Появление и сравнительно быстрое развитие областей знаний под названиями «квантовая» и «постквантовая» криптография свидетельствуют о серьёзном отношении государства и бизнеса к проблеме «квантовой угрозы» и соответствующему повышению криптостойкости всех известных криптопримитивов (криптографических хеш-функций, электронных подписей, асимметричных и симметричных алгоритмов шифрования), получивших широкое распространение в ключевых цифровых экосистемах и платформах цифровой экономики РФ.
С одной стороны, достижения в области квантовой информатики (Quantum Information Science, QIS) наглядно показали высокий технологический потенциал квантовых технологий для стимулирования инноваций в национальных экономиках мира. С другой стороны, стало понятно, что в ближайшие 5–10 лет квантовые компьютеры достигнут достаточной зрелости и окажутся способны к взлому большей части криптографических примитивов.
Квантовые угрозы безопасности
На квантовом компьютере можно реализовать с полиномиальной сложностью алгоритмы факторизации и дискретного логарифмирования в произвольной группе (метод Шора), что в перспективе может привести к компрометации всех асимметричных криптографических схем, стойкость которых обосновывается предположением о сложности решения указанных задач, в том числе схем RSA, Диффи — Хеллмана и электронных подписей ECDSA и ГОСТ 34.10–2018. При этом результативность криптоанализа симметричных криптосхем менее значима, поскольку известные в настоящее время квантовые алгоритмы анализа хеш-функций и блочных шифров (метод Амбайниса для поиска коллизий и метод Гровера для поиска прообраза) по-прежнему имеют экспоненциальную сложность, хотя и меньшую, чем классические.
Более того, ряд известных экспертов в области кибербезопасности ещё более категоричны. Так, по заявлению директора АНБ США Пола М. Накасоне, «криптоаналитически значимый квантовый компьютер может поставить под угрозу системы гражданской и военной связи и подорвать боеспособность стратегических систем контроля и управления критической информационной инфраструктуры США и их союзников по НАТО. Для нейтрализации этой квантовой угрозы требуется создать и внедрить на практике квантовоустойчивые алгоритмы, в первую очередь постквантовые схемы асимметричного шифрования (Public-Key Encryption) и электронной подписи (Digital Signatures)».
Так, в мае 2022 г. администрация Президента США Джо Байдена выпустила две новые директивы о подготовке государства и бизнеса к будущим квантовым кибератакам (https://www.quantum.gov/; https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/fact-sheet-president-biden-announces-two-presidential-directives-advancing-quantum-technologies/).
А в отчёте аналитической компании PreScouter, опубликованном в 2022 г., хоть и отмечено, что у злоумышленников сегодня вряд ли есть ресурсы для разработки атакующих систем на основе квантовых компьютеров, подчёркивается, что появление и широкое распространение облачных квантовых вычислений общего назначения (IaaS, PaSS) позволит сделать квантовые атаки доступными для широкого круга пользователей.
Поэтому в начале 2022 г. администрация Джо Байдена поручила NIST, АНБ и Агентству по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) в срок от 90 дней до года выполнить все необходимые мероприятия по защите критической инфраструктуры США и их союзников по НАТО.
На примере алгоритмов — финалистов конкурса NIST можно видеть, как современные концепции синтеза схем постквантовой криптографии нашли применение в конкретных примерах и решениях, в том числе для создания квантовоустойчивых блокчейн-экосистем и платформ. Так, задачи теории решёток лежат в основе алгоритмов — финалистов конкурса NIST (CRYSTALS-Kyber, NTRU, SABER, CRYSTALS-Dilithium и FALCON), а также альтернативных алгоритмов-финалистов FrodoKEM и NTRU Prime.
Задачи теории кодирования обеспечивают стойкость таких алгоритмов — финалистов конкурса NIST, как Classic McEliece, и альтернативных алгоритмов — финалистов BIKE, HQC. На основе многочленов от многих переменных строится решение финалистов конкурса NIST Rainbow и альтернативный алгоритм-финалист GeMSS. Большое внимание уделяется криптографическим алгоритмам на основе хеш-функций, в частности, финалистом конкурса NIST стал XMSS, а альтернативным является алгоритм-финалист SPHINCS+.
Таким образом, в современных условиях актуальность создания отечественных криптосистем «квантового» и «постквантового» шифрования подтверждается следующим.
Противостояние «щита и меча» в квантовых решениях
В начале марта стало известно, что учёные из Королевского института KTH в Швеции обнаружили уязвимость в квантовобезопасном алгоритме CRYSTALS-Kyber — одном из тех, которые NIST выбрал в качестве стандартадля будущих криптографических систем. Да, 100% безопасности не бывает, всегда существуют остаточные риски, которыми нужно научиться управлять (принимать или уклоняться, снижать или передавать на сторону). Обнаружение уязвимости в постквантовой криптосхеме CRYSTALS-Kyber — тому наглядное подтверждение.
Сегодня не только в США и ЕС, но и в России активно проводятся поисковые исследования, направленные на получение ряда прорывных научных и практических результатов:
Здесь ключевой особенностью уязвимости современных криптопримитивов является необходимость экспоненциально повышать параметры протоколов каждые n лет в ответ на растущую квантовую мощность передовых квантовых компьютеров. Частично эта проблема была решена в отобранных NIST алгоритмах, использующих решётки. Однако данные протоколы, в частности NTRU, оказались уязвимы к атакам с использованием квантового компьютера иного рода. Таким образом, используя алгоритм Гровера, были получены результаты количества кубит и глубины схемы, достаточные для реализации квантовых оракулов (модели генерации псевдослучайных чисел) с различными видами списка при атаке на постквантовые криптосистемы (рис. 1).
Рисунок 1. Реализация квантовых оракулов. Источник: Квантово-устойчивый блокчейн: Как обеспечить безопасность блокчейн-экосистем и платформ в условиях атак с использованием квантового компьютера (научно-популярная монография). Алексей Петренко. ISBN 978-5-4461-2357-5, Издательский дом «Питер», 2023. — 320 стр.
В таблице приведены количество кубит и глубина схемы, достаточные для реализации квантовых оракулов с различными видами списка при атаке на постквантовые криптосистемы. Здесь NTRU, SABER и CRYSTALS-Kyber — постквантовые криптосистемы на основе решёток, которые прошли в финальный раунд конкурса NIST.
Как видно из таблицы, экспоненциальная длина списка L накладывает ограничения на возможность реализации гибридных атак на полноразмерные постквантовые криптосистемы. Однако стоит заметить, что для атак на NTRU используются циклические решётки, исследование которых может помочь уменьшить длину списка L, что приведёт к меньшим верхним оценкам сложности в части реализации квантового оракула.
Замечу, что проблема нахождения SVP может быть разрешена с определёнными параметрами с помощью алгоритма Гровера. Она также является одной из важнейших проблем, лежащих в основе постквантовой криптографии, реализованной на решётках. С помощью уже известных алгоритмов криптоанализа и модификаций для использования алгоритма Гровера можно получить весомое квантовое ускорение в решении данной задачи.
Как развивается ситуация у нас?
Для своевременного предупреждения вышеназванных угроз безопасности в 2019 г. в России утвердили «Дорожную карту по развитию квантовых технологий», рассчитанную до 2024 г. В качестве её основной цели заявлено достижение в среднесрочной и долгосрочной перспективе практически значимых научно-технических и практических результатов мирового уровня в области квантовых технологий, в том числе «квантовой» и «постквантовой» криптографии.
В середине 2022 года отечественная компания «Криптонит» (https://kryptonite.ru) предоставила Техническому комитету по стандартизации «Криптографическая защита информации» (ТК26) Росстандарта пакет документов по постквантовой электронной подписи (ЭП) «Шиповник». Стойкость этой криптосхемы базируется на задаче декодирования случайного линейного кода, которая является вычислительно сложной. В основу упомянутой криптосхемы легли коды, исправляющие ошибки, математические свойства которых хорошо изучены. В пакет документов вошло описание криптосхемы электронной подписи (ЭП) «Шиповник», теоретическое обоснование её стойкости, обоснование выбора параметров, а также модельная реализация.
Рабочая группа РГ 2.5 «Постквантовые криптографические механизмы» технического комитета ТК 26 «Криптографическая защита информации» также проводит работу по стандартизации отечественного алгоритма «Форзиция», основанного на изогениях суперсингулярных эллиптических кривых и соответствующих вычислительно сложных задачах.
В настоящее время, по моему мнению, рыночная популярность систем квантового и постквантового шифрования для обеспечения надлежащей защиты объектов критической информационной инфраструктуры РФ достаточно высока. К концу 2023 г. исследовательские проекты, развиваемые сегодня различными российскими научными школами совместно с ведущими отечественными производителями средств криптографической защиты информации, могут выйти из состояния единичных уникальных пилотов и перейти в более зрелую фазу так называемых коммерческих и промышленных прототипов новых уникальных средств и систем криптографической защиты информации.
