Квантовые компьютеры: к чему готовиться лично вам

Квантовые компьютеры могут появиться уже скоро, и они изменят мир. Их появление может произвести революцию в физике и медицине, и совершенно точно — в информационной безопасности.

О квантовых компьютерах, способных в числе прочего быстро подбирать ключи к шифрам, говорят уже несколько десятилетий, но до недавнего времени они оставались красивой концепцией в голове ученых, а не реально действующими образчиками техники.

Теперь в ситуации назрел перелом, о чем лучше всего свидетельствует выпущенная в августе этого года рекомендация американского Агентства национальной безопасности. Эта организация, известная в последнее время в основном попытками широкомасштабной слежки за пользователями Интернета, имеет также и диаметрально противоположную функцию.

Она должна защищать гостайны и рекомендовать американскому государственному и частному сектору наиболее эффективные алгоритмы компьютерной защиты, в том числе шифрования. Именно свой набор рекомендованных криптоалгоритмов, известный как SUITE B, и изменил в статусе агентство.

Ссылаясь на неожиданно быстрый прогресс физики и техники, АНБ рекомендует готовиться к скорому появлению практичных квантовых компьютеров, которые сделают самые популярные сегодня системы шифрования, цифровой подписи и обмена ключами гораздо более уязвимыми.

Немного упрощая написанное официальным языком, можно сказать, что последние рекомендации по выбору шифров и алгоритмов АНБ отозвало, а тем, кто все еще пользуется предпоследними, предложило, грубо говоря, не суетиться и подождать выхода самой новой редакции. Этих новейших рекомендаций пока нет, однако можно пофантазировать, что же там будет.

Теоретическое отступление

Напомню, что сертификаты веб-сайтов, цифровые подписи приложений и зашифрованный обмен информацией в интернет-банках, мессенджерах и прочих современных сервисах основаны на паре относительно простых математических трюков.

Во всех случаях используется криптография с асимметричными ключами, когда для шифровки и расшифровки используются два математически связанных ключа, причем ключ шифрования широко известен, а ключ дешифровки есть только у одного владельца — банка, автора приложения и так далее. Суть математических трюков состоит в том, что, зная публичный ключ шифрования, практически невозможно за разумное время вычислить приватный ключ дешифровки.

Тут и кроется проблема появления квантовых компьютеров. Если обычный, нынешний компьютер потратит на поиск нужной пары гигантских чисел тысячи лет, то квантовый, как полагают теоретики, придет к ответу за считаные минуты.

Чем это грозит? Потенциально картина складывается впечатляющая. Никакая переписка в Интернете не будет приватной, киберпреступник сможет без проблем прикинуться крупным банком или фирмой Apple, а дистанционно проверить личность человека станет практически невозможно. «Апокалиптическая картина», — скажет пессимист. Оптимист в моем лице ответит: «А ведь это только то, что на поверхности, есть и многие другие потенциальные угрозы».

Новости науки

До недавнего времени озабоченные вышеописанной перспективой люди все же могли спать спокойно, поскольку у создателей квантового компьютера есть две фундаментальные проблемы. Во-первых, состояние квантовой системы, то есть решение искомой задачи, трудно надежно считать.

Во-вторых, «кубиты» (разряды квантового компьютера) очень нестабильны, удержать их в нужном состоянии крайне трудно, и чем больше кубитов, тем труднее. Поэтому рабочие квантовые компьютеры состоят всего из двух — четырех кубитов, в то время как угрозу для современных криптографических систем потенциально представляют компьютеры с сотнями и даже тысячами кубитов.

Еще пару-тройку лет назад считалось, что решение этих проблем займет от двух до четырех десятилетий. Однако в них наметился неожиданно быстрый прогресс. Недавно австралийские СМИ и профильную прессу облетела новость про успехи австралийских ученых из университета Нового Южного Уэльса (UNSW), построивших квантовый логический элемент (CNOT).

Решение австралийской команды интересно тем, что основано на доработке обычных кремниевых микросхем, поэтому квантовый компьютер на их основе, вероятно, будет не чрезмерно дорог, лучше масштабируем и способен легко взаимодействовать с классическими компьютерами. Правда, работает он все равно лишь при сверхнизких температурах, зато разработчики не видят сложностей с наращиванием числа кубитов до сотен и тысяч.

По оптимистичному прогнозу, первый полноценный квантовый компьютер появится через пять лет, хотя кубитов в нем будет маловато. А нужный масштаб для решения проблем криптографии квантовый компьютер, по тем же оценкам, обретет примерно через десять лет. Пессимисты продолжают придерживаться оценок в несколько десятилетий.

Реалисты также указывают на то, что сами квантовые алгоритмы недостаточно изучены и проверены, поэтому, возможно, вообще неприменимы для взлома настоящих шифров. Рассудит их, как водится, история, но уже ясно, что на тот случай, если правы окажутся оптимисты, готовиться стоит начинать уже сегодня.

Подготовка проста и сложна одновременно. Используемые в компьютерных системах протоколы шифрования должны «просто» перейти на «постквантовые» алгоритмы, то есть на устойчивые к взлому на квантовом компьютере. Такие вроде бы есть.

В последние несколько лет серьезные организации продолжают использовать устаревшие или некорректно реализованные системы шифрования, уязвимые для атак типа Heartbleed, POODLE и других. Так что даже после появления надежного решения понадобится немало времени, чтобы внедрить его повсеместно. Именно поэтому стандартизация «постквантового» шифрования должна начаться уже сегодня.

