Квантовая криптография как наука известна человеку с 1984 года, когда был разработан первый протокол квантового распределения ключей, так называемый BB84.
Главная перспектива, волнующая многих ученых и заинтересованных в криптографии людей, — появление квантового компьютера в грядущем будущем, который может нарушить привычное существование криптографии.
«Хайтек» побывал на конференции IT Nights в Иннополисе и записал выступление руководителя группы прикладных исследований «Уязвимости квантовых систем» в Российском квантовом центре Вадима Макарова о современной криптографии, угрозе сохранности информации после создания квантового компьютера и сертификации шифровальных систем в ФСБ.
Мир квантовой криптографии
Все, что имеет отношение к деньгам — расплачиваясь наличными, картой или безналичным расчетом, неважно где, в магазине или с банком, — защищено криптографией. Любые телекоммуникации, телефонные разговоры или электронные сообщения — тоже. Это ваше личное. И, разумеется, пользуются криптографией компании, банки, правительство и военные, конечно.
Все ваши вычислительные устройства — компьютеры, планшеты, телефоны — получают обновление программного обеспечения с цифровыми подписями. Для этого тоже используют криптографию, чтобы вы получали обновления в Microsoft или Google не от злоумышленника и без троянов.
Криптография пронизывает нашу жизнь и делает ее более эффективной. Мы можем успеть больше за меньшее время и заниматься интересными вещами, а не какими-то глупостями — как поход в банк, чтобы просто поставить подпись. Мы это можем сделать удаленно. И очень важно, чтобы наше общество сохранило возможность пользоваться криптографией и защищать коммуникации. Если мы потеряем эту способность, то это будет большим шагом назад и жизнь станет труднее.
Криптографией люди пользовались уже около 2 тыс. лет.Необходимость защищать данные возникла довольно давно. Первые письменные источники указывают, что первый криптографический шифр придумал не кто иной, как император Юлий Цезарь. Известна очень короткая версия истории, но в основном ее можно описать следующим образом: кто-то изобретает криптографическую систему для шифрования, и как в случае с первым шифром Цезаря, почти через 700 лет нашелся арабский математик Анди Кальпинди, который изобрел, по сути, статистический анализ и показал, что все моноалфавитные шифры, в том числе и шифры Цезаря, очень легко взламываются, если знать как. И этот шифр уже не может использоваться. Придумали более сложный шифр, использовали алфавитные шифры и через некоторое время опять появляется общий метод взлома. И вся история криптографии состоит из такой вот смены поколений шифров друг за другом.
Все системы криптографии, которые придумывались до сих пор, взламывались. Для большинства применение криптографии –– это не проблема, если вы шифруете информацию. Но это проблема для информации, которая требует долговременной защиты. А в чем заключается проблема? Допустим, вы сегодня пользуетесь системой шифрования, и ее нельзя взломать, но кто угодно может записать зашифрованную информацию, передаваемую по классическому каналу связи, и сохранить эту информацию в базе данных. Например, фотография американской правительственной базы данных, где они очень много чего хранят. И в будущем, если появится технология для расшифровки этой информации, то тот, кто ее сохранил, прочтет всю информацию.
Все важные секреты перестанут быть секретами в будущем. Но это требует много информации — медицинские записи, банковская тайна, правительственные секреты, коммерческие и военные. Эта ситуация не является приемлемой. С точки зрения бизнеса вам нужно обновить одну систему криптографии другой, и новая система должна просуществовать достаточное время невзломанной — по меньшей мере, на период жизни информации, которую нужно защищать. Кроме того, что она должна в будущем столько лет просуществовать, чтобы обеспечить смену одного поколения криптографии другим. На это требуется пять-десять лет минимум, именно столько занимает появление новой системы сертификации. Нельзя их обновить мгновенно, это занимает тоже годы.
Сегодня практически вся информация в интернете защищена этой парой систем криптографии. Криптографии с публичным ключом RSA и с шифрами типа Advanced и ES. Они работают вместе, так что когда вы выходите в интернет, эти две системы вместе защищают ваше безопасное соединение с сайтом. И про одну из этих систем криптографии — с публичным ключом RSA — мы уже знаем, что как только будет построен квантовый компьютер, она будет взломана. И все потому, что известен эффективный алгоритм ее шифрования на квантовом компьютере. Квантового компьютера у нас пока нет, но он в процессе постройки. Сколько времени это займет, мы не знаем. Большинство моих коллег говорят, что в конце концов построят. И, разумеется, математики, которые придумали систему криптографии, пытаются придумать другие улучшенные системы криптографии, про которые неизвестно пока, будут ли они взломаны квантовым компьютером или нет, то есть неизвестно как взломать. Но доказательства того, что даже будущие системы математической криптографии не выдержат атаки, нет. В принципе, наверное, не может быть. И история показывает, что, скорее всего, их тоже в свое время взломают и придется заменять их на новые.
Одноразовые блокноты и квантовая криптография
Есть два интересных и важных изобретений в истории криптографии.Одно из них — это одноразовый шифровальный блокнот, который придуман примерно сто лет назад. И он являлся абсолютно безопасным методом шифрования информации в середине прошлого века. Это очень простой шифр, не взламываемый, но редко сегодняиспользуется. Проблема в том, что этот шифр можно использовать всего один раз и его длина должна быть равна длине зашифрованного сообщения. Поэтому эта система шифрования мало используется, потому что трудно передавать большое количество секретного ключа. Второе изобретение — квантовая криптография. Это совершенно новый урок криптографии, который основан не на предположениях какой-то вычислительной или математической сложности, не на предположении, что мы просто не знаем, как какой-то алгоритм и в какую сторону прокрутить. Квантовая криптография основана на законах физики, вместо математических. С помощью квантовой криптографии можно делать всякие разные криптографические примитивы. Один из них — это шифрование информации. Кроме него есть такие полезные вещи как цифровые подписи, контрольные суммы, удаленные вычисления. Система шифрования информации, которой мы сейчас пользуемся, симметричная. Она выглядит примерно так: Алиса и Боб сначала передают друг другу секретный ключ, который они используют в симметричном шифре для шифрования и расшифрования собственной информации. Это симметричный шифр может быть типа ES, который, кстати, не сильно подвержен атакам с квантовых компьютеров. Если вы параноик, то вы можете использовать однократный блокнот, тогда точно не взломают. Вот эта часть шифрования достаточно легка. Но трудно передать секретный ключ между Алисой и Бобом. Они могут встретиться друг с другом и обменяться секретным ключом, но это непрактично в большинстве случаев. Информацию по классическому каналу связи можно всегда скопировать. Криптография с публичным ключом используется определенным хитрым образом, чтобы передать секретный ключ по третьему каналу. Но ее квантовый компьютер взломает. Квантовая криптография помогает решить эту задачу с передачей секретным ключам и предлагает использовать элементарные частицы света — фотоны. По фактическому волокну или открытому каналу летит фотон, и ничего ему не мешает. Используя квантовое состояние одиночных фотонов, таким образом кодируем, чтобы любая попытка измерить эти квантовые состояния, подслушать их, была обнаружена. Происходит это за счет принципа неопределенности Гейзенберга — одного из основных принципов квантовой механики. У нас есть несовместимые квантовые свойства, из которых можно выбрать и померить одно или другое. Но другое свойство в этом случае разрушается.
Шифр Вернама — система симметричного шифрования, изобретенная в 1917 году сотрудником AT&T Гилбертом Вернамом. Шифр является разновидностью криптосистемы одноразовых блокнотов. В нем используется булева функция «Исключающее ИЛИ». Шифр Вернама является примером системы с абсолютной криптографической стойкостью. При этом он считается одной из простейших криптосистем.
