Media Review

Квантовая криптография

С появлением квантовых компьютеров классические методы шифрования информации станут бесполезны. Как квантовая криптография сможет защитить наши данные? Директор Центра компетенций НТИ «Квантовые коммуникации» НИТУ «МИСиС» Юрий Курочкин рассказал ПостНауке, можно ли взломать квантовый шифр и когда квантовая криптография появится в наших телефонах.

Как работает обычное шифрование

Еще в античные времена люди столкнулись с проблемой: как передать сообщение, чтобы его не мог понять никто посторонний? Самый известный древний шифр — это шифр Цезаря, когда в алфавите все буквы сдвигались на определенное количество знаков, например на три буквы: А меняется на Г, Б — на Д и так далее. Проблема такого шифра в том, что разгадать его достаточно легко.

Сейчас информация имеет огромное значение не только для государств и больших компаний, но и для каждого из нас. Все мы пользуемся чатами и хотим, чтобы то, что мы пишем, оставалось только между нами и собеседником; чтобы, когда мы оплачиваем что-то картой через веб-форму, номер карты оставался только у нас. Это все обеспечивает криптография.

Что такое обычная криптография? Давайте вспомним фильм «Семнадцать мгновений весны», эпизод, когда Штирлиц слушает радио, записывает числа и потом разбирает сообщение. Он преобразует числа в текст с помощью ключа. Таким ключом может быть все что угодно, например страница книги или карточка со случайными числами. Самое главное — чтобы этот ключ был известен только тому, кто отправляет сообщение, и тому, кто его принимает. В середине XX века было доказано, что если ключ случайный, по длине равен сообщению и используется только один раз, то вскрыть такое сообщение невозможно. Это называется «одноразовый блокнот» — страничка из блокнота, с помощью которой мы расшифровали зашифрованное сообщение, выдернули и сожгли и больше никогда не используем. Но как передать этот блокнот?

Решение этой задачи было найдено в 1970-х годах с появлением асимметричной криптографии. Ее идея заключается в использовании закрытого и открытого ключа.

Продемонстрировать ее можно с помощью алгоритма Диффи — Хеллмана.

Предположим, существует два абонента: Алиса и Боб. Обоим абонентам известны некоторые два числа, g и p, которые не являются секретными и могут быть известны также другим лицам. Для того чтобы создать секретный ключ, оба абонента генерируют большие случайные числа: Алиса — число a, Боб — число b. Затем Алиса вычисляет остаток от деления A = ga mod p и пересылает его Бобу, а Боб вычисляет остаток от деления B = gb mod p и передает Алисе. Даже если злоумышленник может получить оба этих значения, он не сможет вмешаться в процесс передачи и изменить их.

На втором этапе Алиса на основе имеющегося у нее a и полученного по сети B вычисляет значение Ba mod p = gab mod p. Это же делает Боб на основе имеющегося у него b и полученного по сети А. У Алисы и Боба получится одно и то же число К = gab mod p, которое можно использовать в качестве секретного ключа. Злоумышленник встретится с практически неразрешимой (за разумное время) проблемой вычисления, если числа выбраны достаточно большими.

Основная идея асимметричной криптографии в том, что в ней используются задачи, которые легко решить в одну сторону и сложно — в другую. Самой популярной такой задачей является разложение на простые числа. Сделать это гораздо сложнее, чем перемножить два простых числа. И это сложно не только для человека, но и для компьютера, особенно если в этом простом числе сотни знаков. Классическая асимметричная криптография основана на вере в то, что никто не научился решать обратную задачу быстро.

