На горизонті з’являється нова ера обчислювальної техніки – еру квантових комп’ютерів, що обіцяє кардинально змінити способи захисту конфіденційних даних. На відміну від звичайних комп’ютерів, які оперують бітами у вигляді 0 або 1, квантові комп’ютери використовують квантово-механічні явища, як-от суперпозиція та заплутаність, для обробки та збереження інформації у формі, що виходить за межі двійкових даних. Ці “квантові біти” – або кюбіти – мають потенціал для відкриття колосальної обчислювальної потужності.
Ця величезна потужність може дозволити квантовим комп’ютерам розв’язувати складні завдання, що десятиліттями спантеличували вчених. Серед них – моделювання поведінки субатомних частинок або розв’язання “задачі комівояжера”. Ця класична задача в оптимізації прагне знайти найкоротший маршрут, який дозволяє торговому агенту відвідати низку міст і повернутися до початкового пункту. Проте, як зазначає Ребекка Краутамер, етичний експерт у сфері технологій та керівник компанії QuSecure, яка спеціалізується на кібербезпеці, – ця сила може бути використана не лише на благо, а й для зловмисних цілей, надаючи перевагу хакерам.
Коли практичні квантові комп’ютери стануть доступними, більшість людей – і навіть великі організації – все ще покладатимуться на класичні обчислювальні системи. Тому криптографи мають розробити методи захисту даних від могутніх квантових машин, використовуючи програми, які можуть працювати на звичайних ноутбуках. Саме тут на арену виходить галузь постквантової криптографії. Декілька наукових колективів активно працюють над створенням криптографічних алгоритмів, здатних протистояти атакам квантових комп’ютерів, до того як останні стануть повсюдно поширеними. Деякі з цих алгоритмів спираються на нещодавно розроблені рівняння, тоді як інші звертаються до математичних концепцій, відомих століттями. Об’єднує їх одна спільна риса – їх неможливо легко зламати за допомогою алгоритмів, що виконуються на квантовому комп’ютері.
“Це як фундамент для триповерхової будівлі, а потім ми побудували на ній 100-поверховий хмарочос.”
Мікеле Моска, співзасновник та генеральний директор компанії з кібербезпеки evolutionQ
Засадничі принципи криптографії
Історія криптографії налічує тисячі років; найдавніший відомий приклад – це шифр, викарбуваний на давньоєгипетському камені приблизно у 1900 році до нашої ери. Цей ранній вид прихованої писемності демонструє давнє прагнення людства до секретності. Однак, криптографічні системи, що нині використовуються більшістю програм, базуються на алгоритмах з відкритим способом доступу. У цих системах комп’ютер застосовує алгоритми – які часто передбачають розкладання на множники добутку двох великих простих чисел – для генерації як відкритого, так і закритого способів доступу. Відкритий спосіб доступу слугує для шифрування даних, тоді як закритий спосіб доступу, доступний лише відправнику, може бути використаний для дешифрування інформації.
Щоб зламати таку систему, хакери та інші зловмисники часто мають розкласти на множники дуже великі прості числа або спробувати знайти закритий спосіб доступу методом перебору – тобто, перевіряючи різні припущення, доки не спрацює потрібне. Для класичних комп’ютерів це надзвичайно важке завдання, оскільки їм доводиться перевіряти кожне припущення послідовно, що суттєво обмежує швидкість ідентифікації множників.
100-поверховий хмарочос на триповерховому фундаменті
Сьогодні класичні комп’ютери часто об’єднують кілька алгоритмів шифрування, реалізованих у різних місцях, як-от на жорсткому диску або в інтернеті. Брітта Гейл, вчена-комп’ютерниця з Аспірантської школи ВМС США, порівнює ці алгоритми з будівельними цеглинами: “Коли цеглини складаються, кожна з них утворює невелику частину фортеці, що захищає від хакерів”.
Однак, більшість цієї криптографічної інфраструктури збудовано на засадах, розроблених у 1990-х та на початку 2000-х років, коли інтернет відігравав значно менш центральну роль у нашому житті, а квантові комп’ютери залишалися переважно у сфері теоретичних роздумів. Мікеле Моска, співзасновник та керівник evolutionQ, порівнює це з ситуацією, коли “ми звели 100-поверховий хмарочос на фундаменті, розрахованому на триповерхову будівлю, і тепер молимося, щоб усе було гаразд”.