Вселенная так устроена, что если вы с кем-то общаетесь и ничего секретного про этого человека не знаете, то вы не знаете с кем вы общаетесь. Нам всегда нужен какой-то короткий секретный ключ. Но с другой стороны, вы можете его раскрыть при помощи квантовой криптографии. И оптика, и электроника, и математика — все эти алгоритмы они уже больше чем десять лет назад реализованы. Можно пойти в магазин и заказать. Квантовой криптографии очень много в коммерческом использовании. Системы есть на рынке. Если вы хотите передавать ключ на более длинное расстояние, то с сегодняшними технологиями его можно передавать следующим образом: делаете сеть, состоящую из отдельных отрезков волокна, каждые из которых достаточно короткие. И там узлы, внутри каждого из которых стоит конечный терминал с передачей ключа. И этот узел нам надо защищать, потому что там внутри ключ открытым текстом находится. Злоумышленник не должен иметь доступ к доверенному узлу. И защищает квантовая криптография этими связями.
Мы можем сделать эффективной передачу ключа. Наверно, точно так же мы можем и опустить на дно океана цепочку доверенных узлов. Напрямую это сделать нельзя, и нам нужны доверенные узлы. Эта передача будет безопасна против любой страны, у которой нет подводной лодки. Но это не лучшая идея. Лучше запустить спутник Земли на орбиту и поставить доверенный узел на него и по открытому каналу с наземными станциями генерировать луч. Мы запускаем спутник, и он летает по орбите с северного на южный полюс и обратно, а Земля при этом вращается. Таким образом, если вы посмотрите на небо два раза в день, вы будете видеть этот спутник на полярной орбите. Вот так это будет выглядеть. Наземная станция связи устанавливает оптическое соединение при помощи двух телескопов направляя их друг на друга. Проводят сеанс длительностью 4–5 минуты, генерируя луч до 1 Мб. Через 40 минут спутник оказывается над другим континентом и проводит сеанс другой передачи ключа. Эти два ключа спутник складывает вместе, и таким образом две наземные станции обменялись ключами.Один единственный спутник может покрыть всю землю и осуществить все передачи ключей. Дальше можно начать продавать ключи, и считать деньги.
При существующей технологии короткий ключ 256 бит будет стоить менее 10 долларов. Многие страны задались планами построить подобную систему, но китайцы всех опередили. Два года назад они продемонстрировали передачу ключа со спутника, расширив ее в волоконно-оптическую квантовую сеть и провели эксперимент с другими континентами.
Сертификация, дыры в системах и как взломать квантовую криптографию
Если вы производитель систем криптографии, то все что вы хотите сделать — продать вашу систему потребителю и получить деньги. С точки зрения закона и правительства, можем ли мы эти системы безопасно использовать? В большинстве цивилизованных стран вы не сможете это сделать просто так. Правительство этой страны сначала выставит законные требования, чтобы удостовериться и подтвердить, что качество реализации системы достаточно хорошее. В России это выглядит так: правительство РФ вместе с ФСБ, в которой есть рабочая группа криптографии, следящая за качеством криптографии, вырабатывает набор требований, законных актов, которые определяют требования к криптографическим системам защиты информации. Есть лаборатории, которые способны проверять коммерческие системы на соответствие этим требованиям. Производитель должен подать образец системы криптографии и всю инженерную документацию в лабораторию, и она проверит соответствие требованиям. При хорошем исходе выдается сертификат, что данная система криптографии соответствует формальному требованию, после этого систему можно использовать и продавать. В России это требование действует для использования в правительственных и коммерческих структурах при выполнении госзаказов, требующих криптографии. В России и многих других странах есть следующее требование: если вы не являетесь правительственным органом, то есть просто компания, которая хочет пользоваться криптографией, но не выполняет правительственные заказы, тогда сертификация рекомендуема, но не обязательна. Нужно иметь систему сертификации для любой системы криптографии. Для классических систем она есть, но для квантовых — пока нет, так как технология новая и сейчас ее разрабатывают.
Одной из проблем при разработке системы сертификации для квантовой криптографии является то, что в теории квантовая криптография не взламываемая, но на практике системы не идеальны.Системы довольно сложны, протокол вы можете уместить на двух страницах текста, а на практике в системе 20–30 сложных электрооптических компонентов, чтобы провести оптическую обработку сигнала. Обилие программного кода, тысяча электронных компонентов, огромное количество алгоритмов синхронизации, которые в описании протокола вообще отсутствуют, но чтобы машина работала, все это нужно реализовать. Даже оптические компоненты имеют неидеальности и отклонения от того, как предписывает им протокол работать. Системы делают инженеры, которые должны все сделать в срок. И это создает огромное количество дыр в реализации, отличий между реализацией и идеальной системой.
Безопасность квантовой криптографии состоит из трех компонентов:
- Первый компонент — законы физики, квантовой механики.
- Второй компонент — идеализированная модель оборудования, которую используют для реализации протокола. Модель теоретическая, она по необходимости идеализирована.
- Третий компонент — доказательство безопасности. Математический вывод, который базируется на этих двух компонентах и приходит к результату, если вы делаете протокол и измеряете какой-то параметр, то по значению этого параметра можно сказать, была ли передача безопасной или нет.
Для большинства используемых протоколов в квантовой криптографии есть очень хорошее доказательство безопасности. Оно является сильным компонентом модели, как и законы физики. А вот у модели оборудования есть множество отличий, между идеальным оборудованием и его реализацией.
Мы находим отличия и очень часто можно сконструировать атаку, которая весь протокол квантовой криптографии взламывает.Разработчики модифицируют оборудование, меняют протокол, чтобы учесть данные неидеальности и сделать следующую реализацию нечувствительной к данному элементу, на который была создана атака. Так и продолжается, пока все важные неидеальности не будут найдены. Мы получим второе поколение этих систем, которое будет достаточно взломостойким. Процесс нахождения неидеальностей существует и в классических системах криптографии. Там везде есть и переполнение буфера, и плохой выбор параметров. Находятся типичные побочные каналы, делают реализации устойчивые и это позволяет получить стойкую криптографию. В квантовой криптографии история концептуально та же самая, нам нужно произвести этот процесс, чтобы получить хорошую реализацию системы. А отличия квантовой от классической криптографии в том, что она базируется на законах квантовой физики, а у математической криптографии стоят недоказанные предположения, которые время от времени взламываются. В этом заключается сила этого компонента. Единственная причина, почему занимаются квантовой криптографией, больше причин нет, остальное недостатки. Неудобная и дорогая технология.
За последние 10 лет довольно много работ по всему миру посвящены атакам на реализации квантовой криптографии. Уже известно примерно 25 разных типов атак. Все они основаны на разных физических принципах, и нет двух похожих атак. Из этого видно, что есть неидеальности, и они в самых разных компонентах системы. Большинство атак экспериментально проверены. 10 лет назад мы хорошо взломали систему и нашли большую дыру, потом попытались сделать заплатку этой дыры, чтобы не было возможности взлома. Но мы смогли обойти и эту заплатку. Были такие заплатки, которые обойти не смогли и заключили, что они хорошие. Все эти тесты делаются в обычной оптической лаборатории. В комнате, конечно, такое не сделать.
Заплатку разрабатывали 6 лет, а взломана она была за месяц, но это не типично. Когда был придуман способ как сделать заплатку, я сразу сказал, как она будет взломана, но мне не поверили. Мы этим методом ее и взломали. Были и лучше примеры хороших заплаток, которые решали проблемы. Хороших примеров на самом деле больше.
Почти все атаки требуют подключения к оптической линии, где гоняются фотоны. В случае волоконно-оптической линии подключить оборудование очень просто, можно купить волоконный ответвитель. Он стоит всего 500 евро. В случае спутниковой линии тут сложнее, придется с оптикой какой-то гонять вокруг телескопа, но тоже в принципе вопрос решаемый, если кому-то очень понадобится.
