Роман Фишман

Текст

Если вас заботит конфиденциальность личных данных, у нас плохая новость: с появлением квантовых компьютеров большинство существующих протоколов шифрования станут совершенно бесполезны. Случиться это может уже в обозримой перспективе, и тогда защиту нашей информации смогут обеспечить лишь новые средства квантовой криптографии

Каждому есть что скрывать. Один озабочен конфиденциальностью семейных фотографий, другой — ​тайной личной переписки, и уж, конечно, для всех важна безопасность деловых переговоров, финансовых транзакций, документов. Поэтому сегодня практически все данные для передачи шифруются, и посторонним не так просто получить доступ к ним. Информация кодируется ключом, без которого так и останется для злоумышленника бессмысленным набором символов. Но для того чтобы сообщение мог прочесть законный получатель, такой же ключ должен получить и он.

Тут-то и начинаются проблемы. «Цифровой океан» поговорил с разработчиками Российского квантового центра о том, как мы будем передавать друг другу ключи в ближайшем будущем.

Односторонний подход

В простейшем варианте секретный ключ можно записать на физический носитель и отправить с доверенным курьером или фельдъегерем. Так порой и поступают с информацией, которая нуждается в максимальном уровне защиты, — ​например, с военными или дипломатическими сводками. Однако на всех желающих никаких фельдъегерей не хватит. И на деле ключи обычно пересылают через публичные, открытые каналы связи. Впрочем, в РКЦ нас заверили, что современные криптографические приемы делают эту задачу вполне безопасной.

Возьмем, например, и умножим восемь на девять: вычислить результат этой операции не составит никакого труда. Но вот обратное действие — ​разложение на множители (факторизация) — ​требует куда больших усилий. «Такие односторонние математические функции можно сравнить с соединением красок: смешиваются они легко, а разделить их обратно практически невозможно. Выполнять ту же факторизацию приходится банальным перебором, причем с удлинением ключа необходимые для этого вычислительные мощности растут в геометрической прогрессии», — ​объяснил нам разработчик систем квантовой криптографии из РКЦ Вадим Родимин.

Односторонние функции позволяют надежно закодировать ключ и без лишних опасений передать его по открытому каналу связи. «Математика дает уверенность в том, что у всех злоумышленников мира не хватит машинного времени на то, чтобы перебрать все возможные варианты», — ​говорит Вадим. Недаром такое «асимметричное» шифрование используется в самых распространенных сегодня криптографических стандартах: RSA, DSS, ГОСТ 34.102018 и т. п. Благодаря им наши данные остаются в безопасности. По крайней мере, пока.

Информационная бомба

Несмотря на свою почтенную древность, математика продолжает быстро развиваться, обнаруживая весьма хитроумные алгоритмы, лазейки для упрощенного «взлома» односторонних функций. Параллельно этому растут и доступные вычислительные мощности. Не далее как в июне 2020 года в Японии запустили новый рекордный суперкомпьютер Fugaku с пиковой производительностью более 500 петафлопс (500 триллионов операций в секунду). Рано или поздно обе тенденции соединятся, и тогда расшифровка данных, закодированных с помощью односторонних функций, станет возможной.

Также большую тревогу вселяет стремительный прогресс в создании квантовых компьютеров, которые смогут применить уже существующие инструменты взлома. Например, предложенный еще в 1990-х алгоритм Шора позволяет проводить факторизацию почти так же быстро, как и умножение. Современные квантовые компьютеры продемонстрировали его реализацию на небольших числах, и уже не за горами системы, способные использовать такие алгоритмы в полную силу.

«Квантовые компьютеры могут стать „информационной бомбой“, которая сметет защиту большинства привычных нам информационных сервисов», — ​продолжает Вадим Родимин. Недаром спецслужбы разных стран старательно накапливают зашифрованные данные из Сети в своих хранилищах. Американское Агентство национальной безопасности потратило порядка 1,5 млрд долларов на возведение в штате Юта колоссального дата-центра, способного накапливать порядка эксабайта (миллиона гигабайтов) данных. Когда-нибудь, если понадобится, все они могут быть декодированы.

