В современном мире практически все информационные взаимодействия, в которых мы участвуем — будь то оплата покупок, общение в мессенджерах или работа с банковскими счетами — требует защиты. Криптография — это то, что помогает такую защиту обеспечить. Вот несколько примеров:

• Банковские платежи. Когда вы переводите деньги или оплачиваете что-то онлайн, криптография с помощью шифрования не даёт злоумышленникам узнать данные ваших платёжных поручений, а с помощью кодов аутентификации и электронных подписей — не позволяет мошенникам подменить счёт получателя платежа и украсть ваши деньги.
• Мессенджеры. В популярных приложениях, таких как WhatsApp или Telegram, используется шифрование, которое защищает ваши переписки, так, чтобы никто посторонний не мог их прочитать. Интернет. Большинство соединений с сайтами защищаются с помощью протокола TLS (на это указывает буква «S» в аббревиатуре «HTTPS», которую можно увидеть в адресной строке браузера), который защищает ваши данные от чтения и модификации злоумышленниками.
• Документооборот. Крупные предприятия получают существенные преимущества и обеспечивают заметную экономию средств за счёт внедрения электронного документооборота, который полностью базируется на стойкости современных криптографических алгоритмов электронной цифровой подписи.
• Криптовалюты. Электронная подпись защищает владельцев кошельков от кражи средств. Появление квантового компьютера поставит крест на большинстве существующих криптовалют, в частности, на Bitcoin.

Как правило надёжность защиты данных основывается на очень сложных математических задачах. Эти задачи, например, разложение больших чисел на простые множители, настолько сложны, что современным компьютерам требуется тысячи лет, чтобы их решить. Именно это и делает данные и процессы, в которых мы участвуем, защищёнными.

Что такое квантовая угроза

Но скоро всё может измениться из-за появления квантовых компьютеров.

Это не просто более мощные компьютеры, а совершенно новая технология, которая способна решать некоторые математические задачи намного быстрее, чем компьютеры, основанные на классических вычислительных принципах. Например, обычным компьютерам сложно разложить большие числа на множители, а квантовому компьютеру — нет.

Команда исследователей из Шанхайского университета заявила, что им удалось провести первую в мире эффективную атаку на широко используемые методы шифрования криптовалютных кошельков. Учёные использовали мощности протоквантового компьютера D-Wave. Авторы исследования сообщили, что им удалось взломать ключ алгоритма RSA путём факторизации больших целых чисел.

Что такое RSA

RSA (Rivest-Shamir-Adleman) — асимметричный алгоритм шифрования и электронной подписи, разработанный Рональдом Ривестом, Ади Шамиром и Леонардом Адлеманом в конце 70-х годов прошлого века и основанный на довольно простых фактах из теории чисел. В отличие от симметричных алгоритмов шифрования, где для шифрования и расшифрования используется один и тот же ключ, RSA использует пару ключей:

• Открытый ключ для шифрования данных.
• Закрытый ключ для расшифрования данных.

Благо, эта громкая новость осталась без достаточно веского подтверждения, а реалистичность атаки была поставлена под сомнение как отечественными, так и зарубежными криптографами.

Однако факт состоит в том, что мощности современных квантовых компьютеров растут и темпы этого роста увеличиваются. На сегодняшний день надо созданием квантового вычислителя активно трудятся в таких странах, как Россия, США, Канада и Китай. Занимаются этим как крупные корпорации (Intel, IBM, Microsoft, Google), так и академические учреждения (например, МГУ в России). Все это рано или поздно может привести к созданию того квантового компьютера, который похоронит большинство современных криптографических методов защиты информации. А значит, поставит под угрозу все, что мы считаем защищённым: от банковских транзакций до личной переписки. На конференциях и в научных публикациях можно встретить самые разные прогнозы о том, когда это случится: от «никогда» до «в ближайшие десять лет».

Постквантовая криптография, или как защититься от квантовой угрозы

Для начала необходимо понять простую структуру современной криптографии. Она делится на симметричную и асимметричную.

Симметричная - использует один и тот же ключ для прямых и обратных операций (например, зашифрования и расшифрования), а ассиметричная — два разных (например, ключ формирования подписи и ключ проверки подписи). Алгоритмы симметричной криптографии, по сути, останутся стойкими после появления квантового компьютера, а вот алгоритмы асимметричной криптографии будут полностью взломаны.

