Главная » Производство » Что такое квантовое шифрование? Это не серебряная пуля, но может улучшить безопасность. Абсолютная защита: что такое квантовые коммуникации и как они работают

Что такое квантовое шифрование? Это не серебряная пуля, но может улучшить безопасность. Абсолютная защита: что такое квантовые коммуникации и как они работают

В июле команда физиков из Гарвардского университета заявила о создании 51-кубитного квантового компьютера. Уже понятно, что он принесет не только новые возможности, но и новые опасности. Есть ли шанс защититься?

Фото: фото из архива пресс-службы Российского квантового центра

Кубиты — тип битов, которыми оперируют квантовые компьютеры, и до июля самым сложным был компьютер производства IBM на 17 кубитах. Пока ученые спорят о том, способен ли новый компьютер решать задачи, которые недоступны обычным компьютерам, стоит подумать, какие опасности он может представлять?

Одна из них — квантовый компьютер сможет расшифровать любые данные, которые закодированы с помощью сложных математических алгоритмов, и обычные методы криптографии здесь не помогут. Защиту способны обеспечить только устройства, основанные на принципах той же квантовой физики. В России вывод на рынок устройств квантовой криптографии готовят три команды — Российского квантового центра (РКЦ), Московского государственного университета и совместная группа Университета ИТМО и Казанского квантового центра. Команда РКЦ обещает сделать это первой — уже в 2018 году.

Квантовые ключи

Когда два года назад директор РКЦ Руслан Юнусов пообещал инвестору центра, Газпромбанку, первым в России выпустить на рынок коммерческий продукт в сфере квантовой защиты информации, в положительный исход с трудом верил даже лидер проекта физик Юрий Курочкин, посвятивший теме квантового шифрования без малого десять лет. Сейчас 30 физиков, инженеров и программистов посменно дорабатывают «квантовый криптограф», чтобы успеть запустить его в серию в следующему году.

Большинство современных систем защиты информации основано на крайней сложности применяемых в них математических алгоритмов. Один из самых популярных сегодня методов предполагает использование криптографии с открытым ключом. Ключ — секретная информация, с помощью которой зашифровано сообщение, передается по открытому, незащищенному каналу, отсюда и название. Создать ключ довольно просто, а вот взлом сообщения, которое с его помощью зашифровано, — очень сложная математическая задача, решить которую с существующими компьютерными мощностями практически невозможно, поскольку на это потребуется очень много времени, объясняет научный сотрудник РКЦ и один из руководителей проекта квантовой криптографии Алексей Федоров.

Ситуация может в одночасье измениться: в следующие пять—десять лет в мире может появиться квантовый компьютер, мощностей которого окажется достаточно для расшифровки сообщений, зашифрованных криптографией с открытым ключом, и против которого сегодняшние методы этой криптографии будут бесполезны. Решение проблемы нашлось там же, где и ее причина: на смену математической криптографии приходит квантовая, базирующаяся на физических законах.

Технологии квантовой криптографии точнее будет назвать технологиями квантового распределения ключа, и решают они как раз главную проблему классической криптографии — безопасного распределения ключей. «Вы можете выработать ключ, с помощью которого зашифруете сообщение так, что никто не сможет его прочесть. Но передать этот ключ получателю сообщения так, чтобы быть абсолютно уверенным, что он не был прочитан третьей, нежелательной стороной, вы не можете», — объясняет Федоров.

Квантовое распределение ключей решает эту проблему: ключ генерируется и передается с помощью фотонов, приведенных в определенное квантовое состояние. Перехватить передачу этих элементарных частиц, оставшись незамеченным, невозможно: это противоречит законам физики. Нельзя клонировать неизвестное квантовое состояние — это закон физики, сформулированный Уильямом Вуттерсом, Войцехом Зуреком и Деннисом Диэксом в 1982 году. «Если информация закодирована элементарными квантовыми состояниями, то попытка ее «подслушать» внесет в передаваемые данные ошибки, которые очень легко заметить и измерить. Если ошибок много, информацию могли пытаться узнать посторонние. Тогда ключ просто выкидывается и подбирается новый, и так пока не найдется вариант, при передаче которого не будет превышен допустимый уровень ошибок», — объясняет Вадим Макаров, эксперт по квантовой связи и руководитель лаборатории квантового взлома в Институте квантовых вычислений Университета Ватерлоо (Канада).

Для безопасного коннекта у обеих сторон соединения должно быть два устройства: лазер, источник фотонов, с одной стороны, и детектор, «считыватель» фотонов — с другой. Они соединены оптоволоконным кабелем, по которому передается ключ. Скопировать квантовый ключ нельзя. Таким образом, система дает абсолютную защиту пересылаемым данным. Но сейчас у квантовой коммуникации есть заметная слабость: передавать ключи с помощью фотонов можно только на расстояния 50-100 км. На более длинных дистанциях оптоволокно поглощает фотоны, что кратно снижает скорость передачи информации и делает систему непригодной для практического использования, рассказывает Макаров.
Чтобы создать защищенную линию, например между Москвой и Санкт-Петербургом, понадобится примерно десять раз воспроизвести систему «защищенные — источник-детектор одиночных фотонов», каждый раз устанавливая приемно-передающие станции с защищенным узлом, доступ к которым будет только у доверенных лиц. Пока не проложены магистральные «квантовые» каналы связи, использовать которые смогут одновременно многие пользователи, потребителями технологии, скорее всего, будут компании, которым необходима защищенная линия внутри одного города.

«Фотон как курица»

Проект РКЦ самый молодой: разработку коммерческого устройства ученые центра начали около двух лет назад, тогда как университетские команды работают над своими проектами уже по восемь—десять лет. «Под проект получили инвестиции от Газпромбанка и изначально начинали разработку с прицелом максимально быстрого выхода на рынок. Возможности работать в «университетском» формате и тратить на разработку многие годы у нас не было», — говорит Курочкин. В 2015 году Газпромбанк вложил в эту и другие разработки РКЦ 230 млн руб. Сократить срок разработки команде РКЦ помогло и то, что в проекте использовались разработанные предшественниками из других научных организаций инженерные решения, а также алгоритм генерации ключа, известные всем научным группам, ведущим исследования в этой области.

Фото: Артем Голощапов для РБК

Другое устройство, которое разрабатывает команда Университета ИТМО, проходит испытания в Петербурге, Казани и Самаре. Оно появится в ближайшие год-два, обещают в вузе. Разработчики придумали свой способ передачи фотонов, который, по словам участников команды проекта, поможет улучшить технические характеристики. Обычно в устройствах такого типа квантовый сигнал формируется непосредственно источником и передается сначала в одну сторону, затем отражается и идет обратно: это нужно для компенсации воздействия внешней среды на линию связи, говорит лидер проекта, физик Артур Глейм.

«Мы придумали другой способ: идея в том, чтобы поместить квантовый сигнал на боковой частоте сильного классического оптического сигнала, отправлять сильный импульс, а рядом с ним с отстройкой по частоте квантовый сигнал. Кодирование происходит относительно центральной (опорной) частоты. Благодаря этому ему не нужно проходить путь дважды, увеличиваются скорость и расстояние», — объясняет Глейм.

Все три проекта российских институтов примерно равнозначны по своим характеристикам, очевидного лидера среди них нет, считает Вадим Макаров. «Фотон как курица. Каждый «ресторан» готовит его по-своему, но отличие только в этом, а принцип работы остается одним и тем же». На мировом рынке уже есть работающие устройства для квантовой криптографии. Швейцарская ID Quantique сделала первую коммерческую систему больше десяти лет назад. Выпускают такие устройства компании из Японии (Toshiba), Великобритании (QinetiQ), Австрии (Austrian Institute of Technology) и Китая — правда, купить на открытом рынке можно только швейцарские и австрийские устройства.

Конкурировать с зарубежными производителями, по мнению Макарова, российским компаниям будет довольно сложно: все они уже не первый год рынке, новичкам же только предстоит пройти этот путь. Но информационная безопасность — очень болезненная тема, и по крайней мере один рынок, российский, останется полностью в распоряжении местных производителей, говорит ученый. «У российских устройств есть и экспортный потенциал: в конце концов, для России экспорт оружия — одна из существенных статей дохода, не вижу причин, почему не найдутся покупатели и на устройства квантового шифрования», — добавляет Макаров.

Спрос и предложение

Комплект устройства квантовой криптографии от швейцарской ID Quantique обойдется в $200 тыс. Устройство от РКЦ должно стоить меньше — около $150 тыс., говорят в РКЦ. Выводить на рынок разработку, представляющую черную коробку размером примерно с системный блок компьютера, будет отдельный стартап РКЦ — компания QRate.

Основными покупателями новых систем, считает Макаров, станут правительство, банки и крупный бизнес — те структуры, у которых бюджеты на информационную безопасность достаточно велики, чтобы дополнительные траты не внесли в них радикальных изменений. В РКЦ ориентируются прежде всего на банки. Кроме Газпромбанка команда лаборатории договорилась о сотрудничестве в сфере квантовых технологий с ВЭБом. Когда угроза современным методам шифрования станет вполне реальной, квантовая связь должна уже быть налажена, заявил журналу РБК старший вице-президент банка Глеб Юн. Всего ВЭБу могут потребоваться десятки таких устройств, на внедрение которых может понадобиться несколько лет, говорит он. Газпромбанк не ответил на вопросы журнала РБК.

$1 млрд — приблизительно такой объем у рынка квантовой криптографии на сегодняшний день

50-100 км — примерно на таком расстоянии сегодня могут работать устройства квантовой криптографии

$200 тыс. — ориентировочная стоимость комплекта устройств квантовой криптографии от швейцарской компании ID Quantique, лидирующей на рынке квантовой связи

Будоражит умы ученых и заинтересованных людей из области криптографии. И не зря. Ведь появление компьютера, способного решать сколь угодно сложные задачи, ставит под сомнение существование криптографии в том виде, в котором она есть сейчас. Криптографические протоколы с открытым ключом перестанут иметь смысл, т.к. односторонние функции строго говоря перестанут быть односторонними. Солнце зайдет, мир перевернется, реки потекут вспять… Но мы ведь не спешим отчаиваться, правда?

Существует множество квантовых криптографических алгоритмов - защищенные квантовые каналы, квантовое шифрование с открытым ключом, квантовое подбрасывание монеты, квантовые вычисления вслепую, квантовые деньги - но большинство из них требует для своего осуществления полноценного квантового компьютера.

