квантовая криптография что это
Принципы работы некоторых квантовых протоколов шифрования
Введение
Доброго времени суток! Известен факт, что если добавить к чему-либо слово «квантовый», то это что-либо становится круче. Это же касается и криптографии. Мне захотелось разобраться в том, как утроены квантовые протоколы криптографии, зачем вообще они нужны и как можно их попытаться взломать.
Главное отличие квантовой криптографии от привычной нам заключается в том, что она базируется не на математических принципах, а на физических явлениях. В алгоритмах с открытым ключом используются односторонние функции. Например, алгоритм RSA базируется на факторизации больших чисел: зная 2 простых числа мы без труда можем найти их произведение, которое и является открытым ключом, однако зная произведение разложить его на простые числа крайне сложно. Однако тут есть некоторые проблемы. Во-первых, несмотря на то, что эффективных алгоритмов факторизации пока что не существует, также не доказано, что нет алгоритма, работающего за полиномиальное время. Во-вторых, в наше время во всю развиваются квантовые компьютеры, которые могут решить задачу факторизации на порядки быстрее любого транзисторного компьютера. И хоть это и кажется проблемами отдаленного будущего, учитывая скорость развития этой технологии, это может довольно скоро стать проблемой настоящего.
Основы квантовой механики
И здесь нам сможет помочь квантовая криптография. Но давайте сначала поговорим немного о базовых понятиях квантовой механики.
Волновая функция
Волновая функция ψ— это основное понятие в квантовой механике. С помощью нее в квантовой механике полностью описывают состояние объекта, например электрона, или протона, или их системы. Такая функция имеет вероятностное описание объекта. Так, если у нас задана волновая функция, зависящая от координат и времени, то квадрат модуля этой волновой функции
определяет вероятность обнаружить частицу в момент t в точке с координатами х, у, z. Также стоит отметить, что волновая функция всегда нормирована на 1:
Суперпозиция
Принцип суперпозиции в квантовой механике гласит, что если в какой-либо системе возможны 2 различных состояния Ψ1 и Ψ2, то также возможна и любая их линейная комбинация
Она и называется суперпозицией состояний Ψ1 и Ψ2. Допустим, мы теперь хотим померить какой-либо физический параметр состояний Ψ1 и Ψ2, получив значения x1 и x2, тогда, если мы захотим померить этот же параметр в состоянии системы 3, мы получим либо x1 либо x2, притом вероятность получить эти значения равна квадрату коэффициентов с1 и с2.
Принцип неопределенности
Принцип неопределенности Гейзенберга гласит, что невозможно одновременно измерить координату и импульс частицы, измеряя один параметр, нам придется изменить другой в ходе наблюдения.
Протокол BB84
Теперь введем главных действующих лиц: Алиса отправляет сообщение Бобу, в то время как Ева перехватывает сообщение, при этом она пытается остаться незамеченной.
Данный протокол был разработан еще в 1984 году Чарльзом Беннетом и Жилем Брассаром. Рассмотрим следующую схему: Алиса и Бобу могут переговариваться по квантовому каналу и по открытому, Ева имеет доступ к обоим.
В данном протоколе Алиса будет пересылать Бобу единичные фотоны с определенной поляризацией. Используются 4 квантовых состояния (0, 45, 90, 135 градусов) фотонов в 2 базисах: 2 в каноническом (0 и 90 градусов) и 2 в диагональном (45 и 135 градусов). Пусть поляризации 0 и 45 градусов принимают значение 0, а поляризации 90 и 135 градусов – 1.
Можно также сказать, что состояния из диагонального базиса являются суперпозицией состояний канонического базиса и наоборот. При передачи каждого бита сообщения Алиса случайным образом выбирает базис, Боб таким же случайным образом выбирает базис, в котором он будет этот бит принимать.
В половине случаев Боб будет ошибаться в выборе базиса, и результат измерения в данном случае будет случайным. Измеряемый фотон будет находиться в суперпозиции, и Боб будет с равной вероятностью получать как 0, так и 1.
Алиса посылает Бобу несколько бит.
Так как Боб не всегда угадывал базис, полученное сообщение необходимо просеять. После передачи сообщения, Алиса и Боб обмениваются по открытому каналу связи информацией о том, в каком базисе они отправляли и принимали сообщение. Зная это, они могут исключить из сообщения те биты, при передаче которых были выбраны разные базисы, и получить таким образом одинаковый ключ.
Теперь добавим в эту схему Еву. Измеряя состояние фотона, она его может уничтожить, но допустим, что она может также и создавать фотоны в том состоянии, в котором она их измерила. При перехвате Ева также должна выбрать базис, в котором она будет проводить измерения, и в половине случаев она не будет угадывать базис.
Измеряя фотон в суперпозиции, Ева будет получать случайное состояние, поэтому она иногда будет пересылать ошибочную информацию.
Получается, что Ева будет вносить около 25% ошибок. Раскрыв некоторые биты сообщения, Алиса и Боб смогут обнаружить наличие ошибок в сообщение и таким образом обнаружить Еву. Ошибки может вносить не только Ева, данные также могут искажаться по пути. Поэтому малое количество ошибок является допустимым для протокола и безопасным считается канал, у которого ошибка приблизительно меньше 11%.
PNS атака
Однако все, что мы рассмотрели выше является в некоторой степени идеализацией. На деле использовать одиночные источники фотонов крайне проблематично, поэтому зачастую используют короткие импульсы лазера. Это значит, что мы посылаем сразу по несколько фотонов вместо одного. И это делает теоретически возможной атаку расщеплением числа фотонов (PNS атака). Предположим, что Ева всесильна и ограничена только законами квантовой механики, а поэтому вполне может позволить себе сделать идеальный канал, в котором испущенные ею фотоны не будут искажаться по пути к Бобу, а также может воспользоваться неразрушающим измерением, которые допускает квантовая механика, для того, чтобы узнать количество фотонов в одном импульсе лазера. Такое измерение не разрушает состояние фотона, однако его поляризация остается неизвестной. Стоит также отметить, что неразрушающее измерение является пока что лишь теоретическим, однако в последнее время заметен существенный прогресс в этой теме. Так в данном исследование ученым удалось измерить электронный спиновый кубит почти неразрушающим способом.
В данной атаке Ева действует следующим образом: в случае, если в импульсе только 1 фотон, Ева его просто блокирует. Если их больше, то она может пропустить часть, а оставшиеся фотоны как бы заморозить в их текущем состоянии, при этом не измеряя их поляризации, сохранить в квантовой памяти. Это может показаться странным, однако и оптическая квантовая память также уже реализована. Так например в этой статье ее предлагают реализовать с помощью резонатора для удержания фотона, или с помощью переноса квантового состояния фотона в атом и перенос обратно в фотон через необходимое время. Еще раз отмечу, что мы не измеряем состояние так, как мы делали до этого, мы можно сказать сохраняем состояние фотона во времени с возможностью измерить его позже. Теперь остаётся дело за малым: перехватить из открытого канала информацию о том, какие базисы использовала Алиса, какие Боб, и померить в нужных базисах фотоны в квантовой памяти, в точности восстановив секретное сообщение.
Модификации протокола BB84
В 1992 году Чарльз Беннет предложил упрощенную версию алгоритма B92, главное отличие которого заключается в том, что он использует не 4 состояния, а 2. Так например 0 может быть закодирован как 90 градусов в каноническом базисе, а 1 как 45 градусов в диагональном.
Однако спустя примерно 10 лет было показано, что и в этом случае Ева сможет подслушать. Она может произвести измерение, называемое фильтрацией, которое может привести фотон в изначально не ортогональном базисе к ортогональному базису. Такое измерение, однако, может также привести к несовместному исходу, но так как мы проводим его сразу после перехвата импульса, мы можем его заблокировать. В случае успеха мы получили ситуацию как в атаке на BB84: у нас есть замороженный фотон в ортогональном базисе и все, что нам осталось сделать, — это перехватить по открытому каналу информацию о базисах и измерить фотоны.
Улучшить защищенность от PNS атаки попытались в протоколе SARG04, разработанным в 2004 году той же группой ученых, что обнаружила уязвимость в протоколе BB84(4+2). Данный протокол отличается от предыдущих только тем, что в нем используются такие пары векторов из разных базисов, которые не связаны между собой никаким унитарным преобразованием. Именно этот факт делает невозможным фильтрацию, которой Ева пользовалась в протоколе BB84(4+2).
ЭПР-протокол (E91)
Принципиальным отличием обладает протокол Е91. Он основан на свойствах пар запутанных квантовых частиц(ЭПР-пар). Если мы померяем состояние одной частицы, то гарантированно сможем утверждать, что другая запутанная частица находится в противоположном состоянии. В данном случае некий доверенный источник испускает пары запутанных частиц, которые могут быть поляризованными фотонами. Один из них получает Алиса, второй Боб. Таким образом Бобу, получив сообщение, будет достаточно инвертировать его. Так чем же это лучше протокола BB84? Все дело в том, что для запутанных частиц не должно выполняться неравенство Белла. Алиса и Боб могут проанализировать те базисы, которые они выбирали, и выявить Еву, если неравенство Белла было выполнено.
Заключение
Несомненно, технология квантовой передачи данных на данный момент не лишена недостатков. Так скорость передачи данных измеряется лишь мегабайтами в секунду, а дальность таких линий порядка 100 километров, для больших расстояний необходимо использовать доверенные ретрансляторы сигнала. Однако в условиях крайне быстрого развитие технологий, в особенности квантовых вычислений, квантовые каналы передачи данных становятся самыми перспективными в защите информации. На сегодняшний день перехватить сообщение по такому каналу не представляется возможным. Именно поэтому многие страны инвестируют в это направление значительные средства, и даже в России недавно была построена линия квантовой связи между Москвой и Петербургом. Однако наука не стоит на месте и те атаки, которые сейчас являются скорее гипотетическими, в будущем вполне могут стать реальными, поэтому криптоаналитикам предстоит проделать много работы для совершенствования протоколов связи.
Квантовая криптография
Как получить шифр, который невозможно взломать (быстро)
Продемонстрировать ее можно с помощью алгоритма Диффи — Хеллмана.
Предположим, существует два абонента: Алиса и Боб. Обоим абонентам известны некоторые два числа, g и p, которые не являются секретными и могут быть известны также другим лицам. Для того чтобы создать секретный ключ, оба абонента генерируют большие случайные числа: Алиса — число a, Боб — число b. Затем Алиса вычисляет остаток от деления A = g a mod p и пересылает его Бобу, а Боб вычисляет остаток от деления B = g b mod p и передает Алисе. Даже если злоумышленник может получить оба этих значения, он не сможет вмешаться в процесс передачи и изменить их.
На втором этапе Алиса на основе имеющегося у нее a и полученного по сети B вычисляет значение Ba mod p = g ab mod p. Это же делает Боб на основе имеющегося у него b и полученного по сети А. У Алисы и Боба получится одно и то же число К = g ab mod p, которое можно использовать в качестве секретного ключа. Злоумышленник встретится с практически неразрешимой (за разумное время) проблемой вычисления, если числа выбраны достаточно большими.
Квантовые технологии. Модуль 5
Узнайте больше о квантовых коммуникациях
В этом модуле вы узнаете:
• о роли и месте криптографии в современных телекоммуникационных системах;
• о главных уязвимостях сетей передачи данных;
• о квантовых методах, которые могут защитить от прослушивания;
• о принципах работы и устройстве квантовой связи и квантовых сетей.
Оглавление
Модуль 5. Квантовые коммуникации
Проверочный тест
Квантовые коммуникации (или квантовая криптография) — технология кодирования и передачи данных в квантовых состояниях фотонов. Законы физики не позволяют измерить квантовое состояние так, чтобы оно не изменилось, поэтому квантовый канал связи невозможно прослушать незаметно для адресатов.
Квантовые коммуникации и квантовые сети сегодня активно развиваются во всем мире, они востребованы банками, государственными организациями и военными.
Зачем нужна «обычная» криптография
Защита данных от посторонних глаз стала будничным делом почти для каждого человека, пользующегося электронной почтой, мессенджерами, банковскими приложениями или просто посещающего сайты в интернете.
Отправляя сообщение, заходя в приложение или открывая страницу в сети, мы передаем свою информацию, и ее нужно защитить от несанкционированного доступа. Для этого есть множество методов шифрования данных.
Хотя для нас, пользователей, они незаметны, представить без них нормальную жизнь и работу уже нельзя.
Шифрование обычно происходит так: исходный текст по определенным правилам преобразуется, чтобы его невозможно было прочесть и понять, а затем тот, кому он предназначен, проделывает обратную операцию — расшифровывает его.
Роль инструкции для шифрования и дешифровки играет шифровальный ключ. Чем длиннее ключ, тем сложнее «взлом» шифра, а если длина ключа сопоставима с длиной зашифрованного текста, то его дешифровка без знания ключа может быть просто невозможной.
