Обзор достижений квантовых вычислений и релевантной индустрии в 2024 году (часть 2)

Квантовые компьютеры не мгновенно, но упорно развиваются. Благодаря квантовому алгоритму, предложенному Питером Шором в 1994 году, становится возможным эффективное решение задач факторизации и дискретного логарифмирования. Сложностью этих задач обеспечивается стойкость таких криптографических примитивов, как RSA, ECDSA и протокол Диффи-Хеллмана, лежащих в основе наиболее распространенных криптографических средств защиты информации с открытым ключом. Национальный институт стандартов и технологий США (NIST) в ноябре 2024 года опубликовал черновик документа, согласно которому квантово-уязвимые алгоритмы устареют после 2030 года и будут запрещены к использованию после 2035 года, объявляя тем самым переход к квантово-устойчивой криптографии, а Евросоюз тем временем призывает разработать соответствующую дорожную карту. Такая срочность связана не только с бурным развитием квантовых вычислений, но и с тем, что злоумышленник может сохранять зашифрованные данные сейчас, с целью расшифровать их, когда появится криптографически-релевантный квантовый компьютер, уже сейчас угрожая тем самым значительной части конфиденциальных данных, которые сохраняют свою ценность на протяжении многих лет. Существует два подхода к противодействию квантовой угрозе, не задействующие при этом доверенную доставку ключей: переход на симметричное шифрование с использованием квантово-распределенных ключей (КРК) и постквантовая криптография. Алгоритм Шора экспоненциально ускоряет решение задач, на трудности которых основаны квантово-уязвимые ассиметричные криптопримитивы, обеспечивая тем самым атаку за полиномиальное время. Для ускорения атаки на симметричные шифры пригоден квантовый алгоритм Гровера, но он ускоряет поиск ключа лишь квадратично, тем самым снижая уровень стойкости в два раза. Противодействием в таком случае может быть соответствующее увеличение размеров ключа, таким образом данная угроза не является критической.

Постквантовая криптография

Летом 2024 года NIST опубликовал долгожданные окончательные версии первых стандартов постквантовой криптографии, туда вошли один механизм инкапсуляции ключа (KEM) и два алгоритма электронной подписи (FIPS 203, FIPS 204 и FIPS 205 соответственно), также в скором времени планируется дополнить список еще одним стандартом электронной подписи. KEM применяется для установления общего секретного ключа между двумя сторонами, который генерируется на одной стороне, шифруется и передается второй, в целях последующего взаимодействия по открытому каналу с помощью алгоритмов симметричного шифрования. Также KEM может быть использован в качестве метода асимметричного шифрования. Схемы электронной подписи в свою очередь используются для обнаружения несанкционированных изменений в данных и для подтверждения личности подписавшего. Стандартами стали FIPS 203 (CRYSTALS-KYBER) и FIPS 204 (CRYSTALS-Dilithium) на основе целочисленных решеток, FIPS 205 (SPHINCS+) на основе хэш-функции. Процесс стандартизации начался еще в 2016 и продолжается до сих пор, сейчас рассматриваются дополнительные кандидаты в резервные стандарты. Стандартизация ­– процесс небыстрый, как и внедрение новых криптографических примитивов в существующую инфраструктуру, поэтому США уже планирует переход на постквантовую криптографию. Кандидаты в постквантовые стандарты от криптографов со всего света прошли три раунда отбора и активных попыток взлома от сообщества. Несмотря на одобрение постквантовых криптографических схем в качестве стандартов, не стоит забывать, что не существует гарантии того, что достаточно эффективный алгоритм атаки не будет найден в будущем (как, впрочем, и для современной, повсеместно используемой классической криптографии). В 2022 году это произошло с SIKE – постквантовым алгоритмом, являющимся одним из финалистов конкурса NIST. Он основан на задаче поиска изогений эллиптических кривых, которая на протяжении более десяти лет считалась квантово-устойчивой. Тем не менее, алгоритм был взломан, более того, с помощью классического алгоритма. Поэтому стоит с осторожностью относиться к внедрению методов постквантовой криптографии, пока они еще не прошли достаточную проверку временем и являются слабо исследованными.

