5 марта, 2019, BIS Journal №1(32)/2019

От лаборатории к бизнес-приложениям


Шагов Михаил

главный инженер Отдела средств защиты (Сбербанк)

Федоров Алексей

руководитель группы (Российский квантовый центр)

«Квантовый скачок» в масштабах Сбербанка

Криптография прочно вошла в нашу повседневную жизнь. Мы используем её практически повсеместно: при передаче данных в Интернете, в клиент-банках, при создании электронных подписей на сайте госуслуг, в мобильных приложениях и мессенджерах. Именно на использовании криптографических методов основаны популярные технологии блокчейна и биткоина.

Почему это стало возможным? Распространению криптографии поспособствовала элегантная математическая идея — использование односторонних функций. Их основное свойство состоит в лёгкости вычисления функции по известному аргументу и одновременно сложности вычисления аргумента по известному значению заданной функции. Примером односторонней задачи выступает факторизация: перемножить два простых больших числа легко, тогда как сказать, из каких простых множителей состоит заданное число, вычислительно сложно. Именно на предположении о сложности решения некоторых классов математических задач основывается современная криптографическая защита информации.

КВАНТОВЫЙ КРИПТОАНАЛИЗ

В 1994 году Питер Шор из Массачусетского технологического института (MIT) продемонстрировал, что на квантовом компьютере, который для проведения вычислений использует квантовые частицы, задачи, лежащие в основе современных алгоритмов криптографии с открытым ключом, могут решаться многократно (экспоненциально) быстрее, чем на классическом. В основе работы квантового компьютера лежат феномены квантовой физики, которые не имеют классических аналогов. Например, мы привыкли, что регистр компьютера представляет собой набор бит, каждый из которых принимает значение 0 или 1. Квантовый аналог регистра находится одновременно во всех возможных состояниях, потому что каждый квантовый бит (кубит) в силу принципа суперпозиции является одновременно и 0, и 1. Это позволяет добиваться преимуществ при решении определённого класса задач,
к которым относится криптоанализ алгоритмов с открытым ключом RSA и протокол Диффи-Хеллмана. Кроме того, Лов Гровер предложил алгоритм, предназначенный для поиска по неупорядоченной базе данных. Он позволяет существенно снизить сложность задачи перебора. Это оказывает влияние на стойкость симметричных криптографических алгоритмов, таких как AES и ГОСТ, однако не столь существенную, как в случае алгоритмов RSA и Диффи-Хеллмана. Сегодня квантовый криптоанализ — активно развивающаяся научная дисциплина на стыке квантовой теории информации и классической криптографии. Её цель — использовать существующие методы и разработать новые алгоритмы для криптографического анализа с учётом возможностей «квантового противника».

Если вернуться к истокам математической теории криптографии, то можно задать вопрос: почему системы с открытым ключом стали так популярны? Со времён Шеннона мы используем криптографию, стойкость которой основывается на секретности ключей. Чем больше наша уверенность в том, что ключ неизвестен злоумышленнику и меняется достаточно часто, тем выше надёжность криптографического метода. При этом есть одна система, которая является абсолютно стойкой и не требует никаких предположений — шифр одноразовых блокнотов, или шифр Вернама. В ней кроме того, что ключ является случайным и секретным, необходимо, чтобы его размер был равен размеру сообщения и использовался только один раз. Однако практическое использование этой системы затруднено, поскольку требуется надёжный способ для распределения ключей. Криптография с открытым ключом — практический способ, но, как показывает практика, выбранные алгоритмы не всегда способны гарантировать долгосрочную безопасность. Они уязвимы с точки зрения развития алгоритмов и наращивания вычислительных мощностей злоумышленника. Интересный исторический факт состоит в том, что обоснование абсолютной стойкости одноразового блокнота независимо получил В. А. Котельников. Однако эта работа не получила широкого распространения из-за того, что была опубликована в засекреченном отчёте.

Квантовая угроза, таким образом, бросает новый вызов: как обеспечить защищённое распределение ключей с учётом возможностей квантового компьютера?

КВАНТОВАЯ КРИПТОГРАФИЯ

Вместе с орудием атаки в виде квантового компьютера технологии позволяют нам создать достаточно эффективную систему для распределения криптографических ключей, секретность которых гарантируется законами физики. Квантовые сигналы,
в отличие от классических, нельзя скопировать или измерить без того, чтобы не внести возмущение — такое умение злоумышленника противоречило бы законам природы. Поэтому если мы передаём информацию с использованием одиночных квантовых объектов, то получаем систему, которая всегда позволяет обнаружить вмешательство.

На практике для этого используются так называемые протоколы квантового распределения ключа. Первый протокол был предложен больше 30 лет назад Чарльзом Беннетом и Жилем Брассаром. Он основывается на процедуре приготовления поляризационных состояний фотонов или квантов электромагнитного поля. Любая попытка атаки «человек посередине» может быть зарегистрирована именно из-за того, что злоумышленник неизбежно «портит» квантовые состояния при передаче. При этом предполагается, что злоумышленник может совершать любые действия и иметь любые ресурсы, которые не противоречат законам физики, включая квантовые компьютеры.

Технология квантового распределения ключей часто называется квантовой криптографией, хотя решается именно задача распределения ключей. Уже сейчас она активно используется на рынке. Например, компания ID Quantique из Швейцарии предоставляет уже несколько поколений устройства для квантового распределения ключей. В некоторых городах (например, Женеве, Вене, Токио, Пекине, Шанхае) созданы городские сети передачи данных, защищённые путём использования квантового распределения ключей. Линия безопасной передачи информации с помощью квантовых устройств использовалась для обеспечения связи во время федеральных выборов в Швейцарии в 2007 году. Широкую известность получило применение квантовых устройств безопасной передачи информации во время чемпионата мира по футболу в 2010 году. В 2018 году было объявлено, что доля компания ID Quantique переходит корейской телекоммуникационной компании SK Telecom.

Активную работу в направлении квантовой криптографии ведёт компания Toshiba. Её эксперименты демонстрируют рекордные скорости генерации квантовых ключей.

В мировом масштабе лидирует Китай. Построена «квантовая» сеть Пекин-Шанхай протяжённостью 2 000 км, которая включает четыре локальных городских квантовых сети. К ней подключены 12 китайских банков и компания Alibaba. Они используют систему квантового распределения ключей для обмена регуляторной информацией и защиты пользовательских данных. К 2020 году планируется увеличить протяжённость сети до 11 000 км. Квантовая криптография реализуется как с использованием волоконных линий, так и в открытом пространстве. Например, в режиме Земля — спутник может быть реализовано глобальное распределение криптографических ключей. Китайские учёные уже провели квантово-защищённую видеоконференцсвязь через спутниковое распределение ключей между Пекином и Веной.

При внедрении технологий квантового распределения ключей есть несколько принципиальных трудностей. Во-первых, проблема расстояния. Из-за оптических потерь возникает потребность в повторителях, построенных на основе доверенных узлов или полностью квантовых устройств. Типичные расстояния для передачи ключей — 80-100 км в «полевых условиях» и порядка 400 км в лаборатории. Полностью квантовые повторители на данный момент не построены, тогда как использование классических повторителей каждые 100 км достаточно затратно. Тем не менее Китай занимается развитием именно сетей с классическими повторителями.

Вторая проблема — скорость распределения ключей. Характерные скорости составляют 10-100 кбит/с, рекордные — порядка 1 Мбит/с. Их сейчас недостаточно для работы в режиме одноразовых блокнотов. Поэтому на практике такие системы используются в гибридном режиме: для более частого обновления ключей в уже существующих системах симметричного шифрования, например, AES.
В эксперименте ID Quantique ключи менялись примерно раз в минуту.

Из эти двух проблем вытекает третья — экономическая. Такие устройства целесообразно использовать для долгосрочного хранения стратегически важной информации, тогда как для широкого распространения потребуется время. По этому пути идут мировые лидеры, защищающие критически важную инфраструктуру
с использованием квантовой криптографии уже сегодня.

КВАНТОВАЯ КРИПТОГРАФИЯ В БИЗНЕС-ПРИЛОЖЕНИЯХ

Несмотря на эти трудности, квантовая криптография может быть внедрена
в практическое применение уже сейчас. Квантовое распределение ключа — это источник симметричных ключей. Спектр применения таких ключей достаточно широк. Например, их можно использовать для построения защищенных VPN-туннелей. Такой метод защиты очень популярен в коммерческих приложениях, поэтому все ведущие производители шифраторов предоставляют устройства — криптошлюзы, использующие симметричные ключи. Совместная работа устройств квантового распределения ключей и устройства для построения VPN-туннелей была продемонстрирована Российским квантовым центром и Сбербанком.

Рис. 1. Устройства квантового распределения ключей

В результате реализована схема по защите обмена информацией между территориально распределёнными площадками — офисами Сбербанка. Для этого задействованы два канала связи:

первый канал предназначен исключительно для организации взаимодействия квантовых устройств QKD (quantum key distribution) — разработки Российского квантового центра и компании QRate — для передачи квантовых состояний;
по другому каналу связи передаются пользовательские данные, криптографически защищённые VPN-туннелем между двумя программно-аппаратными комплексами.

Рис. 2. Устройства квантового распределения ключей

Принцип работы заключается в следующем: одно из устройств RQC/QRate постоянно вырабатывает ключевой материал и при помощи специального API передаёт эти ключи потребителю. Второе устройство после необходимых проверок на компрометацию и исправление ошибок формирует симметричные криптографические ключи. В свою очередь VPN-построители используют эти ключи для организации криптографического туннеля. Протокол построения такого туннеля основан на использовании «двухкомпонентного» ключа, формируемого на основе собственного долговременного симметричного ключа и «квантового» ключа, полученного от квантового устройства QKD.

Режим работы VPN-туннеля может быть изменён в случае компрометации ключей и
в аварийных ситуациях, когда квантовое устройство недоступно для выдачи ключа по какой-либо причине. Тогда VPN-построители задействуют только собственные ключи, а в строгом режиме остановят передачу информации до восстановления обмена с устройствами квантового распределения ключей.

Рис. 3. Схема оптического канала между офисами Сбербанка

По своим техническим характеристикам устройства квантового распределения ключей RQC/QRate находятся на уровне мировых стандартов: скорость приготовления и измерения квантовых состояний достаточно высока. Это позволило даже на достаточно «шумной» линии, когда при потерях порядка 14 дБ использовалась уже существующая линия связи между двумя офисами Сбербанка, удалось распределять криптографические ключи со скорость 0,1 кбит/с. Такая скорость превосходила требования к VPN-построителям по скорости запроса ключей примерно в 160 раз. При этом уровень ошибок в квантовом канале, QBER≈5%, был примерно на 70% выше, чем QBER≈3%, заявленный по результатам тестирования лучших зарубежных аналогов на реальных волоконных линиях связи.

Пройдя успешные испытания в «боевых» условиях и продемонстрировав совместимость с существующими технологиями защиты информации, квантовое распределение ключа становится новым перспективным инструментом для защиты информации. С учётом активно развивающейся технологии квантового распределения ключей скорость генерации ключей, а значит, и их объём, значительно вырастут. Это даст возможность применять данную технологию во множестве других криптографических систем и получать максимальный уровень защиты с абсолютной криптографической стойкостью.

Угроза появления в ближайшем будущем квантовых компьютеров, а также возможное появление новых классических алгоритмов, например, как в случае с SHA-1, привлекает всё большее внимание к технологии квантового распределения ключей. В ближайшем будущем можно ожидать демонстрации внедрения квантовой криптографии в новые приложения, например, в технологии блокчейн и распределённых баз данных. Угроза квантовых компьютеров для этих технологий сейчас активно обсуждается сообществом. Однако для этого необходимо переходить от решений в режиме «точка-точка», как в предыдущих экспериментах, к построению многопользовательских сетей квантовых коммуникаций и демонстрации бизнес-приложений.

 

 

Смотрите также

ЕБС набирает высоту

29 декабря, 2018

Право на ЕИСПСА

18 декабря, 2018

А был ли мальчик?

14 декабря, 2018

А судьи кто?

14 декабря, 2018
Подпишись на новости!
Подписаться