Квантовое распределение ключей и постквантовая криптография рассчитаны на противостояние квантовым компьютерам.

д-р Хеннинг Майер, д-р Яспер Рёдигер, Штефан Рёрих, все из Rohde & Schwarz

На сегодня распространены асимметричные методы шифрования, которые считаются надежными. Через несколько лет квантовые компьютеры могут сделать их ненадежными. Два метода могут помочь не допустить этого сценария: квантовое распределение ключей и постквантовая криптография.

Когда речь идет о личной переписке в чате или документах с грифом строгой секретности, защита данных на сегодняшний день всегда подразумевает сочетание симметричного и асимметричного шифрования. В симметричном шифровании приемник дешифрует данные с тем же ключом, который передатчик использовал для шифрования. По данному методу работает расширенный стандарт шифрования (AES), который был сертифицирован Национальным институтом стандартов и технологий США (NIST) в 2000 году и сегодня применяется по всему миру.

Защита симметричной криптографии — асимметричный метод

Главной проблемой симметричного шифрования является защищенное распределение ключей между абонентами. Для защиты распределения ключей, как правило, применяется асимметричное шифрование. Как следует из названия, при асимметричном распределении ключей используются различные ключи для шифрования и дешифрования. Закрытый (частный) ключ не разглашается, а открытый (публичный) ключ выдается с сертификатом его достоверности.

Публичный ключ может передаваться по открытому каналу без какой-либо дополнительной защиты. Публичный ключ действует только в одном направлении: после шифрования данных их расшифровка возможна только при наличии частного ключа. Приемник инициирует передачу данных в процессе асимметричного шифрования (см. рисунок). Эффективность данного метода заключается в том, что конфиденциальный частный ключ с самого начала остается на приемнике и не передается.

Для асимметричного шифрования требуется больше вычислительной мощности, чем для симметричного шифрования, поэтому данный метод редко применяется для фактических потоков данных. Вместо этого данный метод обеспечивает защиту процесса распределения ключей для симметричного шифрования полезной нагрузки.

Математический межсетевой экран

Поскольку публичный ключ используется для шифрования, он также содержит определенную информацию о процессе дешифрования. В принципе частный ключ может быть определен на основе публичного ключа, однако для этого требуется много времени. Публичные ключи используют трудноразрешимые математические задачи, такие как разложение на простые множители или вычисление дискретных логарифмов.

На подборку частного ключа уходит невообразимо много времени. Стандартному компьютеру на решение подобных задач требуются несколько миллионов лет или больше.

Современные квантовые компьютеры меняют ситуацию

Когда в игру вступают современные квантовые компьютеры, ситуация кардинально изменяется. Алгоритм Шора был опубликован в далеком 1994 году. Он описывает метод, который существенно ускоряет разложение чисел на простые множители и вычисление дискретных логарифмов. Для этого квантового алгоритма требуется квантовый компьютер с достаточной вычислительной мощностью.

Поскольку все используемые на сегодня методы асимметричной криптографии основаны на решении этих двух математических задач, современные квантовые компьютеры лишают их теоретической основы. Несмотря на то, что уже известны квантовые алгоритмы, способные напрямую атаковать методы симметричного шифрования, ключи увеличенной длины позволяют сохранить здесь защиту. Однако после взлома методов асимметричного шифрования дальнейшая защита процесса распределения ключей будет невозможна.

Специалисты из Немецкого ведомства по информационной безопасности (BSI) с 20%-й вероятностью предсказывают, что первые квантовые компьютеры будут способны взломать имеющиеся на сегодня надежные методы шифрования к 2030 году. Всё острее встает необходимость в поиске методов шифрования, способных противостоять квантовым компьютерам. Это особенно критично для организаций и государственных ведомств, где используются большие объемы конфиденциальных данных в течение длительного времени. Им потребуется много времени, чтобы перевести их данные на устойчивые к квантовым компьютерам методы шифрования.

Квантовое распределение ключей и постквантовая криптография: два метода с одной целью

В настоящее время имеются два многообещающих метода шифрования, устойчивых к квантовым компьютерам. В постквантовой криптографии исследователи разрабатывают специальные асимметричные алгоритмы,

которые невозможно взломать в течение приемлемого времени, в том числе с помощью квантового компьютера. Некоторые многообещающие кандидаты основаны на различных математических задачах, таких как кристаллические решетки или криптографические функции хеширования. Другой подход постквантовой криптографии использует коды с коррекцией ошибок, которые не могут быть эффективно взломаны квантовым компьютером.

Одно из главных преимуществ постквантовой криптографии заключается в том, что можно по-прежнему использовать имеющуюся сетевую инфраструктуру. Однако некоторые трудности сохраняются. Несколько многообещающих вариантов постквантовой криптографии были недавно взломаны. Более того, по сравнению с обычными асимметричными методами в постквантовой криптографии имеются проблемы с эффективностью и длиной ключей. В данной области ведутся интенсивные научно-исследовательские разработки.

Квантовое распределение ключей

Квантовое распределение ключей использует совершенно иной подход. На основе некоторых фундаментальных законов квантовой физики генерируются и надежно распределяются ключи, которые пригодны для симметричной криптографии. Вместо классических битов узлы обмениваются кубитами, которые основаны на квантовых состояниях отдельных фотонов.

Преимущество квантового распределения ключей заключается в том, что отдельные квантовые состояния невозможно идеально скопировать и любые третьи лица, пытающиеся измерить фотоны, чтобы заполучить ключ, могут быть выявлены. Эти два фундаментальных закона физики можно умело использовать, чтобы перехитрить потенциальных хакеров. При условии надлежащей постобработки измеренных кубитов можно сгенерировать последовательность битов, которая известна только двум участникам и может служить ключом.

В случае взлома методов асимметричной криптографии квантовое распределение ключей может стать очень важной альтернативой. Квантовое распределение ключей основано на законах физики и теории информации. Безопасность ключа не зависит от вычислительной мощности квантовых и классических компьютеров.

Устройства и инфраструктура с поддержкой квантового распределения ключей

Уже доступно множество протоколов квантового распределения ключей. В соответствии с описываемыми выше принципами они основаны на различных степенях свободы, включая поляризацию, время и фазу, и требуют наличия различных механизмов для измерения квантового состояния. Некоторые протоколы уже хорошо развиты и используются в реальных задачах. Первые решения квантового распределения ключей для защищенной связи «точка-точка» можно приобрести у различных поставщиков. Спектр предлагаемых решений будет продолжать расти в обозримом будущем.

Для квантового шифрования требуется дополнительная сетевая инфраструктура для передачи кубитов. Эта инфраструктура в настоящее время внедряется в различных регионах по всему миру. Везде применяется одинаковая процедура: отдельные каналы связи «точка-точка» объединяются в более крупные тестовые сети, которые постепенно формируют сеть, пригодную для коммерческого использования. Крупнейшей сетью квантового распределения ключей является квантовая магистральная сеть. Ее создание было официально завершено в 2017 году. С тех пор сеть непрерывно расширяется по всей территории Китая.

В 2019 году Европейский Союз запустил инициативу EuroQCI (Европейская инфраструктура квантовой связи). Сеть, состоящая из каналов волоконно-оптической и спутниковой связи будет развернута на всей территории ЕС, включая заморские владения. Национальные сети, создаваемые в рамках этой инициативы, будут в ближайшие годы объединяться в общеевропейскую сеть.

Элементы сети квантового распределения ключей

Квантовая сеть — это больше, чем просто устройства с поддержкой квантового распределения ключей. Она должна также содержать прочные системы управления ключами, устройства шифрования с поддержкой квантового распределения ключей и системы управления. С недавнего времени компания Rohde & Schwarz Cybersecurity GmbH активно вовлечена в данную область. Совместно с различными партнерами компания разрабатывает функции и продукты, некоторые из которых уже можно найти в предлагаемых решениях.

Компания Rohde & Schwarz Cybersecurity GmbH на протяжении многих лет выступает в роли надежного поставщика одобренных BSI в области информационной безопасности и использует имеющиеся технологии классических сетей при создании устройств шифрования с поддержкой квантового распределения ключей. Функциональность этих устройств шифрования была расширена для работы в сетях квантового распределения ключей. Эти устройства уже были успешно внедрены и непрерывно работают в европейских тестовых сетях в рамках исследовательских проектов.

Другие технологии, такие как системы управления ключами, разрабатываются с нуля. Опыт компании Rohde & Schwarz Cybersecurity в разработке прочных и одобренных BSI решений безопасности является главным преимуществом, поскольку эти системы также должны отвечать всем критериям утверждения.