Квантовые коммуникации и другие технологии, основанные на принципах квантовой теории, долгое время были предметом обсуждения ученых в их лабораториях, но в последние годы российскими компаниями все чаще внедряются прикладные решения в этой области, правительство выделяет ее в числе ключевых в концепции технологического развития, а на РусКрипто – одной из старейших конференций по криптографии – в этом году сразу несколько секций были посвящены квантовым технологиям.
В беседе Алексей Федоров, руководитель научной группы «Квантовые информационные технологии» РКЦ и директор по стратегии QApp, объяснил, в чем потенциал квантовых технологий в безопасности, почему специалисты уже сейчас задумываются над внедрением квантового и постквантового шифрования и чем они отличаются от подходов классической криптографии.
Что такое квантовая кибербезопасность?
Сегодня, сознательно или нет, каждый из нас постоянно сталкивается с криптографией. Когда мы делаем покупки в сети, совершаем операции на государственном сервисе или подписываем документы электронной подписью (ЭП), мы неосознанно задействуем большое количество криптографических инструментов.
Криптографическая стойкость, то есть устойчивость таких алгоритмов к атакам, во многом базируется на наших предположениях, что некоторые математические задачи решаются сложнее, чем другие. Например, если перемножить два числа достаточно просто, то найти простые делители большого числа (задача факторизации) сложно — даже очень мощный компьютер не справится с этой задачей за разумное время. Однако квантовый компьютер сможет справляться с такими задачами значительно быстрее.
Это ставит под угрозу ряд криптографических инструментов, которыми мы сегодня пользуемся. Суть квантовой угрозы состоит в том, что принципиально важные криптографические примитивы, используемые нами сегодня, будут взломаны, как только появится достаточно мощный квантовый компьютер.
Это стало известно примерно в середине 90-х годов после появления работы Питера Шора. Он показал, что часть алгоритмов, которые мы сегодня каждый день так или иначе задействуем при передаче данных в интернете, могут быть взломаны с помощью квантового компьютера. Однако нельзя сказать, что с середины 90-х ничего не произошло: во-первых, появились прототипы квантовых компьютеров, которые уже соревнуются по своей мощности с классическими или суперкомпьютерами. Во-вторых, все чаще появляются новости о новых угрозах квантового компьютера. Например, совсем недавно коллеги из Китая предложили новый способ взлома определенных криптографических алгоритмов. Пока неочевидно, что метод действительно работает — скорее нет, чем да. Но тем не менее, видно, что прогресс идет как с точки зрения развития квантового железа, так и с точки зрения разработки алгоритмов, которые нужны, чтобы совершать атаки с применением квантового компьютера.
Мы знаем, что есть горизонт, когда использование части сегодняшних алгоритмов в дальнейшем станет небезопасным. Поэтому ключевые направления исследований, которыми занимаются наши группы, связаны с поиском инструментов защиты информации в эпоху мощного квантового компьютера.
Что вы можете посоветовать обычному пользователю для защиты своих данных?
Вопрос защиты собственных данных очень комплексный. Он связан не только с криптографией, но и, например, с цифровой грамотностью — пониманием, какие данные о себе мы размещаем в сети, какой информацией делимся. И хотя к технологии напрямую это не имеет отношения, с точки зрения угроз это крайне важно.
Необходимо учитывать, что в криптографии, как и в в информационной безопасности в целом, изменения происходят регулярно. К этому нужно быть готовым: в какой-то момент бизнесу необходимо будет перейти на новые типы криптографических алгоритмов. Надо понимать, что это обновление действительно несет под собой глубокое желание обезопасить человека, общество и государство от будущих угроз.
Сегодня мы наблюдаем за активным развитием квантовых технологий, и я замечаю большую заинтересованность в теме со стороны широкой общественности. Это замечательно, поскольку внимание к науке и к технологическим достижениям значительно влияет на развитие страны.
А не преждевременно ли говорить о защите от квантовой угрозы, если сегодня мощность того же квантового компьютера не превышает порядка 500 кубит?
С одной стороны это действительно так: зачем нам об этом думать, если мощный квантовый компьютер появится не завтра, а, может, через 5-10 лет. Казалось бы, вот он появится, тогда и будем защищаться. Однако стоит учитывать несколько важных аспектов.
Первый аспект — технологический: изменения не будут одномоментными. Чтобы внедрить новые инструменты защиты информации, требуется время и ресурсы на разработку или обновление программного обеспечения. Из-за этого возникла концепция криптогибкости — возможности разрабатывать любые продукты так, чтобы криптография была независимым модулем, который можно было бы при необходимости менять на более устойчивый.
Второй аспект связан со временем, необходимым на стандартизацию и сертификацию таких решений. Процесс требует проверки и последующей минимизации рисков при внедрении инструментов в информационную систему компании. Эта работа сейчас активно ведется как в квантовой, так и в постквантовой криптографии.
Третий: существуют типы чувствительных данных, которые имеют долгосрочную ценность — генетические, персональные, финансовые данные и коммерческая тайна. Злоумышленники, желающие похитить их, могут использовать подход «сохрани сейчас — дешифруй потом». Так, хакер может в зашифрованном виде сохранять чувствительную информацию сейчас, а дешифровать ее позже — как только появится достаточно мощный для взлома квантовый компьютер.
Поэтому, чтобы противостоять будущим угрозам, бизнесу необходимо заранее в пилотном формате внедрять квантово-устойчивые решения, дополняя текущий ландшафт информационной безопасности.
На ваш взгляд, насколько сегодня можно доверять квантовой криптографии? И если говорить про Россию, про отечественный рынок, какие Вы можете назвать самые яркие кейсы?
Теоретически модель квантовой криптографии сводит криптографическую стойкость к законам физики, а законы квантовой физики проверены многократно. Далее необходимо понять, насколько точно теоретическая модель воплощена в реальность. Сделать это можно при помощи серии испытаний.
Например, мы плотно взаимодействуем с группой квантового хакинга — они пытаются найти уязвимости в реализации мировых криптографических систем и понять, как это влияет на общую защищенность. Часто они с помощью простых и, казалось бы, очевидных атак, находят пробелы в защите, которые на этапе разработки устройств, не были приняты во внимание. Это необходимые процессы, которые приближают нас к доверию к технологии.
Если говорить о проектах — наиболее яркими для меня являются первые кейсы внедрения нашей командой устройств в реальные городские линии связи. Нам удалось соединить офисы Газпромбанка и Сбербанка и защитить канал между ними, используя квантовое распределение ключей. Этот проект для нас стал огромным шагом на пути вывода технологии из лаборатории в практику, а для рынка — демонстрацией работоспособности технологии без необходимости полностью менять текущую инфраструктуру.
Квантовая криптография все глубже проникает в нашу жизнь: появляются, например, университетские сети на базе университетов: МИСиС, МГУ и ИТМО. Все это огромная работа научного сообщества над созданием комплекса решений, протоколов, алгоритмов, систем анализа и доказательства секретности.
О чем вы рассказывали на РусКрипто?
Доклад был посвящен сочетанию квантового распределения ключей и постквантовой криптографии в определенных приложениях. Длительное время между технологиями не было взаимодействия — они развивались параллельно, поскольку одно шифрование базируется на законах физики, другое — на законах математики.
Сейчас я вижу огромную необходимость взаимодействовать, потому что на реальных объектах важно защищать все сегменты информационной безопасности с учетом будущих угроз. Это могут быть, например, соединение дата-центров с квантовым распределением ключей и защита конечных пользователей с помощью мобильных приложений с библиотеками постквантовых алгоритмов.
Ваша компания также занимается вопросами спутниковой квантовой криптографии, какой потенциал Вы видите в этой теме?
Спутниковая квантовая криптография — очень интересная тема, которая позволяет преодолеть набор ограничений квантового распределения ключей. Так, например, из-за оптических потерь передавать криптографические ключи на большие расстояния невозможно. Одним из решений может быть внедрение спутниковой квантовой криптографии — спутника, позволяющего между двумя точками, например, Москвой и Владивостоком, распределять криптографические ключи. Можно провести аналогию со спутниковым интернетом, позволяющим покрыть те точки, до которых дотянуть оптоволоконные кабели тяжело.
Можете вкратце объяснить для неспециалиста в этой области, что такое постквантовая криптография? Как она помогает в защите?
Традиционная криптография основана на предположениях о высокой вычислительной сложности некоторых математических задач. Под вычислительной сложностью задачи условно понимается количество простых операций, которые проделывает компьютер, чтобы ее решить. Например, перемножение — это просто, то есть задача перемножения чисел имеет «низкую» вычислительную сложность. А вот разложение и факторизация сложны для классического компьютера, но легки для квантового. А есть ли такие задачи, которые сложны и для классического, и для квантового? Оказывается, есть.
Например, есть криптографическая хеш-функция, которая представляет собой математическое преобразование. Оно из последовательности произвольной длины дает последовательность фиксированной длины: если у нас есть два больших текста, не сильно отличающихся друг от друга, их хеши должны отличаться достаточно сильно.
Возникает вопрос о поиске так называемых коллизий хеш-функции — двух аргументов, которые для этой функции дают одинаковый результат. Это пример одинаково сложной и для классического, и для квантового компьютера задачи, потому что квантовый в этом случае не может дать драматическое ускорение, а лишь ограниченное. На основе криптографических хеш-функций можно строить постквантовую криптографию.
Сейчас в мире и в России в частности идет процесс стандартизации постквантовых алгоритмов в рамках ТК26. Постквантовая криптография — это, в первую очередь, программные решения. Это особенность позволяет легко внедрять программные инструменты постквантовой криптографии в мобильные, пользовательские и интернет-приложения.
Сегодня мы сталкиваемся с примерами, когда в ходе анализа ранее предложенных постквантовых алгоритмов в них выявляются уязвимости. Например, исследователи показали пробелы в хеш-функциях и в доказательствах их стойкости, но эти пробелы были устранимыми. В случае других алгоритмов найденные пробелы в доказательствах и найденные атаки привели к тому, что алгоритм больше не рассматривается. Таким образом, проверка корректности постквантовых алгоритмов занимает длительное время. Далеко не все уязвимости удается обнаружить за короткое время.
Это очень серьезный длительный процесс, но, когда он будет завершен, само внедрение постквантовых алгоритмов может быть относительно быстрым — как показали наши последние пилотные проекты с «Байкалом» и «Эльбрусом».
Как бизнесу защититься от угрозы квантового компьютера? Какие действия уже необходимо предпринимать и какие перспективы, на ваш взгляд, у этих технологий в ближайшие годы?
Бизнесу необходимо критически относиться к архитектуре информационных систем и проводить глубокий анализ приоритетных каналов передачи данных, где угрозы могут привести к наибольшим рискам и потерям. Там в первую очередь необходимо думать о внедрении инструментов, обеспечивающих устойчивость по отношению не только к текущим, но и к будущим угрозам. В контексте предотвращения квантовой угрозы можно использовать квантовое распределение ключей, постквантовую криптографию, а также сочетание этих методов.
Технологии безопасности важны сегодня для всех отраслей, начиная от медицины и заканчивая финансовыми услугами: так или иначе мы везде передаем «чувствительные» данные, требующие защиты. Я с большим энтузиазмом смотрю в будущее развития технологий и наблюдаю, как год от года на РусКрипто вендоры представляют всё более совершенные технологические продукты, которые уже сегодня можно внедрять в инфраструктуру компаний.
