Содержание
Тринадцать, 53 и 433. Это размер квантовых компьютеров в квантовых битах, или кубитах, который значительно вырос за последние годы благодаря важным государственным и частным инвестициям и инициативам. Очевидно, что речь идет не только о количестве: качество подготовленных кубитов так же важно, как и их количество, чтобы квантовый компьютер мог превзойти существующие классические компьютеры, то есть достичь того, что называется “квантовым преимуществом”. И уже нет никаких сомнений, что вскоре появятся квантовые вычислительные устройства, обеспечивающие такое преимущество. Давайте попробуем выяснить, как это повлияет на нашу повседневную жизнь.
Делать прогнозы – дело неблагодарное, но все согласны с тем, что с появлением квантовых компьютеров криптография изменится полностью. Конфиденциальность является ключевым вопросом в нашем информационном обществе: каждый день через Интернет происходит обмен огромными объемами конфиденциальных данных. Безопасность этих операций имеет решающее значение и в основном зависит от одного понятия: сложности или, точнее, вычислительной сложности. Конфиденциальная информация остается секретной лишь потому, что любой злоумышленник, желающий ее прочитать, должен решить чрезвычайно сложную математическую задачу.
Сегодня методы, используемые в криптографии, настолько сложны для наших современных алгоритмов и компьютеров, что обмен информацией остается безопасным для любых практических целей – решение проблемы и последующий взлом протокола заняли бы приличное количество лет. Наиболее показательным примером такого подхода является протокол RSA (по имени его изобретателей Рона Ривеста, Ади Шамира и Леонарда Адлемана), который сегодня обеспечивает безопасность передачи нашей информации.
Безопасность протокола RSA основана на том, что у нас пока нет эффективного алгоритма факторизации больших чисел – задано большое число, задача состоит в том, чтобы найти два числа, произведение которых равно исходному числу. Например, если исходное число 6, то решением будут 2 и 3, так как 6=2×3. Криптографические протоколы построены таким образом, что злоумышленнику для расшифровки сообщения необходимо разложить на множители очень большое число (не 6!), что в настоящее время сделать невозможно.
Когда будут созданы вычислительные устройства, которые позволят легко взламывать существующие методы криптографии, наша нынешняя парадигма конфиденциальности должна быть переосмыслена коренным образом. Речь идет о квантовых компьютерах (как только появится действующий квантовый компьютер): по идее, они будут способны взломать протокол RSA, потому что существует квантовый алгоритм эффективной факторизации. В то время как классическим компьютерам для решения такой задачи может понадобиться время, сопоставимое с возрастом Вселенной, идеальные квантовые компьютеры должны быть в состоянии сделать это за несколько часов или, возможно, даже минут.
Именно поэтому криптографы уже сейчас разрабатывают решения для замены RSA и достижения квантовой безопасности, то есть криптографических протоколов, защищенных от злоумышленника, имеющего доступ к квантовому компьютеру. Для этого существует два основных подхода: постквантовая криптография и квантовое распределение ключей.
Как шифровать информацию в мире, оснащенном квантовыми компьютерами
Постквантовая криптография поддерживает парадигму безопасности, основанную на сложности. А значит, нужно искать математические задачи, которые остаются сложными для квантовых компьютеров, и использовать их для построения криптографических протоколов, идея которых заключается в том, что хакер сможет взломать их только через неимоверно большое количество времени. Исследователи упорно трудятся над созданием алгоритмов для постквантовой криптографии. Фактически, Национальный институт стандартов и технологий (NIST) инициировал процесс запроса и оценки этих алгоритмов, и выбранные кандидаты были объявлены в июле 2022 года.
Постквантовая криптография имеет сильное преимущество: она основана на программном обеспечении. Поэтому она дешева и, что еще важнее, ее интеграция в существующую инфраструктуру проста, поскольку нужно лишь заменить предыдущий протокол, скажем RSA, на новый.
Но у нее есть и очевидный риск: у нас нет полной уверенности в “стойкости” выбранных алгоритмов против квантовых компьютеров. Здесь важно напомнить, что, строго говоря, ни один из криптографических протоколов, основанных на сложности, не является безопасным. Другими словами, нет доказательств того, что они не могут быть эффективно решены на классическом или квантовом компьютере.
Это относится и к факторизации: нельзя исключать возможность открытия эффективного алгоритма факторизации, который позволит даже классическому компьютеру взломать протокол RSA, причем квантовый компьютер не потребуется. Хотя такая возможность маловероятна, ее нельзя исключать. В случае с новыми алгоритмами уверенности еще меньше, поскольку они не были интенсивно протестированы против умных исследователей и тем более квантовых компьютеров. Тем более прецеденты уже были – новый квантово-безопасный алгоритм, предложенный в рамках инициативы NIST, был позже взломан за час на обычном ПК.
Используйте законы квантовой физики для обеспечения безопасности коммуникаций
Второй подход к квантово-безопасной безопасности – квантовое распределение ключей. Здесь безопасность протоколов основывается уже не на соображениях сложности, а на законах квантовой физики. Поэтому мы говорим о квантовой физической безопасности.
Не вдаваясь в подробности, секретный ключ распределяется с помощью кубитов, а безопасность протокола следует из принципа неопределенности Гейзенберга, который подразумевает, что будет обнаружено любое вмешательство злоумышленника, поскольку оно изменяет состояние этих кубитов. Главное преимущество квантового распределения ключей заключается в том, что оно основано на квантовых явлениях, которые были проверены во многих экспериментальных лабораториях.
Но самой большой проблемой для его внедрения является то, что оно требует нового (квантового) оборудования. А так как оно дорогостоящее, то его интеграция в существующую инфраструктуру довольно затруднена. Тем не менее, такие шаги предпринимаются.
Какой подход выбрать? Этот вопрос часто представляется как выбор “или-или”, и даже при прочтении этой статьи у вас может сложиться такое впечатление. Однако наше видение заключается в том, что правильный путь – это поиск комбинации постквантового и квантового распределения ключей.
Последнее показало нам, что квантовая физика предоставляет нам новые инструменты и рецепты для настоящей защиты наших секретов. Если объединить эти два подхода, хакерам будет гораздо сложнее, поскольку им придется столкнуться как со сложными вычислительными проблемами, так и с квантовыми явлениями.
Читать полностью: Физики нашли “недостающее звено” для создания технологии квантового интернета