Квантовые компьютеры могут стать информационной бомбой, сметающей защиту привычных нам сервисов

Квантовая теория

Однако существуют методы, позволяющие зашифровать сообщение еще надежнее. Например, можно сгенерировать ключ такой же длины, как и само сообщение, и «смешать» их бит за битом, так что декодировать результат будет невозможно в принципе, какими бы ни были наши вычислительные мощности. «Невзламываемость таких алгоритмов доказана математически, — ​говорит Вадим. — ​Все, что требуется для их применения, — ​безопасно переслать ключ получателю. Именно тут в дело вступает квантовая криптография, позволяя создавать и распределять секретные последовательности-ключи между отправителем и получателем».

«Квантовая физика оперирует отдельными субатомными частицами, такими как фотоны, кванты света, — ​продолжает Вадим. — ​Как мы помним со школы, эти частицы одновременно проявляют и свойства волны. Например, ему может соответствовать волна, колеблющаяся в определенной плоскости, которую называют плоскостью поляризации. Это позволяет использовать их для кодирования информации: мы можем договориться, что горизонтально поляризованная частица будет означать 0, а вертикально — ​1. Тогда отправителю останется переслать правильным образом поляризованные фотоны, а получателю — ​использовать светоделитель, чтобы их рассортировать. „Вертикальные“ пройдут дальше, „горизонтальные“ отра­зятся в сторону».

Однако если фотон будет иметь неожиданную поляризацию, например диагональную, то результаты его измерений в той же вертикально-горизонтальной плоскости окажутся непредсказуемы. Они случайным образом укажут на вертикальную или горизонтальную поляризацию, а данные об исходном состоянии частицы будут утеряны. Еще в 1970 году Стивену Визнеру пришла в голову мысль, что это можно использовать для создания совершенного протокола шифрования. В 1984 году Чарльз Беннет и Жиль Брассар из IBM впервые реализовали его идеи на практике.

Абсолютная защита

«Идея в том, что отправитель должен пересылать фотоны, выбирая базовую плоскость (базис) для поляризации каждого из них случайно: либо прямую, либо диагональную, — ​объясняет Вадим. — ​Получатель измеряет эти частицы, тоже исходя из случайно заданных базисов. Если их выбор совпал, то поляризация будет установлена правильно, а если нет, то измерения дадут случайный результат». Чтобы удостовериться, какие из измерений верны, отправитель и получатель обмениваются списками использованных базисов и сравнивают их. Измерения с несовпадающими базисами можно отбросить, получив «просеянный» ключ: случайную и одинаковую у обоих последовательность.

На схеме фотоны с прямыми базисами обозначены голубым цветом, а с диагональными — ​оранжевым. Если цвета (и базисы) у фотона и детектора совпадают, значение попадает в просеянный ключ.

На схеме фотоны с прямыми базисами обозначены голубым цветом, а с диагональными — ​оранжевым. Если цвета (и базисы) у фотона и детектора совпадают, значение попадает в просеянный ключ.

«Заметьте, что сам по себе этот ключ по каналу связи не передается: пересылаются лишь фотоны, а затем информация о базисах», — ​подчеркивает Вадим Родимин. Ну а если неизвестный злоумышленник сумеет вклиниться в линию связи, его вмешательство быстро будет замечено. Ведь для этого взломщику придется перехватывать фотоны, измерять их поляризацию и отправлять новые частицы получателю. Не зная базисов, использованных отправителем, он будет регистрировать случайный результат примерно в половине случаев и отправит такие же «неправильные» фотоны дальше.

