Электронная почта — это сервис и хранилище самой конфиденциальной информации пользователей. Следовательно, он нуждается в надёжном сквозном шифровании, также как мессенджеры.

Компьютерная индустрия продолжает готовиться к распространению квантовых вычислений. Поскольку некоторые операции на квантовых компьютерах выполняются экспоненциально быстрее, чем в бинарной логике, современные шифры будут скомпрометированы. Как только это произойдёт, то расшифруются все современные данные, собранные и сохранённые в рамках политики “Harvest now, decrypt later” в 2010−2020 гг. Включая переписку по электронной почте и в мессенджерах.

За последние годы разработан ряд новых шифров, устойчивых для квантовых вычислений. В 2025 году первые почтовые провайдеры начали внедрять постквантовую криптографию в свой конвейер шифрования. В данном случае классическая асимметричная криптография (RSA-2048) заменяется на постквантовый механизм шифрования ключей (CRYSTALS-KYBER) и механизм обмена ключами по протоколу Диффи — Хеллмана на эллиптических кривых, ECDH (x25519).

Постквантовое шифрование почты

Для симметричного шифрования в постквантовой криптографии вполне достаточно AES 256, но в электронной почте требуется внедрять асимметричное шифрование. Институт NIST для механизма ML-KEM (создание ключей) выбрал шифр CRYSTALS-KYBER, а для механизма ML-DSA (цифровые подписи) — шифр CRYSTALS-Dilithium. Эти два стандарта известны как FIPS 203 и FIPS 204. Другие стандарты NIST для постквантовой криптографии см. здесь.


Средний фрагмент квантового компьютера IBM Q, источник

Один из провайдеров внедряет постквантовую систему не только в почту (протокол называется TutaCrypt), но в другие облачные сервисы, включая облачное хранилище данных и файлообмен, причём этот проект разрабатывается вместе с учёными из университета Вупперталя (Bergische Universität Wuppertal) в рамках исследовательского проекта, который финансируется правительством Германии. Таким образом, важность постквантовой криптографии понимается на государственном уровне.

Как было сказано, в TutaCrypt классическая асимметричная криптография (RSA-2048) заменяется на механизм шифрования ключей (CRYSTALS-KYBER) и механизм обмена ключами по протоколу Диффи — Хеллмана на эллиптических кривых, ECDH (x25519).

В частности, при регистрации пользователя почтовый клиент теперь генерирует две пары ключей:

• пара ключей на эллиптических кривых (x25519) для обмена ключами по ECDH;
  
• пара ключей Kyber-1024 для шифрования ключей.

На новых почтовых аккаунтах действует только такая процедура и больше не генерируются ключи RSA для защиты от неизбежной будущей компрометации.

Для аутентифицированного симметричного шифрования TutaCrypt использует AES-256 в режиме CBC с HMAC-SHA-256. Для шифрования данных на сервере — долгосрочные ключи AES-256, получаемые из пароля пользователя с помощью функции Argon2.

Ключи симметричного шифрования получаются с помощью HKDF-SHA-256.

Общая схема изображена на диаграмме ниже. Если вкратце, с помощью ECDH создаётся два общих секрета между идентификационным ключом отправителя (IKA), эфемерным ключом (EKA), сгенерированным отправителем, и идентификационным ключом получателя (IKB).

Эти два секрета DH_I и DH_E используются в качестве входных данных для функции выведения ключа вместе с третьим общим секретом, который получается из инкапсуляции ключа Kyber (SS_PQ). Полученный ключ шифрует и расшифровывает ключ сообщения:


Вычисление общего секрета в протоколе TutaCrypt

Полные спецификации протокола TutaCrypt опубликованы в документе, а также в репозитории на GitHub.

В будущем провайдер планирует реализовать полные спецификации протокола PQMail, включая свойства совершенной прямой секретности (Perfect Forward Secrecy) и пост-скомпрометированной безопасности (Future Secrecy).

Более удобный S/MIME

Тем временем другие почтовые провайдеры продолжают оптимизировать интерфейсы UX/UI, чтобы упростить шифрование почты S/MIME для пользователей.

Например, в апреле 2025 года компания Google развернула новую модель сквозного шифрования для корпоративных клиентов Gmail.

В отличие от прежней модели, она не требует от отправителей или получателей писем использовать стороннее ПО либо обмениваться сертификатами шифрования.

Текущее шифрование Gmail основано на протоколе S/MIME. Получатель должен настроить S/MIME и пройти несколько этапов взаимодействия с отправителем, прежде чем обмениваться зашифрованными письмами.

В новом процессе пользователь просто нажимает кнопку «Дополнительное шифрование» в веб-редакторе — и всё. Если получатель находится в другом почтовом домене и у него не настроен S/MIME, ему отправится ссылка для входа в гостевой аккаунт Google Workspace для безопасного просмотра и ответа на письмо в ограниченной версии Gmail.

Если у получателя настроен S/MIME, то Gmail использует эти настройки. Письма будут автоматически расшифрованы у получателя в папке «Входящие».


Демонстрация, как пользователи Gmail могут отправлять зашифрованные письма за пределы своего почтового домена в новом интерфейсе

Это шифрование сильнее, чем стандартный TLS, но технически не соответствует определению сквозного шифрования (E2EE).

Шифрование реализовано на стороне клиента, но «у администраторов рабочих пространств есть контроль над ключами шифрования, позволяя им отзывать пользователей и «отслеживать зашифрованные файлы пользователей», написано в разделе помощи Google.

---

Хотя квантовая криптография быстро развивается, ей ещё далеко до того, чтобы угрожать современной криптографии. Поэтому даже улучшение поддержки S/MIME в современной электронной почте можно приветствовать. Но в случае распространения квантовых вычислений внедрение новых шифров NIST станет безальтернативной необходимостью.