Почему нам нужна квантово-устойчивая криптография сейчас.

Квантовые компьютеры угрожают шифрованию

Квантовые вычисления изменят информационные технологии таким образом, какого мы еще никогда не видели.

Прошлые исследования позволили создать различные квантовые алгоритмы для эффективного решения различных задач, которые сегодня считаются слишком сложными. Благодаря этой способности квантовые компьютеры принесут значительные улучшения в различные области информационных технологий.

Однако они также представляют серьезную угрозу для криптографии, поскольку широко используемые сегодня асимметричные криптосистемы (RSA, (EC)DSA и (EC)DH) опираются на варианты только двух сложных математических задач, которые, к сожалению, квантовые компьютеры способны решать значительно быстрее: задача факторизации целых чисел и задача дискретного логарифма.

С алгоритмом Шора (1994), запущенным на универсальном квантовом компьютере, обе задачи становятся решаемыми за полиномиальное время.

Это означает, что соответствующие криптосистемы, основанные на RSA, (EC)DSA и (EC)DH, действительно могут быть разрушены.

Сколько времени это займет у злоумышленника, зависит от мощности квантового компьютера. Согласно исследованию Федерального управления по информационной безопасности Германии (BSI), для взлома 2048-битного RSA за 100 дней требуется около 1 миллиона физических кубитов, а для взлома за час - около 1 миллиарда кубитов. Достижения в разработке алгоритмов позволят еще больше сократить эти цифры.

"Это означает, что квантовые компьютеры способны в конечном итоге взломать большинство защищенных коммуникаций на планете", - говорит криптограф Рафаэль Мисоцки. Сейчас идет гонка за создание новых способов защиты данных и коммуникаций для борьбы с угрозой, исходящей от крупномасштабных универсальных квантовых компьютеров.

Например, федеральные агентства США, такие как ФБР и АНБ, уже обязаны внедрить постквантовую безопасность, и частному сектору рекомендуется последовать их примеру. Это требование является частью Национальной стратегии кибербезопасности, обнародованной администрацией Байдена в марте 2023 года. Очевидно, что политики уже осознали угрозу квантовых компьютеров для конфиденциальных и секретных коммуникаций в Интернете.

Когда квантовые компьютеры станут реальностью?

На сегодняшний день не разработано ни одного практического квантового компьютера. Однако квантовые вычисления являются очень активной областью исследований, и в прошлом, особенно в последние годы, был достигнут быстрый прогресс.

О достижениях в области квантовых вычислений регулярно объявляют такие крупные компании, как IBM, Google и Intel. Однако эти компьютеры работают только на 50-70 физических кубитах. Согласно упомянутому исследованию BSI, квантовый компьютер, способный взломать современные криптосистемы, не станет реальностью в ближайшей перспективе.

Однако разоблачения Эдварда Сноудена сделали очевидным, что зашифрованные данные хранятся различными субъектами уже сегодня. Пришло время убедиться, что эти субъекты не смогут расшифровать их через годы в будущем, когда будут построены крупномасштабные универсальные квантовые компьютеры.

Кроме того, квантовые вычисления - это уже не отдаленная возможность, а реальность. Исследовательский институт Riken в Японии объявил о том, что он сделает первый в стране квантовый компьютер, созданный внутри страны, доступным в режиме онлайн для нескольких предприятий и академических институтов. Riken планирует подключить прототип квантового компьютера ко второму по скорости суперкомпьютеру в мире Fugaku к 2025 году, чтобы расширить возможности его использования в реальном мире, включая исследования, связанные с материалами и фармацевтикой.

Это не единичная разработка, а часть того, что похоже на "гонку вооружений" в области квантовых вычислений. По данным Японского агентства науки и технологий, за последние три десятилетия Китай зарегистрировал больше всего патентов в мире на квантовые вычисления - около 2 700, за ним следуют США - около 2 200 и Япония - 885.

Очевидно, что мир стоит на пороге технологической революции с появлением квантовых компьютеров, которые обещают беспрецедентную вычислительную мощность и способность решать сложные задачи, которые не под силу классическим компьютерам.

Хотя это и интересно, это также представляет угрозу для существующих протоколов шифрования, которые могут быть легко взломаны квантовыми компьютерами, оставляя конфиденциальную информацию открытой для злоумышленников. Именно поэтому Национальная стратегия кибербезопасности США призывает к переходу к постквантовой криптографии, которая использует алгоритмы, устойчивые к атакам квантовых компьютеров. Стратегия признает необходимость подготовки к будущему и обеспечения безопасности протоколов шифрования перед лицом эволюционирующих угроз.

Хотя вероятность того, что квантовый компьютер сможет успешно взломать существующие протоколы сквозного шифрования, не ожидается в ближайшем будущем, важно работать над предотвращением этого типа угроз как можно скорее, поскольку для разработки эффективных решений требуется время.

Как работают квантовые компьютеры

Обычные компьютеры хранят данные в виде 1 и 0. В то время как квантовые компьютеры используют кубиты для хранения данных. Каждый кубит находится в суперпозиции 1 и 0. Измерения проецируют одно из этих состояний с определенной вероятностью. Эта возможность изменяется квантовым алгоритмом. Поскольку каждый кубит представляет сразу два состояния, общее количество состояний удваивается с каждым добавленным кубитом.

Таким образом, один кубита - это два возможных числа, два кубита - четыре возможных числа, три кубита - восемь возможных чисел. После пандемии коронавируса мы все понимаем, что такое экспоненциальные числа. Мы можем получить представление о том, насколько мощным может быть квантовый компьютер, скажем, со 100 кубитами. Квантовая машина с 300 кубитами, например, могла бы представлять больше значений, чем атомов в наблюдаемой Вселенной.

