [2];
– мінімізація ризиків реалізації стратегій типу HNDL шляхом використання
квантово-стійких механізмів обміну ключами;
– забезпечення сумісності з наявними мережевими протоколами та
обладнанням (legacy-сегментом) через використання стандартних
форматів ключів і криптоінтерфейсів;
– підтримка різних рівнів критичності вузлів мережі (стратегічні центри
управління, регіональні вузли, тактичні сегменти) з можливістю
диференційованого застосування QKD і PQC;
– збереження можливості інтеграції з мережами партнерів по ЄС і НАТО
через використання міжнародно визнаних стандартів (NIST PQC, ITU-T,
ETSI) та криптографічно гнучких протоколів [14, 29].
З огляду на ці цілі, гібридна система має відповідати таким вимогам:
– криптографічна стійкість до класичних та квантових атак, у тому числі до
ретроспективного розкриття перехопленого трафіку;
– надійне управління ключами при обмежених ресурсах QKD-мережі та
необхідності обслуговування великої кількості застосунків і сегментів
мережі;
– модульність і масштабованість – можливість поетапного розгортання
QKD-вузлів та постквантових модулів без повної зупинки існуючих
служб;
– криптографічна гнучкість – здатність системи без радикальної перебудови
інфраструктури змінювати набір криптографічних примітивів (класичних,
постквантових, квантових) та їх параметри [12];
– відповідність міжнародним рекомендаціям ITU-T серії Y.3800 та
специфікаціям ETSI GS QKD щодо побудови QKD-мереж і шарів
управління ключами [18, 31].
2.1.2 Логічна схема гібридної криптосистеми
У загальному вигляді гібридна криптосистема для захисту каналу зв’язку між
вузлами A та B включає такі кроки, логічну схему яких наведено на рис. 2.1:
Рисунок 2.1 – Логічна схема гібридної криптосистеми QKD–PQC–AES-256 між
вузлами A та B
1. Генерація квантового ключа.
Підсистема QKD між вузлами A та B формує спільний «сирий» ключ
����{������������,������������}, який після процедур корекції помилок і підсилення приватності
перетворюється на секретний ключ ����{������������}. Цей ключ передається до KMS як один
із джерел ключового матеріалу [15].
2. Виконання постквантового KEM.
Вузли A та B виконують постквантовий протокол узгодження ключів
(наприклад, ML-KEM) і отримують спільний секретний ключ ����{������������}, стійкий до
квантового криптоаналізу [9].
3. Комбінування ключів.
Остаточний сеансовий ключ для AES-256 формується за допомогою
криптографічної функції витягування/розширення (KDF), яка поєднує QKD- і PQC-
компоненти, згідно з формулою (2.1):
����{����������������} = ������������� ����{������������} ∥ ����{������������} ∥ ���������������������������� �, (����.����)
де «∥» – операція конкатенації, а ���������������������������� – додаткові параметри
(ідентифікатори вузлів, номер сесії, алгоритмічні параметри тощо). Такий підхід
відповідає сучасним гібридним схемам, у яких класичні, постквантові й квантові
ключі комбінуються для підвищення загальної стійкості [12].
4. Шифрування трафіку.
Ключ ����{����������������} використовується для симетричного шифрування корисного
трафіку за допомогою AES-256 у режимі AEAD (наприклад, GCM), що забезпечує
конфіденційність, цілісність і автентичність даних у каналі зв’язку між вузлами A
та B [6, 30].
У випадку, коли QKD-канал недоступний (відсутність квантового лінка,
аварія, обмеження інфраструктури), система переходить у деградований, але
квантово-стійкий режим, згідно з формулою (2.2):
����{����������������} = ������������� ����{������������} ∥ ���������������������������� �, (����.����)
тобто опирається лише на PQC-компоненту. У цьому режимі зберігається
стійкість до квантових атак завдяки постквантовим алгоритмам, але втрачається
інформаційно-теоретична стійкість QKD-компоненти.
2.1.3 Ролі QKD, PQC та AES-256 у контексті мереж сектору безпеки й
оборони
У мережах спеціального зв’язку сектору безпеки й оборони України QKD
доцільно використовувати переважно між стратегічно важливими вузлами:
центральними й регіональними центрами управління, вузлами Державної служби
спеціального зв’язку та захисту інформації України, опорними елементами
відомчих мереж. Це відповідає концепції QKD-мережі (QKDN), у якій квантові
лінки та вузли виділяються в окремий «квантовий шар», що постачає ключі в
існуючу телекомунікаційну інфраструктуру через системи управління ключами
[29, 32].
PQC-алгоритми (ML-KEM, ML-DSA, SLH-DSA) доцільно застосовувати
масово, у широкому спектрі застосунків, зокрема для:
– захисту шлюзів доступу до відомчих і міжвідомчих мереж;
– автентифікації службових сервісів, систем захищеного документообігу та
реєстрів;
– побудови захищених тунелів між сегментами мережі, де QKD фізично
недоступний або економічно недоцільний (тактичні й мобільні сегменти,
міжнародні канали) [23, 24].
AES-256 залишається основним механізмом шифрування трафіку, оскільки:
– симетричні алгоритми з достатньо великим розміром ключа є стійкими до
відомих квантових атак (з урахуванням квадратичного прискорення
Гровера) [8, 10];
– апаратні й програмні реалізації AES добре відпрацьовані, у тому числі в
засобах криптографічного захисту інформації, що можуть бути допущені
до використання в Україні;
– використання єдиного симетричного примітива спрощує інтеграцію з
legacy-інфраструктурою та підвищує керованість системи.
Таким чином, концепція гібридного захисту забезпечує ешелонований
підхід: квантово-генеровані ключі (QKD) + постквантові протоколи обміну й
автентифікації (PQC) + надійне симетричне шифрування (AES-256). У подальших
підрозділах на основі цієї концепції буде побудовано архітектуру мережі
спеціального призначення з інтегрованим квантовим шаром та розроблено
протокол узгодження ключів і виявлення прослуховування в каналі зв’язку.
2.2 Архітектура мережі спеціального призначення з інтегрованим квантовим
шаром
У цьому підрозділі розробляється архітектурна модель мережі спеціального
призначення сектору безпеки й оборони України, в якій квантовий шар (QKD-
мережа) інтегровано в існуючу транспортну інфраструктуру та системи управління
ключами. Архітектура повинна забезпечувати поетапний перехід до квантово-
стійкого захисту без радикальної перебудови наявних телекомунікаційних мереж.
2.2.1 Базові принципи побудови архітектури
За основу пропонується взяти багатошарову модель, що узгоджується з
рекомендацією ITU-T Y.3800 та специфікаціями ETSI GS QKD: у ній QKD-мережа
розглядається як окремий, але тісно інтегрований з класичною мережею шар, який
генерує й розподіляє ключі для прикладних служб [18].
У спрощеному вигляді архітектура містить такі шари:
– Фізичний та канальний шар класичної мережі.
Оптоволоконні магістралі, радіорелейні лінії, супутникові й мобільні
канали, по яких передається як службовий, так і корисний трафік.
– Транспортний та мережевий шар (IP/MPLS).
Забезпечує маршрутизацію та комутацію пакетів між вузлами сектору
безпеки й оборони, підтримку віртуальних приватних мереж,
резервування маршрутів і пріоритизацію службового трафіку.
– QKD-шар.
Включає QKD-модулі (джерела, детектори, квантові канали), QKD-вузли
(QKD nodes) та квантову мережу (QKDN), яка забезпечує генерацію та
розподіл секретних ключів між вузлами. Квантовий шар логічно
відокремлений від сервісного трафіку, але пов’язаний з ним через системи
управління ключами [32].
– Шар управління ключами (Key Management Layer).
Реалізує функції зберігання, розподілу, комбінування й надання
криптографічних ключів прикладним сервісам. У цьому шарі
інтегруються QKD-ключі, PQC-ключі та, за потреби, класичні ключі.
Специфікації ETSI GS QKD 004 описують типові інтерфейси між QKD-
модулями й системами управління ключами (KMS) [31].
– Прикладний шар (Application Layer).
Містить сервіси захищеного зв’язку (VPN, VoIP, відеоконференції,
системи бойового управління, захищений документообіг), що
використовують ключі, надані шаром управління ключами, для
шифрування трафіку (AES-256) та автентифікації (PQC-підписи).
Структурну схему взаємодії цих шарів наведено на рис. 2.2, на якому
показано класичні транспортні канали, QKD-канали, сервери управління ключами
(KMS) та прикладні шифратори.
Рисунок 2.2 – Структурна схема взаємодії шарів QKD, KMS та прикладних
сервісів
2.2.2 Логічна структура мережі спеціального призначення
З урахуванням потреб сектору безпеки й оборони України пропонується така
трирівнева логічна структура:
– Центральний рівень.
Вузли вищого управління (Генеральний штаб, центральні органи
управління сектору безпеки й оборони, основні центри обробки даних).
Між ними розгортаються магістральні QKD-канали по існуючій
оптоволоконній інфраструктурі; на цьому рівні концентруються ключові
ресурси й функції KMS.
– Регіональний рівень.
Оперативні командування, регіональні управління, ключові вузли
Держспецзв’язку та інших відомств. Тут доцільно застосовувати або прямі
QKD-канали (на відстанях до 80–100 км), або схеми з довіреними вузлами,
що ретранслюють ключі між окремими QKD-сегментами й передають їх у
регіональні KMS [18, 32].
– Тактичний рівень.
Вузли зв’язку бригад, батальйонів, мобільні командні пункти. На цьому
рівні використання QKD наразі обмежене через мобільність, радіоканали
та несприятливі умови експлуатації, тому акцент робиться на
постквантовому захисті (PQC-KEM, PQC-підписи) та епізодичному
завантаженні ключів, згенерованих на вищих рівнях, через захищені
канали.
У кожному стратегічному та регіональному вузлі доцільно розгортати:
– QKD-вузол (QKD node), що містить квантові модулі для підключення до
декількох сусідніх вузлів по оптичних лініях;
– сервер управління ключами (KMS), який приймає ключі з QKD-вузлів,
виконує їх агрегацію, зберігання, комбінування з PQC-ключами й видачу
в прикладні системи за стандартним інтерфейсом [31];
– прикладні шифратори / VPN-шлюзи, які через криптоінтерфейс (API)
отримують сеансові ключі й використовують їх у протоколах IPSec, TLS,
SRTP тощо.
Для наочності логічну структуру мережі спеціального призначення з
інтегрованим квантовим шаром наведено на рисунку 2.3, де відображено:
Рисунок 2.3 – Логічна трирівнева структура мережі спеціального призначення з
інтегрованим квантовим шаром та гібридним захистом QKD–PQC–AES-256
– центральні вузли (центри управління, дата-центри);
– регіональні вузли з QKD-модулями та KMS;
– квантові канали між стратегічними вузлами;
– класичні транспортні канали для передачі трафіку;
– прикладні системи (комутатори, маршрутизатори, шифратори).
2.2.3 Моделі розгортання квантового шару
Залежно від доступності інфраструктури й фінансових можливостей можна
розглядати кілька моделей розгортання квантового шару:
– Пілотний сегмент QKD-мережі між двома або кількома найбільш
критичними вузлами (наприклад, Київ – Львів – Одеса). На цьому етапі
відпрацьовуються питання інтеграції QKD із KMS та прикладними
сервісами, тестуються протоколи експлуатації та резервування.
– Розширена магістральна QKD-мережа з довіреними вузлами, що охоплює
основні напрямки стратегічних комунікацій. Ключі, згенеровані в цій
мережі, використовуються для захисту міжрегіональних каналів та
каналів доступу до національних центрів обробки даних.
– Супутниково підтримуваний квантовий шар. У середньо- та
довгостроковій перспективі може розглядатися використання
супутникових QKD-рішень, які нині вивчаються в рамках ITU-T та
міжнародних наукових проєктів, для забезпечення захищеного зв’язку на
великі відстані й у важкодоступних районах [13].
Кожна з моделей може співіснувати з іншими й розгортатися поетапно, що
відповідає концепції «дорожньої карти» модернізації, сформульованій у розділі 3,
та дозволяє будувати квантовий шар мережі спеціального призначення без
порушення безперервності функціонування існуючих систем.
2.3 Протокол узгодження ключів та виявлення прослуховування в каналі
зв’язку
У цьому підрозділі розробляється узагальнений протокол узгодження ключів
між вузлами мережі спеціального призначення на основі гібридного підходу QKD–
PQC–AES-256. Протокол має забезпечувати:
– захищене формування спільного сеансового ключа;
– можливість виявлення спроб прослуховування квантового каналу [27];
– стійкість до квантових атак у разі недоступності QKD-каналу за рахунок
використання постквантового KEM.
2.3.1 Загальна схема протоколу між вузлами A та B
Розглядається канал зв’язку між двома вузлами мережі спеціального
призначення – вузлом A та вузлом B. Для них визначаються такі ключові елементи:
– квантовий канал QKD для обміну квантовими станами;
– автентифікований класичний канал для службового обміну;
– QKD-вузли, які реалізують протокол BB84 з «приманками» (decoy-state
BB84) [26];
– постквантовий механізм інкапсуляції ключа ML-KEM (PQC-KEM) [9];
– криптомодулі AES-256 у режимі AEAD (наприклад, GCM) [30].
Узгодження ключів виконується в послідовності, поданій на рис. 2.4.
Рисунок 2.4 – Схема протоколу узгодження ключів QKD–PQC–AES-256 між
вузлами A та B
1. Ініціалізація сеансу.
Вузол A ініціює захищений сеанс, передаючи по класичному каналу
службове повідомлення «початок сеансу», автентифіковане постквантовим
цифровим підписом (ML-DSA або SLH-DSA) [23, 24]. Вузол B перевіряє підпис
і підтверджує готовність до обміну.
2. Квантовий обмін та формування ключа QKD.
Між QKD-модулями вузлів A та B виконується протокол decoy-state BB84:
– вузол A надсилає послідовності однофотонних імпульсів у випадкових
базисах, чергуючи сигнальні та «приманочні» інтенсивності [11];
– вузол B виконує вимірювання у випадкових базисах;
– через класичний канал сторони погоджують базиси та відкидають
невідповідні вимірювання (процедура «просіювання»);
– для підмножини бітів розкриваються значення для оцінювання
квантової бітової помилки.
Оцінка квантової бітової помилки розраховується за формулою (2.3):
���� = ����������������
������������ , (����.����)
����
������������
де ���������������� – кількість бітів, у яких значення Аліси та Боба не збігаються в
контрольній вибірці; ���������������� – загальна кількість бітів у цій вибірці.
Якщо значення ���������������� перевищує наперед заданий поріг ������������ (визначений з
урахуванням параметрів каналу та обладнання), сторони вважають канал
скомпрометованим, сеанс QKD анулюється, а інформація про інцидент
передається в систему моніторингу безпеки. Якщо виконується умова (2.4):
���������������� ≤ ������������, (����.����)
виконується корекція помилок та підсилення приватності й формується
секретний квантовий ключ ����������������.
3. Виконання постквантового KEM.
Паралельно або після завершення QKD вузли A та B запускають
постквантовий протокол узгодження ключів ML-KEM:
– вузол B генерує публічний параметр ML-KEM та надсилає його вузлу
A;
– вузол A виконує процедуру інкапсуляції й надсилає капсулу ключа; –
обидві сторони обчислюють однаковий постквантовий ключ ���������������� [9].
4. Комбінування ключів у єдиний сеансовий ключ.
Остаточний сеансовий ключ �������������������� формується на стороні A та B за
допомогою криптографічної функції витягування/розширення (KDF),
наприклад на основі HKDF, згідно з формулою (2.5):
�������������������� = ������������� ���������������� ∥ ���������������� ∥ ���������������������������� �, (����.����)
де ���������������� – секретний ключ, отриманий із QKD; ���������������� – секретний ключ,
отриманий із ML-KEM; “∥” – операція конкатенації; ���������������������������� – додаткові
параметри сеансу (ідентифікатори вузлів, номери інтерфейсів, час початку
сеансу, ідентифікатор застосунку).
У разі недоступності квантового каналу (аварія, технічне обслуговування,
відсутність оптичного лінка) протокол переходить у деградований, але
квантово-стійкий режим, у якому сеансовий ключ обчислюється лише з
постквантового компонента за формулою (2.6):
�������������������� = ������������� ���������������� ∥ ���������������������������� �. (����.����)
5. Розповсюдження сеансового ключа всередині вузлів.
Сформований ключ �������������������� передається з KMS до прикладних криптомодулів
(VPN-шлюзи, шифратори, VoIP-шлюзи) через внутрішні захищені інтерфейси.
6. Шифрування трафіку.
Прикладні модулі використовують �������������������� для симетричного шифрування
корисного трафіку за допомогою AES-256 у режимі AEAD (наприклад, GCM),
забезпечуючи одночасно конфіденційність, цілісність і автентичність даних [6,
30].
2.3.2 Механізм виявлення прослуховування в квантовому каналі
Ключовим елементом протоколу є можливість виявлення активного або
пасивного шпигуна (Eve) у квантовому каналі. У рамках протоколу decoy-state
BB84 це забезпечується за рахунок:
– контролю квантової бітової помилки ����������������;
– аналізу статистики «приманочних» імпульсів різної інтенсивності [26];
– використання процедур підсилення приватності.
Для кожного сеансу QKD виділяється контрольна підвибірка обмінених бітів
розміром ����������������, на основі якої обчислюється ����������������. Якщо виконується умова (2.7):
���������������� ≤ ������������, (����.����)
канал вважається допустимим з погляду рівня завад і можливих атак, і з
«робочої» частини бітів може бути сформований секретний ключ. Якщо ж
справджується нерівність (2.8):
���������������� > ������������, (����.����)
сеанс QKD анулюється, ключ ���������������� не використовується, а спроба
вважається потенційною атакою прослуховування [19].
Для зменшення ймовірності хибних рішень поріг ������������ обирається з
урахуванням статистичних характеристик лінії та апаратури; при цьому розмір
контрольної вибірки ���������������� повинен забезпечувати потрібну довіру до оцінки ����������������.
У третьому розділі роботи параметри ������������ та ���������������� використовуються в
математичній моделі квантового каналу та процесу генерації секретного ключа.
Додатково в KMS реалізується накопичення статистики ���������������� для кожного
квантового лінка в часі. Різке зростання середнього ���������������� або поява аномалій
(сплесків помилок) служить підставою для автоматичного зниження довіри до
відповідного маршруту й перемикання критичного трафіку на альтернативні
напрямки.
2.3.3 Захист класичного каналу узгодження
Оскільки QKD сам по собі забезпечує лише розподіл ключів, а всі службові
процедури (узгодження базисів, передавання капсул ML-KEM, управління ��������������������
відбуваються по класичному каналу, особливе значення має його криптографічний
захист. У розробленому протоколі застосовуються такі механізми:
– Постквантова автентифікація повідомлень.
Усі службові повідомлення протоколу (сигнали про початок/завершення
сеансу, параметри ML-KEM, службові дані KMS) підписуються
цифровими підписами ML-DSA або SLH-DSA [23, 24]. Це запобігає
підміні та модифікації даних у каналі.
– Захист від повторного відтворення (replay).
У структурі кожного службового пакета передбачаються унікальний
ідентифікатор сеансу (Session_ID) та часовий штамп (Timestamp). Під час
перевірки підпису вузол додатково контролює, що Timestamp знаходиться
в допустимому вікні, а Session_ID ще не використовувався.
– Контроль цілісності параметрів ключів.
Для кожного сформованого сеансового ключа �������������������� у KMS обчислюється
контрольне значення (наприклад, HMAC) і передається разом із ключем
до прикладних модулів. Це дозволяє виявити внутрішні помилки або
спроби модифікації ключового матеріалу.
Завдяки поєднанню квантового виявлення прослуховування (через контроль
����������������) з постквантовою автентифікацією службових повідомлень у класичному
каналі протокол узгодження ключів забезпечує багаторівневий захист від атак як
на рівні фізичного каналу, так і на рівні протоколів управління ключами. Це
створює основу для стійкого функціонування гібридної системи криптографічного
захисту в телекомунікаційних мережах сектору безпеки й оборони України.
2.4 Проблематика інтеграції квантових рішень із наявними (legacy) засобами
зв’язку сектору безпеки й оборони України
Попри значні теоретичні переваги технологій квантового розподілу ключів
(QKD) та постквантової криптографії (PQC), їхнє практичне впровадження у вже
існуючу телекомунікаційну інфраструктуру сектору безпеки й оборони України
стикається з низкою технічних, організаційних, нормативних та економічних
викликів. Значна частина мережевих і криптографічних засобів належить до legacy-
сегмента, який проєктувався без урахування квантових загроз і не завжди
підтримує сучасні криптоінтерфейси. Це зумовлює необхідність поетапної
інтеграції QKD- і PQC-рішень із мінімальним порушенням роботи існуючих систем
[29].
2.4.1 Технологічна неоднорідність та обмеження інфраструктури
Як було показано у підрозділі 1.1, телекомунікаційні мережі сектору безпеки
й оборони України характеризуються високим рівнем технологічної
неоднорідності: одночасно експлуатуються різні покоління оптичного,
радіорелейного, супутникового та IP/MPLS-обладнання, використовуються
малодокументовані інтерфейси, а частина засобів шифрування має жорстко
фіксовані криптографічні набори без підтримки crypto-agility. Це створює такі
проблеми інтеграції квантових рішень:
– не всі оптоволоконні ділянки придатні для встановлення QKD-обладнання
через підвищені втрати, велику кількість з’єднань, погану якість кабелів
або наявність активних елементів, які не пропускають одиничні фотони
[25];
– частина міжвідомчих і магістральних зв’язків будується на орендованій
інфраструктурі операторів загального користування, де неможливо
фізично розміщувати QKD-модулі або гарантувати необхідні параметри
оптичного тракту;
– значна частина відомчих шифраторів і мережевого обладнання підтримує
лише класичні алгоритми (RSA, ECDH, ECDSA) і не має стандартних
інтерфейсів для отримання ключів із QKD/KMS чи використання
постквантових алгоритмів.
Рекомендації ITU-T Y.3800-серії та ETSI GS QKD наголошують, що QKD-
мережі повинні розглядатися як надбудова над класичною транспортною
інфраструктурою, а не її повна заміна, що вимагає ретельного планування точок
інтеграції, вибору оптичних маршрутів, виділення «темних волокон» та
модернізації окремих сегментів мережі [18], [31].
2.4.2 Управління ключами, масштабованість та роль KMS
QKD-ключі є обмеженим ресурсом: швидкість їх генерації залежить від
довжини оптичного каналу, параметрів протоколу, характеристик джерел та
детекторів. При інтеграції QKD у масштабні відомчі мережі виникають задачі:
– пріоритизації застосунків і каналів, яким надаються квантові ключі (канали
стратегічного управління, зв’язок між центрами обробки даних, критичні
міжвідомчі інтерфейси);
– організації централізованого або ієрархічного управління ключами (Key
Management System, KMS), що забезпечує приймання, зберігання,
комбінування та розподіл ключів з QKD, PQC та, за потреби, класичних
джерел [17];
– визначення політик, за яких:
• для низькопріоритетного трафіку застосовуються виключно PQC-ключі;
• для високопріоритетних каналів використовуються гібридні схеми
QKD+PQC;
• реалізується кешування й резервування ключів на випадок тимчасового
зниження продуктивності QKD-каналу.
Велика кількість прикладних сервісів, які потребують криптографічних
ключів (VPN, VoIP, бойові системи управління, захищений документообіг),
ставить підвищені вимоги до масштабованості KMS: система має забезпечувати
розподіл ключів у мережі з різнорівневою критичністю вузлів, підтримувати
журнали використання, політики «життєвого циклу» ключів і режими деградації
(наприклад, перехід у режим «лише PQC» за відсутності квантового каналу) [7, 29].