Казалось бы, напрашивается вывод, что можно просто перейти на симметричную криптографию и отказаться от сложных асимметричных алгоритмов, но, увы, симметричная криптография сама по себе не способна решать задач промышленного масштаба. Так для решения одной из самых важных задач по защите данных, передаваемых между пользователями, алгоритмам симметричной криптографии необходим одинаковый ключ на стороне отправляющего и принимающего. Создаётся же этот ключ у двух сторон именно с помощью асимметричной криптографии. А в такой важнейшей сегодня области, как документооборот, симметричная криптография вообще помочь никак не может и здесь все строится на асимметричных алгоритмах. Таким образом, несмотря на надёжность симметричной криптографии, большинство привычных нам сервисов и услуг обязательно используют асимметричную криптографию, взлом которой квантовым компьютером создаст бреши в их защите.

Как тогда защититься от квантового компьютера?

Подхода всего два:

1. Квантовое распределение ключей (КРК). Это технология основана на принципах физики. Она позволяет безопасно обмениваться ключами шифрования, то есть решать ту самую задачу создания одинакового ключа у отправляющей и принимающей стороны, о которой я упоминал выше. Но на этом, задачи, решаемые с помощью этой технологии, увы, заканчиваются. И это служит основной причиной того, что одной лишь технологией КРК мы ограничиться никак не сможем. Другой недостаток данной технологии - то, что она требует дорогого оборудования и пока не может применяться повсеместно. Кстати, технологию КРК порой называют квантовым шифрованием, но с научной точки зрения это неоправданно.
2. Постквантовая криптография. Здесь речь идёт о создании новых криптографических алгоритмов, которые будут устойчивы к квантовым атакам. Эти новые алгоритмы строятся на таких математических задачах, которые квантовым компьютерам решить так же сложно, как и классическим. Они алгоритмы сложнее и медленнее, чем алгоритмы сегодняшней криптографии, но зато работают на привычных компьютерах и не требуют никакого специального оборудования.

Основные идеи постквантовой криптографии

Постквантовая криптография базируется на совершенно новых математических задачах, которые не способны решить квантовые компьютеры. Вот некоторые направления, в которых сейчас ведутся разработки:

• Помехоустойчивое кодирование. Направление основано на результатах давно и хорошо разработанной теории (это важный плюс), изначально направленной на защиту передаваемых данных от случайных помех при передаче по каналу связи. Минус направления - низкая эффективность (большое время работы и большие размеры параметров) таких алгоритмов на практике.
• Алгебраические решётки. Направление основано на сложной математической теории. Оно менее проработано, чем предыдущее, но зато представляется наиболее перспективным за счёт более высокой эффективности создаваемых алгоритмов.
• Хэш-функции. Направление удивительно тем, что для создания асимметричного алгоритма используется алгоритм симметричной криптографии. Оно хорошо обоснованно. Однако позволяет создавать алгоритмы электронной подписи, но никак не алгоритмы шифрования.

Какие задачи ещё предстоит решить

Мировое сообщество уже активно готовится к квантовой угрозе. В США, например, Национальный институт стандартов и технологий (NIST) запустил конкурс, чтобы выбрать новые, безопасные для квантовой эры криптографические алгоритмы.

В России работа по разработке постквантовой криптографии ведётся в рамках Технического комитета по стандартизации (ТК26). Ведущие специалисты в сфере криптографии работают над новыми алгоритмами, которые смогут защитить данные от квантовых атак.

Исследователи всего мира пытаются найти слабые места в новых алгоритмах, чтобы сделать их ещё более безопасными и надёжными. И внедряют эти решения в международные протоколы безопасности, что служит шагом к глобальной защите данных.

Однако несмотря на большой прогресс, постквантовая криптография пока ещё только развивается. Есть несколько ключевых задач на будущее:

• Укрепление уверенности в защите. Новые алгоритмы нужно тщательно проверять и тестировать, чтобы убедиться, что они действительно защищены от всех возможных атак.
• Создание новых систем с нуля. Необходимо разработать все с чистого листа: от цифровых подписей до сложных схем проверки данных без их разглашения.
• Стандартизация и внедрение. Нужно разработать стандарты и внедрить новые технологии — это следующий важный шаг, чтобы защитить нашу информацию в квантовую эру.

Таким образом, постквантовая криптография - необходимость. Важно разрабатывать такие системы, которые смогут противостоять будущим угрозам. Тем же, кто в непосредственных разработках не участвует, но кому квантовый компьютер несёт угрозу (а это, по сути, все — и граждане, и предприятия), следует внимательно следить за новостями (в частности, на сайте ТК26) и обновить своё ПО, как только появятся квантово-защищённые и достаточно проверенные версии.

Автор: Евгений Алексеев, кандидат физико-математических наук, начальник отдела криптографических исследований КриптоПро