Да, передача больших объемов информации по квантовым каналам является нецелесообразной на сегодняшний день. А вот использование квантовых алгоритмов для формирования и передачи ключевой информации в симметричных криптосистемах - не только технически реально, но и абсолютно оправданно.

Что ж, как это работает? Например, так:

Сторона А посылает последовательность фотонов, имеющих случайную (0°, 45°, 90°, 135°) поляризацию;
Сторона Б измеряет поляризацию фотонов, выбирая базис "+" (0°, 90° – линейная поляризация) или "×" (45°, 135° – диагональная поляризация) по случайному закону;
Сторона Б фиксирует полученные результаты измерений, сохраняя их в секрете (отдельные фотоны могут быть не приняты вовсе – потеряны или «стерты»);
Сторона Б сообщает затем стороне А по открытому каналу, какие базисы ("+" или "×") она использовала для каждого принятого фотона (но не полученные им результаты), а сторона А сообщает ему, какие базисы из использованных были правильными (данные, полученные при измерениях в неправильных базисах, отбрасываются);
Оставшиеся данные интерпретируются в соответствии с условленной схемой (0° и 45° декодируются как «0», а 90° и 135° – как «1») как двоичная последовательность.

Все, мы получили «сырой» ключ, далее следует усиление секретности, исправление ошибок и согласование ключевой последовательности с помощью специальных алгоритмов (но это уже тема для следующей статьи и не одной).

Просто и эффективно. Дело за технической стороной вопроса. Нет, квантовый компьютер строить для этого не надо, а вот хорошие однофотонные передатчики и приемники (и не только) просто необходимы для передачи квантовой информации на большие расстояния.

Квантовая криптография

Квантовая криптография - метод защиты коммуникаций, основанный на принципах квантовой физики . В отличие от традиционной криптографии , которая использует математические методы, чтобы обеспечить секретность информации , квантовая криптография сосредоточена на физике, рассматривая случаи, когда информация переносится с помощью объектов квантовой механики . Процесс отправки и приёма информации всегда выполняется физическими средствами, например, при помощи электронов в электрическом токе, или фотонов в линиях волоконно-оптической связи . А подслушивание может рассматриваться, как измерение определённых параметров физических объектов - в нашем случае, переносчиков информации.

Технология квантовой криптографии опирается на принципиальную неопределённость поведения квантовой системы - невозможно одновременно получить координаты и импульс частицы, невозможно измерить один параметр фотона, не исказив другой. Это фундаментальное свойство природы в физике известно как принцип неопределённости Гейзенберга , сформулированный в 1927 г.

Используя квантовые явления, можно спроектировать и создать такую систему связи, которая всегда может обнаруживать подслушивание. Это обеспечивается тем, что попытка измерения взаимосвязанных параметров в квантовой системе вносит в неё нарушения, разрушая исходные сигналы, а значит, по уровню шума в канале легитимные пользователи могут распознать степень активности перехватчика.

История возникновения

Впервые идея защиты информации с помощью квантовых объектов была предложена Стивеном Визнером в 1970 году. Спустя десятилетие Ч. Беннет (фирма IBM) и Ж. Брассард (Монреальский университет), знакомые с работой Визнера, предложили передавать секретный ключ с использованием квантовых объектов. В 1984 году они предположили возможность создания фундаментально защищённого канала с помощью квантовых состояний. После этого ими была предложена схема (BB84), в которой легальные пользователи (Алиса и Боб) обмениваются сообщениями, представленными в виде поляризованных фотонов, по квантовому каналу.

Описанный алгоритм носит название протокола квантового распределения ключа BB84 . В нём информация кодируется в ортогональные квантовые состояния. Помимо использования ортогональных состояний для кодирования информации, можно использовать и неортогональные состояния (например, протокол B92).

Недостаток этого подхода уже в самом его принципе.

Так, при данном алгоритме Еве не обязательно даже измерять квантовую последовательность. Она перехватывает последовательность от Алисы и заменяет её своей. Затем подслушивает разговор Алисы и Боба и определяет, какие именно кванты будут использованы для ключа; так Еве становится известен ключ полностью, при этом Алиса и Боб пока ни о чём не догадываются. Боб посылает Алисе зашифрованное сообщение, которое Ева тут же дешифрует. Алиса, получив сообщение, не поддающееся дешифровке (ключ Алисы не совпадает с ключом шифрования, так как Боб использовал ключ Евы), понимает, что сообщение перехвачено, но к этому времени уже поздно, так как Ева знает его содержание.

Для любых тестов и проверок необходимо повторное установление связи, а значит все начинается сначала. Таким образом решаются сразу две задачи: перехват сообщений и нарушение связи противника. Отсюда можно сделать вывод, что такой способ связи хорош исключительно только для дезинформации, но тогда он не рентабелен и смысл его использования падает до нуля, так как Ева знает, что он только для дезинформации.