В нашей стране мнения о необходимости внедрения постквантовой криптографии разделяются. Одни специалисты считают это необходимым шагом, другие же скептически относятся к квантовой угрозе. На данный момент продолжается процесс проектирования стандартов отечественных постквантовых механизмов силами различных компаний и технического комитета по стандартизации «Криптографическая защита информации» (ТК 26), среди кандидатов: электронные подписи – Шиповник (на коде, исправляющем ошибки), Гиперикум (на хэш-функции), инкапсуляция ключа – Кодиеум (на коде, исправляющим ошибки), который был представлен в 2024 году.

Стандартизация постквантового алгоритма – это еще не конец пути. За ней следует разработка и стандартизация протоколов, в которых этот алгоритм будет использоваться, разработка и сертификация средств криптографической защиты информации (СКЗИ), реализующих постквантовые алгоритмы и протоколы, а также встраивание СКЗИ в инфраструктуру конечных пользователей. Таким образом, путь от стандарта к полноценному внедрению занимает годы. Кроме того, полномасштабный переход к постквантовой криптографии тормозят и другие сложности, такие как значительное увеличение длины открытых ключей, повышение вычислительных затрат и сложный в реализации математический аппарат, что замедляет разработку СКЗИ.

Компромиссным решением внедрения пока что малоизученных постквантовых протоколов может стать гибридное использование криптоалгоритмов. Такой подход позволит защититься от классических и квантовых атак уже сейчас, до принятия постквантовых стандартов, в том числе угроз вида «сохрани сейчас, расшифруй потом». Кроме того, будет способствовать более плавному переходу к постквантовым алгоритмам впоследствии, когда они будут стандартизованы. Однако гибридный подход повлечет за собой еще больший размер композитного ключа, что может привести к необходимости модификации вышележащих криптографических протоколов. На данный момент многие компании постепенно внедряют постквантовую криптографию, основанную преимущественно на гибридном подходе, в свои продукты, среди которых Amazon, Signal, iMessage, Google Chrome и многие другие. В России на данный момент проводится экспериментальное внедрение постквантовых алгоритмов в качестве пилотных проектов с индустриальными партнерами.

Криптографическое сообщество в 2024 году заставил понервничать Илей Чен, опубликовавший в апреле препринт под названием «Квантовые алгоритмы для задач на решетках». В своей работе автор заявил, что нашел способ решить за полиномиальное время на квантовом компьютере некоторые задачи на решетках, использующиеся в перспективных постквантовых криптосистемах, а также в полностью гомоморфном шифровании (тип шифрования, которое позволяет делать произвольные вычисления на зашифрованных данных без их расшифровки). Несмотря на бурную критику, замечания о дополнительных ограничениях и найденную в дальнейшем ошибку на одном из шагов алгоритма, которую на данный момент автор не знает, как исправить, такие работы являются очень ценными, криптоанализ позволяет нам находить слабые места в безопасности, чтобы мы смогли стать защищеннее.

В каком-то смысле квантовая и постквантовая криптография – конкурирующие технологии, и некоторые страны даже придерживаются своей политики в отношении преобладающей. Например, Китай активно развивает квантовые коммуникации и построил самую большую на данный момент квантовую сеть, в то время как США предпочитают внедрять постквантовую криптографию в свою инфраструктуру. Распространенное мнение, что компании, которым необходима защита данных, не обладающих высокой ценностью в дальней перспективе, скорее будут использовать постквантовую криптографию, так как это дешевле и проще. В то время как структуры, которым нужна большая долгосрочная надежность, предпочтут квантовую криптографию из-за ее безусловной теоретической стойкости. Таким образом, возможно, что каждая технология будет развиваться в своем секторе, однако возможно и синергетическое использование, например, при использовании постквантовой инкапсуляции ключа в виде последней мили квантовой сети для доставки ключа пользователю, не подключенному непосредственно к квантовой сети.

Анализ индустрии

Несмотря на то, что квантовые вычисления еще далеки от возможности обеспечения положительного коммерческого выхода, в 2024 году интерес бизнес-сектора к ним существенно вырос. И Россия не является исключением. Драйвером этого интереса стало и осознание стабильности темпов развития квантовых технологий, и бурное распространение нового тренда – искусственного интеллекта, который, меж тем, обладает определенными ограничениями.

Бизнес всегда заинтересован в технологиях, обеспечивающих качественный скачок в решении задач. Внедрение новых видов транспорта, цифровизация, интернет – все подобные технологии в истории, которые вызывали ажиотаж на бирже, характеризовались тем, что позволяли решать задачи ранее недоступными путями. Обеспечивают ли такую возможность квантовые вычисления? Безусловно, да. Если только некоторые, строго говоря, нерешенные вопросы математики не разрешатся вдруг самым неожиданным образом (не окажется, что P = NP), квантовые вычисления будут для ряда задач обладать качественным преимуществом в алгоритмической сложности. И что особенно важно, это преимущество будет оставаться реальным и безоговорочным по сравнению с любыми алгоритмами, работающими на классических компьютерах, будь то простая императивная программа, эвристический метод, квантово-вдохновленный алгоритм или машинное обучение с искусственным интеллектом.

Меж тем мы видим, что технологии искусственного интеллекта небывалыми темпами завоевывают рынки. В 2024 году ряд специалистов выразил обеспокоенность этим фактом, поскольку, не являясь новой физической архитектурой, искусственный интеллект (ИИ) не способен преодолеть известные ограничения классических вычислителей. То есть не способен обеспечить тот самый качественный скачок, реально необходимый бизнесу. Вместо этого ИИ является действительно удобным фреймворком для масштабирования вычислительных мощностей. Исследования 2024 года показывают, что стоимость обучения ведущих моделей ИИ на протяжении более чем 10 лет растет быстрее, чем их реальные полезные возможности. При сохранении текущей тенденции к росту востребованности решений на основе ИИ, данные обстоятельства могут сформировать угрожающую ситуацию.

Понимание данного факта в индустрии формируется постепенно. Тем не менее в 2024 году ряд российских корпораций сформировали специализированные R&D подразделения, занимающиеся исследованиями неклассических вычислительных архитектур. Под неклассическими архитектурами понимаются подходы к реализации вычислений, работающие с информацией в модели, отличной от привычной модели компьютера. К ним относятся нейроморфные вычисления, архитектура ПЛИС, оптические компьютеры и квантовые вычисления.

Одним из первых о работе в данном направлении заявил Сбер. Еще в 2023 году был создан Центр квантовых технологий Сбера, который занимается исследованиями приложений фотоники и квантовых вычислений к задачам искусственного интеллекта. Ведется разработка и поиск путей эффективного внедрения квантовых вычислителей и классических оптических ускорителей для повышения энергоэффективности вычислительной инфраструктуры искусственного интеллекта.

Другим примером стало создание дочернего АО в структуре АФК «Система» – Центра исследований и разработок. Помимо разработки разноплановых классических аппаратных решений, одними из основных задач Центра являются исследования и разработка методов защищенной связи, в том числе постквантовой криптографии, и новых программных и аппаратных принципов решения задач оптимизации, машинного обучения и искусственного интеллекта, в том числе с использованием квантовых вычислений и специфичных оптических ускорителей.

Таким образом, можно констатировать, что отрасль квантовых вычислений в России была замечена бизнесом и начала привлекать значительные частные инвестиции. По прогнозам, объем рынка квантовых вычислений в России к 2030 году составит 45 млрд рублей, а к 2040 может превысить 250 миллиардов, или 6% общемирового рынка.

Заключение

Как и в предыдущие годы, мы наблюдаем стабильный и закономерный рост индустрии квантовых технологий как в России, так и во всем мире. Период спекуляций и фонтанирования громкими заголовками прошел. На смену ему пришел период сдержанного и уважительного общения научной индустрии с рынком. Большинство экспертов сферы IT и информационной безопасности уже так или иначе знакомы с квантовыми технологиями и примерными прогнозами их возможностей. Крайне приятно видеть, что и в нашей стране, несмотря на зачастую консервативные взгляды руководителей, происходит адекватная оценка новых технологических возможностей и рисков. Государственная исследовательская программа по квантовым технологиям, хоть и заставляет безусловно на себя ориентироваться, больше не является единственной. Фундаментальные исследования получают государственную поддержку, практические – интерес со стороны бизнеса. И то и другое либо уже приносит свои плоды, либо набирает силы, чтобы расцвести, может, и не в самых тепличных условиях, но на вполне адекватной плодородной почве.

Прошло менее десяти лет с появления первых дорожных карт по квантовым технологиям. Вспоминая то, что мы имели еще несколько лет назад, прогресс очевиден. Конечно, мы еще далеко от желаемой цели, но приятно наблюдать за эволюцией науки, технологии и мнений, будь вы участник или зритель. Надеемся, 2025 год принесет нам новые квантовые прорывы.