Однако это может сделать квантовый компьютер. Есть два наиболее известных алгоритма квантового компьютера — алгоритм Гровера и алгоритм Шора. Алгоритм Шора позволяет решать обратные задачи экспоненциально быстро по сравнению с классическим. Если квантовый компьютер сможет быстро раскладывать числа, нынешняя система шифрования станет бесполезной. Это произойдет не сразу, потому что поначалу в мире будут единицы квантовых компьютеров. Однако пройдет определенный технологический цикл, и их будет станет не три-пять, а тысячи или десятки тысяч, и тогда проблема надежного шифрования станет критичной не только для государственных учреждений. Чтобы решить эту проблему, можно в первую очередь использовать курьеров, как делали в XX веке и раньше. Но это значит, что в системе будет присутствовать человеческий фактор. Кроме того, ключей придется ждать долго — быстрее, чем доедет машина с курьером, ключ не получить.

Другой подход — так называемая постквантовая криптография с использованием алгоритмов, которые будут устойчивы к алгоритму Шора. Но насколько устойчивы они к другим способам взлома?

Наконец, третьим решением является использование квантовой криптографии, или так называемого квантового распределения ключей.

Квантовое распределение ключей

Принципиальное отличие квантового шифрования заключается в том, что это первая в истории человечества система распределения ключей, для которой есть строгое математическое доказательство того, что она не взламывается — даже со всеми неограниченными вычислительными мощностями и технологиями, которые не запрещены законом физики.

Вот как она выглядит. Есть Алиса и Боб, передатчик и приемник. Алиса берет случайные числа, которые она создает при помощи квантового генератора, и кодирует каждый бит информации, каждый бит ключа в состояние одиночного фотона. Потом она отправляет его Бобу, а Боб измеряет эти состояния. Отличие одиночного фотона, скажем, от конверта с ключом состоит в том, что физика не запрещает вскрыть конверт, прочитать письмо и закрыть назад. То же самое с флеш-памятью или CD-диском. Но если перехватчик Ева попытается посчитать состояние одиночного фотона, это неизбежно его изменит.

Теоретики научились связывать ошибки и возмущения, которые привносятся в состояние, с долей перехваченной информации. И если она достаточно высока, ключ скомпрометирован, и его нельзя использовать, хотя мы передавали случайные биты, а не полезную информацию, и взломщик получил просто-напросто случайные числа, которые никому не нужны. Но если ключ прошел все тесты, если в нем достаточно мало ошибок, мы можем извлечь из него секретную симметричную последовательность битов уже без ошибок и использовать ее для защиты информации, то есть вернуться к той самой задаче, но уже не асимметричной, а симметричной криптографии.

В идеальном случае длина ключа равна длине сообщения. Если нужно передать пару предложений, например, в 200 символов, то с учетом того, что каждый символ занимает 1 байт, или 8 бит, нужно передать 1600 бит. Алиса берет одиночные фотоны, кодирует в них бит и отправляет. Конечно, фотоны летят не через идеальную, а через реальную среду и претерпевают потери в оптоволокне. Но мы помним, что каждый фотон несет уникальный бит информации. Это значит, что, если он потерялся, найдется другой фотон, который дойдет до получателя, будет успешно задетектирован и записан.

С учетом потерь фотонов их нужно принимать и передавать дальше каждые 100 километров, то есть создавать так называемый доверенный узел. Одной из самых сложных задач в квантовых коммуникациях является квантовый повторитель. Он совмещает в себе две технологии. Одна из них — это обмен запутанностью, или квантовая телепортация, вторая — квантовая память. Если научиться телепортировать квантовые состояния, сохраняя их, можно будет передавать квантовые ключи на очень большие расстояния, на тысячи километров, делая узлы недоверенными. Это значит, что, даже если в узле будет находиться подслушиватель, криптография не будет скомпрометирована. Однако на данный момент такая технология не реализована.

Сейчас предельное расстояние одного пролета квантовой криптографии в реальных условиях составляет 100–130 километров. В квантовой сети, соединяющей Пекин и Шанхай, 32 промежуточных доверенных узла. А квантовая память и квантовый повторитель позволят сделать эти узлы недоверенными.