Это и позволит заметить его вмешательство: получателю и отправителю достаточно выбрать небольшие фрагменты уже «просеянного» ключа и сверить их друг с другом. Если взломщик перехватывал частицы и внес дополнительные ошибки, эти фрагменты не совпадут, несмотря на одинаковые базисы измерений. Невозможность незаметного перехвата делает квантовые линии связи почти абсолютно безопасными.

Квантовый практикум

Пока что лидерами в реализации сетей связи с квантовым распределением ключей выступают США, Швейцария и, конечно, Китай, где действует самая протяженная из таких линий: более 2000 км от Пекина до Шанхая. Экспериментальные сети создаются и в России. Например, команда QRate уже реализовала опытные проекты квантовой связи для «Газпромбанка» и «Сбербанка». Также готовится запуск в интересах «Ростелекома», который планирует связать защищенной линией некоторые из своих дата-центров.

Вопреки ожиданиям, внешне квантовые криптографические системы мало отличаются от привычных компьютеров. И передатчик, готовящий фотоны, и измеряющий их приемник выглядят как небольшие черные коробки, установленные в стандартный системный блок. Поэтому со стороны системы квантовой криптографии, которые мы увидели в РКЦ, кажутся обыкновенными компьютерами, разве что с парой дополнительных блоков и нитками оптоволокна, по которым происходит пересылка фотонов.

Впрочем, даже в самом качественном волокне неизбежны потери отдельных частиц. Это ограничивает дальность пересылки фотонов расстоянием примерно в сотню километров. Поэтому линия между Пекином и Шанхаем представляет собой длинный пунктир из нескольких десятков «доверенных узлов», которые обмениваются квантовыми ключами друг с другом как промежуточные отправители и получатели. По счастью, эти проблемы вполне преодолимы, ведь фотоны пересылать можно не только по оптоволокну, но и «без проводов», лазерным лучом.

Вадим Родимин
Вадим Родимин, участник проектов «Квантовые коммуникации», Российского квантового центра (РКЦ, резидент «Сколково»), разработчик компании QRate

Наш основатель Юрий Курочкин уже давно горел идеей коммерциализации квантовой криптографии. Так что когда «Газпромбанк» предложил Российскому квантовому центру реализовать совместный проект, Юра его и возглавил. Задача была прикладной, но все равно оставалась «научно нагруженной», что потребовало дополнительного финансирования. Это нам удалось, и в 2015 году сформировался первый коллектив нашего стартапа. QRate стал «спин-оффом» РКЦ, объединив несколько десятков программистов, электронщиков, научных сотрудников. Разработка базовой технологии была завершена к 2017 году, когда нам удалось продемонстрировать в действии собственную промышленную установку квантового распределения ключей. Сегодня в QRate работает уже более 70 человек, готовятся новые проекты для различных государственных и коммерческих заказчиков.

Выход в космос

В плотном воздухе лазерный луч быстро рассеивается, позволяя работать на дистанциях лишь около 10 км. Однако в верхних, намного более разреженных слоях атмосферы лазер может без критических потерь отправлять фотоны на сотни и даже тысячи километров. Тем более в космосе: если на орбите будет действовать небольшая флотилия «квантовых» спутников, они могут выступать доверенными узлами защищенной сети для обмена ключами уже в планетарных масштабах. Создание такой сети — ​уже не фантастика.

Запущенный в 2016 году китайский спутник Mozi сумел установить 7400-километровый квантовый канал связи между Пекином и Веной, а к 2030-му КНР и Европу должна связать постоянно действующая защищенная линия. Оборудование для манипуляций с фотонами становится все дешевле и компактнее. В РКЦ уже ведут работу над тем, чтобы разместить необходимую аппаратуру на спутнике микрокласса — всего из шести модулей CubeSat размером 10 × 10 × 10 см каждый. Когда-нибудь такие устройства обеспечат защищенной связью всех желающих. Было бы что скрывать.

Использованные источники: Материал опубликован в журнале «Цифровой океан» № 2, 2020, Ольга Чумаченко