Регистрация

Зачем нужны квантовые рельсы и как будут спасать данные в постквантовом мире

18 сентября 473 0

Источник: Хайтек.

С появлением квантовых компьютеров большинство современных методов защиты информации станут бесполезны: новые вычислительные устройства смогут подбирать ключи шифрования для популярных криптографических протоколов практически моментально. Однако вместе с орудием для взлома появляются и принципиально новые методы защиты данных. Квантовые коммуникации и постквантовая криптография способы обеспечить максимальный уровень защиты данных. Как развивается эта область, какие индустрии вырываются вперед и причем здесь железные дороги, разобрал руководитель научной группы «Квантовые информационные технологии» в Российском квантовом центре, профессор МФТИ Алексей Федоров.

Что такое квантовые коммуникации

Предлагаю начать с азов и взглянуть на само словосочетание. В нем есть слово «квант» и есть «коммуникация». Коммуникация — набор технологий для передачи информации. В современном мире мы передаем информацию, кодируя ее в какие-либо физические сигналы: например, передавая данные в виде световых импульсов по оптоволоконному кабелю. В квантовых коммуникациях, в отличие от традиционных, в качестве носителя выступают не обычные световые импульсы достаточно большой мощности, а квантовые сигналы, то есть те, которые обладают существенной квантовой природой. Оказывается, что в ряде случаев они дают возможность решать совершенно недоступные ранее задачи.

Наиболее развитое направление в рамках технологии — квантовая криптография, или, более точно, квантовое распределение ключей. Это совокупность методов, направленных на выработку между удаленными пользователями общего секретного ключа, который в дальнейшем используется для шифрования.

Еще одна задача квантовых коммуникаций — передача квантовой информации между квантовыми компьютерами. Технологии плавно идут к развитию распределенных квантовых вычислений, то есть к созданию, например, центрального квантового компьютера и множества периферийных машин, которые решают часть подзадач и передают данные друг другу. Альтернативой этому может быть набор связанных между собой удаленных квантовых процессоров. В феврале 2021 года группа исследователей из Германии продемонстрировала возможность передачи квантовой информации между двумя модульными квантовыми процессорами. Результаты эксперимента опубликовал журнал Science. Это важный шаг в развитии технологий, который показал, что увеличивать мощность квантовых вычислительных технологий возможно за счет объединения нескольких устройств в сеть.

Интересная технологическая особенность состоит в том, что если в квантовых компьютерах мы выбираем платформу, которая наиболее эффективно подойдет для решения тех или иных задач, то с обменом квантовой информацией все очевидно: лучше всего справляются фотоны, то есть частицы света. Альтернатив практически нет. Поэтому исследователи уже осознают, какой будет элементная база. Единственная сложность заключается в том, чтобы квантовую информацию, возникающую, например, в рамках работы сверхпроводникового квантового компьютера, каким-то образом транслировать в фотон, который можно передать на большие расстояния. А после снова преобразовать в ту форму, которая доступна квантовому компьютеру. Если квантовая криптография — понятный технологический фронт, который находится в очень высокой степени готовности, то область квантовых коммуникаций, связанная с обменом квантовой информацией между квантовыми компьютерами — большая задача, которая находится на достаточно ранней стадии.

В то время, как в квантовых вычислениях принято говорить о квантовом объеме — увеличении числа кубитов и точности операций, в квантовых коммуникациях в широком контексте пока не существует единственной метрики. В квантовой криптографии ученые фокусируются на скорости генерации ключа на какое-либо расстояние. Чаще всего рассматривается скорость генерации ключа на 50 км, что позволяет сравнивать разные устройства. Порой также изучают какие-то предельные характеристики, например, максимальное расстояние для генерации ключей.

Железнодорожные кванты

Вокруг железнодорожной транспортной системы существует несколько областей, в которых квантовые коммуникации (и криптография в том числе) могут быть полезны.

В первую очередь, это история про оптоволоконные кабели. Оптоволоконный кабель — один из основных инструментов для передачи квантовой информации. В квантовой криптографии мы используем его для того, чтобы передавать фотоны, которые позволяют сформировать криптографические ключи.

Во-вторых, сама железнодорожная инфраструктура — набор сложных технических объектов, который необходимо защищать. В идеале, если бы у нас было квантовое распределение ключей вдоль железнодорожных линий, мы смогли бы за счет этих квантовых ключей решать задачи информационной безопасности, возникающие в железнодорожной отрасли.

И, напоследок, многие железнодорожные маршруты — не только транспорт людей, но и транспорт большого количества разнообразных данных. Например, Москва — Петербург, один из флагманских проектов РЖД. Ценность маршрута очевидна: существует колоссальное количество пользователей данных в Москве и не меньшее количество — в Петербурге. Они обмениваются большим объемом значимой информации, нуждающейся в защите, поэтому идея использования квантовой криптографии без сомнений экономически оправдана.

Обычно осуществление квантового распределения ключей между двумя точками А и B, удаленными на расстояние более сотни километров, осуществляется за счет добавления дополнительных промежуточных доверенных узлов на маршруте от A к B. Подобная сеть называется «позвоночником» (на англ. backbone — «Хайтек»). В мире возможна и кольцевая структура: когда часть кольца выходит из строя, информацию можно пустить по другой части кольца. При устройстве системы по типу «звезда» работают центральный офис и периферийная архитектура — они подходят для распределенной архитектуры. Могут быть замкнутые и открытые структуры, разветвленные, вроде сети Пекин — Шанхай, это своеобразный «позвоночник» с набором междугородних сетей.

Квантовая и постквантовая криптографии

Не стоит считать, что криптография — исключительно удел компаний в финансовом или банковском секторе, она касается каждого. Все мы вынуждены обмениваться данными в зашифрованном виде, поскольку часть информации, которой мы пользуемся, на самом деле обладает высокой ценностью. Например, мы хотим сделать покупку в интернете при помощи кредитной карты. Для этого нам необходимо каким-то образом передать банку данные кредитной карты, но так, чтобы банк сумел списать деньги, а злоумышленник — нет.

Парадигма криптографии строится на том, что метод преобразования злоумышленнику известен. То есть он знает, как мы шифруем, но не знает единственного секретного параметра шифрования — криптографического ключа. Значит, чтобы реализовать цикл шифрования, нам необходимо каким-то образом обменяться криптографическим ключом с получателем информации.

Как можно передавать ключи? Для решения этой задачи на уровне государств и компаний использовались специальные курьеры. Частично метод реализуется и по сей день — например, дипломатами. Минусы такого подхода очевидны: это сложно, экономически нецелесообразно и функционально подходит лишь для совсем небольшого ряда операций — купить книгу в интернете так не получится.

Где-то в середине 70–80-х годов появилась новая концепция — криптография с открытым ключом. Идея заключается в том, что мы можем выработать криптографический ключ путем реализации некоторого набора математических процедур. Так, нам, легитимным пользователям, надо будет выполнять только эффективные математические операции, например, умножение чисел. А злоумышленникам, чтобы получить доступ к нашим ключам, необходимо будет реализовывать сложную операцию — например, разложение чисел на простые множители.

Эта концепция прекрасно работает и сегодня, но в какой-то момент стало ясно, что в момент появления достаточно мощного квантового компьютера текущее поколение алгоритмов, построенное на задачах типа разложения чисел на простые множители, перестанет быть устойчивым. Понадобятся новые средства выработки криптографических ключей, поскольку главным уязвимым элементом криптографии при появлении квантового компьютера станет распределение ключей и цифровые подписи.

Существует два принципиальных новых подхода по решению проблемы. Первый — квантовая криптография, то есть квантовое распределение ключей (которое мы описали ранее). Квантовая криптография работает следующим образом: мы кодируем биты информации в одиночные квантовые состояния света (фотон) и передаем их. По уровню ошибок при передаче можно сразу определить степень вмешательства злоумышленников. Если уровень ошибок не превышает определенный порог, мы говорим, что можем специальным образом сократить свои ключи таким образом, чтобы информация перехватчика о сокращенных ключах была пренебрежимо малой. Эта процедура называется «усилением секретности» и необходима для получения финальных секретных ключей.

Таким образом, мы решаем проблему распределения криптографических ключей при наличии у злоумышленников квантового компьютера, поскольку с помощью квантового компьютера нельзя взломать квантовую криптографию. Преимущества: фундаментальная, основанная на физике, защищенность. Недостатки: ограничения по расстоянию, по стоимости и скорости генерации ключей. Также важно отметить, что системы квантового распределения ключей представляют собой сложные программно-аппаратные комплексы. Несмотря на то, что защищенность квантово-сгенерированных ключей доказывается на основе аксиом квантовой механики, всегда остается опасность наличия уязвимостей при конкретной физической реализации.