Однако если ключ попадет в чужие руки, шифрование становится бессмысленным. Чтобы обеспечить безопасную передачу ключа, его можно отправить с доверенным курьером или по какому-то каналу, заведомо защищенному от прослушивания.
Но когда шифруется едва ли не вся информация в сети, создавать специальные каналы для ключей нецелесообразно. Особенно учитывая, что ключи для шифрования нужно постоянно менять. Поэтому и шифровальные ключи, и сами зашифрованные сообщения передаются по одним и тем же каналам.
Разумеется, ключи нельзя сообщать открытым текстом — либо они шифруются в соответствии со специальными алгоритмами, либо используются асимметричные криптографические алгоритмы с открытым и закрытым ключом.
И в том и в другом случае желающим сохранить в секрете свои данные остается полагаться только на то, что дешифровка сообщения без знания ключей требует слишком большой вычислительной мощности и слишком большого времени (в некоторых случаях речь идет о паре тысяч лет).
Один из самых распространенных методов защиты информации — использование криптографии с открытым ключом. Он основан на использовании односторонних функций, то есть таких, где x из известного y невозможно вычислить за разумный срок, в то время как вычисление y из x не представляет никаких сложностей.
Таким асимметричным действием может быть обычное умножение: если сложность операции умножения растет по мере увеличения множителей не слишком быстро и современные вычислительные машины легко перемножают даже очень большие числа, то обратная операция — разложение на множители, факторизация — для достаточно больших чисел может оказаться не по плечу даже самым мощным суперкомпьютерам.
Другой пример — хэш-функции, используемые для «опознавания» паролей. Из пароля пользователя по специальному алгоритму вычисляется символьная строка — «хэш», которая и хранится на сервере.
Каждый раз, когда пользователь пытается зайти на сервер (например, электронной почты), вводит пароль, программа вычисляет хэш и сравнивает его с тем, что хранится на сервере. При ошибке в пароле даже на один символ хэш изменится и в доступе будет отказано.
Заметьте, на сервере сам пароль не хранится и по сетям не передается, поэтому даже если вас будут «подслушивать», взломать вашу почту злоумышленник не сможет.
На такого рода асимметричных функциях основана криптография с открытым ключом, в частности алгоритмы RSA, PGP и многие другие. Однако их защита все же не абсолютна — в конечном счете даже очень сложные функции теоретически можно вычислить. Возможно, в скором будущем появятся квантовые компьютеры, которые смогут сделать это относительно легко.
Один из вариантов решения этой проблемы — защитить сам процесс передачи ключей, чтобы прослушивание было невозможно и посторонний, даже подключившись к вашей линии, не смог прочесть ваши данные. И здесь нам может помочь квантовая физика.
Как была изобретена квантовая криптография
В конце 1960-х годов студент университета Колумбии Стивен Визнер поделился со своим приятелем Чарльзом Беннетом идеей, как сделать банкноты, абсолютно защищенные от подделки, — квантовые деньги.
Для этого на каждую банкноту следовало поместить ловушку для фотонов, причем каждый фотон должен быть поляризован в одном из двух базисов: либо под углом 0 и 90, либо 45 и 135 градусов. Комбинацию поляризаций и базисов, соответствующую серийному номеру банкноты, знает только банк.
Если злоумышленник попытается воспроизвести банкноту, он должен будет измерить поляризацию каждого фотона. Поскольку он не знает, в каких базисах нужно измерять поляризацию, то он не сможет получить верные данные о состояниях фотонов, и его затея провалится.
Идею Визнера использовать квантовые методы для защиты информации долго не признавали. Первую статью он отправил в журнал IEEE Transactions on Information Theory еще в начале 1970-х годов, но редакторы ее отвергли.
Статья была опубликована только в 1983 году в журнале ACM Newsletter Sigact News. А в 1984 году Чарльз Беннет и Жиль Брассар придумали первый квантовый протокол передачи данных — BB84.
Первый реальный эксперимент по квантовой передаче данных они провели в 1989 году — квантовая связь была установлена на дистанции 32,5 сантиметра. Прибор менял поляризацию передаваемых фотонов, но при этом шумел по-разному в зависимости от поляризации.
«Наш прототип был защищен от любого подслушивающего, который был бы глухим», — писал Брассар. Тогда до появления первой коммерческой компании, которая вывела на рынок системы квантового распределения ключей, оставалось более 10 лет — первой это сделала американская компания MagiQ Technologies в 2003 году.
