С приближением «Q-Day» - условного момента, когда квантовые компьютеры смогут взломать современные алгоритмы шифрования, - гонка по защите цифровой инфраструктуры набирает обороты. Эксперты прогнозируют наступление этой эпохи примерно в 2033 году. В ответ на эту угрозу компания Quantum Shield Labs представила Crypto Scanner, новое открытое консольное приложение. Этот инструмент предназначен для инвентаризации и анализа криптографических уязвимостей в кодовых базах до того, как ими воспользуются злоумышленники.
Необходимость в подобных решениях продиктована стратегией атак «собрать сейчас, расшифровать позже». Противники уже сегодня целенаправленно похищают зашифрованные данные, рассчитывая расшифровать их в будущем с появлением так называемых практически значимых квантовых компьютеров. Хотя 2033 год кажется отдаленной перспективой, переход на квантово-устойчивые стандарты - чрезвычайно сложный и длительный процесс. Для противодействия этим угрозам Национальный институт стандартов и технологий США (NIST) недавно утвердил стандарты постквантовой криптографии, включая ML-KEM и ML-DSA. Однако разработчикам сначала необходимо получить полную картину своих текущих криптографических зависимостей, и именно эту задачу решает Crypto Scanner.
Инструмент автоматизирует поиск алгоритмов, уязвимых к атаке с помощью алгоритма Шора. Этот квантовый алгоритм позволяет эффективно разлагать большие числа на множители и вычислять дискретные логарифмы, что делает ненадежными современные стандарты вроде RSA и ECC. Сканер анализирует исходный код, поддерживая 14 языков программирования, включая Python, JavaScript, Go и Rust. Кроме того, он проверяет файлы конфигураций и сертификаты X.509. По итогам проверки генерируются отчеты для руководства в форматах HTML или JSON, что делает инструмент пригодным как для локального аудита, так и для интеграции в автоматизированные процессы непрерывной интеграции и доставки через GitHub Actions или GitLab CI.
Crypto Scanner классифицирует находки по степени их уязвимости к квантовым атакам. Критическими рисками признаются алгоритмы RSA, ECDSA/ECC, а также протоколы Диффи-Хеллмана, поскольку они будут полностью скомпрометированы алгоритмом Шора. Для них рекомендуется миграция на новые стандарты NIST: ML-KEM для обмена ключами и ML-DSA для цифровых подписей. Высокий уровень риска присваивается устаревшим хэш-функциям SHA-1 и MD5, подверженным коллизионным атакам как на классических, так и на квантовых компьютерах. SHA-256 получает средний уровень, поскольку его стойкость снижается до 128 бит из-за алгоритма Гровера, что требует планирования перехода на SHA-3. При этом такие алгоритмы, как AES-256, считаются квантово-устойчивыми и безопасными для дальнейшего использования, а новые стандарты ML-KEM и ML-DSA маркируются как рекомендованные NIST.
Инструмент разработан для быстрого внедрения. Установить его можно через менеджер пакетов PyPI простой командой. Для запуска сканирования в текущем каталоге разработчику достаточно выполнить одну команду в терминале, указав путь и желаемый формат отчета. В результате создается автономный HTML-отчет, визуализирующий распределение рисков. Для корпоративных команд в инструмент включены предустановленные конфигурации для CI/CD. Это позволяет организациям, например, блокировать сборку, если в новых pull request обнаруживается критически уязвимая криптография, такая как генерация RSA-ключей.
Предоставляя автоматизированную инвентаризацию криптографических активов, Crypto Scanner помогает организациям соответствовать новым регуляторным требованиям, таким как стандарт CNSA 2.0, и предотвращать накопление «квантового долга» в современных программных проектах. Таким образом, инструмент становится важным шагом на пути к будущему, где цифровая безопасность должна будет противостоять принципиально новым вызовам.