Второй подход — постквантовая криптография — идея создания новых асимметричных криптографических алгоритмов, построенных не на задачах разложения чисел на простые множители, а на других сложных математических задачах, при решении которых квантовый компьютер не будет иметь преимуществ. Например, поиск коллизии хеш-функции. Получается, если строить подпись или распределение ключей на таких, как говорят, постквантовых примитивах, мы сможем защититься от атак с использованием квантового компьютера.

Постквантовая криптография сегодня достаточно хорошо развита: уже представлены коммерческие библиотеки, решения, продукты. Сейчас технология проходит стадию стандартизации: и в России, и в мире идет процесс принятия того, какие именно решения будут стандартизированы. Думаю, что на горизонте 2024 года стандарты будут закреплены. Преимущества технологии: простота и высокая скорость интеграции (поскольку речь идет о софте), регулярные обновления ПО. Уже сегодня такие решения применяются, чтобы усилить защиту ценных данных широкого спектра сервисов и приложений корпоративных пользователей и физических лиц (веб, мобильные и десктоп-приложения). Основной недостаток — секретность постквантовой криптографии все еще основывается на некоторых предположениях о сложности решения определенных классов математических задач. Всегда есть некоторая гипотетическая вероятность того, что появится «постквантовый» компьютер, с помощью которого можно будет взламывать и постквантовые алгоритмы. В отличие от квантового распределения ключей. Здесь нет фундаментально доказуемой стойкости — такие алгоритмы продолжают изучаться с точки зрения их стойкости.

Стоит отметить, что эти две технологии могут быть очень удачным образом скомбинированы. Так, высоконагруженные магистральные каналы передачи данных между, например, дата-центрами крупных компаний могут быть защищены с помощью квантовой криптографии. А наша переписка или банковская транзакция на тысячу рублей — с помощью постквантовой криптографии. То есть квантовую и постквантовую криптографию надо не противопоставлять, а продуктивно думать о них как о синергичных технологиях. Просто одна больше направлена на уровень стека, связанный с инфраструктурой, а другая связана с пользователем.

Стандарт квантовой криптографии также пока формируется. Стандартом станет конкретный протокол, то есть конкретный способ того, какое квантовое состояние нужно взять, как его приготовить и измерить, что с ним сделать дальше. Пока есть один кандидат в стандарты — протокол BB84 с обманными состояниями. Этот протокол гарантирует секретную генерацию ключа. Но новые протоколы появляются постоянно.

Квантовый блокчейн и стартапы

Большое внимание последние годы уделялось технологии блокчейнов — технологий для управления распределенными базами данных. Блокчейны используют два важных криптографических инструмента. Во-первых, электронные подписи для подтверждения авторства транзакций, которые мы хотим направить в блоки. Во-вторых, разнообразные методы достижения консенсуса. Например, один из методов — доказательство работы (на англ. proof-of-work — «Хайтек») — базируется на криптографических хэш-функциях.

Блокчейн уязвим против квантового компьютера в частности, если используются электронные подписи и механизмы консенсуса, которые неустойчивы к атакам с квантовым компьютером. Однако возможно создать блокчейны, которые устойчивы к таким атакам — квантово-защищенные (квантовые) блокчейны. Квантовый блокчейн использует либо квантовую, либо постквантовую криптографию (или комбинирует их) и позволяет сделать подписи и консенсус более устойчивыми по отношению к квантовому компьютеру.

При условии интереса российских пользователей можно ожидать появление квантового блокчейна в стране в перспективе двух-трех лет. Первоначально необходимо создать инфраструктуру сетей квантовых коммуникаций, на которой в дальнейшем будет создана распределенная система.

Квантовые коммуникации — наиболее популярное направление для работы российских стартапов. На рынке работает несколько подразделений крупных компаний, вендоров классической информационной безопасности. Это стартапы на базе университета ИТМО, компании «Кванттелеком», подразделения компаний, специализирующихся на информационной безопасности, «ИнфоТеКС» и «Криптософт». QRate — спин-офф Российского квантового центра с 2017 года. Стартапы чаще работают с помощью грантов и частных инвестиций. Венчурные сделки в России мне пока неизвестны.

Интернет вещей и квантовая защита

Многие устройства интернета вещей — сенсоры — могут быть как классическими, так и квантовыми. Скажем, у нас есть набор классических сенсоров, устройств интернета вещей, шлюзов контроля, которые обладают конфиденциальной информацией. Чтобы их соединить между собой, нужен протокол криптографической защиты — опять же квантовые коммуникации.

В данном направлении пока существуют только прототипы, которые защищают отдельные элементы или устройства — говорить о промышленных масштабах еще рано. Сперва миру необходимо понять ценность направления, выбрать устройство интернета вещей, которое нуждается в защите и эффективной реализации квантовой коммуникации. Кроме того, нужно преодолеть ряд технических барьеров.

На сегодняшний день не совсем ясно, что именно в интернете вещей нужно защищать на таком высоком уровне. Однако по мере распространения технологии интернета вещей будет расти и ценность информации, и ценность ее взлома. В теории взлом может быть особенно опасен на полностью автоматизированном производстве. Так, если сенсоры будут передавать в центр принятия решения некорректную информацию, решения будут приниматься неправильно, и экономический ущерб от такой атаки может быть достаточно ощутимым.

Пять индустрий, в которых квантовые коммуникации будут применимы в ближайшее время

  1. Финансы. Банки — первые адепты новых технологий.
  2. Госсектор. Здесь коммуникации связаны с данными пользователей, государственными системами, выборами, то есть всеми сферами, в которых важен высокий уровень защиты.
  3. Телекоммуникации. Сервисы удаленного хранения информации (им также важна хорошая защита). Данные для хранения могут быть зашифрованы квантовым способом.
  4. Медицина. В мире собирают все больше генетических данных, которые определяют всю жизнь человека и ее особенности. В ряде стран уже идет процесс по наделению юридической силой части генетических данных человека, приравнивая их к паспортным данным. Их также важно защищать от атак и манипуляций.
  5. Энергетика. Важно защищать управление крупной инфраструктурой, системы автоматизации, передачи энергии. Уже сейчас во многих точках таких систем используется криптография.

Квантовые коммуникации в мире и в России

Квантовые коммуникации во всем мире стали частью национальных программ по квантовым технологиям. Мировым лидером специалисты считают Китай, но коммуникации активно развиваются и в Европейском союзе. Японская компания Toshiba содержит лабораторию в Кембридже, несколько проектов работают в Великобритании, в США (но последние все же больше фокусируются на квантовых вычислениях).

Сфера квантовых коммуникаций в России выглядит инвестиционно привлекательной. Технологический уровень российской квантовой криптографии сегодня сопоставим с общемировым, а некоторые решения по постобработке ключей выглядят лучше мировых аналогов.

Как у любой достаточно молодой технологии, у квантовых коммуникаций есть определенные сложности с повсеместным развитием. Пока в мире не произошел прецедент со взломом или хищением какой-либо ценной информации с помощью квантового компьютера, квантовое шифрование выглядит больше как страховка. Люди не понимают, реализуется ли его потенциал в полной мере, что в свою очередь осложняет привлечение инвестиций. Для доказательств потенциала нужен хотя бы один взлом. Также для его раскрытия российскому рынку не хватает проектов вроде дорожной карты; массового производства устройств и попыток улучшить их.

Не все компании открыто делятся данными о том, на какой стадии разработки находятся их решения. У QRate есть завершенный продукт, готовый к промышленному использованию, его тестируют потенциальные клиенты — например, «Газпромбанк». Сбер также в течение года тестировал системы компании на отказоустойчивость. Стартап развивает технологию квантовой коммуникации с фокусом на оптоволоконную реализацию.

В декабре 2020 года стартовало строительство магистральной квантовой сети Москва — Санкт-Петербург силами РЖД. Это линия, которая будет состоять из сегментов на расстоянии 100–200 км. Они нужны для снижения потерь при передаче сигнала, перешифрования сигнала в узлах. Классические доверенные узлы в сети используются, потому что пока недостаточно развиты квантовые повторители (еще одна из больших научных задач). В целом эта сеть — пример экономически оправданного проекта в сфере квантовых коммуникаций с большим количеством данных, которые циркулируют между Москвой и Санкт-Петербургом. Сеть поможет в том числе защищать каналы связи, по которым будут управляться беспилотные «Сапсаны» и «Ласточки».

Нажимая на кнопку "Подписаться", Вы соглашаетесь с условиями Политики в отношении обработки персональных данных и даете согласие на обработку персональных данных