Около 20 лет назад исследователи в Японии впервые создали сверхпроводящие кубиты: Они охладили определенные металлы до чрезвычайно низких температур, чтобы достичь стабильной рабочей среды для квантовых компьютеров.

Этот метод был настолько многообещающим, что дал толчок исследовательским проектам Google, IBM и Intel.

На самом деле квантовые компьютеры совсем не похожи на обычные компьютеры. Вместо этого это большие цилиндры из металла и скрученных проводов, которые опускают в большие холодильники. Исследователи отправляют информацию в машину и получают в ответ вычисления, как и в обычных компьютерах.

IBM даже позволяет внешним исследователям покупать вычислительные мощности на своей системе Q System One. Это позволяет исследователям по всему миру использовать квантовый компьютер, никогда не видя и не прикасаясь к нему по-настоящему.

Присущее им распараллеливание вычислений на все состояния одновременно позволит этим мощным вычислительным машинам взломать не поддающееся в настоящее время шифрованию.

Зачем нам нужно шифрование

Шифрование окружает нас повсюду, когда мы пользуемся Интернетом. Оно является неотъемлемой частью любого цифрового процесса, требующего конфиденциальности: коммуникации, финансы, торговля, критически важная инфраструктура, здравоохранение и многие другие области нашей повседневной жизни защищены надежным шифрованием. Когда криптографические алгоритмы, используемые в этих процессах, станут взламываемыми из-за развития крупномасштабных универсальных квантовых компьютеров, злоумышленники, имеющие доступ к таким компьютерам, смогут поставить под угрозу многие аспекты нашей повседневной жизни.

Интернет, каким мы его знаем, работает только при использовании невзламываемого шифрования. Настало время убедиться, что шифрование, которое мы используем сегодня, останется невзламываемым и в будущем.

Разработка постквантовой криптографии

Постквантовая криптография описывает криптографические алгоритмы, работающие на обычных компьютерах (в отличие от квантовой криптографии, работающей на квантовом компьютере), но опирающиеся на математические проблемы, которые, как считается, являются сложными для обычных и квантовых компьютеров. Пока не существует эффективного квантового алгоритма, который бы решал эти проблемы более эффективно, мы можем предположить, что они не могут быть взломаны квантовыми компьютерами.

В 2016 году Национальный институт стандартов и технологий США (NIST) инициировал процесс стандартизации таких алгоритмов, устойчивых к квантовым компьютерам. В настоящее время этот процесс находится на четвертом этапе оценки стандартных алгоритмов для постквантового безопасного шифрования, и уже объявлены первые четыре квантово-устойчивых криптографических алгоритма - CRYSTALS-Kyber для шифрования и CRYSTALS-Dilithium, FALCON и SPHINCS+ для цифровых подписей.

Готовимся к революции квантовых вычислений

Разработка и внедрение постквантовой криптографии является весьма актуальной задачей. Даже если квантовые компьютеры, способные взломать используемые сегодня криптосистемы, не станут реальностью в ближайшем будущем, опыт показывает, что внедрение новых криптографических стандартов занимает много времени. Новые алгоритмы должны быть тщательно оценены, их безопасность должна быть доказана интенсивным криптоанализом, и должны быть найдены эффективные реализации. Например, хотя криптография эллиптических кривых была впервые предложена в конце 1980-х годов, она была адаптирована для массового использования только несколько лет назад.

Развертывание постквантовой криптографии должно произойти как можно скорее - не только для того, чтобы быть готовым к тому, что крупномасштабные универсальные квантовые компьютеры станут реальностью, но и для защиты данных, которые в настоящее время шифруются стандартными алгоритмами, от расшифровки в будущем.

Многие компании уже начали экспериментировать с постквантовой криптографией в своих приложениях. Мы в Tutanota являемся пионерами в использовании квантово-безопасных алгоритмов наряду с обычными алгоритмами для наших зашифрованных электронных писем и календарей.

Как говорит эксперт по криптографии Любашевский: "Если у вас действительно есть конфиденциальные данные, сделайте это сейчас, мигрируйте сами".

Развитие квантово-устойчивой криптографии

Поскольку квантово-устойчивые алгоритмы довольно новые и их безопасность недостаточно доказана, мы не можем просто заменить ими наши текущие криптографические алгоритмы. Все равно может случиться так, что кто-то придумает атаку, работающую на обычном или квантовом компьютере, которая сломает выбранный нами алгоритм. Поэтому постквантовые и обычные алгоритмы должны быть объединены в гибридный подход. Это особенно сложно, поскольку Tutanota должна эффективно работать на мобильных устройствах, даже если они имеют меньшую вычислительную мощность.

Именно поэтому Tutanota завершила исследовательский проект под названием PQmail по внедрению постквантовых криптографических алгоритмов в зашифрованное приложение электронной почты и календаря Tutanota. В результате этого проекта был опубликован прототип, в котором используются финалисты третьего раунда NIST. Сейчас этот протокол шифрования добавляется в Tutanota, так что вскоре 10 миллионов пользователей Tutanota будут автоматически обновлены. После этого они смогут отправлять и получать постквантовые защищенные зашифрованные электронные письма - без необходимости менять свой рабочий процесс.

Мир шифрования меняется быстрее, чем когда-либо, и никогда еще не было так важно для всех, кто зависит от этого шифрования, убедиться, что мы остаемся впереди!