Розгадати складний алгоритм розкладання на прості множники класичному комп’ютеру може знадобитися тисячі чи навіть мільярди років, тоді як потужний квантовий комп’ютер часто здатен вирішити те саме рівняння за кілька годин. Це можливо завдяки тому, що квантові комп’ютери можуть виконувати численні обчислення одночасно, використовуючи квантову суперпозицію, де кюбіти можуть перебувати в кількох станах водночас. У 1994 році американський математик Пітер Шор довів, що квантові комп’ютери можуть ефективно виконувати алгоритми, які швидко розв’язують задачі розкладання чисел на прості множники. Отже, теоретично, квантові комп’ютери могли б зруйнувати криптографічні фортеці, які ми зараз використовуємо для захисту наших даних.
Постквантова криптографія має на меті замінити застарілі “будівельні блоки” на менш вразливі, поступово. Першим кроком є пошук відповідних математичних задач. У деяких випадках це означає повернення до рівнянь, відомих століттями.
Наразі Національний інститут стандартів і технологій (NIST) – федеральна агенція США, що займається розробкою стандартів у різних галузях науки та технологій, – розглядає чотири проблеми як потенційні основи для постквантової криптографії. Три з них належать до математичної родини, відомої як структуровані ґратки. Ці задачі стосуються векторів – математичних понять, що описують напрямок і величину між взаємопов’язаними вузлами, – подібно до точок з’єднання в павутині, як пояснює Моска. Ці ґратки теоретично можуть мати нескінченну кількість вузлів та існувати в багатьох вимірах.
Експерти вважають, що проблеми ґраток буде важко зламати квантовому комп’ютеру, оскільки, на відміну від деяких інших криптографічних алгоритмів, вони не покладаються на розкладання величезних чисел на множники. Натомість, вони використовують вектори між вузлами для створення засобу доступу та шифрування даних. Розв’язання цих проблем може включати, наприклад, обчислення найкоротшого вектора в ґратці, або спробу визначити, які вектори знаходяться найближче один до одного. Якщо ви маєте засіб доступу – часто “гарний” початковий вектор – ці задачі можуть бути відносно легкими. Але без такого засобу вони надзвичайно складні. Це пов’язано з тим, що поки що ніхто не розробив алгоритму, подібного до алгоритму Шора, який міг би ефективно розв’язувати ці задачі за допомогою архітектури квантових обчислень.
Четверта проблема, яку розглядає NIST, належить до групи так званих хеш-функцій. Хеш-функції працюють, беручи віртуальний засіб доступу для розблокування конкретної точки в таблиці даних, перемішуючи цей засіб та стискаючи його до коротшого коду. Цей тип алгоритму вже є наріжним каменем сучасної кібербезпеки, тому теоретично, оновити класичні комп’ютери до квантово-стійкої версії має бути простіше, порівняно з іншими постквантовими криптографічними схемами, зазначає Моска. І, подібно до структурованих ґраток, їх неможливо легко розв’язати лише методом перебору; для їхнього розгадування потрібен певний натяк на те, що відбувається всередині “чорної скриньки” генератора засобу доступу, щоб встигнути зробити це протягом часу існування Всесвіту.
Проте ці чотири проблеми не охоплюють усіх потенційно квантово-стійких алгоритмів, що існують. Наприклад, Європейська Комісія, яка є виконавчим органом Європейського Союзу та однією з його основних інституцій, розглядає код з виправленням помилок, відомий як криптосистема МакЕліса. Розроблена понад 40 років тому американським інженером Робертом МакЕлісом, ця система використовує генерацію випадкових чисел для створення відкритого та закритого способів доступу, а також алгоритму шифрування. Одержувач закритого способу доступу використовує фіксований шифр для дешифрування даних.
Шифрування МакЕліса значною мірою вважається швидшим і безпечнішим, ніж найпоширеніша криптосистема з відкритим способом доступу, що називається Рівеста – Шаміра – Адлемана (RSA). RSA – це алгоритм асиметричного шифрування, який широко використовується для безпечної передачі даних, але він вразливий до квантових атак. Як і у випадку з хеш-функцією, потенційним хакерам потрібне певне розуміння її “чорноящикового” шифрування, щоб розв’язати її. З позитивного боку, експерти вважають цю систему дуже безпечною; з негативного – навіть засоби доступу для дешифрування даних повинні оброблятися за допомогою надзвичайно великих, громіздких матриць, що вимагає багато енергії для роботи.
Подібний код з виправленням помилок, відомий як Hamming Quasi-Cyclic (HQC), нещодавно був обраний NIST як резервний варіант до його основних кандидатів. Його головна перевага над класичною системою МакЕліса полягає в тому, що він використовує менші розміри засобів доступу та шифротексту.
Інший тип алгоритму, який іноді згадується в розмовах про постквантову криптографію, – це еліптичні криві, як розповів Live Science Бхарат Равал, вчений з комп’ютерних та даних з Технологічного університету Капітолія в Меріленді. Ці задачі сягають принаймні Давньої Греції. Криптографія на еліптичних кривих використовує базову алгебру – обчислення точок на вигнутій лінії – для шифрування способів доступу. Деякі експерти вважають, що новий алгоритм на еліптичних кривих може уникнути злому квантовим комп’ютером. Однак інші стверджують, що гіпотетично хакер може використовувати алгоритм Шора на квантовому комп’ютері, щоб зламати більшість відомих алгоритмів на еліптичних кривих, роблячи їх менш надійним варіантом.
Відсутність універсального рішення
У перегонах за пошуком квантово-стійких криптографічних рівнянь не існуватиме “срібної кулі” або універсального рішення, що підійде для всіх випадків. Завжди доводиться йти на компроміси щодо обчислювальної потужності. Наприклад, немає сенсу використовувати складні, енергоємні алгоритми для захисту низькопріоритетних даних, якщо простіша система буде цілком адекватною.
“Не буде такого, що одна комбінація алгоритмів стане єдиним вірним шляхом; це залежить від того, що саме вони захищають”, – зазначає Гейл.
Насправді, для організацій, що використовують класичні комп’ютери, цінно мати більше одного алгоритму, здатного захистити їхні дані від квантових загроз. Таким чином, “якщо один виявиться вразливим, можна легко перейти на той, що не був визнаний вразливим”, – сказала Краутамер. Команда Краутамер наразі співпрацює з Армією США, щоб покращити здатність організації безперешкодно перемикатися між квантово-стійкими алгоритмами – функція, відома як криптографічна гнучкість.
Навіть попри те, що до появи корисних (або “криптографічно значущих”) квантових комп’ютерів залишається ще кілька років, надзвичайно важливо починати готуватися до них вже зараз, наголошують експерти. “Модернізація існуючих систем для готовності до постквантової криптографії може зайняти багато років”, – написав у електронному листі Live Science Дуглас Ван Боссюйт, системний інженер з Аспірантської школи ВМС США. Деякі системи складно оновити з точки зору кодування. А до деяких, наприклад, тих, що знаходяться на борту військових літальних апаратів, вченим та інженерам може бути важко – або навіть неможливо – отримати фізичний доступ.
Інші експерти погоджуються, що постквантова криптографія є нагальною проблемою. “Існує також ймовірність, що, знову ж таки, оскільки квантові комп’ютери настільки потужні, ми насправді не дізнаємося, коли організація отримає доступ до такої потужної машини”, – зауважила Краутамер.
Існує також загроза атак типу “збережи зараз – розшифруй пізніше”. Зловмисники можуть збирати конфіденційні зашифровані дані та зберігати їх доти, доки не отримають доступ до квантового комп’ютера, здатного зламати шифрування. Ці типи атак можуть бути націлені на широкий спектр інформації, включаючи банківські рахунки, особисту медичну інформацію та бази даних національної безпеки. Чим раніше ми зможемо захистити такі дані від квантових комп’ютерів, тим краще, вважає Ван Боссюйт.
І як у випадку з будь-яким підходом до кібербезпеки, постквантова криптографія не буде кінцевою точкою. Гонка озброєнь між хакерами та фахівцями з безпеки продовжуватиме розвиватися далеко в майбутнє, способами, які ми тільки починаємо передбачати. Це може означати розробку алгоритмів шифрування, що працюють на квантовому комп’ютері, а не на класичному, або пошук способів протидії квантовому штучному інтелекту, наголошує Равал.
“Світ повинен продовжувати працювати над цим, тому що якщо ці [постквантові рівняння] будуть зламані, ми не хочемо чекати 20 років, щоб придумати заміну”, – підсумував Моска.