Алгоритм Беннета

В 1991 году Ч. Беннетом был предложен следующий алгоритм для выявления искажений в переданных по квантовому каналу данных:

Отправитель и получатель заранее оговаривают произвольность расположения битов в строках, что определяет произвольный характер положения ошибок.
Все строки разбиваются на блоки длины k. Где k выбирается так, чтобы минимизировать вероятность ошибки.
Отправитель и получатель определят четность каждого блока, и сообщают её друг другу по открытому каналу связи. После этого в каждом блоке удаляют последний бит.
Если четность двух каких-либо блоков оказалось различной, отправитель и получатель производят итерационный поиск неверных битов и исправляют их.
Затем весь алгоритм выполняется заново для другого (большего) значения k. Это делается для того, чтобы исключить ранее незамеченные кратные ошибки.
Чтобы определить все ли ошибки были обнаружены, проводится псевдослучайная проверка. Отправитель и получатель открыто сообщают о произвольной перестановке половины бит в строках, а затем вновь открыто сравнивают четности (Если строки различны, четности обязаны не совпадать с вероятностью 0,5). Если четности отличаются, отправитель и получатель производят двоичный поиск и удаляют неверные биты.
Если различий не наблюдается, после n итераций отправитель и получатель будут иметь одинаковые строки с вероятностью ошибки 2 -n .

Физическая реализация системы

Рассмотрим схему физической реализации квантовой криптографии. Её иллюстрация представлена на рисунке (где рисунок???). Слева находится отправитель, справа - получатель. Для того, чтобы передатчик имел возможность импульсно варьировать поляризацию квантового потока, а приёмник мог анализировать импульсы поляризации, используются ячейки Покеля. Передатчиком формируется одно из четырёх возможных состояний поляризации. На ячейки данные поступают в виде управляющих сигналов. Для организации канала связи обычно используется волокно, а в качестве источника света берут лазер.

На стороне получателя после ячейки Покеля расположена кальцитовая призма, которая должна расщеплять пучок на две составляющие, улавливаемые двумя фотодетекторами (ФЭУ), а те в свою очередь измеряют ортогональные составляющие поляризации. Вначале необходимо решить проблему интенсивности передаваемых импульсов квантов, возникающую при их формировании. Если в импульсе содержится 1000 квантов, существует вероятность того, что 100 из них будут отведены криптоаналитиком на свой приёмник. После чего, проводя анализ открытых переговоров, он сможет получить все необходимые ему данные. Из этого следует, что идеален вариант, когда в импульсе количество квантов стремится к одному. Тогда любая попытка перехватить часть квантов неизбежно изменит состояние всей системы и соответственно спровоцирует увеличение числа ошибок у получателя. В этой ситуации следует не рассматривать принятые данные, а заново повторить передачу. Однако, при попытках сделать канал более надёжным, чувствительность приёмника повышается до максимума, и перед специалистами встает проблема «темнового» шума. Это означает, что получатель принимает сигнал, который не был отправлен адресантом. Чтобы передача данных была надёжной, логические нули и единицы, из которых состоит двоичное представление передаваемого сообщения, представляются в виде не одного, а последовательности состояний, что позволяет исправлять одинарные и даже кратные ошибки.

Для дальнейшего увеличения отказоустойчивости квантовой криптосистемы используется эффект EPR (Einstein-Podolsky-Rosen), возникающий в том случае, если сферическим атомом были излучены в противоположных направлениях два фотона. Начальная поляризация фотонов не определена, но в силу симметрии их поляризации всегда противоположны. Это определяет тот факт, что поляризацию фотонов можно узнать только после измерения. Криптосхема на основе эффекта ERP, гарантирующая безопасность пересылки, была предложена Экертом. Отправителем генерируется несколько фотонных пар, после чего один фотон из каждой пары он откладывает себе, а второй пересылает адресату. Тогда если эффективность регистрации около единицы и на руках у отправителя фотон с поляризацией «1», то у получателя будет фотон с поляризацией «0» и наоборот. То есть легальные пользователи всегда имеют возможность получить одинаковые псевдослучайный последовательности. Но на практике оказывается, что эффективность регистрации и измерения поляризации фотона очень мала.

Практические реализации системы

г. Беннет и Брассар в Исследовательском центре IBM построили первую работающую квантово-криптографическую систему. Она состояла из квантового канала, содержащего передатчик Алисы на одном конце и приёмник Боба на другом, размещённые на оптической скамье длиной около метра в светонепроницаемом полутораметровом кожухе размером 0,5×0,5 м. Собственно квантовый канал представлял собой свободный воздушный канал длиной около 32 см. Макет управлялся от персонального компьютера , который содержал программное представление пользователей Алисы и Боба, а также злоумышленника.
г. передача сообщения посредством потока фотонов через воздушную среду на расстояние 32 см с компьютера на компьютер завершилась успешно. Основная проблема при увеличении расстояния между приёмником и передатчиком - сохранение поляризации фотонов. На этом основана достоверность способа.
Созданная при участии Женевского университета компания GAP-Optique под руководством Николаса Гисина совмещает теоретические исследования с практической деятельностью. Первым результатом этих исследований стала реализация квантового канала связи с помощью оптоволоконного кабеля длинной 23 км, проложенного по дну озера и соединяющего Женеву и Нион. Тогда был сгенерирован секретный ключ, уровень ошибок которого не превышал 1,4 %. Но все-таки огромным недостатком этой схемы была чрезвычайно малая скорость передачи информации. Позже специалистам этой фирмы удалось передать ключ на расстояние 67 км из Женевы в Лозанну с помощью почти промышленного образца аппаратуры. Но и этот рекорд был побит корпорацией Mitsubishi Electric, передавшей квантовый ключ на расстояние 87 км, правда, на скорости в один байт в секунду.
Активные исследования в области квантовой криптографии ведут IBM, GAP-Optique, Mitsubishi , Toshiba , Национальная лаборатория в Лос-Аламосе , молодая компания MagiQ и холдинг QinetiQ, поддерживаемый британским министерством обороны. В частности, в национальной лаборатории Лос-Аламоса была разработана и начала широко эксплуатироваться опытная линия связи, длиной около 48 километров. Где на основе принципов квантовой криптографии происходит распределение ключей, и скорость распределения может достигать несколько десятков кбит/с.
г. доктор Эндрю Шилдс и его коллеги из TREL и Кембриджского университета создали диод, способный испускать единичные фотоны. В основе нового светодиода лежит «квантовая точка » - миниатюрный кусочек полупроводникового материала диаметром 15 нм и толщиной 5 нм, который может при подаче на него тока захватывать лишь по одной паре электронов и дырок. Это дало возможность передавать поляризованные фотоны на большее расстояние. В ходе экспериментальной демонстрации удалось передать зашифрованные данные со скоростью 75 Кбит/с - при том, что более половины фотонов терялось.
В Оксфордском университете ставятся задачи повышения скорости передачи данных. Создаются квантово-криптографические схемы, в которых используются квантовые усилители. Их применение способствует преодолению ограничения скорости в квантовом канале и, как следствие, расширению области практического применения подобных систем.
В университете Дж. Хопкинса (США) на квантовом канале длиной 1 км построена вычислительная сеть, в которой каждые 10 минут производится автоматическая подстройка. В результате этого, уровень ошибки снижен до 0,5 % при скорости связи 5 кбит/с.
Министерством обороны Великобритании поддерживается исследовательская корпорация QinetiQ, являющаяся частью бывшего британского агентства DERA (Defence Evaluation and Research Agency), которая специализируется на неядерных оборонных исследованиях и активно совершенствует технологию квантового шифрования.

Исследованиями в области квантовой криптографии занимается молодая американская компания Magiq Technologies из Нью-Йорка , выпустившая прототип коммерческой квантовой криптотехнологии собственной разработки. Основной продукт Magiq - средство для распределения ключей (quantum key distribution, QKD), которое названо Navajo (По имени индейцев Навахо, язык которых во время Второй мировой войны американцы использовали для передачи секретных сообщений, поскольку за пределами США его никто не знал). Navajo способен в реальном времени генерировать и распространять ключи средствами квантовых технологий и предназначен для обеспечения защиты от внутренних и внешних злоумышленников.
В октябре 2007 года на выборах в Швейцарии были повсеместно использованы квантовые сети, начиная избирательными участками и заканчивая датацентром ЦИК. Была использована техника, которую ещё в середине 90-х в Университете Женевы разработал профессор Николас Гисин. Также одним из участников создания такой системы была компания Id Quantique .
В 2011 году в Токио прошла демонстрация проекта «Tokyo QKD Network», в ходе которого разрабатывается квантовое шифрование телекоммуникационных сетей. Была проведена пробная телеконференция на расстоянии в 45 км. Связь в системе идёт по обычным оптоволоконным линиям . В будущем предполагается применение для мобильной связи .

Квантовый криптоанализ

Частотный спектр в оптическом канале квантово-криптографической системы.

Широкое распространение и развитие квантовой криптографии не могло не спровоцировать появление квантового криптоанализа, который обладает неоспоримыми преимуществами и экспоненциально перед обычным. Рассмотрим, например, всемирно известный и распространенный в наши дни алгоритм шифрования RSA (Rivest, Shamir, Adleman, 1977) . В основе этого шифра лежит идея того, что на простых компьютерах невозможно решить задачу разложения очень большого числа на простые множители, ведь данная операция потребует астрономического времени и экспоненциально большого числа действий. Поэтому, для решения этой задачи, и был разработан квантовый алгоритм, позволяющий найти за конечное и приемлемое время все простые множители больших чисел, и, как следствие, взломать шифр RSA. Поэтому создание квантовой криптоаналитической системы является плохой новостью для RSA и любого другого шифра, ведь квантовый криптоанализ может быть применён ко всем классическим шифросистемам. Необходимо только создание квантового компьютера, способного развить достаточную мощность.

Взлом квантовой системы

В 2010 году учёные успешно опробовали один из возможных способов необнаружимой атаки, показав принципиальную уязвимость двух криптографических систем, разработанных компаниями ID Quantique и MagiQ Technologies . И уже в 2011 году работоспособность метода была проверена в реальных условиях эксплуатации, на развёрнутой в Национальном университете Сингапура системе распространения ключей, которая связывает разные здания отрезком оптоволокна длиной в 290 м.

В эксперименте использовалась физическая уязвимость четырёх однофотонных детекторов (лавинных фотодиодов), установленных на стороне получателя (Боба). При нормальной работе фотодиода приход фотона вызывает образование электронно-дырочной пары, после чего возникает лавина, а результирующий выброс тока регистрируется компаратором и формирователем импульсов. Лавинный ток «подпитывается» зарядом, хранимым небольшой ёмкостью (≈ 1,2 пФ), и схеме, обнаружившей одиночный фотон, требуется некоторое время на восстановление (~ 1 мкс).

Если на фотодиод подавать такой поток излучения, когда полная перезарядка в коротких промежутках между отдельными фотонами будет невозможна, амплитуда импульса от одиночных квантов света может оказаться ниже порога срабатывания компаратора.

В условиях постоянной засветки лавинные фотодиоды переходят в «классический» режим работы и выдают фототок, пропорциональный мощности падающего излучения. Поступление на такой фотодиод светового импульса с достаточно большой мощностью, превышающей некое пороговое значение, вызовет выброс тока, имитирующий сигнал от одиночного фотона. Это и позволяет криптоаналитику (Еве) манипулировать результатами измерений, выполненных Бобом : она «ослепляет» все его детекторы с помощью лазерного диода, который работает в непрерывном режиме и испускает свет с круговой поляризацией, и по мере надобности добавляет к этому линейно поляризованные импульсы. При использовании четырёх разных лазерных диодов, отвечающих за все возможные типы поляризации (вертикальную, горизонтальную, ±45˚), Ева может искусственно генерировать сигнал в любом выбранном ею детекторе Боба .

Опыты показали, что схема взлома работает очень надёжно и даёт Еве прекрасную возможность получить точную копию ключа, переданного Бобу . Частота появления ошибок, обусловленных неидеальными параметрами оборудования, оставалась на уровне, который считается «безопасным».

Однако, устранить такую уязвимость системы распространения ключей довольно легко. Можно, к примеру, установить перед детекторами Боба источник одиночных фотонов и, включая его в случайные моменты времени, проверять, реагируют ли лавинные фотодиоды на отдельные кванты света.

Подключай и работай (Plug & Play)

Практически все квантово-оптические криптографические системы сложны в управлении с каждой стороны канала связи требуют постоянной подстройки. На выходе канала возникают беспорядочные колебания поляризации ввиду воздействия внешней среды и двойного лучепреломления в оптоволокне. Но недавно была сконструирована такая реализация системы, которую смело можно назвать plug and play («подключай и работай»). Для такой системы не нужна подстройка, а только синхронизация. Система построена на использовании зеркала Фарадея, которое позволяет избежать двойного лучепреломления и как следствие не требует регулировки поляризации. Это позволяет пересылать криптографические ключи по обычным телекоммуникационным системам связи. Для создания канала достаточно лишь подключить приёмный и передающий модули, провести синхронизацию и можно начинать передачу. Поэтому такую систему можно назвать plug and play .

Перспективы развития

Сейчас одним из самых важных достижений в области квантовой криптографии является то, что ученые смогли показать возможность передачи данных по квантовому каналу со скоростью до 1 Мбит/с. Это стало возможно благодаря технологии разделения каналов связи по длинам волн и их единовременного использования в общей среде. Что кстати позволяет одновременное использование как открытого, так и закрытого канала связи. Сейчас в одном оптическом волокне возможно создать около 50 каналов. Экспериментальные данные позволяют сделать прогноз на достижение лучших параметров в будущем:

1) Достижение скорости передачи данных по квантовому каналу связи в 50 Мбит/с, при этом единовременные ошибки не должны будут превышать 4 %.

2) Создание квантового канала связи длиной более 100 км.

3) Организация десятков подканалов при разделении по длинам волн.

На данном этапе квантовая криптография только приближается к практическому уровню использования. Диапазон разработчиков новых технологий квантовой криптографии охватывает не только крупнейшие мировые институты, но и маленькие компании, только начинающие свою деятельность. И все они уже способны вывести свои проекты из лабораторий на рынок. Все это позволяет сказать, что рынок находится на начальной стадии формирования, когда в нём могут быть на равных представлены и те и другие.

Что ж, как это работает? Например, так:

Сторона А посылает последовательность фотонов, имеющих случайную (0°, 45°, 90°, 135°) поляризацию;
Сторона Б измеряет поляризацию фотонов, выбирая базис "+" (0°, 90° – линейная поляризация) или "×" (45°, 135° – диагональная поляризация) по случайному закону;
Сторона Б фиксирует полученные результаты измерений, сохраняя их в секрете (отдельные фотоны могут быть не приняты вовсе – потеряны или «стерты»);
Сторона Б сообщает затем стороне А по открытому каналу, какие базисы ("+" или "×") она использовала для каждого принятого фотона (но не полученные им результаты), а сторона А сообщает ему, какие базисы из использованных были правильными (данные, полученные при измерениях в неправильных базисах, отбрасываются);
Оставшиеся данные интерпретируются в соответствии с условленной схемой (0° и 45° декодируются как «0», а 90° и 135° – как «1») как двоичная последовательность.

В гонке вооружений между белыми и черными шляпами индустрия infosec рассматривает квантовое шифрование и распределение квантовых ключей (QKD). Однако это может быть только часть ответа.

Квантовое шифрование, также называемое квантовой криптографией, применяет принципы квантовой механики для шифрования сообщений таким образом, что они никогда не читаются кем-либо за пределами предполагаемого получателя. Он использует множественные состояния квантов в сочетании с его «теорией изменений», что означает, что ее невозможно бессознательно прервать.

Шифрование существует с самого начала, от ассирийцев, защищающих их коммерческую тайну изготовления керамики для немцев, защищающих военные секреты с Enigma. Сегодня он находится под угрозой больше, чем когда-либо прежде. Вот почему некоторые люди ищут квантовое шифрование для защиты данных в будущем.