«Так как текущие темпы реализации высококачественных криптографических решений оставляют желать лучшего, мы не видим возможности плавного перехода на новые стандарты, способные нивелировать угрозы, связанные с криптографией», — написал в наших предсказаниях на 2016 год эксперт Глобального центра исследований и анализа угроз «Лаборатории Касперского» Хуан-Андреас Гуэрреро-Заде.

К счастью, пока эксперты ведут дискуссии о применимости различных новых алгоритмов на замену «квантово небезопасным» RSA и ECDH, вопросами стандартизации уже занимаются вполне серьезные организации вроде NIST.

Практический гид

Итак, что же делать в ожидании квантового криптоапокалипсиса обычному параноику? Первым делом — здраво прикинуть, чего стоит опасаться, а за что беспокоиться не надо, учесть свою ценность.

Сертификаты интернет-банков и приложений выпускаются на определенный срок, поэтому к моменту появления квантовых компьютеров текущие сертификаты устареют, а новые, есть надежда, будут подписаны уже с использованием квантово устойчивых алгоритмов.

Компании, заботящиеся о безопасности Интернета, такие как «Лаборатория Касперского», вероятно, включат проверку «квантовой безопасности» в процедуру сканирования веб-сайтов, так что об устаревшей системе сертификатов на сайте вы узнаете по красному значку в адресной строке браузера.

То же самое касается подписи приложений и трафика мессенджеров. Их успеют защитить до появления квантовых компьютеров.

В чем же тогда опасность? В том, что некоторые спецслужбы вроде ранее упомянутого АНБ способны записывать очень много зашифрованного интернет-трафика уже сегодня. Пока он лежит в дата-центрах бесполезным балластом, но сможет быть расшифрован потом, после появления искомой технологии.

Вопрос лишь в том, будет ли ваш трафик стоить возни с ним — хранить, потом расшифровывать... Сохранит ли он ценность спустя 10–20 лет? Для тех, кто связан с государственной тайной, для журналистов, врачей и адвокатов, общающихся с конфиденциальными источниками, для активистов в странах с репрессивным режимом ответ может быть положительным.

Людям из этих групп надо оценить риски и, если они высоки, защищать данные «постквантовыми» методами уже сегодня, чтобы избежать их огласки спустя десятилетия.

Для этого есть несколько возможных подходов:

1. Избегать обмена ключами с помощью асимметричных криптоалгоритмов. «Квантовые алгоритмы эффективно решают NP-полные задачи, использующиеся в современной асимметричной криптографии (задача разложения числа на множители и вычисление дискретного логарифма), что компрометирует эллиптические кривые, шифрование и цифровые подписи RSA, Эль-Гамаля и другие, а также схему обмена ключами Диффи — Хеллмана», — прокомментировал Виктор Алюшин, эксперт «Лаборатории Касперского». Необходимо либо использовать другие протоколы согласования ключей по сети, либо обмениваться ключами физически. Например, в мобильном мессенджере Threema предусмотрена процедура взаимного сканирования QR-кодов на телефонах собеседников, что является неплохим залогом секретности дальнейшей переписки.
2. Не скупиться на биты в ключах. Пока квантовый компьютер остается в десятилетиях от нас, хакеры не жалеют сил на разработку других изощренных криптоатак, поэтому использование ключей RSA-8192 или P-256 вполне оправдывает себя для конфиденциальных документов.
3. Использовать усиленные симметричные алгоритмы. «Квантовые алгоритмы позволяют эффективно подбирать пароли и находить симметричные ключи шифрования: квантовый компьютер находит ключ шифрования длины 2N за то же время, за которое обычный компьютер находит ключ шифрования длины N байт. Поэтому длины ключей существующих симметричных шифров следует увеличить в два раза для сохранения прежней стойкости», — советует Виктор Алюшин. Стоит учесть, что криптоатаки на AES многочисленны и изощренны, и, хотя в основном они безуспешны, переход на 256-битные ключи не повредит даже без оглядки на квантовые вычисления.
4. Использовать экспериментальные «постквантовые» решения. Они варьируются в практичности, удобстве, а главное — доказанная криптостойкость ряда из них остается под вопросом. Тем не менее желающих поэкспериментировать отправим к краткому обзору имеющихся утилит на базе одной из самых перспективных «постквантовых» криптосистем на основе задач теории решеток.

Неожиданное послесловие

Хотя квантовые компьютеры существенно изменят техническое обеспечение безопасности в Интернете и, быть может, станут причиной нескольких громких скандалов с раскрытием конфиденциальных данных, надо признать, что до всего этого осталось все-таки довольно много лет.

За эти годы на порядок больше инцидентов с утечкой данных произойдет по более прозаическим причинам: ошибки в настройках систем безопасности, уязвимые версии программного обеспечения, плохо выбранные пароли и тому подобное будничное цифровое разгильдяйство.

Именно поэтому тем, кто всерьез обеспокоен сохранностью данных, стоит в первую очередь сосредоточиться на крайне осмотрительном выборе, где хранить свою информацию, каким образом ее передавать, как шифровать и кому доверять. В этом случае есть шансы дожить до изобретения квантовых компьютеров без опасных утечек.

Автор: Serge Malenkovich

Источник: Официальный блог Лаборатории Касперского