Кому нужна постквантовая криптография

В 2024 году был принят первый в мире стандарт на квантово устойчивые или постквантовые алгоритмы шифрования и цифровой подписи. Произошло это в США, но регуляторы других стран, от Китая до Нидерландов, рекомендуют планировать переход на постквантовую криптографию, либо опираясь на американский стандарт, либо обещая выработать свой собственный. Может показаться, что эта тема из научной фантастики, на самом деле такие алгоритмы не только нужны уже сегодня, но и внедрены во многие повседневные приложения.

Почти все цифровые коммуникации используют криптографию: компьютеры и смартфоны проверяют цифровые подписи при запуске приложений и открытии сайтов, шифрование защищает переписку в WhatsApp и звонки в сетях 4G. Общее свойство применяемых криптографических алгоритмов — их можно взломать только перебором ключей, а для подбора нужного ключа даже суперкомпьютеру нужно невероятно много времени. Например, 2048-битный ключ RSA, часто используемый для цифровой подписи сайтов и приложений, придётся подбирать 300 триллионов лет.

Ситуацию может изменить квантовый компьютер, работа которого основана на измерении различных квантовых эффектов. Для многих обычных задач он полностью непригоден, но некоторые проблемы на нём можно решать гораздо быстрее, чем на классическом. Среди них: оптимизация транспортных потоков, аэродинамические расчёты, подбор молекул в биохимии и решение некоторых математических задач для очень больших чисел. Как раз последнее нужно для взлома криптографических ключей.

На достаточно большом квантовом компьютере теоретически возможно вычислить ключ для RSA за считаные минуты. Тот, кто построит такой компьютер первым, сможет расшифровывать секретные коммуникации и подделывать чужие цифровые подписи, а это нарушит всю современную инфраструктуру, обеспечивающую доверие в цифровом мире.

Теория, позволяющая взламывать криптосистемы на квантовом компьютере, появилась в 1994 году, а первый маленький квантовый компьютер построили в 2001-м. Но достаточно мощного и большого квантового компьютера не существует по сей день. Мешают инженерные сложности: измерять состояние квантовых систем трудно из-за их нестабильности и высокого уровня помех.

Поэтому даже новейшие квантовые компьютеры имеют всего пару сотен кубитов (квантовых битов), а для взлома современной криптографии их нужны миллионы. Но у экспертов нет единого мнения о том, когда появится такая система: одни ждут её менее чем через 10 лет, другие — не в этом веке.

Известные алгоритмы для квантового компьютера резко ускоряют решение всего нескольких математических задач, таких как нахождение больших взаимно простых чисел. Поэтому «квантовая угроза» актуальна для конкретных криптоалгоритмов, основанных на этих задачах: RSA, DH, алгоритмов на основе эллиптических кривых (ECC).

Целый ряд распространённых алгоритмов шифрования (в первую очередь AES) при появлении мощного квантового компьютера потеряют часть своей стойкости, но не фатально. Считается, что подобрать 256-битный ключ AES на квантовом компьютере можно будет за то же время, что 128-битный — на обычном. Поэтому там, где данные зашифрованы AES, алгоритм менять не придётся — достаточно увеличить длину ключа.

В то же время существуют менее популярные, но стойкие криптоалгоритмы, для взлома которых квантовый компьютер не подходит, — там нужно решать математические задачи другой природы. Именно такие алгоритмы используются для постквантовой криптографии. Они разрабатываются с 2006 года.

Зрелые версии постквантовых алгоритмов появились лишь несколько лет назад, а уже в 2024 году три из них вошли в стандарт NIST — они называются CRYSTALS-Kyber, CRYSTALS-Dilithium и Sphincs+. В ближайшее время к ним должен присоединиться алгоритм FALCON. Принятые в стандарт алгоритмы часто меняют имена, так что в документах чаще будут встречаться новые названия: FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA).

