Как покрыть всю страну сетью равного уровня доверия?

Разговор о квантовых эффектах всегда подразумевает философский элемент: абсолютная случайность, неопределённость в смысле Гейзенберга. Вспоминается также «мир идей» Платона: квантовый генератор случайных чисел, который генерирует абсолютно случайную последовательность, — это некая «идеальная вещь» в платоновской трактовке.

В практической жизни на этот генератор можно воздействовать, чтобы ухудшить свойства этой последовательности. Например, он рассчитан на работу в конкретном диапазоне температур, а в иных температурных условиях генерируемые данные не будут «идеально случайными».

Об идеальном квантовом мире и реальной стойкости квантовой криптографии

Те же соображения относятся и к системе квантового распределения ключей: к этой конкретной аппаратуре можно применить различные атаки. Например, если засветить детектор ярким светом фонарика, он будет постоянно выдавать «единички», идеального квантового механизма не получится. Можно мощным импульсом просветить Алису и по отражению от элементов системы Алисы понять, какие там использовались случайные числа. Эта ситуация известна как атака «троянский конь». А можно ухудшить квантовые свойства системы за счёт того, что она выпускает информацию не одиночными фотонами, — тот самый «идеал» по Платону, а по нескольку фотонов. Тогда эти фотоны можно будет расщеплять, часть отдавать Бобу, а часть забирать себе, то есть злоумышленнику. С этой целью придумана атака лазерного повреждения — повреждение мощным лазерным импульсом внутренних элементов формирователя квантовых состояний. При этом вся магия квантовой защищённости — абсолютная стойкость и секретность — тут же разваливается.

Таких довольно грубых способов атаки придумано немало. Соответственно, принято считать, что те системы, которые на нынешнем технологическом уровне защищены от всех известных на настоящий момент классических атак, довольно стойкие. Собственно, это и является главным содержанием испытаний в ходе сертификации квантовых решений в ФСБ.

В целом понятно, что на смену протоколу Диффи-Хеллмана должны прийти новые инструменты. Квантовое распределение ключей — одна из таких технологий. Ещё одна называется «постквантовая криптография». Это чистая математика, там совсем нет физики. А постквантовой она называется только потому, что математические алгоритмы, положенные в её основу, не ломаются алгоритмом Шора. Эти постквантовые алгоритмы имеют такое же обоснование стойкости, как и протокол Диффи-Хеллмана: математики пока не придумали, как их сломать. Но в любой момент может появиться некий Петров, который предложит квантовый алгоритм Петрова, способный сломать нынешние алгоритмы постквантовой криптографии. И тогда это будет, видимо, постпостквантовая криптография, также живущая в «мире идей».

А на уровне практической жизни критически важно, что дорожная карта тысячекубитных квантовых компьютеров IBM успешно исполняется. Такая предсказуемость развития технологии не сулит ничего хорошего для развития асимметричной криптографии.

Вопросы стандартизации квантовых технологий защиты

Американский орган стандартизации NIST занимается стандартизацией квантовых алгоритмов с 2016 г. Интересно, что США сделали ставку на технологию постквантовых алгоритмов, и конкурс NIST был объявлен после периода довольно серьёзных исследований таких алгоритмов. С тех пор прошёл ряд промежуточных этапов конкурса NIST, однако финалисты так и не выявлены. Почему так получается? Пока там не сформировался консенсус относительно того, как объединить требования общепризнанной стойкости алгоритма (наличие широких исследований, позволяющих доверять этому алгоритму) и достаточной эффективности с точки зрения эксплуатации. Эти аспекты пока мешают стандартизовать постквантовые алгоритмы даже в США.

При этом Китай поставил на другую лошадь — квантовую криптографию. Уже лет пять идут исследования на большой квантовой сети в 4 тыс. погонных километров, созданной в Китае. Понятно, что Америка вряд ли останется без систем квантового распределения ключей — технологиями квантовой криптографии занимаются её союзники — Канада и Великобритания. В нашей стране в рамках технического комитета по стандартизации ТК26 также идёт изучение постквантовых алгоритмов, и есть наброски предварительной версии стандарта. Финалисты также пока не выбраны.

Наша страна развивает оба направления квантовых технологий. Причём квантовое распределение ключей (КРК), в котором специализируется компания «ИнфоТеКС», несколько опережает развитие постквантовых алгоритмов. Так, система квантового распределения ключей QSS, разработанная «ИнфоТеКС», — единственная системав России, которая прошла сертификацию в ФСБ. Она позволяет с помощью квантовых ключей защитить телефонную сеть, например, офисную АТС на 800 и более абонентов, гарантируя, что телефонные разговоры не будут перехвачены никем, включая системных администраторов. Обычно они имеют доступ ко всей криптографии в компании, а в случае QSS квантовые ключи меняются автоматически, без участия системного администратора, — ключи рождаются внутри коробочек с квантовыми эффектами, установленных у Алисы и Боба. Такая офисная телефонная связь некомпрометируема в принципе. Сейчас у нас в работе находятся другие системы QSS, ориентированные на защиту передачи данных, документов, возможно, видеосвязи.

