Покупки в интернете и оплата кредитной картой требуют передачи данных в зашифрованном виде, для чего используется параметр, называемый ключом. Сегодня распространены методы, основанные на криптографии с открытым ключом. Взломать такие криптосистемы очень сложно, но теоретически возможно, и верный путь к этому — столь распространенная сейчас разработка квантовых компьютеров. Здесь-то и вступает в игру квантовая криптография. Алексей Федоров, научный сотрудник Российского квантового центра и университета Париж-Сакле, рассказывает, как будут обстоять дела с зашифрованными данными, когда квантовая физика расшифрует все, что можно.

Шифрование — это некое преобразование информации, которое позволяет сделать ее доступной только для легитимных пользователей (например, для покупателя и сервера магазина). Принцип криптографии с открытым ключом основан на том, что обменивающиеся информацией стороны для выработки ключа проводят ряд вычислений. Важно отметить, что процесс этих вычислений не требует обмена полным набором исходных данных. Конфиденциальность выработанного таким образом ключа гарантируется тем, что, имея в распоряжении только переданные при вычислениях данные, злоумышленник затратит много времени на поиск ключа (считается, что он решает «сложную задачу», то есть задачу, для которой неизвестен эффективный алгоритм). Например, в статье Сергея Владимирова о надежности современных криптографических систем говорится вполне честно: с использованием существующих вычислительных ресурсов криптосистемы на открытых ключах взламываются за время большее, чем время существования Вселенной. Но теоретически это возможно.

Квантовый компьютер отличается от классического тем, что его структурными элементами являются не привычные нам транзисторы, а квантовые объекты — фотоны или атомы. Подчиняясь законам квантовой механики, эти объекты находятся в состоянии суперпозиции. Таким образом, если у квантовой системы два допустимых состояния (условно, «1» и «0»), то до момента измерения она находится в их (фотонов или атомов) суперпозиции. Это дает определенный выигрыш в различных вычислениях. Примерами таких задач, как это было показано американским математиком Питером Шором, являются задачи факторизации и дискретного логарифмирования. Именно из-за сложности этих задач для современных компьютеров у нас есть возможность использовать их (компьютеры) для криптографических систем с открытым ключом. Кроме того, не существует математического доказательства отсутствия классического (не квантового) алгоритма решения задач факторизации и дискретного логарифмирования. Полноценный квантовый компьютер легко справится с подобными задачами.

© David Plunkert

© David Plunkert

Альтернативы криптографии с открытым ключом

Как функционировать современному обществу, если универсальный квантовый компьютер будет создан? В информационном пространстве криптография является одним из основных инструментов, а информационная безопасность — одним из главных условий существования. Для ответа на поставленный вопрос необходимо вспомнить, какую задачу мы решаем с помощью криптографии с открытым ключом. Фактически с помощью «сложных» задач мы хотим распределить закрытый ключ для шифрования с помощью открытого канала. Так есть ли какие-нибудь альтернативы криптографии с открытым ключом?

Первая из альтернатив — придумать задачу, которая была бы сложна и для квантового компьютера. Такие задачи существуют, они изучаются постквантовой криптографией. Однако никто не гарантирует, что не найдется классического или квантового алгоритма, который сможет решать эту задачу быстро. Поэтому такие системы всегда будут под угрозой.

Другой элегантный способ выхода из сложившейся ситуации был предложен физиком Чарльзом Беннеттом и математиком Жилем Брассаром. Работа Шора показывает, что квантовые технологии могут стать разрушительной силой для современной информационной инфраструктуры, тогда как работа Беннетта и Брассара (написанная на 12 лет раньше статьи Шора, в 1984 году) раскрывает огромный потенциал квантовой физики для создания новых криптографических систем.

Физические основы квантовой криптографии (или, точнее говоря, квантового распределения ключа) достаточно просты. Если использовать квантовые объекты в качестве носителей информации, то всегда можно будет узнать, была ли попытка перехвата. В этом случае квантовая природа носителей информации ограничивает возможности потенциального нарушителя: при попытке вмешаться в процесс передачи он вносит шум, который всегда можно зарегистрировать. Таким образом, в действительности квантовой здесь является сама передача ключа, а вот все остальные процессы — классические.

Беннеттом и Брассаром был предложен практический рецепт, называемый протоколом BB84, для квантового распределения ключа: предполагалось использовать фотоны в ортогональных базисах поляризации. Как это часто бывает, оригинальная и красивая идея не привлекла внимания научного сообщества сразу. А взрывной интерес к квантовому распределению ключа возник только после работы Шора.

© David Plunkert

© David Plunkert

Параноидальная модель

Однако для индустриальной системы квантовой криптографии недостаточно обменяться фотонами. В квантовых ключах всегда есть ошибки, которые обусловлены техническим несовершенством оборудования. Такие ошибки необходимо исправлять, поскольку в противном случае его нельзя будет использовать для шифрования. Модель секретности квантовой криптографии является параноидальной. Все ошибки, которые внесены в ходе передачи (даже если известно, что они обусловлены, скажем, затуханием оптического сигнала в оптоволоконном кабеле), считаются обусловленными действиями злоумышленника. Тогда нужно оценить: мог ли злоумышленник восстановить ключ по имеющейся информации? В ходе процедуры исправления ошибок мы неизбежно что-то оглашаем, поэтому на финальном этапе необходимо вычистить потенциально известную информацию о ключе с помощью процедуры, которая называется усилением секретности. Наконец, все сообщения по вспомогательному (классическому) каналу не должны искажаться. Таким образом, индустриальная квантовая криптография не заканчивается на технологии передачи фотонов, а формирует сферу на стыке физики, теории информации и инженерии.

Защитить себя от собственного изобретения

К сожалению, квантовое распределение ключа работает достаточно медленно, поэтому использовать квантовые ключи для шифрования одноразовыми блокнотами имеет смысл для очень важной и ценной информации. Для практической стойкости можно строить гибридные системы. В таких системах квантовый ключ используется наравне с классическими ключами, зашитыми в телекоммуникационное оборудование. Такие решения позволяют, во-первых, повысить защищенность систем. Во-вторых, они позволяют квантовому распределению ключа плавно встроиться в существующую информационно-телекоммуникационную инфраструктуру.

У читателя может возникнуть естественный вопрос: неужели для обмена ключами нужен будет пресловутый оптоволоконный кабель? Как же передавать квантовые ключи между континентами? Собственно, обработка технологий квантовой криптографии без использования кабелей является одной из научных задач для недавно запущенного Китаем спутника. Такие эксперименты — основа для глобальных систем защиты информации будущего, основанных на квантовых коммуникациях.

Таким образом, квантовые технологии меняют наши представления о безопасности информации, обеспечивая нас новым и мощным вычислительным оружием — квантовым компьютером. Кроме того, квантовая физика снабжает нас методом, обеспечивающим защиту информации на уровне фундаментальных законов. Для сохранения привычных нам форм обмена информацией требуются шаги по внедрению квантовой криптографии — желательно до появления квантового компьютера.

Не пропустите следующую лекцию: