Дискуссия вокруг квантовых компьютеров, которые, среди прочего, могут быстро взламывать шифры, продолжается уже несколько десятилетий. Идея остается утопией, поддерживаемой учеными, и не уточняется ни в каких технических исследованиях.
Сейчас мы дошли до критической точки. Американское внутреннее разведывательное управление АНБ опубликовало новое издание своих рекомендаций безопасности для отрасли. Как ни странно, она известна своими крупномасштабными методами наблюдения, поэтому действует совершенно наоборот.
Эта организация призвана заботиться о безопасности информации критически важных и признанных в качестве значимых для страны организаций, и публиковать рекомендации для улучшения методов шифрования и других средств защиты информации в государственных учреждениях и среди частных пользователей. Обсуждение о квантовых компьютерах стало основанием для решения агентства об отказе в рекомендации стандарта шифрования, известного как SUITE B.
АНБ мотивирует своё решение тем, что физика и технологии развиваются гораздо более быстрыми темпами, чем первоначально предполагалось. Агентство утверждает, что в ближайшее время появятся квантовые компьютеры, которые смогут легко декодировать существующие системы, основанные на шифровании.
Проще говоря, АНБ отменила предыдущие рекомендации, связанные с шифрами и алгоритмами шифрования, не предоставив новых. Таким образом, пользователи были отправлены в вакуум и вынуждены ждать новых публикаций и обновленных рекомендаций.
Теория шифрования и квантовой угрозы
Сертификаты сайтов, цифровые подписи программ, шифрованная связь в инструментах интернет-банкинга, обмен мгновенными сообщениями и другие приложения – все они полагаются на несколько относительно простых математических приёма.
В каждом из этих случаев применяется принцип криптографии, основанный на асимметричных ключах. Это означает, что процессы шифруются и дешифруются с помощью математических преобразований, в которых ключ шифрования известен всем, а ключ дешифрования известен только владельцу (банку, разработчику приложения и т.д.).
Этот трюк предполагает, что хотя публичный ключ известен, закрытый ключ не может быть рассчитан (другими словами – взломан) в течение разумного периода. И здесь серьёзной угрозой могут стать квантовые компьютеры. В то время, как современному компьютеру потребуются тысячи лет для расчета довольно длинного набора цифр, которым является закрытый ключ, квантовый компьютер обработает это сложное задание всего за несколько минут.
Является ли это для нас реальной угрозой? Потенциал изменения правил игры является большим. Вся онлайн переписка потеряет свою конфиденциальность, так что можно будет выдать себя за банк или любую другую компанию, потому что не будет адекватных средств подтверждения личности в режиме онлайн. Как говорят пессимисты, конец близок.
Научный монитор
До сих пор люди, у которых возникли опасения из-за вышеупомянутой возможности, спали спокойно. Исследователи, работающие над квантовыми вычислениями, столкнулись с двумя фундаментальными проблемами.
- Во-первых, трудно вычислить состояние квантовой системы, то есть решить математическую задачу.
- Во-вторых, так называемые кубиты (или квантовые биты) очень нестабильны: при большем количестве кубитов система становится ещё более неустойчивой. В связи с этим существующие квантовые компьютеры основаны только на двух или четырех кубитах, между тем, для взлома современных криптосистем нужны сотни или даже тысячи кубитов!
Несколько лет назад широко было известно, что процесс создания полезного квантового компьютера (который может представлять реальную угрозу для алгоритмов шифрования) потребует ещё двух или четырех десятилетий. Однако, неожиданно эволюция ускорилась. Недавно первые успешные результаты получили исследователи из Университета Нового Южного Уэльса в Австралии – ученые создали квантовые логические ворота.
Предложенное ими решение является ещё более увлекательным, из-за того, что в своем подходе исследователи использовали обычные силиконовые компьютерные чипы (подвергнуты некоторым модификациям), так что будущий квантовый компьютер будет относительно недорогим, масштабируемым, и даже совместим с обычными ПК. Единственным недостатком является то, что он требует очень низких температур, хотя ученые с оптимизмом смотрят на увеличение количества кубитов до сотен или даже тысяч без особых усилий.
Наиболее благоприятный сценарий предполагает, что производство первого квантового компьютера будет возможно уже через 5 лет, при использовании небольшого количества кубитов. Для того, чтобы создать угрозу для нынешних методов шифрования квантовый компьютер должен будет развиваться в течение следующего десятилетия.
Реалистичное состояние квантовых алгоритмов всё ещё остается неопределенным, оно должно пройти много точных исследований и анализов, поэтому, вполне возможно, что квантовые компьютеры вообще не смогут сломать шифры. Мы увидим это со временем, но если оптимисты правы, пришло время подготовиться.
Подготовка может быть легкой и трудной одновременно. То, что следует изменить в начале квантовой эры, это перевести текущие протоколы шифрования на «постквантовые» алгоритмы (такие, которые не смогут быть взломаны квантовыми компьютерами). К счастью, это можно сделать.
Однако, мы должны вспомнить, что мы пережили за последние два года: устаревшие и/или негерметичные системы шифрования, которые в значительной степени подвержены атакам Heartbleed или POODLE , по-прежнему используются даже крупными компаниями. Это означает, что даже самое эффективное решение безопасности не может быть использовано в больших масштабах достаточно быстро. По этой причине сегодня мы должны бояться «постквантового» шифрования.
К счастью, некоторые серьезные отраслевые организации (например, NIST) уже начали процесс стандартизации. В настоящее время эксперты говорят о возможности замены RSA и ECDH различными алгоритмами нового поколения.
Практическое руководство
Что должен сделать рядовой пользователь, ожидая появления квантовой криптографии? Во-первых, необходимо критически оценить реальные угрозы и значение потенциально уязвимых данных.
Цифровые сертификаты для интернет-банкинга и приложений когда-нибудь истекут, поэтому, прежде чем квантовые компьютеры догонят текущие сертификаты, они потеряют силу. Будем надеяться, что следующие сертификаты будут подписаны алгоритмами, которые каким-то таинственным образом будут устойчивы к методы дешифрования, основанным на квантовых вычислениях.
Компании, эффективно определяющие такие угрозы, вероятно, применят для сайтов какие-либо проверки безопасности на квантовом уровне, например, красный индикатор в панели адреса браузера, чтобы предупредить пользователя, когда сайт использует устаревшие алгоритмы шифрования.
Такой же подход будет применяться к цифровой подписи для приложений или для шифрования трафика между пользователями приложений обмена мгновенными сообщениями. Однако, прежде чем квантовые компьютеры станут повседневной реальностью, вероятно, уже будет реализована адекватная защита.
Итак, что представляет угрозу? Сбор через такие организации, как АНБ огромного количества зашифрованного трафика уже сегодня. Пока что это огромное количество бесполезных фрагментов информации, хранимых в центрах обработки данных, которые ждут способные расшифровать их квантовые технологии следующего поколения.
Всё это можно свести к вопросу: как информация из вашего сетевого трафика полезна для заинтересованных лиц и выгодно ли её хранить и расшифровывать? Будет ли она так же ценна через 10-20 лет? Существуют такие группы людей, для которых ответ может быть «Да»: контрагенты, имеющие доступ к строго секретной информации, журналисты, врачи и юристы, работающие с конфиденциальными данными, а также активисты, выступающие против репрессий правительства.
Если кто-то относится к этой группе повышенного риска, необходимо оценить уровень угрозы и применять методы постквантовой защиты конфиденциальных данных уже сегодня, чтобы защитить их от некоторых неприятных последствий завтра.
Существует несколько подходов, которые можно применить:
- Избегайте асимметричных ключей. Квантовые алгоритмы могут решать NP-полные задачи, которые являются основой современной асимметричной криптографии; таким образом угрожают криптографии эллиптических кривых и RSA, шифрованию Эль-Гамаля, а также алгоритму Хелмана. Решением может быть использование альтернативных протоколов обмена ключами или возможность замены физическими ключами. Например, при использовании мобильного мессенджера Threem оба собеседника обмениваются QR-кодами на своих телефонах, так что их связь становится очень устойчива к атакам.
- Использовать шифрование более высокого класса. Хотя производство квантовых компьютеров может начаться только через несколько десятков лет, хакеры не сидят сложа руки и будут продолжать создавать новые и изощренные криптографические атаки. Поэтому в случае конфиденциальных документов целесообразно использование ключей RSA-8192 или P-256.
- Используйте более сильные алгоритмы симметричного шифрования. Квантовые компьютеры могут эффективно взламывать пароли и обнаруживать симметричные ключи шифрования: например, за время, которое требуется квантовому компьютеру на взлом 2N-разрядного ключа, обычный компьютер взломает только N-разрядный ключ. Следовательно, лучше удвоить длину симметричных ключей, чтобы сохранить тот же уровень криптографической стойкости. Следует учитывать, что количество атак на симметричный блочный шифр AES увеличивается. Растет также их уровень сложности. Таким образом, несмотря на то, что все они в основном безрезультатны, переход на 256-битное шифрование не будет таким бессмысленным, даже если Вы ещё не рассматриваете возможности квантовых угроз.
- Экспериментальные постквантовые решения. Они отличаются относительно практической ценности и удобства, а их криптографическая стойкость, в некоторых случаях, сильно сомнительна. Однако, если вы являетесь одним из первых пользователей, посмотрите краткий обзор существующих инструментов на основе одной из наиболее перспективных постквантовых систем шифрования.