2.4.3 Вартість, нормативно-правові та організаційні аспекти
Впровадження QKD- і PQC-рішень у мережах спеціального призначення є
капіталомістким і комплексним проєктом. До основних складових витрат
належать:
– закупівля спеціалізованого квантового обладнання (джерела одиничних
фотонів, детектори, оптичні модулі, системи стабілізації, QKD-термінали);
– модернізація оптоволоконної інфраструктури, серверних приміщень, систем
живлення й резервування; – оновлення або заміна шифраторів, VPN-шлюзів
і мережевих пристроїв для підтримки постквантових алгоритмів і
криптоагільності;
– навчання персоналу та розроблення нових процедур експлуатації,
моніторингу й аудиту безпеки.
На міжнародному рівні технічні аспекти квантового зв’язку та постквантової
криптографії частково відображені в рекомендаціях ITU-T, ETSI та стандартах
NIST PQC; у ряді країн реалізуються пілотні QKD-мережі для урядового та
телекомунікаційного секторів [10, 13]. Для України актуальними є завдання:
– узгодити впровадження квантових і постквантових рішень із чинним
законодавством у сфері криптографічного захисту інформації та захисту
критичної інфраструктури [15, 21];
– визначити статус QKD-систем і KMS як засобів технічного та
криптографічного захисту інформації, а також процедури їхньої оцінки
відповідності; – розробити національні стандарти та профілі застосування на
основі ITU-T, ETSI та NIST PQC для захищеного урядового та відомчого
зв’язку;
– забезпечити міжвідомчу координацію (МОУ, СБУ, ДССЗЗІ та інші структури
сектору безпеки й оборони) й створити центр компетенцій з квантової
криптографії та постквантових рішень.
2.4.4 Ризики впровадження та шляхи їх мінімізації
Інтеграція квантових рішень у legacy-мережі супроводжується низкою
ризиків:
– невідповідність теоретичного рівня безпеки практичній реалізації через
побічні канали атак (side-channel attacks) у QKD-обладнанні, помилки
конфігурації, вразливості програмного забезпечення або людський фактор
[22];
– перевантаження персоналу додатковими задачами й ускладнення
експлуатації, що може призводити до помилок у налаштуванні й
обслуговуванні;
– суперечність між гнучкістю мережевих рішень та жорсткістю
криптографічних політик, коли спроба «перевести всі канали на квантові
ключі» може виявитися економічно нераціональною й технічно
невиправданою.
Основні виклики інтеграції квантових рішень у наявні (legacy) мережі
сектору безпеки й оборони України та можливих шляхів їх мінімізації наведено в
таблиці 2.1.
Таблиця 2.1 – Основні виклики інтеграції квантових рішень у legacy-мережі
сектору безпеки й оборони України
Група проблем Сутність Наслідки Можливі шляхи
мінімізації
Технологічна Різні покоління Обмеження Аудит інфраструктури,
неоднорідність оптичного й можливості виділення пріоритетних
інфраструктури радіорелейного підключення QKD- «квантових» трас,
обладнання, підвищені обладнання, поетапна модернізація
втрати в лініях, велика звуження топології оптичних ліній,
кількість з’єднань, квантових лінків, мінімізація кількості
використання зниження муфт та з’єднань.
орендованих каналів надійності й
операторів загального пропускної
користування. здатності каналів.
Обмежені ресурси Швидкість генерації Дефіцит квантових Впровадження
QKD-каналів та квантових ключів ключів для всіх ієрархічної системи
управління залежить від довжини й сервісів, ризик управління ключами
ключами стану каналу; велика використання (KMS), пріоритизація
кількість застосунків, застарілих ключів, каналів за критичністю,
що конкурують за складність використання
ключі. масштабування. гібридних режимів
QKD+PQC, кешування
й резервування ключів.
Вартість та Висока вартість QKD- Ризик обмеження Поетапне
організаційна обладнання, проєкту лише впровадження (пілотні
складність необхідність пілотними сегменти →
впровадження модернізації ділянками без магістральна мережа),
майданчиків, масштабування, включення квантових
підготовка персоналу додаткове проєктів до державних
та розроблення нових навантаження на програм, створення
регламентів. персонал. центрів компетенцій з
QKD/PQC, навчання
персоналу.
Нормативно- Відсутність Труднощі з Розроблення
правові та національних оцінкою національних
методичні стандартів і профілів відповідності, стандартів і профілів на
обмеження застосування QKD та допуском до основі ITU-T, ETSI та
PQC, експлуатації, NIST PQC;
неформалізований інтеграцією в формалізація вимог до
статус квантових існуючу систему сертифікації QKD/PQC-
систем як засобів технічного захисту рішень; міжвідомча
технічного захисту інформації. координація (ДССЗЗІ,
інформації. МОУ, СБУ та інші).
Мінімізація цих ризиків передбачає:
– поетапне впровадження квантових рішень: від пілотних сегментів між
найбільш критичними вузлами до розширення на магістральні та регіональні
ділянки;
– розроблення детальної дорожньої карти міграції від класичних до гібридних
квантово-стійких рішень (див. розділ 3), з чітким визначенням етапів,
пріоритетних напрямів і критеріїв успіху;
– застосування гібридних схем QKD+PQC+AES-256 із чітким розподілом
сценаріїв використання для різних сегментів мережі залежно від рівня
критичності [12];
– проведення незалежних аудитів, випробувань і моделювання атак для нових
криптографічних модулів, а також розроблення планів резервування й
відкату (fallback) до постквантового або, за потреби, класичного режиму без
втрати керованості силами й засобами.
Підсумовуючи, можна зазначити, що наявність розгалуженого legacy-
сегмента, технологічна неоднорідність, обмежені ресурси та нормативні бар’єри
роблять впровадження квантових рішень складним багатофакторним завданням.
Врахування цих проблем є необхідною умовою для коректного проєктування
гібридної архітектури, вибору пріоритетних напрямів модернізації та формування
реалістичної дорожньої карти переходу до квантово-стійкого криптографічного
захисту, що детальніше розглядається у розділі 3.
Висновки до розділу 2
У розділі 2 розроблено й обґрунтовано гібридну архітектуру квантово-
стійкого криптографічного захисту інформаційно-комунікаційних систем сектору
безпеки й оборони України на основі поєднання трьох підсистем: квантового
розподілу ключів (QKD), постквантової криптографії (PQC) та симетричного
шифрування на базі AES-256. Показано, що такий підхід дає змогу врахувати як
перспективу появи масштабованих квантових комп’ютерів, так і фактичні
обмеження наявної телекомунікаційної інфраструктури та ресурсів [2, 29].
Сформульовано цілі, вимоги та логічну схему гібридної криптосистеми, у
якій QKD використовується для генерації та розподілу інформаційно-теоретично
стійких ключів між стратегічно важливими вузлами, PQC — для узгодження
ключів і автентифікації в умовах квантових загроз, а AES-256 — як базовий
механізм шифрування трафіку. Запропоновано механізм комбінування квантового
та постквантового компонентів у єдиний сеансовий ключ за допомогою
криптографічної функції витягування/розширення (KDF), що забезпечує стійкість
навіть у разі компрометації однієї з підсистем і дозволяє реалізувати деградовані
режими роботи (PQC-only) без втрати квантової стійкості [12].
Розроблено архітектуру мережі спеціального призначення з інтегрованим
квантовим шаром, побудовану за багатошаровою моделлю (класична транспортна
мережа, QKD-шар, шар управління ключами, прикладний шар) та трирівневою
логічною структурою (центральний, регіональний, тактичний рівні). Показано, що
доцільно концентрувати ресурси QKD на магістральних і регіональних сегментах
між центрами управління й критичними вузлами, тоді як на тактичному рівні
основний акцент має робитися на масовому застосуванні постквантових алгоритмів
і епізодичному завантаженні ключів згори. Запропоновано кілька моделей
розгортання квантового шару (пілотні сегменти, магістральна QKD-мережа з
довіреними вузлами, супутниково підтримувані рішення), які можуть
реалізовуватися поетапно [18, 32].
Синтезовано протокол узгодження ключів та виявлення прослуховування в
каналі зв’язку, що поєднує QKD (на базі decoy-state BB84), постквантовий KEM
(ML-KEM) і постквантові цифрові підписи. Показано, що контроль квантової
бітової помилки (����������������), автентифікація на класичному каналі й гібридне
формування сеансового ключа �������������������� на основі ���������������� і ���������������� забезпечують високий
рівень стійкості до квантового противника та дозволяють надійно виявляти спроби
пасивного й активного прослуховування [19, 27].
Проаналізовано проблематику інтеграції квантових рішень у наявні (legacy)
засоби зв’язку сектору безпеки й оборони України, зокрема технологічну
неоднорідність мереж, обмеження оптичної інфраструктури, обмежену швидкість
генерації QKD-ключів, вартісні, нормативно-правові та організаційні чинники.
Обґрунтовано, що мінімізація цих ризиків потребує поетапного впровадження
QKD, побудови ієрархічної системи управління ключами (KMS), розроблення
національних стандартів на основі ITU-T, ETSI та NIST PQC, а також застосування
гібридних схем QKD+PQC+AES-256 із диференціацією за рівнем критичності
сегментів мережі [29, 31]. Отримані в розділі 2 результати створюють
концептуальну та архітектурну основу для подальшого математичного
моделювання гібридної системи захисту й розроблення дорожньої карти її
впровадження, що є предметом розгляду розділу 3.
РОЗДІЛ 3. МАТЕМАТИЧНЕ МОДЕЛЮВАННЯ ГІБРИДНОЇ СИСТЕМИ
КРИПТОГРАФІЧНОГО ЗАХИСТУ ТА ПЕРСПЕКТИВИ ЇЇ
ВПРОВАДЖЕННЯ В ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ СИСТЕМАХ
СЕКТОРУ БЕЗПЕКИ Й ОБОРОНИ УКРАЇНИ
3.1 Математичне моделювання квантового каналу та генерації секретного
ключа
3.1.1 Постановка задачі моделювання
Метою даного підрозділу є кількісна оцінка параметрів квантового каналу та
процесу генерації секретного ключа в системі квантового розподілу ключів (QKD)
типу BB84 / decoy-state BB84 з урахуванням втрат в оптоволоконній лінії, темнових
рахунків детекторів та оптичних помилок. На основі моделі необхідно визначити
залежності:
• квантової бітової помилки ���������������� від довжини лінії зв’язку ����;
• секретної швидкості генерації ключа ����sec(����) від параметрів каналу;
• граничних відстаней, на яких використання QKD є доцільним у мережах
спеціального призначення сектору безпеки й оборони України.
Отримані залежності надалі використовуються для оцінки ефективності
запропонованої гібридної системи захисту (підрозділ 3.2) та для обґрунтування
параметрів дорожньої карти впровадження квантово-стійких рішень (підрозділ
3.4).
3.1.2 Математична модель квантового каналу
Оптичний канал між вузлами Аліси та Боба моделюється як одномодовий
волоконно-оптичний лінк з експоненційним загасанням. Коефіцієнт пропускання
(трансмісія) квантового каналу залежно від довжини оптоволоконної лінії
розраховується згідно з формулою (3.1):
����
η����ℎ�������� (����) = 10−���� ∗10, (3.1)
де ��������ℎ�������� – коефіцієнт пропускання (трансмісія) оптичного волокна, який
показує ймовірність того, що фотон успішно дійде від відправника до отримувача
(безрозмірна величина в діапазоні від 0 до 1); ���� – питомий коефіцієнт загасання
сигналу в оптичному волокні, дБ/км (для сучасних одномодових волокон на
довжині хвилі 1550 нм типове значення становить ���� ≈ 0,2 дБ/км); ���� – фізична
довжина волоконно-оптичної лінії зв’язку, км [19].
Загальний коефіцієнт корисного проходження (ефективність) системи з
урахуванням втрат у приймальному модулі та на з'єднаннях визначається за
формулою (3.2):
����������������(����) = ��������ℎ��������(����) ∗ �������� ∗ �������� . (3.2)
де ����������������(����) – сумарна ймовірність реєстрації фотона, випущеного
відправником, детектором отримувача; ��������ℎ��������(����) – коефіцієнт пропускання
оптоволоконної лінії (визначений у формулі 3.1); �������� – квантова ефективність
однофотонних детекторів (ймовірність того, що детектор спрацює при попаданні
на нього фотона, типово 10–25% для InGaAs лавинних фотодіодів); �������� – коефіцієнт
пропускання оптичних компонентів приймача та втрат на з’єднаннях (конектори,
фільтри, дільники променя).