«ИнфоТеКС» также принимает активное участие в процессах стандартизации технологий КРК. Так, в рамках ТК26 идёт стандартизация разработанного у нас интерфейса (рабочее название — ProtoQa) между системами квантового распределения ключей и обычными шифраторами. Ещё один стандарт, который подготовила компания «ИнфоТеКС», — IstoQ. Он описывает общие принципы распространения секретной информации по квантовой сети. Речь идёт о том, каким образом распространять секрет по сети с множеством узлов квантового шифрования. Это необходимо, во-первых, для того, чтобы сформулировать правильный и консенсусный подход к шифрованию подобного рода. И во-вторых, для того чтобы иметь возможность строить квантовые сети из оборудования разных производителей, достигая в том числе покрытия всей страны сетью равного уровня доверия.

Дальняя связь с квантовой защитой

В системах квантового шифрования передача информации осуществляется квантовыми состояниями. Но для них существует ограничение по дальности квантового канала — 100 км. В классических системах телекоммуникаций электрический сигнал также затухает по мере распространения, но он передаётся на большие расстояния с помощью промежуточных узлов. Проблема в том, что квантовые состояния очень хрупкие, их нельзя усилить для передачи на большие расстояния, потому что квантовую информацию невозможно считать без ошибок. Таким образом, технология КРК даёт возможность исключить из схемы путешествие курьера с флешкой с секретными ключами на расстояние в 100 км. Но при этом в квантовом канале между Алисой и Бобом не должно быть активного оборудования связи. Как преодолеть это «проклятие» ограниченного расстояния, если организациям нужны секретные ключи для связи между Москвой и Владивостоком?

Если для организации квантового канала использовать наземные оптоволоконные линии связи, то не реже, чем через 100 км, нужно ставить специальные пункты — некие промежуточные узлы, которые сопрягают два 100-километровых отрезка, то есть где заканчивается один квантовый сегмент и начинается другой. Информация, зашифрованная первым квантовым ключом, передаётся в этот промежуточный узел, расшифровывается, а затем зашифровывается вторым квантовым ключом и передаётся на следующий узел. Таким образом, можно взять классический секретный ключ, полученный из хорошего генератора случайных чисел, и шифровать его по всей этой цепочке промежуточных узлов на квантовых ключах. С точки зрения стойкости этого шифрования, передаваемый секретный ключ фактически такой же секретный, как и квантовые ключи.

Очевидно, что промежуточный узел должен быть очень высокого доверия. То есть злоумышленник ни в коем случае не должен оказаться внутри этого промежуточного узла. Поэтому концепцию построения таких сетей мы называем квантовой сетью с доверенными промежуточными узлами. В качестве площадки для развёртывания таких узлов могут использоваться различные помещения с высоким уровнем защищённости, например ЦОДы, защищённые пункты связи или банковские хранилища. Кстати, та протяжённая квантовая сеть в Китае также включает доверенные промежуточные узлы, они располагаются в отделениях одного из госбанков Китая.

Какой подход выбрать?

Я был бы рад сказать, что квантовое распределение ключей является серебряной пулей и всем надо переходить на квантовую криптографию. Но это не так: нельзя делать все ставки на одну технологию.

Квантовая криптография — это не информационная технология в чистом виде, она требует строительства физических каналов связи для передачи этого самого квантового состояния. Эти каналы могут иметь различную природу — передавать квантовую информацию по оптоволокну, через спутник или атмосферные каналы. Но в любом случае это некоторая инфраструктура. Она, кстати, является прекрасной основой для оказания услуг защищённой передачи ключей. Представим себе, что некоторая крупная телекоммуникационная компания построила квантовую сеть с доверенными промежуточными узлами, сертифицированными регулятором, которые расположены во всех крупных городах России. Тогда пользователь может обратиться к ближайшему узлу этой сети, скажем, в Москве и передать свой секретный ключ своему контрагенту, например, во Владивостоке за небольшую плату. Этот секретный ключ будет передан под защитой квантовых ключей, а сама телекоммуникационная компания не будет иметь доступа к передаваемой информации. Да, флешка пользователя будет подключаться к конкретному оборудованию этой компании, но сертификация этого оборудования подразумевает, что на стороне оператора строго выполнены все необходимые меры защиты.

Тогда банку, имеющему отделения в разных городах страны, для обеспечения защищённой связи надо будет приобрести шифраторы, совместимые с квантовой сетью, и подключить их к узлам квантовой сети. А дальше только оплачивать услугу регулярной выдачи новых секретных ключей — «Передачасекретовкак услуга».

Но что делать с мобильными устройствами пользователей в эпоху усиливающейся корпоративной мобильности? Думается, что это тот самый сегмент, в котором найдут применение постквантовые алгоритмы. В этом случае требования абсолютной секретности не такие жёсткие, как в магистральной сети квантового шифрования, и алгоритмические подходы вполне применимы. Единственное ограничение, на которое можно указать сегодня, — это большая ресурсоёмкость постквантовых алгоритмов, которые требуют много вычислений. То есть защищённая связь для смартфона на основе постквантовых алгоритмов будет гораздо быстрее истощать аккумулятор смартфона, чем те алгоритмы, которые используются сейчас.

Но, полагаю, это временные трудности. Появятся более производительные смартфоны, а специалисты в конце концов выберут наиболее эффективный постквантовый алгоритм и оформят его в виде стандарта.

Так что, скорее всего, в недалеком будущем мы увидим на технологическом уровне некий конгломерат из квантового распределения ключей и постквантовых алгоритмов. А на бизнес-уровне — конкурирующие услуги квантово-защищённых коммуникаций, предлагаемых доверенными поставщиками.

Источник: BIS Journal