А еще через четыре года, в 2007-м, система квантовой защищенной связи, разработанная компанией Id Quantique, впервые использовалась для защиты данных о результатах голосования на парламентских выборах в швейцарском кантоне Женева.
Принципы квантового распределения ключей
Точно так же устроена и квантовая криптография: данные кодируются в состояниях фотона, которые в соответствии с законами квантовой механики необратимо меняются при попытке измерения.
В теории для квантовой связи можно использовать любые объекты, способные находиться в двух разных квантовых состояниях, иначе говоря, любые кубиты — например, электроны, ионы и так далее. Однако из-за широкого распространения волоконно-оптических сетей фотоны остаются практически безальтернативным вариантом для квантовой криптографии.
В обычных волоконных линиях информация кодируется в импульсах излучения лазера, например в двухуровневой форме (есть сигнал — 1, нет сигнала — 0).
Для квантовой связи данные кодируются в состояниях одиночных фотонов — например, в поляризации или фазе. Так, одному варианту поляризации приписывается значение 1, противоположному — 0.
Два главных участника квантовой беседы традиционно обозначаются как Алиса (отправитель сообщения) и Боб (получатель), иногда к этим героям присоединяется третий — Ева, которая пытается подслушать разговор. Когда Ева измеряет фотоны, их состояния меняются, и Боб понимает, что линия связи скомпрометирована.
Действительно ли надёжна квантовая криптография?
Тысячи лет лучшие умы человечества изобретают способы защитить информацию от чужих глаз, но каждый раз находится способ раскрыть тайну шифра и прочитать секретные документы. Очередным святым Граалем криптографов всего мира стала квантовая криптография, в рамках которой информация передаётся с помощью фотонов. Фундаментальные свойства фотона как квантовой частицы таковы, что измерение характеристик неизбежно меняет его состояние. Другими словами, невозможно тайком перехватить информацию, передаваемую по квантовому каналу, потому что это изменит её. Или всё-таки возможно?
Принципы работы квантовой криптографии
Впервые идею использования квантовых объектов для защиты информации высказал Стивен Визнер в 1970 году. Он придумал идею банкноты с квантовой защитой, которые нельзя подделать. Прошло много времени с тех пор, но никто так и не придумал способ разместить на купюрах квантовые объекты, однако идея, которой Визнер поделился со своим бывшим однокурсником Чарльзом Беннетом, через несколько лет превратилась в способ защиты информации, получивший название квантовой криптографии.
Шифрование с одноразовым квантовым шифр-блокнотом
В 1984 году Беннет совместно с Жилем Брассардом из Монреальского университета доработали идею Визнера для передачи зашифрованных сообщений с помощью квантовых технологий. Они предложили использовать квантовые каналы для обмена одноразовыми ключами шифрования, причём длина таких ключей должна была быть равной длине сообщения. Это позволяет передавать зашифрованные данные в режиме одноразового шифр-блокнота. Такой способ шифрования обеспечивает математически доказанную криптостойкость, то есть устойчив к взлому при неограниченных вычислительных возможностях взломщика.
В качестве квантовой частицы для передачи информации решили использовать фотон. Его можно было легко получить с помощью имеющегося оборудования (лампы, лазеры и т.п.), и его параметры вполне поддавались измерению. Но для передачи информации требовался способ кодирования, позволяющий получить нули и единицы.
В отличие от обычной электроники, где нули и единицы кодируются в виде разных потенциалов сигнала либо в виде импульсов определённого направления, в квантовых системах такое кодирование невозможно. Требовался параметр фотона, который можно задать при его генерации, а затем с нужной степенью достоверности измерить. Таким параметром оказалась поляризация.
Сильно упрощая, поляризацию можно рассматривать как ориентацию фотона в пространстве. Фотон может быть поляризован под углами 0, 45, 90, 135 градусов. С помощью измерения у фотона можно различить только два взаимно перпендикулярных состояния или базиса:
Отличить горизонтальный фотон от фотона, поляризованного под углом 45 градусов, невозможно.
Эти свойства фотона легли в основу протокола квантового распределения ключей BB84, разработанного Чарльзом Беннетом и Жилем Брассардом. Информация при его применении передаётся через поляризованные фотоны, в качестве нуля или единицы используется направление поляризации. Защищённость системы гарантирует принцип неопределённости Гейзенберга, в соответствии с которым две квантовые величины не могут быть одновременно измерены с необходимой точностью: чем точнее измеряется одна характеристика частицы, тем менее точно можно измерить вторую. Таким образом, если кто-то попробует перехватить ключ во время его передачи, легитимные пользователи узнают об этом.
