Квантовый переход финтеха

Квантовый переход финтеха

Опасность, исходящая от квантовых компьютеров, пока находится в теоретической плоскости. Но почему с переходом на квантовые технологии криптографической защиты данных не следует медлить?

В далеком 1959 году выдающийся американский физик-теоретик Ричард Фейнман прочитал в Калифорнийском институте технологий лекцию под названием «Внизу много места: приглашение в новую область физики» (There's Plenty of Room at the Bottom An Invitation to Enter a New Field of Physics), в которой впервые привел теоретическое обоснование использования квантовых эффектов для вычислений. Более десяти лет спустя — в 1970 г. — ученый из Колумбийского университета США Стивен Визнер высказал идею использования квантовых объектов для защиты информации. А еще через 10 лет советский и американский математик Юрий Манин описал идею квантовых вычислений в своей статье «Вычислимое и невычислимое».

Далее ситуация стала развиваться гораздо энергичнее — в сторону практических разработок. В 1983 г. Стивен Визнер предложил создать квантовые банкноты — такие, которые нельзя скопировать, поскольку, согласно квантовым законам, факт измерения объекта изменяет его состояние. Для того чтобы осуществить эту идею, на каждой банкноте нужно было реализовать ловушку с фотонами, причем, каждая из частиц поляризована определенным образом по двум разным базисам. Например, один фотон мог быть поляризован под углом 0⁰ или 90⁰ от некоторой вертикали, а второй — под углом 45⁰ и 135⁰. Для того чтобы скопировать банкноту необходимо измерить поляризации фотонов, но никто, кроме Центрального банка страны, не знает, какие поляризации соответствуют номеру конкретной банкноты. Если расположить на каждой банкноте десяток ловушек, количество фотонов на ней будет большим, а вероятность случайного угадывания в процессе перебора вариантов стремится к нулю.

Правда, ловушек фотонов, пригодных для размещения на банкнотах не было ни в тот момент, ни в настоящее время… Но сама идея оказалась весьма плодотворной: уже через год после публикации статьи Стивена Визнера физики Жиль Брассар и Чарльз Беннет разработали первый протокол для квантовой связи BB84, получивший свое название по первым буквам их фамилий. Этот протокол до сих пор широко применяется в современных квантовых сетях связи.

Как Алиса и Боб занялись квантовыми состояниями одиночных фотонов

Беннет и Брассар предложили кодировать данные в виде квантовых состояний одиночных фотонов, например, с помощью различных вариантов поляризации. Максим Агаджанов, редактор «Хабр», рассказывает, каким образом в этом случае Алиса и Боб — два классических персонажа криптографических кейсов - осуществляют засекреченный обмен сообщениями (ключами): «Алиса посылает Бобу фотоны, поляризованные в одном из двух, неортогональных друг другу, базисах: прямоугольном или диагональном. Боб получает их, измеряет поляризацию, выбирая базисы для измерения случайным образом, и записывает результаты измерений и базисы. Затем он и Алиса обмениваются информацией об использованных базисах (но не о результатах измерения) по открытому каналу, и данные, полученные при несовпавших базисах, сбрасываются. Остаются только значения, измеренные в совпадающих базисах».

Схема кодирования данных в виде квантовых состояний одиночных фотонов с помощью их поляризации. Источник: https://habr.com/ru/, июль 2019 г.

Хакер Ева может перехватить одиночный фотон, измерить его поляризацию и попытаться переслать копию фотона Бобу, но это тут же вызовет сообщение об ошибке при передаче квантового ключа. Алиса и Боб сравнивают небольшую часть ключа по открытому каналу, и если уровень ошибок не превышает некоторого порогового значения, значит, связь безопасна.

Ученые создали экспериментальную установку абсолютно защищенной квантовой связи — она могла передавать данные на расстояние 32,5 см. А через несколько лет — в 1989 г. — корпорация IBMреализовала свою первую квантово-криптографическую схему, работавшую на подобных принципах. В ней данные передавались приблизительно на 1 м.

Квантовый компьютер: время больших ожиданий

80-е годы прошлого века можно с полным правом назвать динамичным прорывом квантовых технологий в практическую жизнь. В 1981 г. Ричард Фейнман публикует очередную знаковую статью «Физическое моделирование с помощью компьютеров» (Simulating Physics with Computers), в которой впервые была предложена базовая модель квантового компьютера. В частности, квантовый бит — кубит — может насчитывать большее количество состояний, чем традиционная пара значений классического бита: «0» или «1». Механизм формирования кубита определяется эффектом квантовой суперпозиции. Он предполагает, что атом вещества может находиться, в состоянии «0» либо «1», а также может хранить сразу два значения. Значит, если проводить с кубитомкакие-либо операции, то они будут происходить одновременно и с нулем, и с единицей. А если взять множество таких атомов, то за одну операцию можно произвести большое количество однотипных вычислений.

Эта особенность квантовых битов определяет гораздо более высокую производительность квантовых компьютеров, по сравнению с традиционными, и, по сути, говорит о переходе вычислительной техники в новую реальность, в которой больше не действует закон Мура.

В этой реальности компьютеры строятся на принципиально иных физических принципах. В качестве кубитов могут использоваться охлажденные до сверхнизких температур атомы, отдельные электроны или ядра некоторых атомов, сверхпроводящие кольца, фотоны. Ученые изучают системы, созданные на основе ядер, управляемых при помощи эффекта ядерного магнитного резонанса, а также ионные ловушки — одномерный кристалл, состоящий из ионов, находящихся в электромагнитном поле. Изменение состояния кубита в соответствии с заданным алгоритмом происходит за счет воздействия поляризованного лазерного пучка на один или группу ионов. Сверхпроводящие нанокольца, расположенные в магнитном поле при температуре, близкой к абсолютному нулю, поддерживают ток, текущий в кольце в противоположных направлениях. Так моделируется кубит, способный одновременно находиться в двух состояниях.

«Компьютер на основе сверхпроводящих кубитов — это большой криостат. В данном случае используется криогенная техника со всеми сопутствующими устройствами, — рассказывал Сергей Кулик, научный руководитель Центра квантовых технологий физического факультета МГУ в интервью Russia Today в июне 2019 г. — Фотонные чипы выглядят совершенно по-другому. Это некая матрица, на которой буквально нарисованы с помощью разных оптических и литографических технологий световоды, которые пересекаются, расходятся, образуя сложные интерферометры. Свет в виде квантовых состояний распространяется по ним и доходит до выхода в том виде, как это нужно, чтобы решить ту или иную задачу».

Квантовые компьютеры за счет своей производительности способны эффективно справляться с задачами, где требуется перебор большого количества данных и вычислительная мощность, недоступная классическим компьютерам. Таких задач очень много: улучшенные метеорологические прогнозы, создание новых лекарственных форм, более точный расчет химических реакций – этим направлением занимается целая отрасль науки — вычислительная квантовая химия, а также ускорение машинного обучения, анализ больших данных, задачи оптимального управления.

Квантовый компьютер: время больших опасений

Необычайно высокая производительность квантового компьютера — это, можно сказать, экзистенциальная угроза традиционной криптографии, особенно наиболее популярному сегодня варианту шифрования с открытым ключом. Дело в том, что его главные элементы: генерация пары — открытый и закрытый ключ, а также алгоритм шифрования — базируются на нескольких допущениях.

