На днях новость о квантовом компьютере из КНР, взломавшем военный криптографический стандарт, разошлась по сети. Бить тревогу, впрочем, ещё рано — это лишь слабый вариант протокола, который нигде не применяется. Тем не менее вопрос шифрования в постквантовую эпоху — важная проблема, волнующая экспертов.
В чём опасность технологии?
Если говорить упрощённо, такие системы используют принципы квантовой механики для выполнения вычислений. Это позволяет достичь скоростей, невообразимых для традиционных суперкомпьютеров. В теории инновация весьма перспективная. В свою очередь, современные стандарты шифрования предусматривают сложные математические проблемы, которые не решаются традиционными методами (во всяком случае, за адекватное время). Например, подбор ключа к популярному AES-256 занял бы миллиарды лет даже с нереалистичным числом мощностей.
Подобные механизмы защиты сейчас внедрены везде: от правительственных организаций до серверов компаний с личными данными пользователей. Но что, если квантовые компьютеры когда-нибудь превзойдут актуальные ограничения? Злоумышленники уже прибегают к схеме «Собрать сейчас, расшифровать потом», ожидая, что в какой-то момент сумеют получить доступ к закодированным сведениям. Словом, квантовые системы могут принести не только прогресс, но и новые риски безопасности.
Когда-нибудь, но не сегодня
Сейчас разработки в этой отрасли находятся на раннем этапе. Возвращаясь к упомянутому прецеденту в Китае, речь о протоколе ассиметричного шифрования RSA, который распространён в сети. Хотя 22-битное число — рекорд по длине взломанного ключа среди квантовых решений, даже обычный суперкомпьютер показывал результаты лучше (829 бит). Первая итерация RSA эксплуатировала 512-битные варианты. А с 2015-го рекомендованные стандарты предписывают использовать 2048- и 4096-битные ключи.
Разбить большую задачу на много квантовых процессоров тоже не выйдет — мешает факторизация целых чисел. Раньше гибридной системе удавалось взломать 48-битные ключи, но в этом случае выбирали не случайное, а более удобное для расшифрования число. То есть в целом КВМ ещё очень далеки от реальной угрозы.
Всё дело в ряде трудностей, которые учёным пока не удалось преодолеть. Среди них — неэффективность и чувствительность кубитов к внешней среде. Чтобы минимизировать движение окружающих частиц, квантовые компьютеры помещают в камеры с экстремально низкими температурами. Несмотря на изоляцию от раздражителей, на один кубит, выдающий полезную информацию, нужны несколько сотен других, исправляющих ошибки. И чем больше вычислительных единиц, тем выше вероятность возникновения неточностей, которые необходимо корректировать.
Меры предосторожности внедряются
Сейчас аналитики прогнозируют, что прорыв в квантовой области так или иначе случится в ближайшие десятилетия. Так что подготовиться к этому не повредит — прорабатываются механизмы защиты, способные устоять в постквантовую эру. Первые их варианты, например Kyber, уже интегрированы в популярные мессенджеры вроде Signal и iMessage. Kyber-1024 по уровню защищённости соответствует стандарту AES-256.
Ещё разработчик Open Quantum Safe трудится над новым типом криптографии для библиотеки OpenSSL, что позволит защитить HTTPS-трафик в будущем. Компания CloudFlare, предоставляющая шифрование для почти 19% всех сайтов в мире, тоже предлагает постквантовый протокол. Функция находится в статусе бета-тестирования и ею пользуются свыше 2% клиентов.
С большой вероятностью квантовая угроза будет предотвращена ещё до её возникновения.