В 1991 году Артур Экерт разработал алгоритм E91, в котором квантовое распределение ключей производилось с использованием квантовой запутанности — явления, при котором квантовые состояния двух или большего количества фотонов оказываются взаимозависимыми. При этом если один из пары связанных фотонов имеет значение 0, то второй однозначно будет равен 1, и наоборот.
Разберёмся, как генерируется ключ шифрования в квантовой криптосистеме. Будем считать, что отправителя информации зовут Алисой, получателя — Бобом, а подслушать их разговор пытается Ева.
В соответствии с протоколом BB84 секретный ключ генерируется следующим образом:
Если Ева попытается перехватить секретный ключ, ей нужно будет измерить поляризацию фотонов. Не зная правильного базиса для каждого измерения, Ева получит неверные данные, а поляризация фотона изменится. Эту ошибку сразу заметят и Алиса, и Боб.
Поскольку искажения в квантовую систему может внести не только шпион, но и обычные помехи, необходим способ достоверно выявить ошибки. В 1991 году Чарльз Беннет разработал алгоритм выявления искажений в данных, передаваемых по квантовому каналу. Для проверки все передаваемые данные разбиваются на одинаковые блоки, затем отправитель и получатель различными способами вычисляют чётность этих блоков и сравнивают полученные результаты.
В реальных квантовых криптосистемах взаимодействие между абонентами происходит по оптоволокну, при попадании света в оптоволокно поляризация необратимо нарушается. Поэтому коммерческие установки, о которых мы расскажем немного позже, используют другие способы кодирования битов.
Например, компания ID Quantique использует для кодирования битов фазы света:
Практические реализации
В 1989 году Беннет и Брассард построили в Исследовательском центре компании IBM установку для проверки своей концепции. Установка представляла собой квантовый канал, на одном конце которого был передающий аппарат Алисы, на другом принимающий аппарат Боба. Устройства размещались на оптической скамье длиной около 1 м в светонепроницаемом кожухе размерами 1,5 × 0,5 × 0,5 м. Система управлялась с помощью компьютера, в который были загружены программные представления легальных пользователей и злоумышленника.
С помощью установки удалось выяснить, что:
В 2001 году был разработан лазерный светодиод, который позволял испускать единичные фотоны. Это позволило передавать поляризованные фотоны на большее расстояние и увеличить скорость передачи. В ходе эксперимента, изобретателям нового светодиода Эндрю Шилдсу и его коллегами из TREL и Кембриджского университета удалось передать ключ со скоростью 75 кбит/с, хотя более половины фотонов терялись в процессе передачи.
В 2003 году к исследованиям в сфере квантовой криптографии присоединилась Toshiba. Первую систему компания представила в октябре 2013 года, а в 2014 удалось добиться стабильной передачи квантовых ключей по стандартному оптоволокну в течение 34 дней. Максимальное расстояние передачи фотонов без повторителя составляло 100 км. Проверить работу установки в течение долгого времени было важно потому, что уровень потерь и помех в канале мог меняться под воздействием внешних условий.
Проблемы квантовой криптографии
Ограничениями первых реализаций квантовых систем шифрования были небольшая дальность передачи и очень низкая скорость:
Для решения этой проблемы разрабатываются квантовые повторители — устройства, которые позволяют восстановить квантовую информацию, не нарушая её целостности. Один из способов реализации таких повторителей базируется на эффекте квантовой запутанности. Но максимальное расстояние, на котором удаётся сохранить эффект запутанности, на сегодняшний день ограничено 100 км. Дальше в дело вступают всё те же шумы: полезный сигнал просто теряется в них. А в отличие от обычных электромагнитных сигналов усилить или отфильтровать фотоны невозможно.
В 2002 году был обнаружен эффект, который назвали квантовым катализом. В эксперименте, который проводила исследовательская группа под руководством Александра Львовского, удалось создать условия, при которых восстанавливалась запутанность квантовых состояний света. Фактически учёные научились «запутывать» фотоны, утратившие квантовую спутанность из-за долгого пути в оптоволокне. Это позволяет получать устойчивую связь на больших расстояниях при незначительном снижении скорости передачи.