Нехай ���� – середня кількість фотонів на імпульс (для протоколів decoy-state
розглядаються кілька значень ����). Тоді ймовірність реєстрації «корисного» сигналу
(спрацювання детектора, зумовлене переданим фотоном) в одному часовому слоті
визначається за формулою (3.3):
����������������(����) = ���� ∗ ����������������(����). (3.3)
де ����������������(����) – ймовірність реєстрації корисного сигналу детектором (без
урахування шумів); ���� – середня кількість фотонів в одному оптичному імпульсі
(інтенсивність випромінювання) [26].
Темнові рахунки детекторів моделюються як пуассонівський процес із малою
інтенсивністю. Тоді сумарна ймовірність реєстрації будь-якого кліку в часовому
слоті (як корисного сигналу, так і шуму) визначається за формулою (3.4):
������������������������(����) = ����������������(����) + �������������������� . (3.4)
де ������������������������(����) – загальна ймовірність спрацювання детектора в одному слоті;
�������������������� – ймовірність темнового рахунку (шуму) в одному часовому слоті, яка
враховує сумарний шум усіх детекторів у приймальному модулі.
Квантова бітова помилка ����(����) формується за рахунок оптичних помилок
(нестабільність поляризації, імперфекції оптики) та темнових рахунків детекторів.
У спрощеній моделі частка помилкових бітів розраховується за формулою (3.5):
����������������� ∗ ����������������(����) + ½����
����(����) = ����������������� , (3.5)
����������������(����) + ��������������������
де ����(����) – оцінка квантової бітової помилки (QBER) на відстані ����; ���������������� –
базова частка помилкових бітів, зумовлена оптичними недосконалостями системи
(типово становить кілька відсотків). Коефіцієнт 0.5 біля �������������������� відображає той факт,
що некорельований шум дає помилку з імовірністю 50% [19, 27].
Отримана залежність ����(����) дозволяє оцінити вплив довжини лінії й
параметрів обладнання на квантову бітову помилку.
3.1.3 Оцінка секретної швидкості генерації ключа
У протоколі BB84 через випадковий вибір базисів вимірювання лише частина
зареєстрованих подій використовується для формування «сирого» ключа.
Коефіцієнт просіювання (sifting factor) визначається за формулою (3.6):
1
���� ≈ , (3.6)
2
де ���� – коефіцієнт просіювання, який показує частку вимірювань, що
залишаються після процедури узгодження базисів (для стандартного протоколу
BB84 ймовірність збігу базисів Аліси та Боба становить 50%, тому ���� =0,5).
При передаванні ���� квантових станів середня довжина «сирого» ключа (raw
key), який отримують сторони до етапів корекції помилок та підсилення
приватності, наближено дорівнює за формулою (3.7):
|����������������| ≈ ���� ∗ ���� ∗ ������������������������(����). (3.7)
де |����������������| – середня кількість бітів у сформованому «сирому» ключі; ���� –
загальна кількість переданих Алісою квантових імпульсів (довжина сесії передачі).
Асимптотична секретна швидкість генерації ключа на один часовий слот
(один переданий імпульс) у протоколі BB84 у простій моделі Шора–Прескіла з
урахуванням неідеальної корекції помилок визначається за формулою (3.8):
����(����) = ���� ∗ ������������������������(����) ∗ � 1 − ���� �����(����)� ∗ ����2�����(����)�� , (3.8)
де ����(����) – секретна швидкість генерації ключа (біт на імпульс); ���� �����(����)� –
коефіцієнт ефективності корекції помилок (коефіцієнт надлишку інформації), який
показує, у скільки разів реальні витрати на виправлення помилок перевищують
теоретичну межу Шеннона (типові значення ���� ≥ 1, зазвичай 1.1–1.2); ����2�����(����)� –
бінарна ентропія, що характеризує втрату інформації через наявність помилок у
каналі та потенційне перехоплення [1, 19].
Функція бінарної ентропії Шеннона, що використовується для оцінки
інформаційних втрат, розраховується за формулою (3.9):
����2 (����) = − ���� ∗ log2(����) − (1 − ����) ∗ log2(1 − ����) ; (3.9)
Цей вираз відображає два основні етапи:
• витрати інформації на корекцію помилок (множник ���� (����)����2(����));
• витрати на підсилення приватності (другий доданок ����2(����)).
Якщо частота надсилання квантових імпульсів дорівнює ������������������������ (імпульсів за
секунду), то секретна швидкість генерації ключа в бітах за секунду розраховується
за формулою (3.10):
����sec(����) = ���� (����) ∗ ������������������������ . (3.10)
де ����sec(����) – фінальна швидкість генерації секретного ключа (біт/с); ������������������������ –
тактова частота системи (частота повторення імпульсів передавача) [25].
Для забезпечення практичної значущості результатів математичного
моделювання було сформовано набір вхідних даних, що базується на технічних
специфікаціях сучасного комерційного обладнання квантового розподілу ключів
(зокрема рішень від ID Quantique та Toshiba) та характеристиках стандартних
телекомунікаційних ліній зв’язку. Вибір параметрів здійснювався з урахуванням
рекомендацій ITU-T щодо побудови оптичних транспортних мереж, що дозволяє
наблизити умови моделювання до реальних сценаріїв експлуатації в системах
спеціального призначення. Зведені значення параметрів математичної моделі,
використані для подальших розрахунків, наведено в таблиці 3.1.
Таблиця 3.1 – Параметри математичної моделі системи QKD
Група
Назва параметра Позначення Значення
параметрів
Фізичні Коефіцієнт загасання (SMF-28, 1550 нм) α 0,2 дБ/км
параметри
каналу Втрати на оптичних компонентах ηc 50% (0,5)
Параметри Квантова ефективність детекторів (InGaAs) ηd 15% (0,15)
апаратури Ймовірність темнового шуму (на імпульс) pdark 1 · 10-6
Частота повторення імпульсів Rpulse 1 МГц
Параметри Середня кількість фотонів на імпульс μ 0,3…0,5
протоколу Базова оптична помилка (QBER) Qopt 3% (0,03)
Коефіцієнт просіювання (BB84) q 0,5
Ефективність корекції помилок (LDPC) f 1,15
Порогове значення безпеки Qthr 11% (0,11)
Чисельне моделювання процесу генерації секретного ключа було реалізовано
мовою програмування Python у середовищі Google Colab (лістинг програми
наведено в Додатку А). Для проведення розрахунків використано математичну
модель, описану формулами (3.1)–(3.10), у яку було підставлено параметри
волоконно-оптичної лінії та апаратури згідно з таблицею 3.1 (зокрема, коефіцієнт
загасання ����, рівень темнових шумів �������������������� та базову оптичну помилку ����������������).
За результатами комп'ютерного експерименту отримано сімейство
залежностей, що характеризують ефективність роботи протоколу, які наведені на
рис. 3.1–3.4. Це дозволило детально проаналізувати динаміку зростання квантової
бітової помилки ����(����) та падіння секретної швидкості ����sec(����) зі збільшенням
відстані, а також визначити граничні умови функціонування системи та
оптимальну інтенсивність фотонних імпульсів ���������������� для максимізації пропускної
здатності каналу.
Рисунок 3.1 – Залежність квантової бітової помилки ����(����) від довжини
оптоволоконної лінії ���� для різних значень середньої кількості фотонів ���� та
порогового значення ��������ℎ����.
Рисунок 3.2 – Залежність секретної швидкості генерації ключа ����sec(����) від довжини
оптоволоконної лінії ���� для різних значень середньої кількості фотонів ����;
заштрихована область відповідає практично корисним значенням швидкості;
Рисунок 3.3 – Узагальнена придатність квантового каналу: залежності квантової
бітової помилки ����(����) та секретної швидкості ����sec(����) від довжини лінії ���� з
виділенням області придатності для QKD;
Рисунок 3.4 – Залежність секретної швидкості генерації ключа ����������������
середньої кількості фотонів на імпульс ���� та визначення оптимального значення
����������������;
3.1.4 Інтерпретація результатів для мереж сектору безпеки й оборони України
Отримані в результаті моделювання залежності ����(����) та ����sec(����) дозволяють
зробити низку практичних висновків для побудови QKD-сегментів у мережах
спеціального призначення сектору безпеки й оборони України, а саме:
• Оцінити граничні відстані між вузлами, на яких квантовий канал забезпечує
прийнятні значення ���������������� та додатну секретну швидкість ����sec(����). Це дає змогу
визначити, між якими саме центрами управління та регіональними вузлами
доцільно розгортати прямі QKD-лінки, а де необхідні довірені повторювачі
[29, 32].
• Оцінити доступний ресурс квантових ключів для різних топологій мережі та
частоти оновлення симетричних ключів AES-256. Для заданої частоти
оновлення ключів та обсягу критичного трафіку можна визначити, яка
частина каналів може бути захищена квантово-згенерованими ключами, а де
слід застосовувати чисто постквантові або гібридні схеми.
• Порівняти різні конфігурації обладнання (рівні втрат, ефективність
детекторів, допустимий рівень помилок) і вибрати ті, що забезпечують
оптимальний баланс між дальністю, швидкістю генерації ключа та вартістю
впровадження [26].
Таким чином, математична модель квантового каналу та процесу генерації
секретного ключа є основою для подальшої оцінки ефективності гібридної системи
криптографічного захисту в мережах спеціального призначення (підрозділ 3.2) та
для обґрунтування параметрів дорожньої карти впровадження квантово-стійких
технологій у секторі безпеки й оборони України (підрозділ 3.4).
3.2 Оцінка ефективності гібридної системи криптографічного захисту в
мережах спеціального призначення
3.2.1 Мета та показники оцінювання
Метою цього підрозділу є кількісна та якісна оцінка ефективності
запропонованої гібридної системи криптографічного захисту (QKD + PQC + AES-
256) у телекомунікаційних мережах спеціального призначення сектору безпеки й
оборони України. Оцінювання ґрунтується на результатах моделювання
квантового каналу та процесу генерації секретного ключа (підрозділ 3.1, рис. 3.1–
3.4) та на архітектурі мережі, розробленій у розділі 2.
Як основні показники ефективності розглядаються:
����������������(����) – секретна швидкість генерації квантового ключа (біт/с) на відстані L
між вузлами (з підрозділу 3.1).
• ���������������������������� – необхідна швидкість споживання ключа для заданого набору служб.
• ����������������максимальна кількість логічних каналів, які можуть бути забезпечені
QKD-ключами на одному QKD-лінку.
• ���������������� – частка високопріоритетних каналів, повністю забезпечених QKD-
ключами (QKD-покриття критичних каналів).
• ������������������������ – додаткова затримка на етапі встановлення сеансу в гібридній схемі
порівняно з суто класичними рішеннями.
3.2.2 Потреба в секретному ключі для типових сегментів
Для оцінки того, чи достатньо пропускної здатності квантового каналу,
розглядається спрощена модель використання ключів у симетричному шифруванні
AES-256 у режимі AEAD (GCM) [30]:
• довжина одного сесійного ключа ���������������� = 256 біт;
• період ротації (оновлення) ключа для одного логічного каналу – ������������������������(с);
• кількість одночасних логічних каналів, які потребують незалежних ключів, –
������������.
Тоді сумарна потрібна швидкість генерації ключів ���������������������������� для цього набору
каналів визначається як добуток кількості каналів на швидкість оновлення одного
ключа і розраховується за формулою (3.11):
����
���� = � ������������
������������������������ � · ���� . (����.��������)
���� ��������
��������������������
де ���������������������������� – сумарна необхідна швидкість генерації секретних ключів (біт/с);
���������������� – довжина одного сесійного ключа (біт), що визначається стандартом
шифрування (наприклад, 256 біт для AES-256) [6]; ������������������������ – період оновлення
(ротації) ключа для одного логічного каналу (с); ������������ – кількість одночасних
логічних каналів у мережі, що потребують незалежних ключів.