Вот как шифрование работает на «традиционных» компьютерах: двоичные цифры (0 и 1) систематически отправляются из одного места в другое, а затем расшифровываются симметричным (закрытым) или асимметричным (общедоступным) ключом. Симметричные ключевые шифры, такие как Advanced Encryption Standard (AES), используют один и тот же ключ для шифрования сообщения или файла, в то время как асимметричные шифры, такие как RSA, используют два связанных ключа — частный и открытый. Открытый ключ является общим, но секретный ключ хранится в секрете, чтобы расшифровать информацию.

Однако криптографические протоколы с открытым ключом, такие как криптография Diffie-Hellman, RSA и криптография с эллиптической кривой (ECC), которые выживают на основе того, что они полагаются на большие простые числа, которые трудно поддаются анализу, все чаще находятся под угрозой. Многие в промышленности считают, что их можно обойти с помощью нападений на конечных или боковых каналах, таких как атаки «человек-в-середине», шифрование и бэкдоры. В качестве примеров этой хрупкости RSA-1024 больше не считается безопасным с помощью NIS , в то время как атаки на боковых каналах оказались эффективными до RSA-40963.

Кроме того, беспокойство заключается в том, что эта ситуация только ухудшится с квантовыми компьютерами. Полагают, что они будут находиться где угодно от пяти до 20 лет, квантовые компьютеры потенциально смогут быстро преобразовывать простые числа. Когда это произойдет, каждое шифрованное сообщение, зависящее от шифрования с открытым ключом (с использованием асимметричных клавиш), будет нарушено.

«Квантовые компьютеры вряд ли будут взламывать симметричные методы (AES, 3DES и т. Д.), Но могут взломать общедоступные методы, такие как ECC и RSA», — говорит Билл Бьюкенен, профессор Школы вычислительной техники в Университете Эдинбурга Нейпир в Шотландии. «Интернет часто преодолевает проблемы с взломом при увеличении размеров ключей, поэтому я ожидаю увеличения размеров ключей, чтобы продлить срок хранения для RSA и ECC».

Может ли квантовое шифрование быть долгосрочным решением?

Квантовое шифрование

Криптография Q uantum может, в принципе, позволять вам шифровать сообщение таким образом, чтобы он никогда не читался кем-либо за пределами предполагаемого получателя. Квантовая криптография определяется как «наука об использовании квантовомеханических свойств для выполнения криптографических задач», а определение непрофессионала заключается в том, что множественные состояния квантов в сочетании с его «теорией изменений» означают, что ее невозможно бессознательно прервать.

Это так, как недавно показала BBC в видео, например, держа мороженое на солнце. Выньте это из коробки, выставите солнце, и мороженое будет заметно отличаться от предыдущего. В статье 2004 Стэнфорда это объясняет это лучше, говоря: «Квантовая криптография, которая использует фотоны и опирается на законы квантовой физики вместо« чрезвычайно больших чисел », — это новейшее открытие, которое, как представляется, гарантирует конфиденциальность даже при условии, что подслушивающие устройства с неограниченными вычислениями полномочия «.

Бьюкенен видит множество рыночных возможностей. «Применение квантового шифрования дает возможность заменить существующие методы туннелирования, такие как SSL и Wi-Fi криптография, для создания полного сквозного шифрования по оптоволоконным сетям. Если оптоволоконный кабель используется по всему соединению, поэтому нет необходимости применять шифрование на любом другом уровне, поскольку связь будет защищена на физическом уровне ».

Квантовое шифрование действительно является распределением квантовых ключей
Алан Вудворд, приглашенный профессор кафедры вычислительной техники Университета Суррея, говорит, что квантовое шифрование неверно понято, и люди на самом деле означают квантовое распределение ключей (QKD), «теоретически-безопасное решение для ключевой проблемы обмена». С QKD , фотоны, распределенные в микроскопической квантовой шкале, могут быть горизонтальными или вертикально поляризованными, но «наблюдение за ним или измерение его нарушают квантовое состояние». Это, говорит Вудворд, основано на «теореме о клонировании» в квантовой физике.

«Посмотрев на ошибки степени, вы увидите, что это было нарушено, поэтому вы не доверяете сообщению», — говорит Вудворд, добавив, что как только у вас есть ключ, вы можете вернуться к симметричному шифрованию ключей. QKD, в конечном счете, в конечном счете о замене инфраструктуры открытых ключей (PKI).

Бьюкенен видит огромный потенциал для QKD: «В настоящее время мы не обеспечиваем надлежащую защиту сообщений на физическом уровне от сквозной доставки. С Wi-Fi безопасность обеспечивается только через беспроводной канал. Чтобы обеспечить безопасность связи, мы затем накладываем другие методы туннелирования на коммуникации, например, с помощью VPN или с помощью SSL. Благодаря квантовому шифрованию мы могли бы обеспечить полное сквозное соединение без необходимости использования SSL или VPN ».

Каковы приложения QKD?

Как отмечает Вудворд, QKD уже имеется в продаже, от таких поставщиков, как Toshiba, Qubitekk и ID Quantique. Тем не менее QKD продолжает оставаться дорогостоящим и требует независимой инфраструктуры, в отличие от пост-квантового шифрования, которое может работать по уже существующим сетям.

Именно здесь Китай «украл марш» в привлечении QKD на рынок. Ранее в этом году австрийским и китайским ученым удалось провести первый квантовый зашифрованный видеозвонок, сделав его «по крайней мере в миллион раз безопаснее», чем обычное шифрование. В эксперименте китайцы использовали свой китайский спутник Mikaeus, специально запущенный для проведения экспериментов по квантовой физике, и использовали запутанные пары из Вены в Пекин с ключевыми скоростями до 1 Мбит / с.

Вудворд говорит, что все, что использует шифрование с открытым ключом, может использовать QKD, и одна из причин, по которым китайцы могут быть заинтересованы в этом, — это если они считают, что это физически безопасно, защищая их от НСА и национальных государств. « Не может быть бэкдоров, нет умного математического трюка», — говорит он, ссылаясь на атаку эллиптической кривой. «Это зависит от законов физики, которые намного проще, чем законы математики».

В конечном счете, он ожидает, что он будет использоваться в правительственных, банковских и других высокопроизводительных приложениях. «Сегодня несколько компаний продают оборудование, и это работает, но это дорого, но затраты могут снизиться. Люди, вероятно, увидят это с точки зрения безопасности, например, банковское дело и правительство ».

Другие примеры включают:

Исследователи из Оксфордского университета, Nokia и Bay Photonics изобрели систему, которая позволяет шифровать платежные реквизиты, а затем безопасно передавать квантовые ключи между смартфоном и платежным терминалом точки продажи (POS), в то же время мониторинг для любые попытки взломать передачи.
С 2007 года Швейцария использует квантовую криптографию для проведения безопасного онлайн-голосования на федеральных и региональных выборах. В Женеве голоса зашифровываются на центральной станции подсчета голосов, прежде чем результаты будут передаваться по выделенной линии оптического волокна в удаленное хранилище данных. Результаты защищаются с помощью квантовой криптографии, а наиболее уязвимая часть транзакции данных — когда голосование переходит от счетной станции к центральному репозиторию — является бесперебойным.
Компания под названием Quintessence Labs работает над проектом NASA, который обеспечит безопасную связь с Землей со спутниками и астронавтами.
Небольшое шифровальное устройство, называемое QKarD, может позволить работникам умных сетей отправлять полностью безопасные сигналы с использованием общедоступных сетей передачи данных для управления интеллектуальными электрическими сетями.
Поскольку он документирует в этой статье Wired , Дон Хейфорд работает с ID Quantique для создания 650-километровой связи между штаб-квартирой Battelle и Вашингтоном. В прошлом году Battelle использовал QKD для защиты сетей в штаб-квартире Columbus, штат Огайо.

Практические проблемы и вмешательство государства

Однако квантовое шифрование не обязательно является серебряной пулей для обеспечения информационной безопасности. Вудворд цитирует частоту ошибок в шумной, турбулентной вселенной для ненадежности, а также технические трудности при создании одиночных фотонов, необходимых для QKD. Кроме того, QKD на основе волокон может двигаться только на определенном расстоянии, поэтому вам необходимо иметь повторители, которые, таким образом, представляют собой «слабые места».

Бьюкенен отмечает, что инфраструктурная проблема тоже нуждается в широкополосном волокне из конца в конец. «Мы все еще далеки от волоконных систем от конца до конца, так как последняя миля канала связи часто по-прежнему основана на меди. Наряду с этим мы соединяем гибридные системы связи, поэтому мы не можем обеспечить физический канал связи для сквозных соединений ».

Это также не серебряная пуля. Некоторые исследователи недавно обнаружили проблемы безопасности с теоремой Белла, в то время как участие правительства может быть сложным. В конце концов, это эпоха, когда политики не понимают шифрования, где агентства стремятся нарушить сквозное шифрование и поддержать бэкдоры крупными техническими компаниями.

Возможно, неудивительно, что недавно Центр национальной безопасности Великобритании пришел к такому проклятому завершению недавнего доклада о QKD. «QKD имеет фундаментальные практические ограничения, не затрагивает значительную часть проблемы безопасности, [и] плохо понимается с точки зрения потенциальных атак. Напротив, постквантовая криптография с открытым ключом, по-видимому, обеспечивает гораздо более эффективные смягчения для реальных систем связи от угрозы будущих квантовых компьютеров »,

Будущее шифрования может быть гибридным

Вудвард упоминает «бит битвы между криптографами и физиками», особенно по поводу того, что составляет так называемую «абсолютную безопасность». Таким образом, они разрабатывают разные методы, и Вудвард признает, что он не может понять, как они идут придти вместе.

NSA в прошлом году начал планировать переход на квантово-устойчивое шифрование, в то время как Национальный институт стандартов и технологий (NIST) проводит конкурс, чтобы стимулировать работу после квантовых алгоритмов. Есть усилия ЕС по постквантовому и квантовому, в то время как Google полагался на постквантовую решетку для своей системы New Hope на Chrome .

«Я ожидаю, что это будет комбинация как [пост-квантов, так и QKD]. Вы увидите QKD, где имеет смысл тратить больше денег на инфраструктуру, но математические подходы к подобным вам и мне в конечных точках », — говорит Вудворд. Например, он ожидает, что QKD будет «частью путешествия», возможно, от самого себя до сервера WhatsApp, но с постквантом от сервера ко мне как получателю.

Квантовое распределение ключей, безусловно, является прекрасной возможностью для индустрии информационной безопасности, но нам придется подождать немного, прежде чем широко распространенное внедрение становится реальностью.