В 2019 — начале 2020 года группа Михаила Лукина в Гарварде совершила большой прорыв, показав квантовую память с тремя параметрами, вышедшими на уровень, необходимый для квантового повторителя. Это параметр времени хранения информации, параметр fidelity, то есть качества, а также вероятность срабатывания, то есть сколько попыток придется сделать, прежде чем пройдет успешная запись считывания. Раньше казалось, что параметры квантовой памяти противоречивы и никогда не смогут работать одновременно. Сейчас первые образцы на центрах окраски в наноалмазах сумели получить квантовую память.

Квантовые протоколы передачи данных

Квантовую криптографию придумали в 1984 году Чарльз Беннет и Жиль Брассар.

Они предложили первый протокол квантового распределения ключа — протокол BB84, который использует для кодирования информации четыре квантовых состояния двухуровневой системы, формирующие два сопряженных базиса. Носителями информации являются двухуровневые системы, или кубиты.

Прежде всего для передачи данных необходим источник света, который отправляет однофотонное состояние. Как его достичь? Можно взять лазерный импульс, в котором в среднем миллион фотонов, и ослабить его в 10 миллионов раз. Это значит, что там будет в среднем 0,1 фотона на импульс. В таком случае из 10 импульсов 9 будут пустыми, в 1 будет содержаться 1 фотон, а в одном случае из 200 будет два фотона. Этот недостаток учитывается при постобработке.

Журнал: Квантовая криптография

У Алисы записано четыре состояния: два нуля и две единицы. Нуль и единица — состояния внутри одного базиса — попарно ортогональны, то есть перпендикулярны. Однако два нуля и две единицы из разных базисов, вертикально-горизонтального и диагонального, взаимно неортогональны. Алиса случайным образом выбирает один из базисов, потом внутри базиса случайно выбирает одно из состояний (0 или 1) и посылает Бобу. Боб проводит измерения в случайном базисе. Только после того, как произошел коллапс волновой функции и квантовое состояние перестало существовать, они объявляют базис, в котором каждый из них проводил измерения, но не объявляют бит.

Получив результаты измерения, они преобразуют свой результат в классический бит, отбрасывают случаи, когда базисы не совпали, и отбирают только те результаты, где они проводили измерения в одинаковом базисе.

Представим себе, что Алиса отправила вертикальное состояние, а Боб использовал диагональный базис в 45°. Что же произойдет, например, с классическим светом, если мы попытаемся разделить вертикальную поляризацию на диагональной? Мы увидим, что половина энергии пошла в плечо, где измеряют +45°, половина энергии — в -45°. Но один фотон — это неделимая частица. Что произойдет с ним? Он пойдет случайным образом и туда, и туда.

На каждом из выходов стоит детектор одиночных фотонов, один отвечает за логический нуль, другой — за логическую единицу. Де-факто это будет генератор случайных чисел, так как независимо от того, какое состояние отправила Алиса, Боб получит случайные 0 или 1. Но после того, как состояние будет измерено, Алиса и Боб объявят базисы и оставят только совпадающие случаи. То есть если Алиса отправила 20 битов, 10 из них выкинули, осталось 10. Посмотрели на ошибки и приняли решение, подходит этот ключ или нет.

Сама квантовая информация в нашем случае не хранится. Она передается по оптоволокну и в момент измерения превращается в классические записи в регистре компьютера Боба. Только после этого происходит сверка базисов — то, что называется постобработкой, — и получение квантового ключа.

Важно, что перехватчик Ева не знает, в каком базисе отправила состояние Алиса, и она тоже вынуждена гадать. И если она измерит состояние в случайном базисе, а потом перешлет то, что получилось, — а в половине случаев она не угадала базис, переслала ошибочное состояние, которое тоже выдаст на приемнике белый шум, — то получится половина от половины, 25% ошибок, что намного выше допустимого уровня.

