Доклад «Безопасность коммуникаций в эпоху квантовых компьютерных технологий»

Исследование компании RAND Безопасность коммуникаций в эпоху квантовых компьютерных технологий представляет описание возможностей, рисков и вариантов регулирования политической, экономической информационно-коммуникационной среды при достижении широкой доступности квантовых технологий.

Внедрение квантовых компьютерных технологий[1] в США ожидается к 2033 г. а внедрение новых стандартов шифрования может начаться в период 2022-2024 гг.

В исследовании проведен анализ соответствия систем безопасности новым квантовым компьютерным технологиям, оценивается способность систем цифрового шифрования информационно-коммуникационной инфраструктуры отвечать вызовам квантовых технологий.

В качестве рисков внедрения и широкого использования квантовых технологий рассматриваются:

  • Отставание стандартизации шифрования для противостояния квантовым атакам;
  • Проблема повсеместного внедрения постквантовой криптографии;
  • Ретроактивность. Приобретенная и сохраненная информация, представляет угрозу в будущем;
  • Увеличение разнообразия киберопасностей;
  • Отсутствие осведомленности о развитии квантовых вычислений среди рядовых пользователей.

На основе исследования сделан вывод об управляемости угрозой безопасности для инфраструктуры связи. Предложены сценарии последствий внедрения квантовых технологий.

Проблема данных

Схемы шифрования с открытым ключом не представляют сложность для квантового компьютера. Открытые ключи в цифровых сертификатах могут взламываться за короткий период времени. Это представляет угрозу для аутентификации в системах, использующих криптографию с открытым ключом (Public Key Cryptography, далее PKC). Например, доступ к цифровым сертификатам, подделка цифровой подписи, возможность выдавать себя за финансовое учреждение или любой другой объект сети.

Квантовый компьютер сможет расшифровывать все сохраненные сообщения, которые были переданы до появления квантового компьютера. Фактором риска является продолжительность обеспечения секретности данных. Например, некоторые данные хранятся в течение двадцати лет. Создание квантового компьютера раньше этого срока приведет к уязвимости таких данных. При этом, стоимость некоторых данных быстро устаревает, а других имеет долгосрочные последствия. Например, генетическая информация, история болезни, конфиденциальная интеллектуальная собственность, секретная информация государственных учреждений и др.

Проблемы криптографической защиты

В системах коммуникаций используются три вида криптографии: PKC, криптография с симметричным ключом, криптографические хэш-функции.

PKC представляет основу обмена информацией в цифровых коммуникациях. Посредством PKC возможен обмен конфиденциальной информацией на различных уровнях: электронная почта, социальные сети, торговая деятельность, использование кредитных карт, дистанционная работа и пр. В основе PKC находятся два ключа открытый и закрытый. Любое математически зашифрованное сообщение с помощью открытого ключа может быть расшифровано с помощью закрытого ключа и передаваться по открытым каналам. Расшифровка закрытого ключа представляет сложную операцию факторизации чисел[2] и решения задач дискретного логарифмирования[3]. В криптографии с симметричным ключом для шифрования и дешифрования используется один и тот же ключ.

В отличие от криптографии с симметричным ключом, криптографические хэш-функции являются односторонними криптографическими функциями, то есть, не предназначены для обращения. Когда к сообщению применяется хэш-функция, она создает текст фиксированного размера, известный как дайджест или хэш, который является уникальным для этого сообщения. Любые изменения в сообщении будут генерировать другой хэш.

В коммуникациях хэш-функции используются для подтверждения неизменности сообщения.

Современные кибератаки направлены на нахождение уязвимостей в виде человеческого фактора или уязвимости системы. Квантовые кибератаки будут использовать только вычислительную мощность для прохождения через криптографические средства защиты.

Сегодня компьютер может решить задачи дешифрования в масштабе времени, эквивалентному возрасту земли. Квантовому компьютеру для решения аналогичной задачи понадобится несколько часов или дней. Однако, осуществление дешифрования с целью кибератаки будет сопровождаться высокой стоимостью и издержками.

По различным оценкам для использования алгоритма Шора[4] и взлома различных PKC потребуется от сотен миллионов до сотен миллиардов кубитов[5]. На сегодняшний день компанией Google продемонстрирована реализация с 53 кубитами.

Кроме этого, предполагается, что масштабирование текущих квантовых архитектур непрактично, а реализация квантовых вычислений такого размера невозможна.

Тем не менее, существующие криптографические реализации для коммуникационных систем должны быть адаптируемы к новым вычислительным возможностям.

На сегодняшний день противостоять квантовым атакам на протоколы криптографии с симметричным ключом можно удвоением длины симметричного ключа, а на хэш-функции увеличением длины ключа на пятьдесят процентов.

Необходимы дальнейшие разработки криптографических методов защиты от мощности квантового компьютера, в том числе методом удвоения длины ключа, который не требует изменения парадигмы криптографической защиты, но повышает затраты вычислительных ресурсов для операций (де)шифрования.

Постквантовая криптография

Альтернативные криптографические способы шифрования с открытым ключом могут быть устойчивы к квантовым кибератакам. Эти способы получили название постквантовая криптография (далее PQC).

Постквантовая криптография это ветвь PKC с криптографическими алгоритмами, в которых вместо факторизации чисел или дискретных логарифмов используют ряд других подходов. Такие подходы включают системы на основе решеток, кодов, хэшей и многомерные системы, которые непрерывно тестируются. При обнаружении уязвимости к квантовому компьютеру система признается несостоятельной. Например, криптосистема Soliloquy, основанная на решетках в 2007г. оказалась уязвимой к атакам, а многолетняя программа закончена.

Реализацией, анализом алгоритмов и тестированием PQC занимается ряд организаций, например, Национальный институт стандартов и технологий (далее NIST).

Агентство национальной безопасности США и Департамент собственной безопасности объявили о подготовке к переходу на алгоритмы PQC и рекомендовали прекратить переход к криптографии с эллиптическими кривыми[6] до стандартизации и внедрения алгоритмов PQC. NIST планирует выпустить проект стандартов в 2022-2024гг. Ожидается, что эти стандарты будут приняты Международной организацией по стандартизации ISO.

Процесс криптографического перехода требует значительных временных затрат и изменений в протоколах (изменения в программном обеспечении, оборудовании, встроенных структурах данных), высокие затраты на переход на новый стандарт. В масштабе одной страны такой переход может длиться несколько десятков лет. Например, стандарт SHA-2 для криптографических хэш-функций был одобрен в 2002 году. В 2016 году 35 процентов сайтов использовали сертификаты со старым стандартом, который был объявлен устаревшим только в 2017 году.

Объемы перехода на PQC не будут известны до момента выпуска стандартных протоколов. Переход может потребовать от организаций увеличения длины ключей, увеличения времени обработки, новых структур данных. При этом каждый из перечисленных элементов может быть несовместим с аппаратным или программным обеспечением протоколов внутри системы.

Согласно исследованию, эти проблемы будут способствовать формированию криптографической гибкости и киберустойчивости. Криптографическая гибкость заключается в возможности менять местами шифры, применять разные версии протоколов, менять программное обеспечение.

Таким образом, криптографическая гибкость позволит обеспечить низкие затраты на переход к PQC. Кроме этого, эффективность и своевременность внедрения PQC имеет прямую зависимость от регулирующих органов, ресурсов и приоритетов.

Сценарии перехода к квантовым компьютерным технологиям

В исследовании представлены три сценария последствий развития квантовых компьютерных технологий и соответствующих систем киберзащиты.

Сценарии построены на экспертных интервью, и представлены в исследовании в виде количественных оценок.

Каждый ответ характеризуется высокой степенью неопределенности относительно сроков и возможностей внедрения квантовых компьютеров и/или систем защиты. Количественные результаты демонстрируют значительное расхождение во мнениях[7].

Сценарий 1: Квантовый сюрприз

Сценарий предполагает создание и начало использования квантового компьютера до выпуска стандарта PQC. Реализация этого сценария возможна в результате разработки секретных программ, технологических прорывов, открытий в фундаментальной науке.

Риски этого сценария связаны с невозможностью аутентификации личности в сетях и потерей контроля над безопасностью. Для этого сценария характерны абсолютная прозрачность связи и неконтролируемость сетевых систем, разрушение жизненно-важной инфраструктуры и коммуникаций при долгих и сложно определяемых кибератаках.

Также риски связаны с уменьшением доверия к государственным и иным учреждениям, сбоям в работе различных систем и неопределенностью последствий в связи с доступом к государственным и иным секретным данным.

Вероятность реализации сценария низкая.

Сценарий 2: PQC предшествует созданию квантовых компьютеров

В сценарии 2 квантовый компьютер создается через несколько лет после выпуска стандартов PQC. Стандарт PQC принят организациями с повышенными требованиями к информационной безопасности, такими как оборонные и разведывательные службы, поставщики критически важной инфраструктуры. Сложность при реализации данного сценария заключается в полномасштабном и повсеместном внедрении.

Серьезные сбои при реализации сценария не ожидаются. Проблема заключается в возможности принятия мер по ускорению внедрения PQC.

Вероятность реализации сценария низкая.

Сценарий 3: Стандарт PQC значительно предшествует созданию квантового компьютера

В случае наступления событий данного сценария широкомасштабный переход к стандарту PQC осуществлен большинством организаций. Тем не менее, остаются такие, которые ждут принятия PQC по умолчанию и/или зависят от трудно обновляемых систем безопасности. Среди рисков называются наслоение уязвимостей квантовых компьютеров на уязвимости кибербезопасности.

Вероятность сценария оценивается как высокая.


  1. Квантовые компьютеры это компьютеры нового поколения, основанные не на бинарной, а множественной логике, которая предоставляет возможность единице измерения – кубиту и каждому кубиту в связи кубитов – находится в двух состояниях сразу, что гарантирует константность времени выполнения любой вычислительной операции
  2. Факторизация или факторинг числа декомпозиция числа на произведение других чисел, которые при умножении дают исходное число
  3. Алгоритмы вычисления дискретного логарифма имеют очень высокую сложность, которая сравнима со сложностью алгоритмов разложения чисел на множители. Кроме этого, если дискретный логарифм сможет быть решен за полиноминальное время, то криптографическая защита перестанет выполнять свои функции. Если количество операций при выполнении алгоритма, не больше какого-то полинома (многочлена) от размера входа, то это полиноминальный алгоритм. Сложность заключается в том, что неизвестно, сколько реального времени потребуется на решение полиноминальных алгоритмов
  4. Алгоритм для факторизации целых чисел, являющихся произведением двух простых нечётных чисел
  5. Кубит это наименьший элемент хранения информации в квантовом компьютере
  6. Криптография с эллиптическими кривыми (Elliptic Curve Cryptography, ECC) — новое поколение криптосистем с открытым ключом, которые построены на понятных математических основаниях и обеспечивают более серьезную защиту, чем криптосистемы первого поколения RSA (Rivest, Shamir, Adleman – название алгоритма по фамилиям создателей), построенные на умножении и разложении на множители
  7. Методология и полный текст исследования доступен на rand.org
Поделиться