Первое - имитация случайных процессов. В традиционном шифровании генератор случайных чисел, который используется при создании ключа, имеет псевдослучайный характер: в основе генерации лежит некоторая формула, которая теоретически может быть раскрыта. В ходе анализа функции (при попытке расшифровки засекреченной информации злоумышленником) происходит поиск различителя между этой функцией и некоторой идеализированной моделью, которая выдает по-настоящему случайные числа, так называемым случайным оракулом. Схемы определения этого различителя специалистам известны, поэтому математики всего мира тратят усилия на то, чтобы генерируемый ключ был максимально близок к идеальному оракулу.

Основные виды криптографии и соответствующие алгоритмы. Источник: Quantum Computing  and Cybersecurity. Preparing for Post-Quantum Cryptography. Исследование PRESCOUTER, апрель 2022 г.

Так, в 1984 г. Голдрайх, Голдвассер и Микалио писали свою концепцию конструирования псевдослучайных функций (PRF), которые выглядят случайными для противника. Для реализации PRF предложен псевдослучайный генератор (PRG) с удвоением длины. Эти псевдослучайные функции стали важным элементом современной криптографии, например, они используются при аутентификации сообщений, в доказательствах теорем. Дальнейшим развитием PRF стал механизм псевдослучайных перестановок, который стал из себя ядром блочного шифра. Яркий пример блочного шифра, использующего псевдослучайные перестановки, — AES.

В квантовой криптографии важным элементом схемы является квантовый генератор случайных чисел (КГСЧ), который имеет вид не математической абстракции, а физического оптического процесса: фотоны света от источника друг за другом направляются на полупрозрачное зеркало и детектируются двумя приемниками. Срабатывание одного из них означает «1», другого — «0». Сегодня устройства КГСЧ — это оборудование, которое можно приобрести на рынке.

Источник: Quantum Computing and Cybersecurity. Preparing for Post-Quantum Cryptography. PRESCOUTER, апрель 2022 г.

Второе важное условие секретности современного шифрования — невозможность взлома зашифрованного сообщения за приемлемое время. С точки зрения математики, ключ представляет собой результат произведения ряда простых чисел. Соответственно, поиск ключа связан с разложением некоторого большого числа на простые множители (задача факторизации). Для большого количества простых чисел задача факторизации имеет очень высокую вычислительную сложность.

Виктор Алексеев в своей статье «Квантовая криптографическая катастрофа. Часть 1», опубликованной в журнале «Современная электроника», №1, 2023 г., рассказывает о математических конкурсах «RSA Factoring Challenge» по разложению на простые множители так называемых RSA-чисел. Они относятся к категории «больших чисел», например, 2048-битная реализация протокола RSA соответствует ключу длиной 617 десятичных цифр. Попытка найти простые сомножители такого числа методом перебора даже при помощи самого современного компьютера займет тысячи лет.

Так, в 2007 г. завершился конкурс по разложению на простые множители чисел вплоть до RSA-768, то есть длиной 768 бит. На разложение этого числа потребовалось почти два года непрерывной работы сотен мощных стандартных компьютеров. В феврале 2020 г. завершился рекордный процесс факторизации числа «829-bit RSA». Для этих вычислений потребовалось объединить вычислительные мощности компьютеров на базе Intel Xeon Gold 6130 при использовании алгоритма Number Field Sieve и программного обеспечения CADO-NFS с открытым исходным кодом, а общее время вычислений составило примерно 2700 PCY, где Physical Core Years — это эквивалентное время, при котором ЦПУ с одним ядром использовалось непрерывно в течение года.

Еще одна серьезная математическая задача — дискретное логарифмирование — связана, в частности, с задачей взлома схемы электронной подписи ECDSA, основанной на использовании эллиптических кривых. Алгоритм принят многими компаниями в мире качестве стандарта и реализован в большом количестве криптографических библиотек. Именно этот алгоритм используется для обеспечения безопасности биткоина: каждый биткойн-адрес является криптографическим хэшем открытого ключа ECDSA. Владелец учетной записи определяется тем, кто контролирует закрытый ключ ECDSA.

На настоящий момент математики получили субэкспоненциальный алгоритм дискретного логарифмирования (он еще не достиг полиномиальной сложности, но все же менее сложен, чем экспоненциальный).

Таким образом, математическим основанием популярных криптографических алгоритмов, которые признаны мировыми стандартами, являются две математических процедуры — задача факторизации целых чисел и задача дискретного логарифмирования. Гарантией их безопасности является высокая вычислительная сложность этих алгоритмов, что делает практически невыполнимой взлом ключа с помощью современных компьютеров.

«Однако квантовые вычисления настолько ускоряют факторизацию простых чисел, что компьютеры с квантовыми вычислениями могут легко взломать криптографические ключи с помощью быстрых вычислений и исчерпывающего поиска секретного ключа», — говорят аналитики компании Prescouter в своем исследовании «Квантовые вычисления и кибербезопасность. Готовимся к постквантовой криптографии», опубликованном в апреле 2022 г. «Задача, считающаяся вычислительно невозможной при применении традиционных компьютерных архитектур, становится простой за счет компрометации существующих криптографических алгоритмов, сокращения времени, необходимого для взлома криптографии с открытым ключом с нескольких лет до часов», — подчеркивают аналитики.

Так на сцене появился CRQC (Cryptographically Relevant Quantum Computer, криптографически релевантный квантовый компьютер) — устрашающий образ грядущего квантового компьютера, который способен взломать большую часть нынешних криптографических систем с открытым ключом, используемых в цифровых системах во всем мире. Мало того, для него уже разработан подходящий математический инструментарий.

Математический инструментарий «Большого Квантового Взломщика»

Еще в 1995 г. математик Питер Шор, трудившийся тогда в компании AT&T, опубликовал алгоритм полиномиальной сложности для разложения числа на простые множители и дискретного логарифмирования на квантовом компьютере. Алгоритм позволяет осуществлять факторизацию почти так же быстро, как умножение. А через год появился алгоритм Гровера, который обеспечивает квадратичное ускорение решения задачи поиска по неструктурированной базе данных.

Эти два алгоритма для квантовых компьютеров бросают вызов современным системам криптографии. Алгоритм Шора способен решить две математических задачи за полиномиальное время, в то время как алгоритм, предложенный Гровером, может увеличить скорость дешифрования ключей в квадратичном порядке.

Сравнение сложности классической и квантовой атаки. Источник: «ИнфоТеКС»

Существуют алгоритмы шифрования, которые «ломаются» с помощью квантовых алгоритмов за полиномиальное время, например, варианты алгоритма DES: 2K-DES и 4K-DES, отмечает Игорь Голдовский, директор Департамента инноваций, главный архитектор АО НСПК в своей статье «Постквантовая криптография. Готовимся сегодня?», опубликованной в журнале Plus World в марте 2022 г. С помощью квантового алгоритма Саймона ключи этих алгоритмов находятся за полиномиальное время.

«Наиболее широко используемые на практике алгоритмы асимметричного шифрования RSA, DSA, ECDSA, EdDSA, EC-SDSA перестают быть криптостойкими и взламываются (находится секретный ключ) за полиномиальное от размера публичного ключа время», — говорит Игорь Голдовский.

Источник: Quantum Computing and Cybersecurity. Preparing for Post-Quantum Cryptography. Исследование Prescouter, апрель 2022 г.

Правда, как отмечает Виктор Алексеев, составные числа можно разложить на простые множители с помощью алгоритма Шора и квантового компьютера в приемлемое время, но не абсолютно точно, а лишь с некоторой вероятностью. К тому же использовать для этих целей нужно весьма производительный квантовый компьютер (свыше 7000 кубитов).

Последствия от появления квантовых компьютеров для алгоритмов симметричного шифрования и хэш-функций не столь катастрофичны, отмечает Игорь Голдовский. Например, криптостойкость любого симметричного алгоритма шифрования при использовании квантового компьютера эквивалентна криптостойкости того же алгоритма при использовании классического компьютера, но с увеличенной в два раза длиной ключа шифрования. Другими словами, в случае симметричных алгоритмов шифрования можно просто удвоить длину ключа, чтобы добиться прежней криптостойкости, не меняя при этом криптографического алгоритма.

В связи с различной реакцией на угрозу взлома со стороны квантового компьютера в среде специалистов бытует две оценки его возможностей:

• квантовое превосходство — способность квантовых вычислительных устройств решать проблемы, которые классические компьютеры вообще решить не могут;
• квантовое преимущество — способность квантовых вычислительных устройств решать доступные классическим компьютерам проблемы, но быстрее.

Еще меньшее влияние появление квантовых компьютеров окажет на стойкость хэш-функций: асимптотически потребуется увеличить длину значения хэш-функции в полтора раза, например, вместо функции SHA-256 применять функцию SHA-384.

Таким образом, в будущем даже надежные криптографические алгоритмы будут значительно ослаблены квантовыми вычислениями, в то время как другие вообще не будут в безопасности. Вопрос только в том, насколько отдаленным является это будущее.

Так вот ты какой, современный квантовый компьютер

Практическая реализация квантового компьютера — ровесница века. Первая экспериментальная демонстрация 2-кубитного квантового компьютера на основе технологии ядерного магнитного резонанса (ЯМР-компьютер) состоялась в 2000 году. На следующий год американские ученые из Стенфордского университета совместно со специалистами IBM создали 7-кубитный квантовый ЯМР-компьютер, который был успешно использован для исполнения алгоритма Шора: число «15» было факторизовано квантовым компьютером на массиве из 1018 идентичных молекул, каждая из которых содержала семь активных ядерных спинов.

«Десятые» годы — время двузначных чисел кубитов. В 2017 г. IBM представила 50-кубитный компьютер, мог удерживать квантовое состояние в течение рекордных для индустрии квантовых вычислений 90 мкс, а через год компания Google создала 72-кубитный квантовый процессор. В это же время международная группа ученых, в составе которой работали специалисты Российского квантового центра, НИТУ «МИСиС», МФТИ, Сколтеха, разработали принципиально новый кубит на сплошной сверхпроводящей нано-проволоке, а также был запущен российский проект разработки 50-кубитных квантовых компьютеров.

Эксперты предполагают, что достаточно мощные квантовые компьютеры, способные успешно взламывать современные системы шифрования,  появятся в период 2028-2032 гг. Планы глобальных лидеров — IBM, Google, Intel — приблизительно соответствуют этим срокам.

В ноябре прошлого года корпорация IBM представила квантовый процессор Osprey на 433 кубита.

Квантовый процессор IBM Quantum Osprey на 433 кубита. Источник: IBM, ноябрь 2022 г.

В нынешнем году компания планирует создать квантовый компьютер Condor с 1121-кубитовым процессором, а также выпустить квантовый компьютер на процессоре Heron, который станет первой моделью из целого семейства модульных процессоров. С их помощью в 2024 г. предполагается создать процессор Crossbill на 408 кубитов, состоящий из трех микрочипов, соединенных между собой линией квантовой связи. А модуль Flamingo на 462 кубита будет соединяться через квантовую линию связи длиной 1 м с системой на 1386 кубитов. Это позволит в 2025 г. выпустить процессор Kookaburra с 4158 кубитов.

В корпорации подчеркивают, что IBM Condor станет первым универсальным квантовым компьютером с числом кубитов, превышающих 1000

В дорожной карте развития квантовых компьютеров IВМ сформулирована долгосрочная цель — построить квантовую систему на миллион кубитов. В русле этой идеи преодоление отметки в 1000 кубитов — знаковый момент, подразумевающий выход на уровень коммерциализации квантовых систем.

В числе «тысячников» — компания IonQ, создающая квантовые процессоры на ионах в ловушках. Она заявляет о планах создать полноценный квантовый компьютер на 1000 кубитов к 2028 г.

Канадская компания D-Wave Systems представила еще в 2017 г. свой квантовый компьютер D-Wave 2000Q на базе 2048-кубитного процессора W2K и репозиторий программных инструментов с открытым кодом. Это коммерческое оборудование, которое поставляется таким заказчикам, как Google, Lockheed Martin, NASA по цене 10–15 млн долл.

В 2020 г. компания объявила о планах выпуска коммерческого квантового компьютера D-Wave Next Gen на базе процессора с более чем 5000 кубитов. В них будет реализована топология Pegasus: каждый кубит связан с 15 другими кубитами. Для сравнения топология Chimera текущего поколения обеспечивает связи кубитов 1:6.

Стоит отметить, что D-Wave Systems разрабатывает специфические адиабатические компьютеры, реализующие механизм «квантового отжига». Значит, они способны эффективно решать специализированные задачи оптимизации. Как рассказывает Игорь Голдовский, в одном из алгоритмов поиска глобального минимума функции удалось добиться повышения быстродействия в 100 млн раз по сравнению с обычным компьютером — это подтвердили специалисты Google. Однако эти компьютеры не подходят для работы с традиционными квантовыми алгоритмами.

Процессор «Везувий» фирмы D-Wave на 512 кубит в обвязке охлаждения. Источник: https://commons.wikimedia.org, май 2018 г.

Компания Intel в начале 2018 г. объявила о тестовой поставке квантового процессора Tangle Lake на 49 кубитов. Но у нее также есть уникальное направление развития — разработка миниатюрных кремниевых квантовых процессоров на миллионы кубитов, которые можно охлаждать почти до абсолютного нуля. В 2019 г. компания показала контроллер кубитов Horse Ridge, который может работать при таких температурах. В будущем он поможет масштабировать многокубитовые квантовые системы. 

Контроллер кремниевых кубитов Intel Horse Ridge. Источник: https://naukatehnika.com, февраль 2020 г.

Осенью прошлого года Intel заявила, что создала квантовое устройство будущего на основе существующего оборудования, то есть готова производить устройства с кремниевыми спиновыми кубитамина базе существующих производственных процессов.

Не дожидаясь выпуска на рынок коммерческих версий своего квантового компьютера Intelуже предлагает рынку комплект разработки Intel Quantum SDK. С его помощью можно создавать программы, работающие на симуляторе такого компьютера.

Китайский стартап Shenzhen SpinQ Technology представил публике в 2021 г. квантовый компьютер стоимостью около 5 тыс. долл. Внешне он похож на классический системный блок обычного ПК, но умеет оперировать двумя кубитами. Устройство ориентировано на использование в школах и колледжах Поднебесной.

Бюджетный квантовый компьютер SpinQ. Источник: SpinQ Technology

Первую «большую» китайскую квантовую систему выпустила в 2021 г. компания Origin Quantum — 24-кубитовый компьютер Wuyuan использует сверхпроводящие кубиты. При этом разработчики Origin Quantum двигаются сразу по двум направлениям: по линии сверхпроводящих кубитов они стремятся настичь IBM, а в части кремниевых (спиновых) кубитов наступают на пятки Intel. За три года Origin Quantum анонсировала более 10 различных квантовых чипов. В ближайших планах компании — квантовый компьютер Wukong на 64 кубита.

Кроме того, Origin Quantum создала операционную систему для квантовых компьютеров и пакет полезного ПО, включая доступ к платформе Wuyuan через облачные сервисы. На облачный сервис квантовых вычислений Origin Quantum уже подписано более 100 компаний.

Китайская установка с квантовым процессором KF C6-130 на основе сверхпроводящих кубитов. Источник: Origin Quantum, https://3dnews.ru, февраль 2023 г.

В нашей стране проект создания квантовых информационных систем на основе сверхпроводящих кубитов стартовал в 2016 г., а в 2018 г. добавились проекты по развитию других платформ квантовых вычислений: нейтральных атомов в оптических ловушках и интегральных оптических чипов.

В ноябре 2022 г. специалисты МФТИ и МИСиС создали четырехкубитный квантовый процессор на базе сверхпроводниковой интегральной квантовой микросхемы, которую изготовили сотрудники лаборатории искусственных квантовых систем МФТИ.

Держатель с чипом квантового процессора в центре. Источник: Лаборатория искусственных квантовых систем МФТИ, ноябрь 2022 г.

В этой лаборатории идет разработка 12- и 16-кубитных квантовых процессоров и тестируется 8-кубитный процессор, который способен выполнить несколько сотен последовательных операций за время жизни кубитов. К 2024 г. планируется разработать четыре типа российских квантовых компьютеров размером от 50 до 100 кубитов.

Российские квантовые вычисления для решения задач индустрии к 2024 г. Источник: Дорожная карта развития «сквозной» цифровой технологии «Квантовые технологии» до 2024 г., Москва, 2019 г.

В интервью газете «Коммерсант» в декабре прошлого года сотрудники лаборатории искусственных квантовых систем МФТИ рассказали, что на рабочем квантовом процессоре сейчас решатся некоторые задачи машинного обучения, в частности, для медицинской диагностики.

Движение к коммерческим решениям квантовых компьютеров

Корпорация IBM говорит, что ее конечной целью является разработка полнофункционального квантового компьютера, развернутого через облако и доступного любому человеку в мире. В 2016 г. она впервые открыла публичный доступ к облачному сервису квантовых вычислений IBM Quantum Experience, а в 2019 г. — к мощностям 53-кубитного облачного квантового компьютера. В 2021 г. в Центре квантовых вычислений IBM работало 14 облачных квантовых систем, включая пять 20-кубитных.

В период 2022 — 2024гг. IBM сделает доступными для разработчиков динамические квантовые схемы (последовательности инструкций для выполнения), язык ассемблера для квантовых компьютеров OpenQ ASM3, а также библиотеки готовых квантовых схем для разработчиков.

Источник: IBM, TAdviser, февраль 2021 г.

Квантовые системы IonQ уже доступны на двух облачных платформах — Amazon Braket и Azure Quantum. А в январе нынешнего года компания анонсировала запуск специального завода по производству квантовых компьютеров в США. Он будет построен в пригороде Сиэтла.

Российские ученые также работают над специализированным облачным софтом. Так, в апреле 2021 г. Российский квантовый центр (РКЦ) запустил универсальную облачную платформу квантовых вычислений, которая позволяет решать прикладные бизнес-задачи на квантовых процессорах без специальных знаний в квантовой механике. Свою собственную платформу представил также Центр квантовых технологий МГУ им. М.В. Ломоносова.

Барьеры для производительного квантового компьютера

По мнению экспертов IBM, квантовые вычисления приближаются к фазе коммерциализации, которая может коренным образом изменить наш мир. Правда, по прогнозу Deloitte, сделанному в 2019 г., это случится только в 30-х годах нынешнего века, несмотря на все победные реляции вендоров квантовых компьютеров.

Дело в том, что наращивание кубитов — совсем непростое занятие. «Простое соединение нескольких квантовых процессоров не позволяет существенно увеличивать их производительность. Здесь не работает обычное масштабирование, применяемое в нынешних суперкомпьютерах», — рассказывают ученые из лаборатории искусственных квантовых систем МФТИ. Одна из главных проблем – декогеренция, то есть постепенная потеря системой квантовых свойств за счет взаимодействия с окружающей средой.

Ученые всего мира бьются за увеличение времени, в котором удерживается заданное квантовое состояние кубитов, для того, чтобы с ними можно было производить необходимые операции. Сегодня это время составляет в разных физических исполнениях от десятков микросекунд до нескольких секунд. За это время удается произвести несколько сотен квантовых операций с кубитом, после чего кубит нужно снова инициализировать.

Причем, проблемы с декогеренцией начинают стремительно расти по мере увеличения количества кубитов, что ведет к снижению точности выполнения квантовых операций. Евгений Глушков говорит в своей статье «В погоне за миллионом кубитов» (ресурс https://naked-science.ru, декабрь 2021 г.): «Если точность выполнения квантовых операций на одном кубите составляет 99%, то на 10 кубитах правильный результат будет выдаваться уже лишь в девяти из 10 раз, а на 100 кубитах и вовсе лишь треть выдаваемых результатов будут иметь смысл». Такая же проблема накопления ошибок возникает и при последовательном выполнении множества квантово-вычислительных операций, необходимых для большинства значимых квантовых алгоритмов.

Для исправления физических ошибок кубитов предлагаются методы исправления ошибок, подобные тем, которые применяются для реализации помехоустойчивого кодирования при передаче данных по каналам связи. Но для этого требуются избыточные кубиты…

Вот почему, несмотря на заявленные 72 и 433 кубита у квантовых компьютеров Google и IBM соответственно, заставить работать в состоянии суперпозиции с высокой точностью можно только часть кубитов. В квантовой истории большее количество кубитов дает, скорее, большее количество ошибок и неустойчивости, чем прямой рост производительности. Это явление, по сути, обусловливает снижение планки амбиций универсального квантового компьютера: вместо квантового превосходства — о квантовое преимущество.

«Сегодняшние возможности универсальных квантовых компьютеров на два порядка ниже того, что требуется для взлома криптографических алгоритмов», — считает Игорь Голдовский. Более того, сегодня крайне сложно более-менее точно спрогнозировать время появления квантовых компьютеров, реально представляющих угрозу современной криптографии. Для создания универсального квантового цифрового компьютера, способного взламывать любые шифры на базе существующих технологий, необходимы десятки тысяч кубитов, но шумы и проблемы декогерентности квантовых компьютеров с вентильной обработкой видятся почти непреодолимым препятствием.

В попытке обойти данную проблему российский физик Алексей Китаев еще в 90-х годах прошлого века доказал теорему о том, что любая многокубитная операция может быть представлена в виде последовательноcтиоднокубитных и двухкубитных вентилей (гейтов). Квантовые алгоритмы, составленные из двухкубитных вентилей, получаются длиннее своих многокубитных версий, однако позволяют обойти фундаментальную проблему накапливания ошибки. В данном случае нужны квантовые процессоры с большим временем когерентности и достаточно быстрыми одно- и двухкубитными гейтами для выполнения сотен и тысяч элементарных квантовых операций за один вычислительный цикл.

Пример разложения 3-кубитного гейта на последовательность 2-кубитных операций. Источник: Qiskit, https://naked-science.ru, декабрь 2021 г.

Надо сказать, что эти негативные оценки относятся именно к универсальному квантовому компьютеру. Осознание серьезных барьеров для увеличения кубитной мощности квантовых компьютеров привело к тому, что научная и практическая мысль стала развиваться по нескольким специализированным направлениям. Первое — совершенствование технологий универсальных квантовых цифровых компьютеров с вентильной обработкой (Universal Digital Quantum Gate Computer UDQGC). Второе — направление адиабатических вычислителей с квантовым отжигом (Quantum Annealing Processing Unit — QAPU). Третье — создание того самого криптографически релевантного квантового компьютера (Cryptographically Relevant Quantum Computer — CRQC), способного взламывать существующие шифры.

В этой части ученые наряду с техническими вопросами структур кубитов и квантовых компьютеров сосредоточили усилия на поисках новых — квантовых — криптографических решений, как алгоритмических (программных), так и аппаратурных.

Квант и постквант идут рядом

Если использовать квантовые явления, уже сегодня можно создать систему секретной связи между условными Алисой и Бобом, которая будет нивелировать риски атак с помощью квантового компьютера. Для создания таких систем сегодня используется два основных подхода: квантовое шифрование и постквантовые алгоритмы шифрования.

Квантовое шифрование реализуется с помощью оборудования, которое включает оптический генератор случайных чисел и устройство квантового распределения ключей.

Как рассказывает Сергей Кулик, с помощью протоколов квантового распределения ключей (КРК) стороны, соединенные по открытому каналу связи, могут создать общий случайный ключ, который известен только им, и использовать его для шифрования и расшифровывания сообщений. При этом ключ распределяется по всем участникам, для которых доступна квантовая связь (по абонентам квантовой сети). Таким образом, долговременные ключи шифрования уходят в прошлое, их заменяют быстро меняющиеся ключи. В результате задача, которую должен решить CRQC, существенно усложняется: он имеет дело со случайно генерацией ключей, близкой к идеальному оракулу, и сменой ключей с частотой на уровне секунд.

Передача информации осуществляется в квантовых состояниях: фотоны распределяются с помощью квантового канала (созданного, например, на основе волоконно-оптической связи) и обнаруживаются с помощью однофотонных детекторов. В такой системе действует квантовый принцип: подслушивание извне однозначно фиксируется как ошибка в передаче, что делает пассивное вмешательство в процесс передачи секретных данных невозможным.

Схема двухузловой реализации квантового распределения ключей. Источник: https://s-fifteen.com/pages/qkd-horizontal-timeline

Более того, в такой конфигурации становится невозможной атака класса «человек посередине», так как ключи шифрования в сети формируются в автоматическом режиме. Поэтому, считает Сергей Кулик, сети, основанные на принципах квантовой криптографии, станут отличным выбором решения кибербезопасности для крупных компаний, особенно занимающихся инновационной деятельностью, в первую очередь, банков, госкорпораций, где угрозы утечки коммерческой тайны из-за «человеческого фактора» особенно высоки.

Первые коммерческие решения квантовой криптографии появились еще в самом начале XXI века. Так, американская компания Magiq Technologies предлагала клиентам систему квантового распределения ключа, которая может работать на расстоянии в 120 км. А европейская компания ID Quantique, чье решение КРК успешно работало во время региональных выборов в Женеве в 2007 г., в феврале 2018 г. смогла передать квантовые данных по оптоволоконному кабелю на 421 км.

Надо сказать, что дальность действия и скорость передачи данных являются главной проблемой квантовой связи, в силу того, что одиночные фотоны, передаваемые по линии квантовой связи, очень уязвимы для помех и шумов. Поэтому в практических проектах магистральной линий квантовой связи обычно ориентируются на гарантированную передачу квантового ключа на 100 км.

Постквантовая криптография — это целое направление программных разработок, нацеленных на решение математических задач, которые необходимых для факторизации больших чисел. «Она помогает усилить классическую криптографию, чтобы противостоять квантовой угрозе. По сути, она заменяет алгоритмы асимметричной криптографии на новый класс алгоритмов», — рассказывал в ноябре 2022 г. в интервью ТАСС Антон Гугля, руководитель российской компании QApp. Отличительная особенность решений на основе постквантовой криптографии заключается в том, что они используют новый класс асимметричных алгоритмов шифрования, устойчивых к атакам с применением как классических, так и квантовых компьютеров.

Игорь Голдовский поясняет, что уже разработана серия новых криптографических алгоритмов, не подверженных атакам с использованием квантовых вычислений, в том числе: система Мак-Элиса (code-based algorithm), алгоритмы на решетках (lattice-based algorithms), алгоритмы на базе систем квадратичных уравнений (multivariate algorithm), алгоритмы на основе хэш-функций (hash-based algorithm), протокол Диффи-Хеллмана с использованием суперсингулярной изогении.

О реальности угрозы криптографически релевантного квантового компьютера

Несмотря на то, что пока у квантовых компьютеров нет такой мощности, которой было бы достаточно для полноценной атаки, реальная опасность есть уже сейчас, считает Антон Гугля: злоумышленник может сохранить данные, зашифрованные традиционной асимметричной криптографией, и взломать ее позже, когда получит доступ к достаточно мощному квантовому компьютеру. А это значит, что в зоне риска оказываются данные, которые будут актуальны в перспективе десяти и более лет: персональные, финансовые данные, а также данные корпоративной, государственной и военной тайны.

Согласно планам правительства США, в нынешнем году завершается фаза первичного накопления и анализа различных методов, подходов, алгоритмов, практических решений постквантовой криптографии и начинается стадия стандартизации и перехода рабочих систем на стандарты криптографии, которые будут установлены Национальным институтом стандартов и технологий США (NIST).

В ходе конкурса NIST, начатого в 2016 г., была сформирована первая группа алгоритмов стандартов, претендующих на статус стандарта. Они предназначены для решения двух основных задач: общее шифрование, используемое для защиты информации, которой пользователи обмениваются в сети Интернет, и цифровые подписи, используемые для аутентификации личности.

В 2024 г. по планам NISTначнется процесс миграции со старых алгоритмов на новые, и к 2030 г. Америка будет готова дать отпор криптографически релевантному квантовому компьютеру CRQC. О значимости этого вопроса говорят, например, заявления директора АНБ (National Security Agency, NSA) США Пол М. Накасоне. В апреле прошлого года он заявил, что криптографически значимый квантовый компьютер может поставить под угрозу системы гражданской и военной связи и подорвать боеспособность стратегических систем контроля и управления критической информационной инфраструктуры США и их союзников по НАТО. И в декабре того же года администрация Джо Байдена поручила NIST, АНБ и Агентству по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) выполнить все необходимые мероприятия по защите критической инфраструктуры США и их союзников по НАТО от квантовых атак. Времени на это отведено немного — до года.

Уже в начале марта стало известно, что структуры НАТО начали использовать систему защиты от кибератак с использованием квантовых вычислений. Как сообщает ресурс TAdviser, Центр кибербезопасности НАТО (NCSC) объявил о завершении тестирования защищенных потоков связи, которые могут противостоять злоумышленникам, использующим квантовые вычисления, и о начале полномасштабной эксплуатации технологии.

В это же время президент США Джо Байден утвердил новую Национальную стратегию кибербезопасности, где в качестве одной из стратегических целей указана подготовка к постквантовому будущему. А в прошлом году руководство США опубликовано  специальный Меморандум о национальной безопасности о продвижении лидерства США в области квантовых вычислений при одновременном снижении рисков для уязвимых криптографических систем, где изложило цели и политику сохранения конкурентного преимущества страны в области квантовой информатики. Документ касается всех отраслей экономики и всех компаний, которые предоставляют услуги и пользуются решениями криптографии с открытым ключом, и предписывает начать перевод уязвимых компьютерных систем на квантово-устойчивую криптографию.

Этот переход потребует времени, ресурсов и усилий. С этой целью в Национальном центре превосходства  в области кибербезопасности (National Cybersecurity Center of Excellence) запускается проект миграции на постквантовую криптографию и создается открытая рабочая группа по взаимодействию с промышленностью для поддержки постквантовой миграции, а федеральное правительство США определяет приоритетность перехода уязвимых общественных сетей и систем на квантово-устойчивые криптографические среды. При этом бизнес не может отойти в сторону от преобразований: согласно майской директиве администрации президента США о подготовке государства и бизнеса к будущим квантовым кибератакам, коммерческие компании должны следовать модели правительства в подготовке собственных сетей и систем к постквантовому будущему.

Таким образом, мир, вступивший в фазу нарастающего силового геополитического противостояния, усиливает свои оборонно-наступательные киберресурсы за счет достижений квантового и постквантового шифрования.

Квантовые технологии — это уже рынок

Ведущие страны мира вкладывают существенные средства в национальные программы развития квантовых технологий. Так, Китай инвестировал в свою квантовую программу более 10 млрд долл. еще в 2016-2017 гг., и смог осуществить мощный рывок вперед. Национальная квантовая инициатива США с бюджетом чуть более миллиарда долл. направлена, в первую очередь, на создание новых федеральных лабораторий. Сравнимые бюджеты выделили на развитие квантовых технологий  отдельные европейские страны, а Евросоюз в целом запустил в еще в 2018 г. миллиардную программу Quantum Flagship, нацеленную на поддержку совместных паневропейских проектов. Общий объем инвестиций в этот быстро растущий рынок оценивается в 25 млрд долл., что сопоставимо с бюджетом американской лунной программы 60-х годов прошлого века.

Индия объявила в начале 2021 г. о создании национальной миссии по квантовым технологиям и приложениям (NM-QTA). Пятилетний бюджет программы составляет около 8000 крор рупий (крор — международный числовой эквивалент 10 миллионов) в расчете на пять лет. Это один из крупнейших научных проектов Индии, предусматривающий охват всей промышленности на уровне соответствующих министерств — науки, обороны, космоса, атомной энергии — и академических кругов с единым центром координации.

Российская дорожная карта развития «сквозной» цифровой технологии «Квантовые технологии», рассчитанная на период до 2024 г., объединяет усилия российских научных групп с серьезным опытом в области квантовых технологий. Цель совместных усилий — представить к 2024 г. работающий прототип квантового процессора на 30-100 кубитах. Причем. параллельно развиваются четыре платформы: на сверхпроводниках, нейтральных атомах, ионах и фотонах. На мероприятия дорожной карты выделяется 51,15 млрд руб.

С целью продвижения криптографических методов защиты нового поколения в среде российских заказчиков в конце января под эгидой Минцифры началось формирование Национального технологического центра цифровой криптографии (АНО «НТЦ ЦК»). Этот центр, ориентированный на консолидацию усилий ученых и инженеров для создания и внедрения криптографических технологий в информационные системы цифровой экономики, должен заработать на полную мощность в 2024 г. В числе запланированных мероприятий НТЦ ЦК — создание всероссийской универсальной инфраструктуры криптографической защиты персональных данных граждан.

Таким образом, страны, заинтересованные в развитии суверенных технологий квантовой безопасности, выходят на уровень коммерциализации прикладных решений квантовой и постквантовой криптографии. Объем этого глобального рынка аналитики Prescouter оценили на уровне 1765 млн долл. к 2026 г., а темпы роста — 30,2% в год.

Что касается, российского рынка, то только один сегмент квантовых коммуникаций — наиболее зрелый, с точки зрения готовности к коммерческому продвижению, по экспертным оценкам, вырастет до 55 млрд руб. к 2024 г.

Ситуация, складывающая в области квантовых технологий кибербезопасности во всем мире, говорит о том, что у России нет альтернативы миграции на квантовые методы криптографической защиты. Однако выполнение такого перехода подразумевает огромный проект модернизации масштаба страны. Пожалуй, он даже более сложный, чем импортозамещение, потому что речь идет, по большому счету, не о внедрении аналогов известной продукции с проверенной работоспособностью, а о создании принципиально новых научно-технических и организационных систем. Это очередной вызов, который из теоретических предположений на уровне техно-футурологии перешел в фазу практической потребности. Оценим степень готовности Россия к переходу на квантовый уровень криптографической защиты.

Коммерческие решения квантового распределения ключей

Осенью 2022 г. компания «ИнфоТеКС» получила положительное заключение ФСБ России о соответствии квантовой криптографической системы выработки и распределения ключей ViPNet Quantum Security System временным требованиям к квантовым криптографическим системам выработки и распределения ключей для средств криптографической защиты информации (СКЗИ), предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, установленным для класса КС, а также требованиям к СКЗИ, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, установленным для класса КС3. Она стала, таким образом, первой в России системой квантового распределения ключей, сертифицированной по требованиям ФСБ России и готовой к эксплуатации на российских предприятиях.

Типовая схема квантового протокола распределения ключей. Источник: «ИнфоТеКС», https://habr.com/ru/, ноябрь 2022 г.

В данной разработке учтены риски различных возможных атак на квантовые состояния: PNS — атака с разделение числа фотонов, BS — атака со светоделителем, унитарная атака, UM — атака с определенным исходом, а также оптические атаки на КРК: атака Trojan-horse, атака с лазерным повреждением компонентов, атака с переизлучением (Backflash) детектора, импульсное и непрерывное ослепление детектора, атаки Time-shift и Efficiency mismatch.

ViPNet QSS предназначена для выработки и распределения квантовозащищенных ключей между абонентами, а также для защиты пользовательского трафика (цифровые аудиозвонки и текстовые сообщения), передаваемого между абонентами. ViPNet QSS позволяет построить сеть квантового распределения ключей топологии «звезда», к которой может быть подключено свыше 150 тыс. СКЗИ — потребителей квантовозащищенных ключей. Она использует аппаратный датчик случайных числе.

Схема  работы ViPNet QSS. Источник: «ИнфоТеКС»

На базе данного решения в МГУ имени М.В. Ломоносова в 2021 г. заработала университетская квантовая сеть. Она соединила пять квантовых устройств, распределяющих квантовые ключи на двадцать абонентских терминалов. Максимальная длина канала квантово-защищенной связи в рамках проекта составила 40 км.

Данная сеть стала полигоном для предсерийных испытаний первого в России «квантового» телефона ViPNet QSS Phone, входящего в комплекс ViPNet QSS. Пара квантовых телефонов способна надежно сформировать общий секретный ключ, которым будет шифроваться общение собеседников. Ключи шифрования вырабатываются и доставляются сторонам коммуникаций автоматически и также автоматически меняются раз в минуту.

Квантовый телефон «ИнфоТеКС»

«Квантовый телефон» может работать также в режиме текстового чата в топологии «все-со-всеми». Таким образом, интеграционное решение системы ViPNet QSS с защищенным IP-телефоном, образует криптографическую систему для защищенного информационного взаимодействия абонентов, при которой голосовая связь и обмен сообщениями в чате шифруется ключами, неизвестными даже администратору сети.

В принципе, к этой сети можно подключать и мобильные устройства пользователей с помощью специального ПО, также сертифицированного для определенного класса защиты. Однако, как замечают специалисты, гарантированно высокий уровень защиты обеспечивается между стационарными устройствами, которые соединены между собой либо волокном, либо атмосферным каналом прямой видимости. В этой системе вырабатываются защищенные квантовые ключи, которые потом могут выступать в качестве мастер-образцов для производных ключей, используемых в мобильных устройствах. Такая связь уже меньше защищена, чем разговор по стационарному квантовому телефону, говорит Сергей Кулик, но в силу того, что квантовые мастер-ключи часто меняются, степень защищенности коммуникаций оказывается достаточно высока.

Вместе с Центром квантовых технологий МГУ «ИнфоТеКС» ведет разработку устройства, обеспечивающего защищенный документооборот на основе квантовых ключей. Оно обеспечит защищенный обмен голосовыми и текстовыми сообщениями, а также файлами, а еще будет поддерживать видеозвонки.

Еще одно направление развития ViPNet QSS — поддержка квантовой криптографической сети произвольной топологии. Разработка соответствующих программно-аппаратных комплексов семейства ViPNet Quantum Trusted System (QTS) идет в соответствии с рекомендациями российского комитете по стандартизации ТК26.

Центр компетенций НТИ по квантовым коммуникациям на базе МИСиС запустил в 2021 г. свой проект открытой квантовой сети, которая соединила два вуза: МИСиС и МТУСИ.

Совместное решение для поддержки на квантовой сети многоузлового сеанса квантово-защищенной видеоконференцсвязи представили на Петербургском международном экономическом форуме в 2019 г. РКЦ и компания QRate. Квантовую зашифрованную связь протестировали руководители Сбербанка, «Газпромбанка» и другие участники финансового рынка. Эта сеть построена на базе серийной установки для квантовой криптографии компании QRate, которую можно интегрировать в существующую стандартную телекоммуникационную инфраструктуру и адаптировать для работы с криптографическими протоколами. В оборудовании используются детекторы и источники одиночных фотонов, созданные в РКЦ.

А еще компания QRate провела успешный эксперимент с обеспечением квантовой защиты эталона атомного времени РФ (государственного первичного эталона единиц времени, частоты и национальной шкалы времени). Важность этого эталона трудно переоценить: эти часы используются для настройки и синхронизации времени энергетическими и логистическими компаниями, службами аэропортов и вокзалов, системой ГЛОНАСС, а также банками и фондовой биржей. Результатом эксперимента стала защищенность информации об эталонном времени от атак с использованием, как классических, так и квантовых компьютеров.

В компании Qrate подчеркивают, что защита каналов синхронизации — это критически важный элемент для развития интернета вещей, робототехники, телекоммуникаций, онлайновых финансовых инструментов и других задач.

Создание квантовых магистральных сетей

Самая большая в мире квантовая связь построена в Китае, ее длина превышает 4600 км. В России первую магистральную линию квантовой связи протяженностью 700 км, которая соединила Москву и Санкт-Петербург, запустила летом 2021 г. компания «РЖД». На момент запуска она была самой крупной в Европе, а к 2024 г. протяженность линий квантовой связи «РЖД» возрастет до 7000 км. Физическая основа этой сети — магистральные оптоволоконные каналы «Российских железных дорог».

Китайская квантовая сеть. Источник: https://phys.org/news/2021-01-world-quantum-network.html, январь 2021 г.

Технологии квантовой связи сегодня опережают в развитии квантовые вычисления — они уже близки к сертификации, в наличии есть не только опытные образцы оборудования, но уже налажено серийное производство. Иными словами, в этой части достигнут высокий уровень технологической готовности к «квантовому переходу» российской экономики.

Например, для организации квантовой связи на расстояние до 100 км служит оборудование ViPNet Quandor компании «ИнфоТеКС». Секретные криптографические ключи по протоколу КРК вырабатываются автоматически и также автоматически загружаются в канальные шифраторы ViPNet L2 один раз в минуту. Комплекс обеспечивает скорость шифрования по алгоритму ГОСТ 34.12 2015 «Кузнечик» со скоростью до 20 Гбит/с в дуплексном режиме, вносимая задержка составляет  не более 15 мкс.

Фактически один из основных сценариев использования ViPNet Quandor — автоматическая доверенная доставка криптографических ключей для канальных шифраторов ViPNet L2.ПАК ViPNet L2-10G и ПАК ViPNet L2-100G, предназначенные для защиты магистральных высокоскоростных каналов связи между объектами,  обеспечивают криптографическую защиту протокола Ethernet. Благодаря использованию гибридной ключевой системы ViPNet L2 могут выполнять криптографические функции и использовании предраспределенных ключей.

Для серийного выпуска данных устройства создано собственное производство «ИнфоТеКС» в Томске.

Решения QRate QKD312 компании QRate обеспечивает высокоскоростное квантовое распределение ключей с возможностью передачи ключей шифрования на расстояние до 120 км. Оборудование квантового распределения ключей устанавливается поверх существующей инфраструктуры и работает совместно с предустановленными средствами криптографической защиты информации.

В 2020 г. система ViPNet Quandor успешно прошла ряд испытаний на линиях связи, принадлежащих компании  «Ростелеком», в частности, в Санкт-Петербургском информационно-аналитическом центре и на сети связи между МГТС и ГВЦ «РЖД».

По мнению Елены Верещагиной, генерального директора компании «СМАРТС-Кванттелеком», сегодня актуальной задачей для российских разработчиков является поддержка квантовых сетей произвольной топологии: не только «точка-точка», но и «звезда», «кольцо», «смешанная».

Источник: «Квантовые системы и сети». Презентация «СМАРТС-Кванттелеком» на конференции «РусКрипто» 2022 г.

Дорожная карта российских квантовых технологий предусматривает ликвидацию отставания в части сетевых топологий магистральных квантовых сетей от мирового лидера — Китая до 2024 г.: новые решения должны позволить перейти от структуры «точка–точка» к архитектуре «звезда» со снижением стоимости подключения и без требования к доверию промежуточному узлу. Ускоренное развитие отечественных игроков позволит захватить 8% мирового рынка, что, в свою очередь, должно обеспечить развитие отрасли за горизонтом программы ЦЭ, прогнозируется в дорожной карте.

Пример инфраструктуры квантовых сетей в РФ к 2024 г. Источник: «Дорожная карта развития "сквозной" цифровой технологии «квантовые технологии», Москва, 2019 г.

Использование каналов связи различной природы для реализации квантовых систем

Помимо оптоволоконных каналов связи, наиболее близких по своей физической природе к квантовым эффектам, идут работы по созданию квантовых криптографических систем связи, основанных на атмосферной оптике и работающих в свободном воздушном или космическом пространстве, а также по созданию квантовых интерфейсов, квантовых ретрансляторов и квантовой памяти.

Центр квантовых технологий физического факультета МГУ создает аппаратуру для передачи квантовых ключей и информации, защищенной квантовыми ключами, по атмосферным каналам связи. Действительно, беспроводной канал можно использовать там, где нельзя проложить оптоволокно. Однако для передачи данных нужна прямая видимость сторон коммуникации, которая ухудшается, например, во время дождя или снегопада. Сергей Кулик рассказывает, что с этой проблемой инженеры научились бороться — ключи распределяются с небольшим запасом, так что при необходимости можно воспользоваться запасными вариантами. При этом ключи длиной 256 бит генерируются по несколько штук в минуту.

Интересно, что разработчики МГУ создали такую систему распределения ключей через атмосферный канал, в которой одна сторона коммуникаций может быть мобильным объектом — автомобиль, самолет, БПЛА или даже низкоорбитальный космический спутник. Проектами квантовой космической связи в нашей стране занимается ряд организаций, в том числе, ФГУП «РФЯЦ- ВНИИЭФ», Qrate, QSpace Technologies, Центр квантовых технологий МГУ.

КРК между стационарной станцией и БПЛА, 2017 г. Источник: «Квантовое распределение ключей через атмосферные каналы связи». Презентация. Сергей Кулик. Центр квантовых технологий МГУ, «РусКрипто»2021 г.

Практический опыт российского постквантового шифрования

Первый российский  пилотный проект квантового шифрования осуществил в Москве «Газпромбанк» в 2016 г. В этом проекте, реализованным компанией QApp, по линии квантовой связи между двумя отделения банка передавался только ключ для шифрования информации. Полноценное решение постквантового шифрования было внедрено той же командой через год в Сбербанке: между двумя офисами банка был создан канал связи с квантовой защитой длиной около 25 км, для организации связи использовалась городская инфраструктура.

Компания QApp разрабатывает уникальные программные продукты на основе постквантовой криптографии. «Изюминка» подхода QApp к реализации постквантового шифрования заключается в способности решений интегрироваться в различные ИТ-системы и программно-аппаратных комплексы.

Возможности интеграции постквантовых алгоритмов в ИТ-инфраструктуру компании. Источник: QApp, 2023 г.

Например, квантово-устойчивые продукты QApp могут использоваться для комплексной защиты продуктов «Мой офис» на уровне приложения, операционной системы, рабочей станции, сети и информационной инфраструктуры в целом.

В очередном пилотном проекте, выполненном для «Газпромбанка» в феврале 2022 г., продуктQAppбыл интегрирован в ограниченный периметр системы host-to-host, повысив уровень ее безопасности. Речь идет о критически важных каналах коммуникаций, по которым банк обменивается транзакциями с корпоративными клиентами. Интеграция заключается в том, что решения QApp встраиваются через криптопровайдеры (модули, которые позволяют осуществлять криптографические операции в информационных системах), развернутые на стороне клиента, поясняет Антон Гугля.

Ученые НИЯУ МИФИ предложили способ применения постквантовых криптографических алгоритмов для защиты обмена сообщениями в групповых чатах мессенджеров. Они рассказали об особенностях используемого метода газете «Известия» в январе 2023 г.: «Мы предложили протокол для постоянного обновления криптографических ключей.  Каждое сообщение шифрует новый ключ. Доказано, что даже если нарушитель узнает какой-либо криптографический ключ из этой последовательности, он все равно не сможет вычислить ни прошлые, ни будущие».

В феврале нынешнего года компания «Иннотех» из группы Т1 провела тестирование системы видеоконференцсвязи Dion, в которой используется решение «ПостквантовыйVPN» компании QApp. По сообщению Т1, удалось обеспечить защищенный обмен данными участников конференции, находящихся на расстоянии 1800 км без использования дополнительного оборудования.

Схема ВКС с постквантовым шифрованием. Источник: TAdviser, февраль, 2023 г.

Финансовый блокчейн с квантовой защитой

Механизм блокчейна использует функции криптографической защиты информации и электронной подписи. Так, каждая транзакция включает цифровую подпись участника и данные о себе, транзакции объединяются в последовательные блоки, которые сопровождаются хешированием. Однако с помощью производительного квантового компьютера традиционную криптографию можно взломать. Например, с помощью алгоритма Гровера квантовый компьютер сможет гораздо быстрее создавать новые блоки. Тогда теоретически злоумышленнику, который является владельцем узла, удастся записать новую ветвь блокчейна с желаемой информацией и сделать ее основной.

Физики из Российского квантового центра в 2017 г. впервые запустили квантовый блокчейн, в основе которой лежит квантовое распределение ключа. В этом случае транзакции подтверждаются в системе автоматически, а значит, отпадает необходимость в цифровой подписи. Фактически эту роль выполняет квантовый канал связи, где не допускается подслушивание ключа для шифрования и подделка сообщений, то есть все участники сети точно знают, кто является автором транзакции. При этом генерация блоков происходит децентрализовано.

Для реализации такого подхода все узлы сети должны быть попарно связаны между собой квантовыми каналами связи. В первом пилоте алгоритм был реализован в городских условиях на базе трехузловой гетерогенной квантовой сети, связавшей между собой два отделения «Газпромбанка» в Москве. Третий узел выполняет техническую роль повторителя, который обеспечивает сопряжение двух участков сети. По оценкам специалистов РКЦ, такое решение позволит в коммерческих проектах заменять ключ в 256-битных шифраторах примерно один раз в 15 сек.

В ноябре 2022 г. этот подход решила применить российская блокчейн-платформа «Мастерчейн». Цель масштабного проекта, который будет реализовываться вместе с компанией QApp, - создание квантово-устойчивого блокчейна для российской финансовой отрасли.

Игорь Кузьмичев, генеральный директор компании «Мастерчейн», подчеркивает, что поставлена задача создать в достаточно сжатые сроки промышленное решение, ориентированное на крупнейших заказчиков из финансовой отрасли РФ. Ожидается, что первые пилотные проекты с крупными отраслевыми игроками будут реализованы уже в текущем году.

Итак, вторая квантовая революция (первая случилась в XX веке на уровне микромира), которая кардинально переворачивает представления о надежной криптографической защите корпоративных секретов, уже начала свое шествие по планете. В числе первых российских «революционеров» — крупнейшие банки и финансовые структуры, уже успевшие накопить опыт первых пилотных испытаний новых решений. Впереди трудоемкий этап тиражирования опробированых продуктов и совместных испытаний новых систем. И на него мы уже вступили, например, уже идут проекты внедрений технологий квантового и постквантового шифрования в существующие корпоративные сети, а также апробируются сервисные модели предоставления услуг шифрования.