Как это себе представить? К примеру, летит одиночный фотон, и кто-то пытается узнать его поляризацию. Для этого он берет атом, который взаимодействует с фотоном, и переизлучает его. Когда фотон покидает резонатор с атомом, он оставляет этому атому часть информации о своей поляризации. Но в квантовой механике необходимо учитывать не только влияние фотона на атом, но и атома на фотон. Искажения, вызванные этим влиянием, то есть небольшой поворот угла поляризации, приведут к ошибкам. Порог такой ошибки для квантовой криптографии — 11%. Если уровень ошибок 11% или больше, значит, ключ скомпрометирован, и его нельзя использовать.

Лазер и оптоволокно: как выглядит система квантовой коммуникации

Система квантовой коммуникации будет выглядеть как стандартные оптоволоконные телекоммуникационные элементы, только с добавлением интерферометров. Интерферометр — это место, где фотон может идти двумя различными путями и интерферировать, или взаимодействовать сам с собой, проявляя свои квантовые свойства.

Вся система в сборе будет представлять собой лазер, оптическую схему, систему управления и компьютер, в котором происходит постобработка и выдача ключей. Эта система уже готова к использованию, она устанавливается в телекоммуникационную стойку и подключается к оптоволокну, которое идет по городу. Такие системы уже тестировались с Газпромбанком, Сбербанком, Ростелекомом, Росатомом. Один из тестов со Сбербанком между двумя ЦОДами длится уже больше года.

Однако будущее не за большими системами из оптоволокна, а за волноводными чипами. Существует, к примеру, чип 2×6 мм, который уже можно поместить в сотовый телефон. Многие азиатские и английские компании стремятся добиться успеха в этой области. В России есть компания «ТИН Фотоника», которая развивает волноводные чипы.

Квантовый взлом

Доказательство секретности квантовой криптографии доказано теоретически. Но чтобы соорудить квантовый передатчик, это доказательство нужно превратить в инженерную модель устройства, а инженерную модель — в физическую реализацию; на этих двух этапах убедиться, что инженерная модель строго соответствует доказательству, а практическая реализация — инженерной модели. Самый простой пример — одиночные фотоны. Изначально предполагалось, что будут использоваться истинно одиночные фотоны. Однако потом стали применяться лазерные импульсы, которые могут содержать как 0 фотонов или 1 фотон, так и с какой-то вероятностью 2 фотона и больше. Эту проблему решили только спустя некоторое время, доработав протокол квантовой криптографии и добавив систему Decoy State — неортогональные состояния, которые позволили осуществлять квантовую криптографию с лазерными импульсами, а не просто с истинно одиночными фотонами. Тогда возник вопрос: как обстоят дела с инженерной реализацией этой модели?

Лаборатория Вадима Макарова занимается взломом систем квантовой криптографии и поиском их уязвимостей. Он проанализировал систему, которую разрабатывала канадская команда для спутников, и нашел в ней маленький элемент — калибровочное отверстие, которое убеждается, что весь свет от всех четырех состояний проходит в одинаковом пространственном направлении. Он взял мощный лазер и с его помощью увеличил калибровочное отверстие в несколько раз, и свет от разных состояний стал по-разному заходить в приемник.

Это значит, что, чуть-чуть двигая в пространстве пучок света, можно заставить срабатывать детектор, отвечающий за 0, или детектор, отвечающий за 1, чаще или реже. Такие подходы и называются квантовым взломом, или квантовым хакингом. Правда, в отличие от привычных хакеров, квантовые хакеры в основном все-таки «белые хакеры», которые пытаются взломать что-то не ради информации, а чтобы показать уязвимости.

Ограничения квантовых коммуникаций

Главными ограничениями квантовой криптографии являются скорость распределения ключей и расстояние между передатчиком и приемником. Эту проблему пытаются решить современные физики, которые придумывают новые протоколы, новые оптические схемы, новые методы приготовления измерения квантовых состояний.

