Блуждая по залам конференции RSA 2018, я никак не мог отделаться от назойливого ощущения неопределенности. Ею были пропитаны практические все дискуссии про квантовые компьютеры и угрозу, которую они несут для кибербезопасности, а если точнее – для криптографии. Во время открывающей конференцию традиционной дискуссионной панели криптографов, «рост мощности квантовых компьютеров» назвали в ряду главнейших угроз для отрасли. Однако точно сказать, когда нужный порог мощности будет наконец-то достигнут, затрудняются даже мэтры индустрии. Давайте же попробуем соединить вместе крупицы знаний о так называемой угрозе квантовых компьютеров, собранных в разных залах, чтобы получить хотя бы нулевое приближение понимания.
Неопределенность — естественное понятие для квантовой механики, но в повседневной жизни и тем более в бизнесе мы стараемся её избегать. Человеческой природе, за редкими исключениями, вообще присущ страх перед неопределенностью. Именно поэтому многие представители отрасли выражают опасения, что в один далеко не прекрасный день все наши зашифрованные данные могут оказаться под угрозой по вине квантовых вычислений. Эти опасения имеют под собой почву, имя которой — квантовое превосходство.
Возможно, вы уже слышали этот термин. Он описывает состояние технологического развития, когда квантовые компьютеры будут способны решать задачи, которые не по зубам даже самым мощным классическим компьютерам. Одна из таких задач, не представляющая специального интереса для ученых, но очень важная для специалистов по криптографии — разложение чисел на сомножители. Ее решение требует очень больших компьютерных мощностей и временных затрат, при этом проверку результата можно провести сравнительно легко и быстро (просто перемножив найденные числа). Именно сложность подбора множителей лежит в основе критериев определения надежности почти всех современных методов шифрования.
Однако критерии достижения квантового превосходства были сформулированы относительно недавно. Лучше всего они объясняются в этой статье Nature Physics. Редакторы Nature Physics оценивают пороговое значение вычислительной мощности квантового компьютера, при которой может быть достигнуто квантовое превосходство, — примерно в 50 кубитов. Таким образом, 72-кубитный Google Bristlecone, о создании которого сообщили месяц назад, должен раскладывать числа на простые множители лучше, чем самый мощный из существующих сегодня суперкомпьютеров. Так что, пора срочно принимать меры?
И да и нет. Добро пожаловать в мир квантовой механики, где никто никогда ни в чем не уверен, — «да» и «нет» являются верными ответами одновременно. Конечно, я шучу. На самом деле, если ни вы, ни ваши клиенты не храните зашифрованные данные в течение длительного срока, вам волноваться не о чем. В ином случае соломку лучше все-таки подстелить.
Но какой срок можно считать длительным? Сколько времени у нас остается на подготовку к неизбежному? Ответ будет разным для разных алгоритмов шифрования. Во время выступления на RSA Константинос Карагианнис (Konstantinos Karagiannis), технический директор по кибербезопасности BT Americas, высказал мнение, что симметричные алгоритмы (DES, AES) с 512-значными ключами будут расколоты первыми. Как только количество кубитов превысит 100, квантовые компьютеры начнут подбирать 512-значные ключи за считаные минуты. А вот асимметричные алгоритмы (например, RSA) с 4096-значными ключами можно будет расшифровать за аналогичный срок только с помощью 1000-кубитных компьютеров.
Как видите, даже Bristlecone пока слабоват. Давайте попробуем оценить, сколько у нас есть времени если предположить, что закон Мура соблюдается и для квантовых компьютеров. Таким образом, если взять за точку отсчета март 2018 года, можно предположить, что симметричный код с 512-значным ключом будет взломан гипотетическим 144-кубитным потомком Bristlecone где-то в конце 2019 года. В этом случае асимметричное шифрование с 4096-значными ключами останется надежным еще лет шесть: у нас будет время на подготовку до 2025 года, в котором может появиться компьютер мощностью примерно 1152 кубитов. Это, конечно, очень условный прогноз, который не учитывает, что новые технологии далеко не сразу начинают широко использоваться. Но уточнить его, к сожалению, никак нельзя: даже мощнейшие современные суперкомпьютеры не могут смоделировать квантовые машины такой производительности.
Однако кое-какое представление о будущем такое предсказание все-таки дает. Если вы не планируете хранить зашифрованные данные дольше шести лет, вам волноваться не о чем: международные или национальные регуляторы наверняка придумают квантово-устойчивые алгоритмы шифрования (их еще называют постквантовыми) задолго до 2025 года. Таким образом, вам стоит либо не шифровать хранимые данные совсем (впрочем, это не самая удачная мысль), либо регулярно их перешифровывать (в рамках, скажем, регулярных проверок целостности хранимой информации), используя все более надежные алгоритмы.
Если вы не хотите дожидаться, пока регуляторы скажут свое веское слово, можно использовать гибридные технологии — комбинации существующих передовых методов шифрования, таких как RSA с ключами достаточной длины, и, например, алгоритмов на основе эллиптических кривых (ECC). Первые нельзя расшифровать классическими методами, а вторые считаются квантово-устойчивыми, хотя современные компьютеры их взламывают. Возможно, эта комбинация защитит ваши данные, — хотя бы до появления устоявшихся постквантовых стандартов. Пока же рекомендую следить за разработками и внедрять новые алгоритмы шифрования сразу же, как их проверят на квантовую устойчивость.
На отсутствии у цифровых компьютеров необходимых мощностей по быстрому вычислению сомножителей основаны и другие технологии, в первую очередь, блокчейн — а значит, и он может пасть жертвой квантовых вычислений. Из всех криптовалют пока только Ethereum во всеуслышание объявила о стратегическом плане по внедрению квантовой устойчивости. Стоит также упомянуть, что одноразовые шифроблокноты (классический метод, разработанный еще в 1882 году) также по природе своей неуязвимы для квантового взлома. Оптоволоконные сети с квантовым распределением ключей, которые уже доступны крупным и среднего размера компаниям, также могут решить проблему грядущего коллапса неопределенности. Может быть, даже в долговременной перспективе — но это неопределенно.