Постквантовые алгоритмы — новые и математически сложные. Поэтому математики и криптоаналитики допускают, что в будущем в них обнаружатся уязвимости, которые позволят быстрее вычислить ключ, чем подобрать. Для этого даже может быть не нужен квантовый компьютер: так уже случалось, например, с ныне устаревшим алгоритмом DES.

На этот случай в системах с постквантовым шифрованием используют гибридный подход: данные зашифровывают сначала постквантовым алгоритмом, а затем ещё раз одним из классических. Такая комбинация может быть взломана лишь противником, который одновременно и построил большой квантовый компьютер, и нашёл практически полезную уязвимость постквантового алгоритма.

Чтобы эффективно обезопасить цифровые коммуникации от атак, постквантовое шифрование нужно внедрить во все операционные системы, браузеры, приложения, а также в повседневную электронику — от смартфонов и ноутбуков до роутеров и электромобилей. Хотя этот процесс уже начался, на его завершение уйдут многие годы.

Но зачем заниматься этим сейчас, когда до появления мощного квантового компьютера остаются годы, если не десятилетия? Во-первых, если такой компьютер появится внезапно, когда большая часть ИТ-инфраструктуры ещё не обновлена, ситуацию невозможно будет исправить быстро.

Во-вторых, мировые сверхдержавы подозревают друг друга в проведении атак «сохрани сейчас — расшифруй потом». Суть этой атаки в том, чтобы перехватить интернет-трафик и сохранить его копию, чтобы снять слой шифрования и изучить коммуникации позже, когда появится такая возможность.

Конечно, это имеет смысл делать только для действительно важной информации. Именно компании и люди, работающие с такой информацией, должны внедрять постквантовую криптографию в свои процессы и системы в первую очередь. Речь не только про военные и государственные тайны — среди пионеров внедрения медицинские и исследовательские организации, банки, организации, хранящие биометрические данные. Если компания хранит или обрабатывает данные, ценность которых оправдывает дорогостоящую атаку, и эта ценность не снизится через 5–10 лет, заботиться о квантово устойчивом шифровании нужно уже сегодня.

В странах, ориентирующихся на NIST, переходить на новые алгоритмы удобно, поскольку готовы не только стандарты, но и руководства по внедрению. Там, где местные регуляторы планируют запуск собственного стандарта, как в России и Китае, ситуация сложнее — сначала нужно дождаться выпуска такого стандарта, а затем появления ПО, которое его поддерживает. Решить эту проблему может модель Crypto Agility — она предлагает уже сейчас начать внедрение систем, в которых легко заменять криптоалгоритмы и их параметры, такие как длина ключа.

Даже при работе с уже утверждённым стандартом инженерам и ИТ-специалистам нужно подготовиться к практическим трудностям. Постквантовые алгоритмы имеют ключи шифрования в 2–10 раз длиннее классических, требуют больше памяти и вычислительной мощности. Поэтому их трудно внедрить в маломощных системах, а также там, где протоколы хранения и передачи данных строго ограничивают длину ключа. Переход на постквантовые алгоритмы может увеличить объёмы передаваемого трафика в 2–3 раза и заметно повысить энергопотребление серверов, смартфонов и прочей задействованной техники.

Дополнительные проблемы создаёт совместимость старых и обновлённых приложений. Если браузер на ноутбуке уже обновлён, а прокси-сервер в компании — ещё нет, могут возникать трудно диагностируемые ошибки, как уже случалось с выходом «квантово устойчивого» Chrome.

Для тех, кто не работает над ИТ-проектами, а просто хочет взять безопасность своих данных в собственные руки, постквантовое шифрование уже доступно в ряде известных приложений и устройств: например, мессенджере Signal, iMessage, ряде смартфонов Samsung с системой KNOX и даже браузере Google Chrome. Правда, в каждом случае придётся проверять настройки и читать описания, чтобы убедиться, что защита от «квантового взлома» действительно включена.