Якщо, наприклад, ������������������������ = 60 с, ���������������� = 256 біт, то для одного каналу:
����������������������������(1 канал) = 256 / 60 ≈ 4,27 біт/с.
Для ������������ = 100 одночасних зашифрованих каналів керування/сервісів у межах
одного вузла:
����������������������������(100 каналів) ≈ 427 біт/с.
3.2.3 Можливості QKD-лінків та кількість підтримуваних каналів
За результатами моделювання в підрозділі 3.1 (рис. 3.2), для представницької
конфігурації (коефіцієнт загасання волокна α ≈ 0,2 дБ/км, середня кількість фотонів
на імпульс μ ≈ 0,3–0,5, частота імпульсів ������������������������ = 1 МГц) отримано оцінки порядку:
• ����������������( ���� = �������� км ) ~ 10⁴ біт/с;
• ����������������( ���� = �������� км ) ~ 10³ біт/с;
• ����������������( ���� = ������������ км ) ~ 10² біт/с.
Максимальна кількість логічних каналів, які можуть обслуговуватися одним
QKD-лінком з урахуванням заданого періоду ротації ключа, визначається за
формулою (3.12):
����
���������������� = ����������������(����) · �������������������� . (����.��������)
����
������������
де ���������������� – максимальна кількість підтримуваних логічних каналів; ����������������(����) –
доступна секретна швидкість генерації ключа на конкретній відстані ���� (біт/с);
������������������������ – встановлений період оновлення ключа (с) [7]; ���������������� – довжина одного
сесійного ключа (біт).
Для наведеного прикладу (������������������������ = 60 с, ���������������� = 256 біт):
• на відстані 50 км:
����������������(�������� км) ≈ (10⁴ · 60) / 256 ≈ 2,3 · 10³ каналів;
• на відстані 75 км:
����������������(�������� км) ≈ (10³ · 60) / 256 ≈ 2,3 · 10² каналів;
• на відстані 100 км:
����������������(������������ км) ≈ (10² · 60) / 256 ≈ 23 канали.
Розрахунки показують, що на магістральних напрямах «центр ↔ регіон» (L
до 80–100 км) один QKD-лінк здатний забезпечити квантовими ключами десятки–
сотні логічних каналів. На тактичному рівні (мобільні вузли, радіоканали)
застосування QKD наразі малопрактичне, тому основним залишається режим
«PQC-тільки» з періодичним завантаженням ключів зверху [29]. Схематичне
співвідношення доступної швидкості генерації квантових ключів і потреби в
ключах для різних рівнів мережі показано на рисунку 3.5.
Рисунок 3.5 – Оцінка ефективності гібридної системи QKD–PQC–AES-256 для
різних рівнів мережі спеціального призначення
3.2.4 Показник покриття критичних каналів
Нехай у мережі спеціального призначення виділено ��������������������
високопріоритетних каналів (канали управління військами, міжвідомчі канали,
доступ до критичних інформаційних ресурсів), для яких бажано забезпечити
гібридний режим QKD + PQC + AES-256.
Число каналів, які реально можуть отримувати ключі з квантового шару,
обмежене сумою можливостей усіх наявних QKD-лінків і розраховується за
формулою (3.13):
���������������� ( )
�������������������� = ���� ����������������, ����, ����.��������
де ������������������������������������ – загальна кількість логічних каналів у мережі, які можуть бути
забезпечені квантовими ключами одночасно; ����������������, ���� – максимальна кількість
каналів, яку підтримує $i$-й QKD-лінк (розрахована за формулою 3.12).
Тоді частка критичних каналів, які можуть бути повністю забезпечені
квантовими ключами (коефіцієнт покриття), визначається співвідношенням (3.14):
����
���� = ��������������������������������
������������ . (����.��������)
��������������������
де ���������������� – коефіцієнт покриття критичних каналів (якщо ���������������� ≥ 1, то система
повністю задовольняє потреби критичної інфраструктури); $N_{crit}$ – загальна
кількість високопріоритетних каналів (управління військами, критичні ресурси),
що потребують захисту.
Якщо, наприклад, у мережі є 3 магістральні QKD-лінки з ����������������200, 200 та 100
каналів відповідно (всього ������������������������������������ ≈ 500), а кількість критичних логічних каналів
�������������������� = 400, то:
���������������� ≈ 500 / 400 ≈ 1,25.
Це означає, що квантових ресурсів достатньо, щоб усі критично важливі
канали працювали в повністю гібридному режимі (QKD + PQC), а частину
квантових ключів можна резервувати або використовувати для посиленого захисту
окремих підсистем (наприклад, каналів доступу до національних центрів обробки
даних).
Якщо ж ���������������� < ����, частина каналів працюватиме в режимі «PQC-тільки», що
враховується при аналізі ризиків у розділі 3.4.
3.2.5 Порівняння з суто постквантовим варіантом
Для порівняння розглядаються два сценарії:
1. Сценарій A – суто постквантовий захист (PQC + AES-256). Ключі
узгоджуються за допомогою ML-KEM, автентифікація – ML-DSA/SLH-DSA,
усі канали захищені лише обчислювально стійкими алгоритмами [9, 23].
2. Сценарій B – гібридний захист (QKD + PQC + AES-256). Для критичних
напрямків використовуються ключі, сформовані шляхом комбінування
квантового секрету ���������������� і постквантового секрету ���������������� за схемою �������������������� =
������������� ���������������� ∥ ���������������� ∥ ���������������������������� �, тоді як для некритичних каналів – режим
«PQC-тільки» [12].
Основні висновки з моделювання:
• З точки зору пропускної здатності:
для типових магістральних QKD-лінків (до 100 км) секретна швидкість
����������������(����), отримана в підрозділі 3.1, значно перевищує потреби в ключах для
каналів управління й службового трафіку ������������������������������, тобто квантовий шар не
є «вузьким місцем» при адекватному виборі ������������������������.
• З точки зору стійкості до HNDL-загроз:
у сценарії A противник у принципі може накопичувати перехоплений
зашифрований трафік і намагатися дешифрувати його в майбутньому за
допомогою більш потужних квантових або комбінованих атак на PQC (у
випадку появи нових вразливостей).
У сценарії B критичні канали додатково захищені інформаційно-теоретично
стійкою QKD-компонентною, що суттєво знижує ризик ретроспективного
розкриття [2, 19].
• З точки зору затримок:
додатковий час, необхідний для виконання QKD-сесії та постквантового
KEM, компенсується тим, що ці операції виконуються відносно рідко (при
встановленні/оновленні сесій), а самі канали після отримання ��������������������
працюють у режимі високошвидкісного симетричного шифрування AES-256
без помітного впливу на пропускну здатність [6].
3.2.6 Узагальнення результатів підрозділу
Проведена оцінка показує, що за реалістичних параметрів квантового каналу,
отриманих у підрозділі 3.1, гібридна система QKD + PQC + AES-256 є практично
придатною для захисту магістральних і міжрегіональних сегментів мереж
спеціального призначення. Секретна швидкість генерації квантових ключів
забезпечує ключовий матеріал для десятків–сотень логічних каналів, а поєднання з
постквантовими механізмами дозволяє гнучко розподіляти ресурси між
критичними й некритичними службами.
Отримані в цьому підрозділі співвідношення між ����������������(����), ���������������������������� , ���������������� ����������������
будуть використані в подальшому для формування дорожньої карти впровадження
квантово-стійких технологій (підрозділ 3.4) та для аргументації доцільних
параметрів QKD-інфраструктури в секторі безпеки й оборони України.
3.3 Аналіз нормативно-правового забезпечення впровадження квантових
технологій в Україні
3.3.1 Міжнародні стандарти та рекомендації
На міжнародному рівні нормативна база щодо квантових комунікацій зараз
формується переважно в межах ITU-T, ETSI та NIST.
• Рекомендації серії ITU-T Y.3800 описують загальні принципи побудови
мереж квантового розподілу ключів (QKDN), їхню архітектуру, інтерфейси з
класичними мережами та вимоги до управління ключами [18, 32].
• ETSI у групі GS QKD визначає профілі застосування QKD, моделі управління
ключами та інтерфейси між QKD-модулями, KMS і прикладними
криптографічними системами, зокрема у специфікації GS QKD 004 щодо
інтерфейсу QKD-KMS [17, 31].
• NIST (США) у 2024 р. затвердив перші FIPS-стандарти постквантової
криптографії (ML-KEM, ML-DSA, SLH-DSA), які фактично стають
глобальним орієнтиром для міграції до PQC-рішень [9, 10].
Для України ці документи є базою для гармонізації майбутніх національних
стандартів: вони задають термінологію, моделі загроз, вимоги до сумісності й
безпеки, на які можна спиратися при розробленні власних профілів застосування
QKD/PQC у спеціальних мережах.
3.3.2. Національна нормативно-правова база України
В Україні питання захисту інформації та кібербезпеки регулюються низкою
базових законів і стратегічних документів:
• Закон України «Про захист інформації в інформаційно-телекомунікаційних
системах» визначає поняття технічного та криптографічного захисту
інформації, загальні вимоги до засобів захисту та порядку їх сертифікації
[15].
• Закон «Про основні засади забезпечення кібербезпеки України» (№ 2163-
VIII) встановлює суб’єктів національної системи кібербезпеки, принципи
захисту критичної інфраструктури та повноваження Держспецзв’язку, СБУ,
Міноборони тощо [4].
• Закон «Про електронні комунікації» регламентує діяльність операторів і
провайдерів електронних комунікаційних мереж, зокрема їх обов’язок
забезпечувати цілісність і безпеку мереж та послуг [16].
• Стратегія кібербезпеки України, затверджена Указом Президента №
447/2021, відносить квантові технології та постквантову криптографію до
перспективних напрямів посилення стійкості державних інформаційних
ресурсів і критичної інфраструктури [3].
Окремий масив становлять відомчі нормативні документи Держспецзв’язку
щодо створення комплексних систем захисту інформації (КСЗІ), сертифікації
засобів криптографічного захисту та організації спеціального зв’язку. У них поки
що відсутнє пряме згадування QKD чи PQC, проте саме ці документи
визначатимуть порядок допуску квантових рішень до експлуатації в секторі
безпеки й оборони.
3.3.3. Поточні прогалини та виклики
Проведений аналіз дає змогу зробити кілька висновків:
• Чинне законодавство України створює загальну рамку для захисту
інформації та кібербезпеки, але не містить спеціальних норм щодо квантової
криптографії, квантових каналів чи постквантових алгоритмів. Регуляція
відноситься до них як до «засобів криптографічного (технічного) захисту
інформації» без уточнення специфіки [15].
• Відсутні національні стандарти й профілі застосування, які б базувалися на
ITU-T Y.3800, ETSI GS QKD та FIPS/NIST PQC і визначали: вимоги до QKD-
обладнання, інтерфейси QKD–KMS–шифратори, правила комбінування
QKD та PQC, процедури сертифікації й оцінювання відповідності.
• Не врегульовані питання віднесення QKD-компонент до засобів
криптографічного захисту інформації, їхнього випробування та допуску в
системах з грифом обмеженого доступу; відсутні чіткі вимоги до захисту
квантових каналів як елементів критичної інформаційної інфраструктури
[21].
3.3.4. Напрями подальшого розвитку нормативної бази
Для практичного впровадження гібридної системи QKD–PQC–AES-256 у
секторі безпеки й оборони доцільно передбачити такі кроки:
• розроблення національних стандартів і методичних документів щодо
побудови QKD-мереж і застосування постквантових алгоритмів на основі
рекомендацій ITU-T, ETSI та стандартів NIST;
• уточнення відомчих вимог Держспецзв’язку до засобів криптографічного
захисту інформації з урахуванням квантових рішень (порядок сертифікації,
вимоги до КСЗІ, критерії безпеки) [15];
• включення проєктів QKD/PQC до планів реалізації Стратегії кібербезпеки та
документів з розвитку спеціального зв’язку й захисту критичної
інформаційної інфраструктури [3];
• створення міжвідомчої робочої групи (МОУ, СБУ, Держспецзв’язку, НАН
України, профільні університети) для підготовки дорожньої карти
нормативної та технічної імплементації квантових технологій.
