Twoje zaszyfrowane dane są dziś bezpieczne, ale za kilka lat mogą takie nie być. To prosta konsekwencja pomysłu, który krąży po świecie cyberbezpieczeństwa. Atakujący przechwytuje zaszyfrowany pakiet w 2026 roku, odkłada go na półkę i cierpliwie czeka na maszynę, która kiedyś go odczyta. Pomysł nazywa się harvest now, decrypt later (zbieraj teraz, odszyfruj później) i przestał być scenariuszem dla pasjonatów geopolityki kwantowej. Rządy USA, Wielkiej Brytanii, Niemiec i Australii planują dziś etapową migrację systemów podatnych na ataki kwantowe na nowe standardy kryptografii postkwantowej. Co więcej, amerykański NIST opublikował pierwsze takie standardy jeszcze w 2024 roku. Polskie banki, urzędy i większe firmy z sektora energetycznego dopiero zaczynają natomiast pytać, jakie konkretnie systemy ich dotyczą i kto zapłaci za wymianę certyfikatów.
Q-Day, czyli o jakim dokładnie momencie tu rozmawiamy
Q-Day to umowne określenie chwili, w której pierwszy komputer kwantowy o wystarczającej skali złamie algorytmy klucza publicznego RSA, DH oraz ECC. Te trzy stoją dziś za większością połączeń HTTPS, podpisami certyfikatów SSL, kluczami SSH i tokenami dostępu do firmowego VPN-a. Symetryczne szyfry pokroju AES, którymi szyfruje się zawartość plików i baz danych, pozostają natomiast w dużej części odporne, bo nie poddają się temu samemu algorytmowi co kryptografia klucza publicznego. Cała współczesna gospodarka cyfrowa siedzi jednak w dużej mierze na fundamencie, który komputer klasyczny musiałby łamać setkami lat. Komputer kwantowy o odpowiedniej liczbie stabilnych kubitów rozwiąże to w rozsądnym czasie.
Kiedy ten moment nadejdzie, nie wiemy. Prognozy firm kwantowych mówią o końcówce dekady, akademicy bardziej ostrożnie wskazują lata 2035-2040, a sceptycy przypominają, że największym wyzwaniem inżynierskim wciąż pozostaje korekcja błędów kubitowych. Nie ma więc twardej daty na kalendarzu, ale jest jasny kierunek. Firmy kwantowe pozyskują dziś rekordowe rundy, a rządy traktują tę technologię jak strategiczną infrastrukturę. Wokół samych obliczeń kwantowych narasta z kolei drugi nurt biznesu – kryptografia postkwantowa. To algorytmy zaprojektowane tak, żeby nawet kwantowi atakujący sobie z nimi nie poradzili.
Dlaczego pakiet zaszyfrowany dzisiaj może być problemem za dziesięć lat
Harvest now, decrypt later to scenariusz, który nie wymaga jeszcze działającej maszyny kwantowej. Wystarczy, że atakujący założy: kiedyś taka maszyna powstanie, a wartość przechwyconych danych nie znika. Wtedy logika ekonomiczna jest brutalnie prosta. Tani dziś zrzut zaszyfrowanego ruchu sieciowego, archiwum dokumentów z maila albo kopia bazy danych, której nikt nie potrafi odczytać teraz, może okazać się skarbem w momencie, w którym pojawi się klucz. Wystarczy ten zrzut przechować, czasem przez piętnaście lat, czasem dłużej.
Najgorzej z tej perspektywy wypadają branże, w których dane mają długą ważność. Akta medyczne pacjenta przeżyją bowiem jego dziesięć przeprowadzek i kilkadziesiąt lat życia. Dokumentacja kredytowa banku zostaje natomiast w archiwum przez dekady. Tajemnica handlowa polskiego producenta sprzętu militarnego ma sens jeszcze długo po tym, jak konstruktor przeszedł na emeryturę. Akta administracji publicznej – z numerami PESEL, danymi identyfikacyjnymi, raportami operacyjnymi – nigdy formalnie nie tracą wartości dla wywiadu. Dlatego są to dane, które warto przechwycić i przechować, nawet jeśli odszyfrowanie zajmie dziesięć lat.
Mniej spektakularny, ale równie praktyczny przykład: tokeny sesyjne do firmowych systemów. Część z nich ma długą żywotność, część chroni klucze szyfrujące przechowywanie danych przez dziesięć i więcej lat. Pakiet przechwycony dziś z ruchu VPN-a może w przyszłości otworzyć drzwi do firmowego sejfu, którego sami właściciele już dawno przestali aktywnie pilnować.
Co dzieje się po stronie regulatorów – świat już działa
13 sierpnia 2024 roku NIST opublikował pierwszy zestaw standardów kryptografii postkwantowej. Są to FIPS 203 (ML-KEM, mechanizm kapsułkowania klucza oparty o kratownice, dawniej CRYSTALS-Kyber), FIPS 204 (ML-DSA, podpis cyfrowy z CRYSTALS-Dilithium) i FIPS 205 (SLH-DSA, podpis oparty o funkcje skrótu, dawniej SPHINCS+). To nie akademicka ciekawostka, lecz oficjalna mapa migracji dla amerykańskiej administracji federalnej. Biały Dom w memorandum NSM-10 z maja 2022 nakazał agencjom federalnym sporządzenie inwentarza systemów wrażliwych na atak kwantowy i przygotowanie planu przejścia, z celami ograniczenia ryzyka do 2035 roku.
Wielka Brytania prowadzi National Quantum Strategy z budżetem 2,5 miliarda funtów na dziesięć lat, do 2033 roku. Niemiecki BSI rekomenduje w swoich publikacjach hybrydowe użycie klasycznej i postkwantowej kryptografii równolegle – zwłaszcza w okresie przejściowym. Australia rozwija własną National Quantum Strategy oraz wytyczne ASD i ACSC dla sektora publicznego. Komisja Europejska traktuje cały ten wątek jako jeden z filarów pakietu suwerenności technologicznej. Bruksela mówi o tym w tym tygodniu coraz głośniej, a w maju 2025 wydała oficjalną rekomendację skoordynowanej roadmapy przejścia na PQC w państwach członkowskich.
Polska gra w tym tle drugim głosem. Krajowy System Cyberbezpieczeństwa w obecnej wersji nie zawiera jeszcze twardych wymagań postkwantowych. Sektor finansowy podlega natomiast od 17 stycznia 2025 roku regulacji DORA, która porządkuje zarządzanie ryzykiem ICT i ryzykiem dostawców trzecich. To nie jest twardy wymóg PQC, ale rama, w której pytanie o migrację kryptografii naturalnie się pojawia. Temperatura wokół tematu w Polsce dopiero rośnie, jednak rośnie zauważalnie.
Co może zrobić polski bank albo urząd już w tym kwartale
Najtańszą i najbardziej praktyczną rzeczą, którą można zacząć dziś bez budżetu specjalnego, jest mapa kryptograficzna systemów. Nazwa brzmi akademicko, w praktyce mówimy jednak o jednym uporządkowanym arkuszu. Pokazujemy w nim, gdzie w firmie używamy RSA, gdzie ECC, gdzie symetrycznie AES. Dorzucamy listę certyfikatów wystawionych przez konkretnych dostawców i ich daty ważności oraz systemy podpisujące pliki długoterminowo. Dla większości polskich banków średniej wielkości ten audyt zamyka się w dwóch tygodniach pracy zespołu trzech osób. Jego wynik daje natomiast jasną odpowiedź na pytanie, które systemy są wrażliwe na komputer kwantowy, a które już dziś nadają się do bezproblemowej migracji.
Druga rzecz, którą warto sprawdzić, to klauzule kryptograficzne w kontraktach z dostawcami chmury. Google włączył ML-KEM w Chrome i BoringSSL we wrześniu 2024. AWS oferował eksperymentalny hybrydowy PQ-TLS w KMS już od 2020 roku, a w 2023 wdrożył Kybera w endpointach KMS, ACM i Secrets Manager. Microsoft komunikuje wsparcie PQC m.in. w Windows TLS oraz produktach Azure. W efekcie pytanie do dostawcy nie brzmi już “czy będziecie wspierać kryptografię postkwantową”, lecz “kiedy konkretnie i w którym module”. Jeśli kontrakt nie ma żadnej klauzuli o migracji kryptograficznej, warto ją dorzucić przy najbliższej odnowie umowy.
Trzeci kierunek to crypto-agility – czyli umiejętność wymiany algorytmu szyfrującego bez przebudowywania całego systemu. Większość legacy w polskich bankach ma kryptografię wpisaną na stałe w kod, z parametrami dziedziczonymi po systemach z lat dwutysięcznych. Migracja takich systemów na kryptografię postkwantową jest droga nie dlatego, że algorytmy są skomplikowane, ale dlatego, że zmiana wymaga ingerencji w dziesiątki miejsc w kodzie naraz. Dlatego nowo budowane systemy warto projektować tak, żeby algorytm szyfrujący był parametrem konfiguracyjnym, a nie elementem architektury. To inwestycja, która zwróci się przy każdej kolejnej migracji – nie tylko tej kwantowej.
Pierwsza Misja AI · Kodożercy
Rozumiesz zagrożenia AI, gdy rozumiesz jak naprawdę działa
Kryptografia postkwantowa to dopiero początek długiej listy spraw, które nadchodzą. Kurs Pierwsza Misja AI ma dedykowaną lekcję o ciemnej stronie technologii. Zanim zaczniesz się bać, zacznij rozumieć.
Poznaj pełny program →
Dlaczego ta historia nie zostanie tematem niszowym
Q-Day ma jeden niezwykły rys. Jako jedno z niewielu zagrożeń cyfrowych daje branży nieoczekiwany prezent w postaci czasu. Atak phishingowy zaskakuje, zero-day wybucha w środę przed weekendem, a ransomware nie pyta o zgodę. Komputer kwantowy zbliża się natomiast powoli, w tempie publikacji naukowych, z wyraźną krzywą postępu, którą widać z wyprzedzeniem. To bardziej przypomina rejs lodołamacza niż gwałtowną burzę. Lodołamacz nadpływa, decyzja, kiedy się przesunąć, należy do nas.
Branża zaczyna to rozumieć. Inwestycje w kryptografię postkwantową rosną zauważalnie szybciej niż w większości innych kategorii cyberbezpieczeństwa. Z kolei majowy raport IBM o rosnącym koszcie phishingu z AI pokazał, że klasyczne wektory ataku też przyspieszają – presja czasu na zespoły bezpieczeństwa nie zaczyna się dopiero od Q-Day. Polskim firmom nie chodzi więc o to, żeby przewidzieć dokładny dzień Q-Day. Chodzi o to, żeby do tego dnia mieć przygotowaną kryptografię, której nie trzeba w ostatniej chwili gorączkowo wymieniać.
Podsumowanie
Q-Day to scenariusz, który łatwo zlekceważyć jako science-fiction, dopóki nie zrozumie się jego ekonomicznej logiki. Atakujący nie potrzebują działającego komputera kwantowego, żeby zacząć działać już dziś. Wystarczy, że zaczną zbierać zaszyfrowane dane, czekając aż maszyna powstanie. Kryptografia postkwantowa, którą rządy zachodnie zaczęły standaryzować w 2024 roku, nie jest więc reakcją na coś, co się stało, lecz przygotowaniem na coś, co prawie na pewno się stanie. Polskim bankom, urzędom i dużym firmom nie grozi w tym kwartale nagłe Q-Day. Grozi natomiast moment, w którym za dwa, trzy lata regulator zapyta “jakie macie plany migracji”, a jedyną sensowną odpowiedzią będzie “zaczynamy dziś robić mapę kryptograficzną”. Im wcześniej ta mapa powstanie, tym taniej i spokojniej można potem podejmować decyzje. To rzadki przypadek w cyberbezpieczeństwie – mamy lata, żeby zrobić to dobrze. Szkoda byłoby je przegapić.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