Ещё одна проблема квантовой криптографии — это необходимость создания прямого соединения между абонентами, ведь только такой способ взаимодействия позволяет организовать защищённое распределение ключей шифрования. Стоимость квантовых систем на сегодняшний день составляет десятки и сотни тысяч долларов, так что разработчики коммерческих решений предлагают технологию квантового распределения ключей в виде сервиса, ведь большую часть времени оптические каналы простаивают.
Сеансовый ключ в этом случае формируется из двух частей: первую — мастер-ключ — формирует клиент с помощью средств традиционной криптографии, а вторую — квантовую — генерирует система квантового распределения ключей. Итоговый ключ получается путём побитовой операции XOR этих двух частей. Таким образом, даже если хакеры смогут перехватить или взломать мастер-ключ клиента, данные останутся в безопасности.
Уязвимости квантовой криптографии
Хотя квантовое распределение ключей позиционируется как неуязвимое для взлома, конкретные реализации таких систем позволяют провести успешную атаку и похитить сгенерированный ключ.
Приведём некоторые разновидности атак на криптосистемы с протоколами квантового распределения ключа. Некоторые атаки носят теоретический характер, другие вполне успешно применяются в реальной жизни:
Группа Макарова продемонстрировала атаку на системах квантового шифрования производства ID Quantique и MagiQ Technologies. Для подготовки успешного взлома были использованы коммерческие экземпляры систем. Разработка атаки заняла два месяца.
Выявленная уязвимость, несмотря на свой критический характер, относится не к технологии как таковой, а к особенностям конкретной реализации. Устранить возможность такой атаки можно, установив перед детекторами получателя источник единичных фотонов и включая его в случайные моменты времени. Это позволит удостовериться, что детектор работает в квантовом режиме и реагирует на отдельные фотоны.
Сколько это стоит, работает ли в реальности и кому это нужно?
Когда речь заходит о сферах, где требуется настоящая секретность, в расчёт не принимаются такие мелочи, как стоимость, ограничения на расстояние и скорость передачи.
Востребованность квантовой криптографии в военных, государственных и финансовых секторах привела к тому, что исследовательские группы получают серьёзное финансирование, а разрабатываемые ими промышленные установки не только продаются, но и внедряются в реальное использование.
Система квантового распределения ключей. Источник: Toshiba
Новейшие образцы коммерческих систем квантовой криптозащиты имеют дальность действия более 1000 километров, что позволяет использовать их не только в пределах одной страны, но и для организации защищённых коммуникаций на межгосударственном уровне.
Внедрение установок для квантовой криптографии в массовое производство приводит к удешевлению. К тому же производители разрабатывают различные решения для того, чтобы увеличить доступность квантовой криптографии и уменьшить её стоимость в расчёте на абонента.
Например, система квантового распределения ключей производства Toshiba позволяет соединить только две точки на расстоянии до 100 км. Но при этом устройство позволяет одновременно использовать квантовую криптографию 64 абонентам.
Несмотря на ограничения квантовая криптография имеет несомненное преимущество перед традиционной, поскольку обладает доказанной криптографической стойкостью. Однако, как показывает практика, доказанная стойкость — свойство теоретических моделей, концептов, но не конкретных реализаций. Разработанные способы атак на конкретные системы квантового распределения ключей лишают квантовую криптографию этого преимущества, поскольку никто не может гарантировать, что очередная квантовая криптоновинка не окажется уязвима для какой-либо атаки по сторонним каналам.
С другой стороны, квантовые криптосистемы могут генерировать действительно случайный закрытый ключ. Расшифровать данные, зашифрованные на этом ключе, можно только если угадать ключ. Это позволяет защитить информацию на долгие годы, выбрав квантовый ключ достаточной длины.
Некоторые факты, подтверждающие перспективность квантовой криптографии как технологии:
Быстрый прогресс, который наблюдается в области квантовой криптографии, не оставляет сомнений в том, что в ближайшее десятилетие использование этой технологии станет массовым и фактически превратится в стандарт. А криптографам и криптоаналитикам придётся готовиться к очередному витку сражения за защиту информации.
Возможно, следующим несокрушимым рубежом станет криптография, основанная на теории решёток (Lattice-based Cryptography), которая неуязвима для квантовых компьютеров и может успешно работать даже на устройствах со слабыми процессорами. В любом случае многообразие вариантов непробиваемой защиты информация пойдёт на пользу конечным пользователям.