Таким чином, нормативно-правова база України вже забезпечує загальні
вимоги до захисту інформації, але потребує цільової адаптації під квантові й
постквантові технології. У розділі 3.4 ці напрями будуть деталізовані у вигляді
дорожньої карти впровадження квантово-стійких рішень у критичну інформаційну
інфраструктуру сектору безпеки й оборони.
3.4 Дорожня карта впровадження квантово-стійких технологій у критичній
інформаційній інфраструктурі сектору безпеки й оборони України та практичні
рекомендації
Перехід до квантово-стійких технологій у секторі безпеки й оборони має
здійснюватися поетапно, спираючись на результати математичного моделювання
(розділ 3) та міжнародні стандарти (NIST, ITU-T, ETSI). Запропонована дорожня
карта (рис. 3.6) орієнтована на захист критичної інфраструктури та передбачає
послідовний розвиток від пілотних проєктів до масштабного впровадження
гібридних рішень.
Рисунок 3.6 – Етапи дорожньої карти впровадження квантово-стійких технологій
у секторі безпеки й оборони України
3.4.1 Короткостроковий етап (1–3 роки): підготовка та пілотні впровадження
На першому етапі основний акцент робиться на інвентаризації, нормативно-
методичній підготовці та запуску пілотних проєктів.
Основні кроки:
• Провести детальну інвентаризацію:
o криптографічних засобів і протоколів, що використовуються в мережах
спеціального призначення;
o критичних каналів зв’язку та служб (управління військами, урядовий
зв’язок, міжвідомчі шлюзи, дата-центри).
• Сегментувати мережу за рівнями критичності (центральний, регіональний,
тактичний) та визначити перелік каналів, критичних з точки зору HNDL-
загроз [2].
• Розробити та затвердити:
o міжвідомчі методичні рекомендації щодо переходу до постквантової
криптографії;
o вимоги до криптографічних модулів, що підтримують алгоритми ML-
KEM, ML-DSA, SLH-DSA та інтеграцію з QKD.
• Запустити пілотні QKD-проєкти між 2–3 найбільш критичними вузлами
(наприклад, центральні органи управління – національні дата-центри),
відпрацювати:
• інтеграцію QKD з KMS (Key Management System);
• гібридне формування ключів �������������������� = ����������������������������� ∥ ���������������� ∥ �����������������������������;
• експлуатаційні процедури та моніторинг безпеки.
• Розпочати поетапну міграцію критичних протоколів (TLS, IPSec, SSH, VPN-
шлюзи) до гібридних схем з підтримкою NIST PQC (ML-KEM + класичні
алгоритми, з подальшим переходом до повністю постквантових профілів)
[12].
3.4.2 Середньостроковий етап (3–7 років): розгортання гібридної
інфраструктури
На середньостроковому етапі відбувається масштабування гібридних рішень
та інтеграція їх у більші сегменти мережі.
Основні кроки:
• Розширити пілотний QKD-сегмент до магістральної QKD-мережі між
центральними та регіональними вузлами сектору безпеки й оборони (з
використанням довірених вузлів там, де це необхідно) [32].
• За результатами моделювання �����sec(����),����������������, �����������������визначити:
o які магістральні канали доцільно забезпечувати QKD-ключами;
o які канали залишаються в режимі «PQC-тільки» з підвищеною
частотою ротації ключів.
• Масово впровадити криптомодулі з підтримкою NIST PQC у:
o відомчих VPN-шлюзах;
o міжвідомчих шлюзах безпеки;
o системах захищеного документообігу та реєстрах.
• Створити централізовану/ієрархічну інфраструктуру управління ключами
(KMS), інтегровану з QKD-мережею та постквантовими KEM/підписами.
• Актуалізувати національні нормативно-правові акти:
o ввести вимоги щодо підтримки постквантових алгоритмів у засобах
криптографічного захисту, що допускаються до використання в секторі
безпеки й оборони;
o визначити вимоги до QKD-систем як до засобів технічного захисту
інформації [15].
3.4.3 Довгостроковий етап (7+ років): повномасштабний квантово-стійкий
ландшафт
У довгостроковій перспективі метою є повноцінне формування квантово-
стійкої екосистеми для критичної інформаційної інфраструктури.
Основні кроки:
• Завершити перехід ключових урядових і військових систем на постквантові
та гібридні криптографічні протоколи, поступово відмовляючись від
уразливих класичних схем (RSA, ECC).
• Розширити QKD-мережу:
o на додаткові магістральні напрями;
o при наявності технічної можливості – інтегрувати супутникові QKD-
рішення для віддалених/важкодоступних регіонів [13].
• Впровадити стандартизовані профілі застосування (на основі NIST PQC, ITU-
T, ETSI) для:
o урядового зв’язку;
o військових мереж спеціального призначення;
o критичних інформаційних ресурсів (реєстри, ситуаційні центри,
системи управління).
• Розвивати національний центр компетенцій з квантової криптографії та
постквантової безпеки, відповідальний за:
o криптоаналіз і тестування нових алгоритмів;
o оцінку відповідності обладнання;
o підготовку кадрів.
• Постійно оновлювати дорожню карту впровадження на основі:
o міжнародного досвіду ЄС і НАТО [14];
o нових версій стандартів NIST, ITU-T, ETSI;
o результатів експлуатації та аудиту впроваджених рішень.
3.4.4 Таблиця етапів та відповідальних заходів
Для систематизації заходів дорожньої карти доцільно подати таблицю 3.2, в
якій для кожного етапу визначено основні напрямки робіт.
Таблиця 3.2 – Основні етапи впровадження квантово-стійких технологій у секторі
безпеки й оборони України
Етап (горизонт) Основні технічні заходи Нормативно-організаційні Очікуваний
заходи результат
Короткостроко Пілотні QKD-лінки між Інвентаризація Перевірені пілотні
вий (1–3 роки) найбільш критичними криптографічних засобів і рішення,
вузлами; початок міграції критичних каналів; апробована
протоколів до алгоритмів розроблення методичних інтеграція QKD–
NIST PQC; інтеграція QKD з рекомендацій щодо PQC–AES-256,
системами управління переходу до PQC; старт створена база для
ключами (KMS). оновлення нормативно- масштабування
правової бази. гібридного
захисту.
Середньострок Розгортання магістральної Оновлення державних Гібридний захист
овий (3–7 QKD-мережі між стандартів ключових
років) центральними та криптографічного захисту магістральних і
регіональними вузлами; з урахуванням PQC та міжрегіональних
масове впровадження QKD; формування каналів;
криптомодулів із міжвідомчих профілів підвищення
підтримкою NIST PQC у застосування; стійкості до HNDL-
відомчих і міжвідомчих інституціоналізація атаки та
шлюзах; створення міжвідомчої координації квантових загроз.
централізованої/ієрархічн впровадження.
ої KMS.
Довгострокови Подальше розширення Створення та розвиток Сформований
й (7+ років) QKD-мережі (за наявності національного центру квантово-стійкий
– у т.ч. супутникові компетенцій з квантової ландшафт
напрямки); повна відмова криптографії та PQC; критичної
від уразливих класичних регулярний аудит і інформаційної
схем (RSA, ECC) у оновлення дорожньої інфраструктури;
критичних системах; карти; адаптація узгоджені з
підтримка нових поколінь нормативної бази до партнерами з ЄС
PQC-алгоритмів. міжнародних стандартів та НАТО підходи
NIST, ITU-T, ETSI. до захисту зв’язку.
3.4.5 Практичні рекомендації для сектору безпеки й оборони України
На основі проведеного аналізу та моделювання можна сформулювати такі
практичні рекомендації:
• Пріоритезувати критичні канали. Зосередити ресурси QKD та гібридних схем
насамперед на каналах управління військами, міжвідомчих каналах, доступі
до національних центрів обробки даних [21].
• Впроваджувати гібридні схеми поетапно. На першому етапі – PQC + класичні
алгоритми; для найбільш критичних каналів – QKD + PQC + AES-256 згідно
з моделлю, розробленою в розділі 2.
• Гармонізувати стандарти з міжнародними. Розробляти національні вимоги на
базі стандартів NIST, ITU-T та ETSI для забезпечення сумісності з системами
ЄС і НАТО [14], [18], [23].
• Забезпечити підготовку персоналу. Організувати навчальні програми з
квантової криптографії, постквантових алгоритмів та експлуатації гібридних
систем для фахівців ДССЗЗІ, МОУ, СБУ та інших структур.
• Передбачити аудит і тестування. Для всіх нових криптографічних засобів
обов’язково проводити незалежні випробування, моделювання атак та
пілотну експлуатацію до їх масштабного впровадження.
• Регулярно оновлювати дорожню карту. Враховувати нові результати
досліджень, міжнародний досвід та практичні уроки, отримані в ході
пілотних і промислових впроваджень.
Висновки до розділу 3
У розділі 3 здійснено математичне моделювання квантового каналу та
процесу генерації секретного ключа в системах квантового розподілу ключів типу
BB84/decoy-state, а також виконано оцінку ефективності запропонованої гібридної
системи криптографічного захисту (QKD + PQC + AES-256) у мережах
спеціального призначення сектору безпеки й оборони України. На основі моделі з
урахуванням загасання оптичного волокна, темнових рахунків детекторів та
оптичних помилок отримано залежності квантової бітової помилки й секретної
швидкості генерації ключа від довжини лінії зв’язку та визначено діапазон
відстаней, у межах яких використання QKD є доцільним для магістральних
урядових і відомчих каналів [19, 25].
Проведено кількісну оцінку потреби в ключовому матеріалі для типових
сегментів мережі спеціального призначення з урахуванням довжини сесійного
ключа, періоду його ротації та кількості одночасних логічних каналів. Показано,
що за реалістичних параметрів квантового каналу секретна швидкість генерації
ключів на магістральних напрямках (до 80–100 км) є достатньою для забезпечення
десятків–сотень високопріоритетних каналів управління й службового трафіку.
Запропоновано показники ���������������� ����������������, які дозволяють оцінити, скільки критично
важливих каналів може бути повністю переведено в гібридний режим QKD + PQC,
та виявити сегменти, де доцільно застосовувати режим «PQC-тільки».
Порівняння суто постквантового підходу (PQC + AES-256) з гібридною
схемою (QKD + PQC + AES-256) показало, що остання забезпечує вищий рівень
стійкості до довгострокових загроз типу «Harvest Now, Decrypt Later», оскільки
комбінує обчислювально стійкі механізми з інформаційно-теоретично стійким
розподілом ключів. При цьому додаткові витрати часу на виконання QKD-сеансів
та постквантового KEM є прийнятними, оскільки припадають на етап встановлення
або оновлення сесій, тоді як основний трафік передається із використанням
високопродуктивного симетричного шифрування AES-256 [6, 12].
У підрозділі 3.3 проаналізовано чинне нормативно-правове забезпечення у
сфері кібербезпеки та криптографічного захисту інформації в Україні в контексті
впровадження квантових та постквантових рішень. Встановлено, що, попри
наявність базових законів і підзаконних актів щодо захисту інформації та
функціонування критичної інфраструктури, питання квантової криптографії та
постквантової криптографії поки що не мають детальної регламентації.
Обґрунтовано необхідність адаптації міжнародних стандартів NIST PQC, ITU-T і
ETSI GS QKD до національної нормативної бази та розроблення профілів
застосування для урядового і спеціального зв’язку [15, 31].
У підрозділі 3.4 сформовано поетапну дорожню карту впровадження
квантово-стійких технологій у критичній інформаційній інфраструктурі сектору
безпеки й оборони України. Виокремлено короткостроковий етап (пілотні QKD-
сегменти й запровадження PQC у пріоритетних сервісах), середньостроковий етап
(масштабування QKD-мережі, розширення гібридних рішень, створення центрів
компетенцій) та довгостроковий етап (повноцінна інтеграція квантового шару,
адаптація національних стандартів і процедур сертифікації). Сформульовано
практичні рекомендації щодо вибору пріоритетних напрямків модернізації,
організації управління ключами, нормативної гармонізації та підготовки
персоналу.
Узагальнюючи результати розділу 3, можна зробити висновок, що
запропонована гібридна система QKD + PQC + AES-256 є не лише теоретично
обґрунтованою, а й практично реалізованою з погляду параметрів каналу, потреб у
ключах та організаційно-нормативних умов. Результати математичного
моделювання, оцінки ефективності та розроблена дорожня карта створюють
цілісну основу для поетапного переходу до квантово-стійкого криптографічного
захисту телекомунікаційних мереж сектору безпеки й оборони України.
ВИСНОВКИ
У магістерській роботі виконано комплексне дослідження проблеми
забезпечення довгострокової стійкості криптографічного захисту інформаційно-
комунікаційних систем сектору безпеки й оборони України в умовах розвитку
квантових технологій. На основі теоретичного аналізу, моделювання та
розроблення інженерних рішень досягнуто поставленої мети – обґрунтовано та
розроблено гібридну архітектуру квантово-стійкого криптографічного захисту, що
поєднує технології квантового розподілу ключів, постквантової криптографії та
симетричного шифрування.
У першому розділі проаналізовано сучасний стан телекомунікаційних та
інформаційно-комунікаційних систем сектору безпеки й оборони України, їх
структуру та ключові вразливості в умовах гібридної війни. Показано, що наявні
мережі мають багаторівневу, технологічно неоднорідну структуру, включають
магістральні, регіональні, тактичні та мобільні сегменти, функціонують як елемент
критичної інформаційної інфраструктури та постійно перебувають під впливом
кібернетичних і радіоелектронних загроз. Встановлено, що переважна більшість
засобів захисту базується на класичних криптографічних алгоритмах (RSA,
алгоритми на еліптичних кривих тощо), які є вразливими до квантових
обчислювальних атак типу Shor, що формує довгостроковий ризик
ретроспективного розкриття перехопленої інформації.
На основі аналізу концепції «Harvest Now, Decrypt Later» обґрунтовано, що
для сектору безпеки й оборони України особливо небезпечним є сценарій масового
перехоплення зашифрованого трафіку з прицілом на його дешифрування у
майбутньому за допомогою квантових обчислювальних засобів. Такий підхід
здатний призвести до розкриття історичних комунікацій стратегічного,
оперативного та розвідувального характеру, реконструкції профілів ключових осіб,
структури управління військами й логістики. Показано, що класичні
криптографічні засоби, навіть за формально коректної реалізації, не гарантують
достатнього рівня довгострокової конфіденційності службової інформації.
У роботі проведено огляд та узагальнення результатів стандартизації
постквантової криптографії, зокрема алгоритмів, фіналізованих NIST у 2024 році
(ML-KEM як узгодження ключів, ML-DSA та SLH-DSA як алгоритми цифрового
підпису). Показано, що ці алгоритми забезпечують квантово-стійкий захист на
програмному рівні та можуть бути інтегровані у протоколи TLS/IPSec, системи
захищеного документообігу й оновлення програмного забезпечення без
радикальної зміни існуючої інфраструктури. Паралельно проаналізовано принципи
роботи та протоколи квантового розподілу ключів (BB84, E91, decoy-state),
наведено їх фізичні основи та обмеження, що дозволило обґрунтувати можливості
та межі використання QKD у мережах спеціального призначення.
У другому розділі запропоновано концепцію гібридної квантово-стійкої
системи криптографічного захисту, в якій функціональні ролі розподілено між
трьома компонентами: квантовою підсистемою (QKD), постквантовою
криптографією (PQC) та симетричним шифруванням (AES-256). Розроблено
логічну схему комбінування ключів, у якій секретний ключ, отриманий за
допомогою QKD, та спільний секрет постквантового KEM об’єднуються за
допомогою криптографічної функції витягування й розширення ключа (KDF).
Показано, що така гібридна схема забезпечує підвищену стійкість: для успішної
атаки противнику необхідно одночасно скомпрометувати і квантову, і
постквантову компоненти, що є практично нереалістичним.
На основі міжнародних рекомендацій ITU-T Y.3800-серії та специфікацій
ETSI GS QKD розроблено архітектуру мережі спеціального призначення з
інтегрованим квантовим шаром. Виділено фізичний, транспортний, квантовий, шар
управління ключами (KMS) та прикладний шар. Запропоновано структуру мережі
з центральними, регіональними й тактичними вузлами, в якій QKD-лінки доцільно
розміщувати між стратегічно важливими центрами (центри управління, вузли
Держспецзв’язку), тоді як на тактичному рівні основний акцент робиться на
постквантових алгоритмах і завантаженні ключів з вищих рівнів. Побудовано
протокол узгодження ключів і виявлення прослуховування, що поєднує квантовий
етап (BB84/decoy-state), постквантовий KEM та цифрові підписи, а також
механізми контролю квантової бітової помилки та автентичності ключів.
Окрему увагу приділено проблематиці інтеграції квантових рішень із
наявними (legacy) засобами зв’язку сектору безпеки й оборони. Виявлено основні
бар’єри: технологічна неоднорідність обладнання, обмежена придатність частини
оптоволоконної інфраструктури до встановлення QKD, брак уніфікованих
криптоінтерфейсів у відомчих засобах захисту інформації, обмежені ресурси QKD-
ключів, значні капітальні витрати та відсутність національних стандартів для
квантових систем. Запропоновано підходи до їх подолання: поетапне розгортання
(пілотні проєкти → магістральний квантовий шар → розширення), централізоване
управління ключами, диференційовані політики розподілу квантових та
постквантових ключів за критичністю каналів, а також розробка нормативно-
правової бази на основі міжнародних стандартів.
У третьому розділі розроблено математичну модель квантового каналу QKD,
яка враховує загасання оптоволоконної лінії, ефективність детекторів, темнові
рахунки та оптичні помилки. На основі цієї моделі отримано залежності квантової
бітової помилки та секретної швидкості генерації ключа від довжини лінії.
Результати моделювання показали, що при реалістичних значеннях параметрів
можливе досягнення прийнятних значень ���������������� та секретної швидкості на
відстанях, характерних для магістральних і регіональних каналів спеціального
призначення. Це підтверджує технічну доцільність використання QKD між
окремими стратегічними вузлами сектору безпеки й оборони України.
На базі отриманих математичних оцінок та розробленої архітектури
проведено оцінку ефективності гібридної системи криптографічного захисту в
порівнянні з класичною схемою на основі ECDH/ECDSA + AES-256. Показано, що
гібридний підхід забезпечує вищий рівень захисту від квантових атак і стратегії
«Harvest Now, Decrypt Later» при прийнятних накладних витратах на обчислення й
оновлення ключів, особливо у висококритичних сегментах мережі. Для кожного
рівня мережі (магистральний, регіональний, тактичний) сформульовано
рекомендації щодо оптимального співвідношення QKD-, PQC- та класичних
компонент.
Важливим результатом роботи є розроблення дорожньої карти впровадження
квантово-стійких технологій у критичній інформаційній інфраструктурі сектору
безпеки й оборони України. Запропоновано поетапний план, що включає:
підготовчо-аналітичний етап (аудит існуючих криптографічних засобів,
класифікація каналів за критичністю, розроблення нормативно-правових
документів), етап пілотних впроваджень QKD та PQC на обмеженій кількості
вузлів, а також етап масштабування й інтеграції, пов’язаний із розширенням
квантового шару до магістрального рівня та переходом постквантових алгоритмів
у статус базових для більшості службових систем. Така дорожня карта забезпечує
керований, послідовний та економічно обґрунтований перехід до квантово-стійких
рішень без порушення безперервності функціонування існуючих сервісів.
Узагальнюючи результати, можна зробити такі основні висновки:
1. Сучасний стан інформаційно-комунікаційних систем сектору безпеки й
оборони України в умовах розвитку квантових технологій вимагає переходу
від суто класичних криптографічних засобів до квантово-стійких рішень з
урахуванням загроз типу «Harvest Now, Decrypt Later».
2. Постквантові криптографічні алгоритми та технології квантового розподілу
ключів є взаємодоповнюваними: перші забезпечують масштабований
програмний захист, другі – інформаційно-теоретично стійкий розподіл
ключів. Їх поєднання в єдиній гібридній архітектурі дозволяє істотно
підвищити довгострокову стійкість захисту службової інформації.
3. Розроблена в роботі гібридна система криптографічного захисту на основі
інтеграції QKD, PQC та AES-256, а також відповідний протокол узгодження
ключів і виявлення прослуховування, можуть бути покладені в основу
практичних рішень для захищених каналів спеціального зв’язку сектору
безпеки й оборони України.
4. Математичні моделі квантового каналу й процесу генерації секретного ключа
дозволяють оцінити технічну доцільність розгортання QKD між
конкретними вузлами мережі, визначити граничні відстані та обсяги трафіку,
які можуть бути захищені квантовими ключами.
5. Запропонована дорожня карта впровадження квантово-стійких технологій
формує практичну основу для планування, координації та поетапної
реалізації заходів щодо модернізації криптографічної інфраструктури
сектору безпеки й оборони України.
Отримані в роботі результати мають теоретичне значення для розвитку
підходів до побудови гібридних систем квантово-стійкого криптографічного
захисту та практичне значення для органів управління й підрозділів сектору
безпеки й оборони України, відповідальних за захист інформації, а також можуть
бути використані при розробленні національних нормативних документів і
технічних вимог до перспективних засобів криптографічного захисту.
Перспективними напрямами подальших досліджень є удосконалення моделей
QKD-мереж із врахуванням багатаканальних конфігурацій, аналіз стійкості до
реалістичних побічних каналів атак, а також практична реалізація та тестування
прототипів гібридних систем у реальних мережах спеціального призначення.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Shor P. W. Algorithms for quantum computation: discrete logarithms and factoring.
Proceedings 35th Annual Symposium on Foundations of Computer Science. Santa
Fe, NM, USA, 1994. С. 124–134.
2. Mosca M. Cybersecurity in an Era with Quantum Computers: Will We Be Ready?
IEEE Security & Privacy. 2018. Т. 16, No. 5. С. 38–41.
3. Про Стратегію кібербезпеки України : Рішення Ради національної безпеки і
оборони України від 14 травня 2021 року, введене в дію Указом Президента
України від 26.08.2021 № 447/2021. Офіційний вісник України. 2021. № 69. Ст.
4328.
4. Про основні засади забезпечення кібербезпеки України : Закон України від
05.10.2017 № 2163-VIII. Відомості Верховної Ради України. 2017. № 45. Ст.
403.
5. Звіт про роботу урядової команди реагування на комп’ютерні надзвичайні події
України CERT-UA у 2023 році [Електронний ресурс] / Державна служба
спеціального зв’язку та захисту інформації України. – Режим доступу:
https://cip.gov.ua/ua/news/2023-roku-kilkist-zareyestrovanikh-kiberincidentiv-
zrosla-na-62-5-zvit-operativnogo-centru-reaguvannya-na-kiberincidenti-dckz (дата
звернення: 30.11.2025).
6. NIST FIPS 197. Advanced Encryption Standard (AES). National Institute of
Standards and Technology. Gaithersburg, MD, 2001. 51 с.
7. Barker E. Recommendation for Key Management: Part 1 – General. NIST Special
Publication 800-57 Part 1 Rev. 5. 2020. 142 с.
8. Grover L. K. A fast quantum mechanical algorithm for database search. Proceedings
of the 28th Annual ACM Symposium on Theory of Computing. Philadelphia, PA,
USA, 1996. С. 212–219.
9. NIST FIPS 203. Module-Lattice-Based Key-Encapsulation Mechanism Standard
(ML-KEM). National Institute of Standards and Technology. Gaithersburg, MD,
August 2024. URL: https://csrc.nist.gov/pubs/fips/203/final (дата звернення:
30.11.2025).
10. Alagic G. et al. Status Report on the Third Round of the NIST Post-Quantum
Cryptography Standardization Process. NIST Interagency Report 8413. 2022. 27 с.
11. Bennett C. H., Brassard G. Quantum cryptography: Public key distribution and coin
tossing. Proceedings of IEEE International Conference on Computers, Systems and
Signal Processing. Bangalore, India, 1984. С. 175–179.
12. Stebila D., Mosca M. Post-Quantum Key Exchange for the Internet and the Open
Quantum Safe Project. Selected Areas in Cryptography – SAC 2016. Lecture Notes
in Computer Science. Vol. 10532. С. 1–24.