Так, система квантового распределения ключей ViPNet QSS компании «ИнфоТеКС», которая имеет сертификат ФСБ России, открыла новые возможности для внедрения комплексов квантово-криптографической связи на инфраструктуре ведущих российских предприятий. Например, так называемые квантовые телефоны как раз построены на системе квантового распределения ключей ViPNet QSS. Это значит, устройство работает в качестве IP-телефона, подключённого к клиенту квантового распределения ключей и серверу. За счёт протокола квантового шифрования трафик шифруется таким образом, что к нему нельзя получить доступ со стороны.
Инновационная российская компания QApp вывела на отечественный рынок ряд уникальных решений «квантовой» и «постквантовой» криптографии:
А совместное решение университета «Иннополис» и «Академии АйТи» представляет собой исследовательский проект и одноимённую программную платформу «Квант-К», которая предназначена для проведения квантового криптоанализа большинства известных криптопримитивов блокчейн. Результаты упомянутого криптоанализа позволяют существенно улучшать теоретическую и практическую криптостойкость исследуемых криптопримитивов.
Для оценивания квантовой устойчивости известных блокчейн-платформ был впервые предложен и обоснован новый вид квантового криптоанализа схем асимметричного шифрования (RSA, Эль-Гамаля) и цифровой подписи (DSA, ECDSA или RSA-PSS) на основе модифицированного авторами алгоритма факторизации Шора. При этом доля квантовых алгоритмов криптоанализа в арсенале инструментальных средств криптоанализа схем асимметричного шифрования (RSA, Эль-Гамаля) и электронной подписи (DSA, ECDSA или RSA-PSS) была увеличена до 17%, а оперативность исследования криптостойкости схем асимметричного шифрования (RSA, Эль-Гамаля) и цифровой подписи (DSA, ECDSA или RSA-PSS)изученных блокчейн-платформ была повышена на20–30% за счёт автоматизации первой и второй части модифицированного (квантового) алгоритма факторизации Шора в гибридной среде IBMQ (16, 20, 100 и 1000 кубитов) и на супер-ЭВМ пятого поколения.
В состав «Квант-К» вошли следующие программные модули:
В ходе дальнейшего развития платформы «Квант-К» предполагается добавление в библиотеку платформы других квантовых и постквантовых алгоритмов: Гровера, Саймона, Экера, Берштейна — Вазираниа, Харроу, Хассилима, Ллойда и др.
Заметной конкуренции между российскими разработчиками, работающими над созданием систем квантового шифрования, пока не наблюдается: рынок только формируется, большинство проектов находятся на этапе стартапов. По этой причине место на рынке найдётся всем игрокам. При этом возникает интересный практический вопрос, лежащий в плоскости системной интеграции, — плавный переход от традиционных коммуникаций к квантовой защите.
Полагаю, что квантовая модель вычислений ещё недостаточно зрелая. Иными словами, отказаться от классической архитектуры фон Неймана и полностью перейти на квантовую модель вычислений сегодня не получится. Экосистема квантовых технологий только формируется. Поэтому, скорее всего, ожидается вкрапление Q-технологий в существующую инфраструктуру для решения узких и специфичных задач.
При этом на системном уровне следует отметить недостаточный уровень развития конкурентоспособных отечественных квантовых технологий и их использования для производства продукции и оказания услуг. Это объясняется, в частности, высокой степенью зависимости отечественной промышленности от зарубежных информационных технологий в части, касающейся электронной компонентной базы, программного обеспечения, вычислительной техники и средств связи. Такая ситуация, в свою очередь, обусловливает зависимость социально-экономического развития Российской Федерации от геополитических интересов зарубежных стран и, как следствие, недостаточную эффективность научных исследований в области квантовых технологий, направленных на создание перспективных квантовых компьютеров. По всей видимости, в 2023 году потребуется существенно скорректировать национальную программу развития квантовых технологий, в том числе принять ряд новых отечественных стандартов квантового и постквантового шифрования. И такая работа уже начата. Например, на конференции «РУСКРИПТО’2023», которая прошла 21–24 марта, целая секция была посвящена актуальным вопросам стандартизации перспективных отечественных криптосхем квантовой и постквантовой криптографии.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных