Первый · ИТ · Альянс
Перейти к основному содержимому
К списку материалов
Кибербезопасность
3 марта 2026 г. 8 мин чтения

Quros и HSM: пост-квантовые ключи в аппаратном хранилище

Программные ключи — слабое звено. Как Quros интегрируется с HSM для безопасного хранения пост-квантовых ключей в защищённой среде.

Quros HSM PQC ключи

Сертификаты и приватные ключи в файловой системе — постоянная цель атак. Hardware Security Module даёт аппаратную защиту: ключ никогда не покидает чип. Quros расширяет PKCS#11 для работы с пост-квантовыми примитивами и интегрируется с большинством HSM, доступных в РФ.

Поддерживаемые HSM

  • Аккорд-АМДЗ и Аладдин JaCarta SF/HSM — отечественные.
  • Thales Luna и Utimaco — для гибридных инсталляций.
  • Soft-HSM (на dev-стендах) — для разработки и тестов.
  • Облачные KMS с PKCS#11-фронтендом.

Расширения PKCS#11

Стандарт PKCS#11 v3.0 ввёл механизмы для PQC, но реальная поддержка в HSM пока неполная. Quros реализует прокси-слой: ключи ML-KEM/ML-DSA хранятся в HSM как opaque-объекты, операции encapsulate/decapsulate/sign/verify выполняются через расширенные механизмы.

Жизненный цикл ключа

  1. Генерация в HSM с экспортным флагом FALSE.
  2. Регистрация в каталоге Quros с метаданными (срок, владелец, политики).
  3. Использование через PKCS#11-API без экспорта приватной части.
  4. Ротация по расписанию (например, раз в год) с переподписью сертификатов.
  5. Уничтожение по истечении срока с записью в журнал аудита.

Производительность

ML-DSA-65 sign в HSM — около 8–15 мс. Для 100 RPS подписи документов одного HSM достаточно. Для высоконагруженных сценариев Quros делает кластер из 2–4 HSM с балансировкой и failover.

Частые вопросы

Что если HSM не поддерживает PQC?+

Quros может использовать HSM для shielded compute: классический ключ в HSM защищает PQC-ключ в безопасной памяти процесса. Это компромисс, но всё равно сильно лучше файлового хранения.

Можно ли мигрировать существующие ключи?+

Классические RSA/EC ключи остаются в HSM. Параллельно генерируются новые PQC-ключи, выпускаются гибридные сертификаты. Старые отзываются после переходного периода.

Кто проводит интеграцию?+

1IT (ООО «Первый ИТ Альянс») реализует проекты под ключ: настройка HSM, развёртывание Quros, выпуск сертификатов, обучение администраторов.

Нужна помощь по этой теме?

Обсудим задачу и предложим план за 24 часа. Работаем с компаниями из России и СНГ с 1999 года.

Получить консультацию +7 (495) 648-68-37

Похожие материалы

Кибербезопасность

Quros: миграция на пост-квантовые алгоритмы за 6 месяцев

Как за 6 месяцев перейти с RSA/ECDSA на гибридные пост-квантовые схемы без остановки продакшена — подход 1IT на платформе Quros.

Читать
Кибербезопасность

Пост-квантовая подпись документов в Quros: ML-DSA на практике

Подписи на классических алгоритмах перестанут быть надёжными после прихода квантовых компьютеров. Quros делает подписи устойчивыми уже сегодня.

Читать
Кибербезопасность

Гибридный TLS на Quros: как работает X25519 + ML-KEM-768

Гибридный TLS защищает соединения и от классических, и от квантовых атак. Как Quros реализует X25519+ML-KEM-768 в продакшене 1IT.

Читать