13. EuroQCI: The European Quantum Communication Infrastructure [Електронний
ресурс] / European Commission. – Режим доступу: https://digital-
strategy.ec.europa.eu/en/policies/european-quantum-communication-infrastructure-
euroqci (дата звернення: 30.11.2025).
14. NATO’s Quantum Technologies Strategy [Електронний ресурс] / North Atlantic
Treaty Organization. – Режим доступу: https://www.nato.int/en/about-us/official-
texts-and-resources/official-texts/2024/01/16/summary-of-natos-quantum-
technologies-strategy (дата звернення: 30.11.2025).
15. Про захист інформації в інформаційно-комунікаційних системах : Закон
України від 05.07.1994 № 80/94-ВР. Відомості Верховної Ради України. 1994.
№ 31. Ст. 286.
16. Про електронні комунікації : Закон України від 16.12.2020 № 1089-IX. Голос
України. 2021. № 4 (13.01.2021).
17. ETSI GS QKD 004 V2.1.1. Quantum Key Distribution (QKD); Application
Interface. European Telecommunications Standards Institute. Sophia Antipolis,
France, 2020. 22 с.
18. Recommendation ITU-T Y.3800. Overview on networks supporting quantum key
distribution. International Telecommunication Union. Geneva, 2019. 26 с.
19. Scarani V., Bechmann-Pasquinucci H., Cerf N. J. et al. The security of practical
quantum key distribution. Reviews of Modern Physics. 2009. Т. 81, № 3. С. 1301–
1350.
20. Gisin N., Ribordy G., Tittel W., Zbinden H. Quantum cryptography. Reviews of
Modern Physics. 2002. Т. 74, № 1. С. 145–195.
21. Про критичну інфраструктуру : Закон України від 16.11.2021 № 1882-IX.
Відомості Верховної Ради України. 2022. № 10. Ст. 52.
22. Gerhardt I., Liu Q., Lamas-Linares A. et al. Full-field implementation of a perfect
eavesdropper on a quantum cryptography system. Nature Communications. 2011. Т.
2. Art. no. 349.
23. NIST FIPS 204. Module-Lattice-Based Digital Signature Standard (ML-DSA).
National Institute of Standards and Technology. Gaithersburg, MD, August 2024.
URL: https://csrc.nist.gov/pubs/fips/204/final (дата звернення: 30.11.2025).
24. NIST FIPS 205. Stateless Hash-Based Digital Signature Standard (SLH-DSA).
National Institute of Standards and Technology. Gaithersburg, MD, August 2024.
URL: https://csrc.nist.gov/pubs/fips/205/final (дата звернення: 30.11.2025).
25. Eraerds P., Walenta N., Legre M. et al. Quantum key distribution and 1 Gbps data
encryption over a single fibre. New Journal of Physics. 2010. Т. 12. Art. no. 063027.
26. Ma X., Qi B., Zhao Y., Lo H.-K. Practical decoy state quantum key distribution.
Physical Review A. 2005. Т. 72. Art. no. 012326.
27. Lo H.-K., Ma X., Chen K. Decoy State Quantum Key Distribution. Physical Review
Letters. 2005. Т. 94. Art. no. 230504.
28. Аналітичні матеріали та звіти про стан кіберзахисту [Електронний ресурс] /
Державний центр кіберзахисту Держспецзв’язку. – Режим доступу:
https://scpc.gov.ua/uk/articles/334 (дата звернення: 30.11.2025).
29. Post-Quantum Cryptography: Current state and quantum mitigation. European Union
Agency for Cybersecurity (ENISA). Athens, 2021. 68 с.
30. NIST SP 800-38D. Recommendation for Block Cipher Modes of Operation:
Galois/Counter Mode (GCM) and GMAC. National Institute of Standards and
Technology. Gaithersburg, MD, 2007. 39 с..
31. ETSI GS QKD 004 V2.1.1 (2020-08). Quantum Key Distribution (QKD);
Application Interface [Електронний ресурс] / European Telecommunications
Standards Institute. – Режим доступу:
https://www.etsi.org/deliver/etsi_gs/QKD/001_099/004/02.01.01_60/gs_qkd004v0
20101p.pdf (дата звернення: 30.11.2025).
32. Recommendation ITU-T Y.3802 (12/2020). Quantum key distribution networks –
Functional architecture [Електронний ресурс] / International Telecommunication
Union. – Режим доступу: https://www.itu.int/rec/T-REC-Y.3802 (дата звернення:
30.11.2025).
ДОДАТОК А
Лістинг програми моделювання квантового каналу та розрахунку швидкості генерації ключа
import numpy as np
import matplotlib.pyplot as plt
# =========================
# 1) ПАРАМЕТРИ МОДЕЛІ
# =========================
# Фізичні параметри оптоволоконного каналу
ALPHA_DB_PER_KM = 0.2 # загасання, дБ/км (1550 нм)
ETA_C = 0.5 # втрати/ефективність оптичних компонентів приймача
# Параметри детекторів
ETA_D = 0.15 # квантова ефективність детекторів
P_DARK = 1.0e-6 # ймовірність темнового спрацювання на імпульс (тайм-бін)
R_PULSE = 1.0e6 # частота повторення імпульсів, Гц
# Параметри протоколу (спрощена BB84-оцінка; без повної decoy-state оцінки)
MU_VALUES = [0.1, 0.3, 0.5, 0.7] # середня кількість фотонів на імпульс
Q_OPT = 0.03 # базова оптична помилка (3%)
SIFT_Q = 0.5 # sifting factor для BB84
F_EC = 1.15 # ефективність корекції помилок
Q_THR = 0.11 # поріг QBER (умовний)
# Діапазон відстаней (км)
L_KM = np.linspace(0, 150, 300)
# =========================
# 2) МАТЕМАТИЧНА МОДЕЛЬ
# =========================
def binary_entropy(x: np.ndarray) -> np.ndarray:
"""
Бінарна ентропія Шеннона H2(x).
Використовується у формулі секретної частки (privacy amplification + EC).
"""
x = np.clip(x, 1e-12, 1 - 1e-12)
return -x * np.log2(x) - (1 - x) * np.log2(1 - x)
def simulate_qkd_system(
L_km: np.ndarray,
mu: float,
alpha_db_per_km: float = ALPHA_DB_PER_KM,
eta_d: float = ETA_D,
eta_c: float = ETA_C,
p_dark: float = P_DARK,
q_opt: float = Q_OPT,
sifting_q: float = SIFT_Q,
f_ec: float = F_EC,
r_pulse: float = R_PULSE,
q_thr: float = Q_THR,
):
"""
Спрощена оцінка QBER та секретної швидкості генерації ключа для BB84.
Повертає:
Q_L — QBER (квантова бітова помилка)
R_sec — секретна швидкість (біт/с)
"""
L_km = np.asarray(L_km, dtype=float)
# Пропускання каналу (дБ -> лінійна шкала)
eta_chan = 10 ** (-alpha_db_per_km * L_km / 10.0)
# Загальна ефективність (канал * детектори * оптика приймача)
eta_sys = eta_chan * eta_d * eta_c
# Ймовірність реєстрації сигналу для слабких когерентних імпульсів (Poisson)
p_sig = 1.0 - np.exp(-mu * eta_sys)
# Ймовірність кліку (сигнал + темнові), з урахуванням перетину подій
p_click = p_sig + p_dark - (p_sig * p_dark)
p_click = np.clip(p_click, 1e-15, 1.0)
# QBER: помилки від оптичної частини + випадкові помилки від темнових кліків
Q_L = (q_opt * p_sig + 0.5 * p_dark) / p_click
Q_L = np.clip(Q_L, 0.0, 0.5)
# Секретна частка (ідеально: 1 - 2H2(Q); з неідеальною EC: 1 - (f+1)H2(Q))
H_Q = binary_entropy(Q_L)
secret_fraction = 1.0 - (f_ec + 1.0) * H_Q
secret_fraction = np.maximum(secret_fraction, 0.0)
# Секретна швидкість
R_sec = r_pulse * sifting_q * p_click * secret_fraction
# Якщо QBER вище порогу — ключ не генерується
R_sec = np.where(Q_L > q_thr, 0.0, R_sec)
return Q_L, R_sec
# =========================
# 3) ВІЗУАЛІЗАЦІЯ + ЗБЕРЕЖЕННЯ РИСУНКІВ
# =========================
def save_fig(fig, filename: str):
fig.tight_layout()
fig.savefig(filename, dpi=300, bbox_inches="tight")
# Рис. 3.1: QBER(L) для різних μ
fig1, ax1 = plt.subplots(figsize=(8, 6))
for mu in MU_VALUES:
Q_val, _ = simulate_qkd_system(L_KM, mu)
ax1.plot(L_KM, Q_val, label=f"μ = {mu}")
ax1.axhline(Q_THR, linestyle="--", label="Q_thr")
ax1.set_title("Залежність QBER від довжини лінії")
ax1.set_xlabel("Відстань L, км")
ax1.set_ylabel("Q(L)")
ax1.set_ylim(0, 0.15)
ax1.grid(True)
ax1.legend()
save_fig(fig1, "fig_3_1_qber.png")
# Рис. 3.2: R_sec(L) для різних μ (логарифмічна шкала)
fig2, ax2 = plt.subplots(figsize=(8, 6))
for mu in MU_VALUES:
_, R_val = simulate_qkd_system(L_KM, mu)
R_plot = np.where(R_val > 0, R_val, np.nan) # щоб semilogy не ламався на
нулях
ax2.semilogy(L_KM, R_plot, label=f"μ = {mu}")
ax2.set_title("Секретна швидкість генерації ключа")
ax2.set_xlabel("Відстань L, км")
ax2.set_ylabel("R_sec(L), біт/с")
ax2.set_ylim(1, 1e6)
ax2.grid(True, which="both")
ax2.legend()
save_fig(fig2, "fig_3_2_rsec.png")
# Рис. 3.3: Область придатності каналу (μ = 0.5), QBER + R_sec на двох осях
mu_opt = 0.5
Q_curve, R_curve = simulate_qkd_system(L_KM, mu_opt)
R_plot = np.where(R_curve > 0, R_curve, np.nan)
fig3, ax3_1 = plt.subplots(figsize=(8, 6))
ax3_1.plot(L_KM, Q_curve, label="Q(L)")
ax3_1.axhline(Q_THR, linestyle="--", label="Q_thr")
ax3_1.set_xlabel("Відстань L, км")
ax3_1.set_ylabel("Q(L)")
ax3_1.set_ylim(0, 0.15)
ax3_1.grid(True)
ax3_2 = ax3_1.twinx()
ax3_2.semilogy(L_KM, R_plot, linestyle="-.", label="R_sec(L)")
ax3_2.set_ylabel("R_sec(L), біт/с")
ax3_2.set_ylim(1, 1e6)
ax3_1.set_title(f"Область придатності каналу (μ = {mu_opt})")
# об'єднана легенда
lines1, labels1 = ax3_1.get_legend_handles_labels()
lines2, labels2 = ax3_2.get_legend_handles_labels()
ax3_1.legend(lines1 + lines2, labels1 + labels2, loc="upper right")
save_fig(fig3, "fig_3_3_applicability.png")
# Рис. 3.4: Оптимізація μ при фіксованій відстані
L_fixed = 50
mu_range = np.linspace(0.01, 1.2, 60)
R_mu = []
for m in mu_range:
_, r = simulate_qkd_system(np.array([L_fixed]), m)
R_mu.append(r[0])
R_mu = np.array(R_mu)
R_mu_plot = np.where(R_mu > 0, R_mu, np.nan)
fig4, ax4 = plt.subplots(figsize=(8, 6))
ax4.semilogy(mu_range, R_mu_plot, marker="o", markersize=4, linewidth=1)
ax4.set_title(f"Оптимізація параметра μ (L = {L_fixed} км)")
ax4.set_xlabel("μ, середня кількість фотонів на імпульс")
ax4.set_ylabel("R_sec, біт/с")
ax4.grid(True, which="both")
save_fig(fig4, "fig_3_4_mu_opt.png")
plt.show()