Также необходимо постоянно уменьшать количество ошибок. Критичный уровень ошибок — 11%. Чем больше расстояние, на которое передается квантовый ключ, тем больше падает соотношение «сигнал — шум». Сигнал затухает в оптоволокне, а шум остается. Из-за этих засветок в реальном оптоволокне невозможно передавать информацию на сотни километров.

Сферы использования квантовой криптографии. Квантовый блокчейн

Квантовое шифрование можно использовать не только для защиты передачи данных, но и для их распределенного хранения, для защиты блокчейна. С появлением квантовых компьютеров блокчейн-система станет нестойкой: блокчейн очень уязвим к атакам с использованием квантового компьютера. Квантовый компьютер позволит посчитать по номеру кошелька секретный код, с помощью которого можно будет распоряжаться этим кошельком.

Группа ученых РКЦ предложила использовать квантовые ключи для защиты блокчейн-систем. Сегодня в банковских дата-центрах существуют шифраторы, которые используют симметричные ключи, переносимые в том числе вручную. К ним дополнительно устанавливаются системы квантового распределения ключей, а ключи меняются не раз в несколько месяцев, а раз в несколько секунд. С одной стороны, этот механизм уступает одноразовому блокноту, а с другой — дает колоссальное преимущество по сравнению с тем, что есть сейчас.

Квантовую криптографию можно также использовать для распределенного хранения данных. Можно распределять информацию по нескольким дата-центрам и постоянно перемешивать с помощью квантово защищенных каналов. Таким образом, даже если кто-то получит доступ к части этих дата-центров, он не получит всей информации. Это будет работать и в том случае, если часть дата-центров будет разрушена: легитимный пользователь сможет, обращаясь аутентифицированным образом к оставшимся дата-центрам, восстановить всю полезную информацию.

Также квантовые ключи будут полезны для защиты задач аутентификации, которая, по сути, представляет собой проверку «свой — чужой». В данном случае совмещение технологий хэш-функций и одноразового блокнота позволяют проверять, например, пришли данные для системы интернета вещей от управляющего центра или от кого-то другого. Это очень важно, так как через пять-семь лет угроза квантового компьютера может стать реальной. В это же самое время на улицах окажется огромное количество беспилотных автомобилей, которых пока единицы, а будут миллионы. И всем им нужно будет получать сигналы управления и доверенным образом обновлять прошивку, месяцами не взаимодействуя с человеком. Это значит, что им нужно будет получать квантовые ключи и использовать их потом в процессе движения.

Перспективы квантовой криптографии. Спутниковая квантовая криптография

В Китае уже построена национальная сеть квантовой криптографии, которая соединяет Пекин, Шанхай, Хэфэй и Цзинань. В России тоже есть проект дорожной карты по квантовым коммуникациям, который курирует РЖД. Кроме того, российские ученые в сотрудничестве с китайскими коллегами работают над спутниковой квантовой криптографией.

Существует система, присоединенная к телескопу, сопровождающему спутник «Мо-Цзы», выведенный на орбиту в 2016 году. Эта система способна принимать квантовые состояния с низкой орбиты. Атмосфера по вертикали от спутника до Земли имеет примерно такие же потери, как 10 километров на уровне моря. Это значит, что в хороший день можно передавать квантовые ключи «спутник — Земля».

В такой перспективе от серверных решений, которые уже можно приобрести, мы переходим к спутниковым решениям. На горизонте 8–10 лет уже есть перспектива, что эта технология дойдет до конечных пользователей. Тогда, получая сервис «Госуслуг», например, мы сможем загрузить и получить из любого банкомата квантовые ключи в собственный телефон и доверенным образом пользоваться государственными или банковскими услугами.

Главный технологический вопрос сейчас — удастся ли человечеству в обозримом будущем сделать хороший квантовый повторитель, не бесконечно дорогой и не бесконечно сложный, а тот, который можно будет производить и строить. Есть основания полагать, что это станет возможным на горизонте 8–10 лет.


Место проведения: