Що таке квантова криптографія? | robot_dreams
Для отслеживания статуса заказа — авторизируйтесь
Введите код, который был выслан на почту Введите код с SMS, который был выслан на номер
 
Код действителен в течение 5 минут Код с sms действителен в течение 5 минут
Вы уверены, что хотите выйти?
Сеанс завершен
На главную
Квантова криптографія: революція в кібербезпеці чи лише теорія?

Квантова криптографія: революція в кібербезпеці чи лише теорія?

Як працює квантова безпека і наскільки практичні її можливості

Квантові комп’ютери, квантовий інтернет, квантова криптографія — усе це об’єднує одна галузь — Quantum Information Science, що стрімко розвивається й обіцяє значні зміни. Та разом з перспективами квантові технології ставлять під загрозу сучасні системи захисту інформації, змушуючи розробників активно працювати над квантовою та постквантовою криптографією. Як діють ці інновації? Чи готові вони до впровадження та які виклики ще мають подолати?

Відповіді шукаємо разом із Русланом Кіянчуком — інженером з криптографії в NAVAN, який має понад 10 років досвіду у Кремнієвій долині, був залучений до розробки національного стандарту шифрування України та є лектором курсу «Основи криптографії» для robot_dreams.

Загрози для сучасної криптографії: квантові комп’ютери на горизонті

Ми живемо в епоху даних, коли захист інформації є критично важливим — від банківських операцій і медичних записів до державних комунікацій і приватних повідомлень. Сучасна криптографія гарантує безпеку операцій, покладаючись на складні математичні обчислення. Серед найвідоміших методів — симетричні алгоритми (AES, ChaCha20), асиметричні (RSA, ECC), протоколи на кшталт SSL/TLS та хеш-функції (SHA-256). Розв’язання цих задач вимагає значних обчислювальних ресурсів: наприклад, зламати 128-бітний шифр із поточною потужністю мережі Bitcoin зайняло б близько 2 трильйонів років — в рази більше за вік нашого всесвіту (13 мільярдів років). 

Але що станеться, коли з’являться машини, здатні виконувати подібні обчислення за лічені секунди? З розвитком квантових компʼютерів правила гри можуть змінитися: їхня здатність швидко розв’язувати математичні задачі, на яких базується стійкість класичних алгоритмів, може зробити багато з них застарілими. Руслан Кіянчук зазначає:

Майже всі класичні алгоритми асиметричної криптографії (RSA, DSA, ECDSA) може зламати достатньо потужний квантовий комп’ютер. Натомість симетричні алгоритми менш вразливі до таких атак — лише алгоритми з ключем 128 біт можуть виявитися ненадійними, тоді як алгоритми з ключами 256 біт і більше залишаються безпечними».

На відміну від звичайних комп’ютерів, квантові комп'ютери працюють за принципами суперпозиції та заплутаності кубітів, що надає їм унікальні можливості. Ключовою особливістю є те, що кожен кубіт здатен одночасно перебувати в станах 0 і 1, тож n-кубітний регістр може представляти 2n станів одночасно. Це означає, що квантовий комп'ютер здатен обробляти всі ці варіанти одночасно в одному стані суперпозиції, що дає йому потенціал для швидшого пошуку правильного рішення.
Це також пояснює Альфред Менезес у своїй лекції про квантові компʼютери. Більше про ці принципи та перспективи розвитку квантових обчислень можна дізнатися в нашій статті або переглянувши відео Quantum Computers, explained with MKBHD.

Прогрес у розробці квантових комп’ютерів уже відчутний. Першим значним кроком став алгоритм Шора, розроблений у 1994 році (і підтверджений у 2001), який показав, що квантові машини можуть ефективно розкладати великі числа на прості множники, що ставить під загрозу алгоритми, як-от RSA, засновані на складності факторизації. А в 2019 році квантовий комп’ютер Google Sycamore досяг квантової переваги (quantum supremacy), розв’язавши задачу, яку традиційний суперкомп’ютер виконував би тисячі років.

Провідні компанії, як-от IBM, Google та Rigetti, активно працюють над збільшенням кількості кубітів у своїх процесорах, наближаючи той момент, коли сучасна криптографія може стати вразливою до квантових атак. У 2022 році IBM представила найпотужніший квантовий процесор на 433 кубіти, а найближчими роками планує створити пристрої з 1000 кубітів. Це свідчить про те, що загроза для традиційного шифрування стає дедалі реальнішою.

Квантова криптографія: як це працює?

Щоб зрозуміти квантову криптографію, потрібно розібратися з основами квантової механіки — адже все починається з квантів. На макрорівні, у звичному нам світі, об’єкти мають чіткі координати, швидкість і траєкторії. Але в квантовому світі все працює інакше: частинки можуть одночасно перебувати в кількох місцях, змінювати свої траєкторії та навіть проходити крізь бар’єри (квантове тунелювання). Це здається фантастикою, але саме такі властивості квантової механіки є основою нових способів захисту інформації.

Квантова криптографія використовує фотони — найменші частинки світла, щоб кодувати інформацію через різні стани поляризації. Подібно до того, як класичні комп’ютери передають дані у вигляді нулів і одиниць, фотони кодують інформацію в квантових станах, створюючи новий рівень захисту. Ключові принципи квантової механіки, на яких базується квантова криптографія, такі:

  • Принцип невизначеності Гейзенберга: неможливо одночасно точно визначити положення та швидкість частинки — лише ймовірність її перебування в певному стані. Будь-яке спостереження змінює цей стан. Це означає, що будь-яку спробу перехопити квантовий ключ буде виявлено, оскільки втручання змінить стан фотонів.
  • Квантова суперпозиція: частинки можуть існувати в кількох станах одночасно. Це дозволяє квантовим бітам (кубітам) мати значення 0 і 1 одночасно, доки не проведуть вимірювання, яке «визначає» конкретний стан. Така властивість відкриває нові можливості для ефективного захисту даних.
  • Квантова заплутаність: заплутані частинки залишаються пов’язаними незалежно від відстані між ними. Зміна стану однієї частинки миттєво впливає на іншу, що створює надзвичайно безпечні канали для передачі даних. Цей принцип лежить в основі Quantum Key Distribution (QKD) — найбільш відомого методу квантової криптографії, який виявляє будь-які спроби втручання.

Щоб більше дізнатися про квантову механіку, рекомендуємо переглянути серіал «Мозковий штурх» від «Куншт» із професоркою Христиною Гнатенко, де вона пояснює суперпозицію, парадокс Шредінгера та використання квантових явищ для захисту даних.

Як працює Quantum Key Distribution

Уявіть майбутнє, де обмін даними абсолютно захищений, а будь-яку спробу перехоплення миттєво виявляють. Квантовий розподіл ключів обіцяє таку реальність. Застосовуючи принципи суперпозиції та поляризації фотонів, QKD гарантує безпечний обмін ключами: будь-яке втручання одразу виявляють через зміну стану фотонів. Ось як це працює:

1. Передача фотонів: дві сторони, наприклад, Аліса і Боб, обмінюються фотонами через оптоволоконний кабель. Фотони кодують інформацію через різні стани поляризації, які представляють біти інформації та використовують для передачі секретного ключа.

2. Вимірювання фотонів: будь-яка спроба перехоплення змінює стан фотонів через принцип невизначеності Гейзенберга. Якщо третя сторона, наприклад, Єва, спробує втрутитися, то зміна квантових станів одразу виявить спробу втручання.

3. Вибір ключа: після обміну фотонами Аліса і Боб порівнюють результати вимірювань. Якщо дані збігаються, вони використовують ці біти для створення секретного ключа.

QKD працює як сейф із квантовим замком: якщо хтось спробує втрутитися в канал передачі, цей замок автоматично знищує код, роблячи ключ недоступним для всіх, окрім тих, хто бере участь в обміні. Навіть якщо втручання виявлено, можна створити новий код з додатковими рівнями захисту для наступного обміну.

Протоколи QKD: BB84 та E91

Існує кілька протоколів QKD Quantum, але найвідоміші — BB84 та E91, наразі вони довели свою ефективність під час контрольованих експериментів і пілотних проєктів, підтвердивши можливість безпечного обміну ключами через квантові канали.

  • BB84: розроблений Чарльзом Беннеттом і Жилем Брассаром у 1984 році, BB84 використовує суперпозицію квантових станів для передачі ключів. Спроба перехоплення змінює стан фотонів, що одразу стає помітним. Протокол простий у концепції, але його реалізація вимагає точного обладнання для передачі та вимірювання квантових станів, що ускладнює впровадження з погляду інженерії.
  • E91: запропонований Артуром Еккертом у 1991 році, E91 застосовує квантову заплутаність. Заплутані частинки залишаються корельованими, навіть якщо вони розділені на великі відстані. Втручання в одну частинку миттєво впливає на іншу, що робить перехоплення майже неможливим. Хоча реалізація E91 складніша, він забезпечує високий рівень захисту.

Детальніше про протоколи BB84 та E91.

QKD активно розвивається завдяки компаніям, як-от ID Quantique та Toshiba, а також IBM Quantum Safe, що створюють рішення для фінансових установ, урядів та інфраструктур. У Китаї цю технологію вже використовують для захисту фінансових даних між великими центрами, а у Швейцарії — для забезпечення надійного голосування.

Інші квантові протоколи

Крім QKD, розробляють інші квантові методи безпеки:

  • Quantum Secure Direct Communication (QSDC): дозволяє передавати інформацію безпосередньо, без попереднього обміну ключами. Втручання виявляють одразу, що забезпечує повну конфіденційність для критично важливих даних.
  • Quantum Bit Commitment: дає змогу зафіксувати інформацію та зберегти її прихованою до моменту розкриття. Це корисно для безпечного голосування або угод, де важливо зберегти дані незмінними.

BB84 та E91 забезпечують обмін ключами для традиційного шифрування, тоді як QSDC та Quantum Bit Commitment відкривають нові рівні безпеки, використовуючи квантові принципи для прямої передачі даних.

Квантова незламність: чи готова теорія до практики?

Унікальні властивості квантової механіки дають змогу створювати абсолютно захищені канали для передачі даних. Але наскільки це можливо на практиці? Тут на допомогу приходить Руслан Кіянчук, пояснюючи реальні можливості квантової криптографії:

Квантова криптографія — це методи захисту інформації, що базуються на квантових обчисленнях і потребують наявних квантових компʼютерів для роботи. Наразі це винятково теоретична наука з обмеженим практичним застосуванням, подібно до теоретичних моделей машини часу, міжгалактичних кораблів чи кріогенних систем для заморожування людей на сотні років. 

Хоча деякі компанії вже пропонують послуги в цій сфері, більшість проєктів поки що залишається на етапі досліджень (R&D), зосереджених на вивченні квантової механіки, а не на створенні реальних комерційних рішень».

Чи дійсно квантове шифрування «незламне»? Кіянчук зауважує:

Незламність — це завжди питання конкретної моделі загроз і умов безпеки. Коли говорять про незламність квантової криптографії, мають на увазі неможливість непомітного прослуховування каналу зв’язку через фізичні властивості квантових частинок. Спостереження змінює стан частинки, тому будь-які спроби стеження буде виявлено. Проте теоретичні моделі незламні лише в теорії».

Таким чином, квантову криптографію можна вважати «незламною» лише за певних умов і для певних типів загроз. Вона забезпечує захист від пасивного прослуховування, маючи доказову стійкість, якої бракує більшості сучасних алгоритмів. Однак її впровадження стикається з численними практичними викликами, і навіть теоретична надійність квантового розподілу ключів (QKD) не завжди перевершує класичні методи:

Реальних прикладів використання квантової криптографії, де ці системи були б надійнішими чи ефективнішими за класичні, немає. Є лише експериментальні зразки, як-от Quantum Key Distribution (QKD) — квантовий аналог схеми узгодження ключів, що має теоретично доказову стійкість, але його складно застосовувати на великих відстанях».

Руслан додає, що навіть найкращі зразки QKD не перевершили класичні методи узгодження ключів у практичності використання, як-от протокол Діффі-Хеллмана. Хоча він і не є доказово стійким, на практиці залишається надійним завдяки високим обчислювальним вимогам для його зламу.

Усі наявні впровадження систем квантового розподілу ключів перелічені у статті на «Вікіпедії» про Quantum Key Distribution, і жодна з них поки що не показала кращих результатів щодо практичності використання, ніж класичні методи. Система QKD працює, але є значно складнішою, дорожчою і обмеженішою, ніж класичні алгоритми. Тож наразі її цінність більше наукова, ніж практична — це як возити мішок картоплі з городу на Ламборджіні: можливо, але далеко не найраціональніший вибір».

Виклики та обмеження квантової криптографії

Квантова криптографія стикається з численними практичними перешкодами, які заважають її впровадженню:

1. Відстань: передавати квантові ключі на великі відстані поки що складно. Сигнал через оптоволокно може проходити до 100–200 км, але згодом слабшає. Для більших дистанцій потрібні спеціальні квантові ретранслятори або супутники. Однак технологія вже розвивається в цьому напрямку: наприклад, у Китаї вже створено мережу, що поєднує оптоволоконні кабелі із супутником Micius, забезпечуючи передачу ключів на понад 1200 км.

2. Інфраструктура: для квантової передачі даних потрібні спеціальні оптоволоконні кабелі, квантові ретранслятори й точне обладнання для керування фотонами. Кожен фотон передається окремо, що робить процес повільнішим, а для захищеного зв’язку потрібен окремий кабель між сторонами. Наприклад, для захисту транзакцій компанії, як-от Amazon, мали б прокладати окремі кабелі між своїми серверами та кожним клієнтським пристроєм, що потребувало б значних інвестицій у нову інфраструктуру.

3. Захист ключів, а не всієї інформації. Квантове шифрування не розв’язує всі проблеми безпеки — воно створює захищений канал для передачі ключів, але не шифрує самі дані. Після обміну ключами інформація шифрується традиційними методами (AES, ChaCha20 тощо), які досі можуть бути вразливими до квантових атак. Для повного захисту даних потрібні додаткові рішення, як-от постквантова криптографія, що забезпечує стійкість до майбутніх квантових загроз.

Постквантова криптографія

Що таке постквантова криптографія (PQC)? На відміну від квантової криптографії, PQC демонструє значно більший потенціал як у теорії, так і на практиці. Вона слугує своєрідним апгрейдом для наявних систем, готуючи їх до ери квантових комп’ютерів. PQC не потребує складної інфраструктури та базується на математичних задачах, які навіть квантовим машинам буде надзвичайно важко розв’язати.

Постквантова криптографія — сфера криптографії, що вивчає криптографічні алгоритми, стійкі до обчислень на квантовому компʼютері. Ці алгоритми призначені для роботи на звичайних класичних компʼютерах, проте є також стійкими до атак, що обчислюють на квантових компʼютерах (коли і якщо вони будуть достатньо потужними)».

Основні методи PQC охоплюють решіткову криптографію, хеш-функції та кодову криптографію, що забезпечують захист ключів і цифрових підписів. Розробку нових стандартів активно підтримує Національний інститут стандартів і технологій США (NIST). Ще у 2016 році NIST ініціював глобальний конкурс для створення алгоритмів, здатних протистояти квантовим загрозам. Серед фіналістів цього конкурсу:

  • ML-KEM (раніше Kyber) — метод обміну ключами, стійкий до квантових атак.
  • ML-DSA (раніше Dilithium), Falcon і хеш-підписи — алгоритми для надійних цифрових підписів.

Ці алгоритми вже впроваджують у державних системах США та інших організаціях, які потребують сертифікації FIPS (Federal Information Processing Standards).

Впровадження PQC — це не просто підготовка до можливих загроз, а стратегічний крок на випередження. Навіть якщо квантові комп’ютери, здатні зламати сучасні алгоритми, поки що не створені, адаптація нових стандартів залишається критично важливою.

Алгоритми постквантової криптографії вже активно впроваджують у веббраузерах, їх підтримують глобальні компанії, як-от Cloudflare, Amazon AWS і Google. Попри те, що квантового комп’ютера, здатного зламати сучасну криптографію, ще не існує, адаптація постквантових алгоритмів важлива для захисту від потенційних загроз у майбутньому».

Щоб краще зрозуміти майбутнє постквантової криптографії, радимо переглянути відео від експертів Дейрдре Конноллі та Грема Стіла із SandboxAQ, де вони обговорюють нові стандарти PQC та їхнє значення в епоху квантових обчислень.

Чи варто вивчати і як почати?

Квантова і постквантова криптографія викликають чимало зацікавленості, але чи варто заглиблюватися в цю сферу? Руслан Кіянчук ділиться порадами.

  • Чи потрібно знати квантову фізику?

    «Вивчення квантової криптографії неможливе без глибоких знань квантової фізики, оскільки всі обчислення виконують над носіями інформації з квантовими властивостями. Однак якщо вас більше цікавить постквантова криптографія, то таких знань не потрібно: ці алгоритми використовують класичні обчислювальні методи, тому достатньо знань комп’ютерних наук і математики».
  • Як почати без доступу до квантових комп’ютерів?

    Руслан не рекомендує вивчати квантову криптографію, якщо ви не займаєтеся теоретичними дослідженнями у сфері квантових обчислень. Але для тих, хто хоче спробувати, існують симулятори, як-от Qiskit від IBM, які він описує як «повноцінний SDK для роботи з квантовими алгоритмами».
  • Чи є попит на фахівців?

    «Попит на спеціалістів з квантової криптографії наразі обмежений і порівнянний з попитом на теоретичних фізиків. Проте алгоритми постквантової криптографії вже активно використовують. Це робить знання PQC актуальнішими, адже компанії прагнуть захиститися від потенційних загроз майбутніх квантових комп’ютерів».
     
  • Як швидко розвивається квантова криптографія і де стежити за новинами?

    «Прогрес у квантовій криптографії йде повільніше, ніж багато хто уявляє. Попри увагу до цієї галузі, прориви відбуваються поступово. Можна стежити за публікаціями, що стосуються квантових обчислень, в електронному журналі Міжнародної асоціації криптологічних досліджень».

Квантова теорія vs. Постквантова практика

Теорія квантів дійсно захоплива, але, попри обіцянки революційної безпеки, квантова криптографія стикається з технічними викликами, високими витратами та потребує спеціалізованої інфраструктури. Це робить її концептуальною технологією, що має переважно теоретичну та наукову цінність, але поки не є практичним і тим паче масовим рішенням.

Натомість постквантова криптографія активно розвивається для вирішення конкретних викликів майбутнього, коли квантові комп’ютери зможуть зламувати сучасні криптографічні алгоритми. Завдяки практичним перевагам і відсутності потреби в складній інфраструктурі вона вже знаходить застосування у реальних системах, що демонструє її більший потенціал на практиці.

Автори: Катерина Войтович, Руслан Кіянчук

Ещё статьи