Квантовые технологии — одна из самых многообещающих отраслей на данный момент. Реализация на практике тонких физических эффектов способна изменить наши представления о шифровании и защите данных. Великобритания уже выделила на программу исследований квантовых технологий 270 миллионов фунтов стерлингов, а в Европейском союзе с 2018 года стартует аналогичная программа с бюджетом в миллиард евро. В России благодаря сильной инженерной школе сразу несколько организаций создали прототипы линий связи с квантовой криптографией. Они находятся на переднем крае исследований и в случае успешной коммерциализации способны превратиться в новые «лаборатории Касперского» и «яндексы» в сфере квантовых технологий.
Сначала давайте договоримся, как мы передаем информацию. Можно послать записку курьером. Но человеческий фактор ненадежен, и с каждым сообщением придется посылать нового курьера — накладно выйдет.
Можно передавать информацию с помощью света, скорость которого в вакууме — максимальная из достижимых в нашей Вселенной. Еще в древности военные отряды разводили костры, чтобы сообщить о приближении врага. Это быстрый способ передачи информации, однако у него есть очевидные проблемы: не обеспечивается ни конфиденциальность данных (противник тоже видит сообщение), ни их надежность (сигнал может быть не виден из-за погодных условий или сымитирован врагом).
Клод Шеннон в середине XX века доказал, что шифр Вернама и подобные обладают абсолютной криптостойкостью — их нельзя вскрыть, если ключ равен или больше длины сообщения, составлен из случайного набора символов и используется однократно
Если надо не просто сообщить о наличии врага в зоне видимости, а передать более подробную информацию, то ее можно закодировать в параметрах электромагнитной волны (частным случаем которой является свет): амплитудой (ярче — тусклее), частотой (цветом), промежутком между сигналами (длинный — короткий), а также поляризацией (характер поведения вектора напряженности электрической составляющей поля). Набор характеристик может соответствовать конкретной букве. Для высокоскоростной передачи данных самыми эффективными становятся кодировки из двух типов сигналов: в XIX веке широкое применение получила азбука Морзе (точка — короткий сигнал, тире — длинный), а при использовании компьютеров удобен двоичный код из 0 и 1.
Наборы точек и тире или нулей и единиц позволяют закодировать любые символы. Например, в алфавите 33 буквы, если их представить в двоичном коде, то буква А — это 00001, а Я — 100001. Остается добавить цифры, знаки препинания и составить таблицу соответствия символов и двоичного кода, чтобы отправлять сообщения в виде нулей и единиц (коротких и длинных вспышек, импульсов с разной поляризацией и т. п.).
Помните курьера, которого могут перехватить злоумышленники? Чтобы важная информация им не досталась, применяется шифрование. Такая же ситуация и с сигналом, передаваемым в световой волне: вдруг на пути луча окажется злоумышленник? Например, подключится к оптоволоконному кабелю, по которому передается сигнал? Поэтому разумно применить шифрование: поставить в соответствие каждому символу другой набор знаков — наложить ключ. А на принимающей стороне — расшифровать код.
Простейший случай — шифр Цезаря, в котором производится замена букв с циклическим сдвигом: А, например, на К, Б — на Л и так далее. Однако понятно, что на компьютере можно с легкостью перебрать все возможные варианты. Если заменять каждую букву на произвольную, не соблюдая сдвиг на определенное количество знаков, то количество вариантов возрастет, но перебирать их не придется: известно, что среднестатистически чаще всего в русскоязычных текстах встречается буква О, за ней следом идут Е, А… Поэтому для расшифровки будет достаточно провести анализ частотности использования различных символов. Такой шифр имеет низкую криптографическую стойкость.
Применение более длинных ключей (замена двух, трех букв и более на произвольное сочетание символов) затрудняет подбор ключа перебором. Вспоминая, что каждый символ может быть заменен последовательностью нулей и единиц, мы получаем представление о шифровании данных в двоичном коде. На практике считается, что 1024-битного ключа (каждый бит — это 1 или 0) достаточно, чтобы на взлом шифра с помощью современных компьютерных средств понадобилось время, сопоставимое с временем жизни Вселенной. Однако существующие системы взламываются не только методом перебора возможных вариантов ключа. Кроме того, в ближайшее десятилетие ожидается создание квантового компьютера, который сможет вскрыть все существующие популярные шифры.
Из-за этих факторов, а также учитывая другие уязвимости систем шифрования, важную информацию предпочитают кодировать ключом, длина которого равна длине сообщения. Клод Шеннон в середине XX века доказал, что шифр Вернама1 и подобные обладают абсолютной криптостойкостью — их нельзя вскрыть, если ключ равен или больше длины сообщения, составлен из случайного набора символов и используется однократно.
Главное в передаче данных по квантовой линии не сложный ключ, а принципиальная невозможность незаметно ее прослушать. Абоненты узнают, если хакер попытается перехватить передаваемую информацию, и смогут выбрать другой канал связи или повторить передачу в более благоприятных условиях
Но как безопасно передать ключ для надежного шифрования, если есть сомнения в канале связи? Сейчас используются так называемые системы шифрования с открытым ключом, в отличие от систем с закрытым ключом, упомянутых выше. Они хорошо подходят для быстрого шифрования ключом длиной 256–1024 бит. Однако ключи для шифров Вернама и им подобных должны по длине как минимум не уступать длине сообщения, и пока их доставка реальна только с помощью защищенных доверенных каналов (а это дорого) или с помощью курьера (дрона). Мы возвращаемся к описанной в начале главы опасности перехвата посылки с ключом злоумышленниками. Идеальный выход нашелся при использовании законов квантовой физики.
В квантовой криптографии способ защиты информации принципиально иной, чем в криптографии классической. Главное в передаче данных по квантовой линии не сложный ключ, а принципиальная невозможность незаметно ее прослушать. Абоненты узнают, если кто-то попытается перехватить передаваемую информацию (и смогут выбрать другой канал связи или повторить передачу в более благоприятных условиях). Само кодирование информации производится по прежним принципам: замена в тексте символов по правилам, определяемым ключом, позволяет расшифровать текст только абоненту, этим ключом обладающему.
В опыте Юнга (эксперимент, проведенный Томасом Юнгом и ставший экспериментальным доказательством волновой теории света; его результаты были опубликованы в 1803 году) свет проходит через пластину с двумя щелями и образует на экране интерференционную картину: чередование светлых и темных полос. В классической физике это объясняется тем, что электромагнитная волна делится на две части, которые интерферируют между собой.
Но волна состоит из отдельных фотонов — неделимых частиц, несущих соответствующую их частоте минимальную энергию. Если пропускать через пластину с отверстиями отдельные фотоны, то можно было бы ожидать появления «корпускулярной картины» — двух ярких полос за щелями. На самом деле, согласно квантовой механике, световые частицы проявляют волновые свойства, даже если их пускать по одной — они образуют на экране интерференционную картину, как будто взаимодействуют сами с собой. Если поставить детектор, способный выяснить, через какую щель проходит фотон, как картина на экране тут же меняется с «волновой» на «корпускулярную»: две яркие полосы с быстрым уменьшением яркости при удалении от них.
При попытке локализации положения фотона в одной из щелей изменился характер картинки на экране. Физики говорят, что произошел коллапс волновой функции, описывавшей потенциальное положение фотона. При этом интерференции не происходит (нет волн, которые могли бы интерферировать) и картинка на экране превращается в две яркие полосы.
Для нас важно то, что наблюдение за перемещением фотона изменяет его состояние. Ведь в интерференционной картине могло быть зашифровано сообщение, а если кто-то попытается «подсмотреть» передаваемые фотоны, то мы об этом узнаем из-за изменения картины на экране. Посмотреть — можно, но сделать это незаметно — нельзя!
Для практической реализации квантовой криптографии используются различные протоколы. Рассмотрим один из них — BB84. Лазер испускает фотоны, которые передаются по волноводу к детектору. Информацию удобно зашифровывать в направлении поляризации фотонов. Например, вертикальная «|» — 1, горизонтальная «—» — 0, с наклоном 45° «/» — снова 1, а под углом 135° «\» — опять 0. Испускать фотоны можно в любом из этих состояний, а принимать — только определенным базисом, положением фильтра: либо будут приниматься горизонтальные и вертикальные фотоны, либо направленные под углом. Определять одновременно фотоны с разными базисами не позволяют законы квантовой физики.
Теперь отправитель, его принято называть Алисой, формирует пакет фотонов, например: |//—|—/\. Легальный получатель Боб не знает, в каком базисе они выпущены, он выставляет базисы на приемнике в случайном порядке: +x++x++x — и угадывает в среднем ориентацию половины фотонов. В данном случае он записывает полученную информацию как 11000000. Не рассказывая, какое число у него получилось, Боб сообщает Алисе по открытому каналу (они быстрее, дешевле, но могут быть прослушаны), какие базисы использовал, а она подсказывает правильные. Фотоны, полученные с неправильными базисами, отбрасываются: 11000000 –> 11.0.0.0 –> 11000. Алиса передала Бобу восемь фотонов, из них сформировано 5 бит данных — это первичная передача квантовой информации (в среднем, конечно, будет получаться принять в правильном базисе половину переданных фотонов).
В чем надежность такой схемы? Дело в том, что перехватчик, назовем ее Евой, должна выставлять базисы тоже случайным образом. Например, базис Евы +xxx++xх, она может прочитать только первый, второй и пятый биты ключа: 110, — а остальные не знает. В среднем у нее совпадет с Бобом половина базисов, только половина которых — четверть от изначально пересланных — окажутся правильными.
Но даже угадав базисы, Ева не сможет подслушивать дальше — ее вмешательство изменит состояние фотонов, получаемых Бобом (вспоминаем изменение картины на экране в опыте Юнга при установке детектора на щели, между источником света и экраном). Чтобы убедиться, что перехвата не было, Алиса и Боб сверяют часть переданных и полученных данных по открытому каналу, если процент ошибок ниже допустимого уровня, то делается вывод о надежности квантовой линии связи и остальные биты используются для создания ключа. Операция повторяется постоянно.
Как бы ни был идеален канал связи, при передаче сигнал затухает: фотоны взаимодействуют с веществом, из которого сделан волновод. Поэтому максимальная дальность квантовой линии на данный момент — 404 километра, на такое расстояние удалось передать ключ ученым китайского Университета наук и технологий в городе Хэфэй
Следует отметить, что возникновение некоторого количества ошибок неизбежно: фотоны могут взаимодействовать с оптоволокном, а детектор — ошибиться в определении направления поляризации из-за внутренних шумов, присущих всем электронным устройствам. Поэтому один из важных параметров квантовой линии связи, который важно вычислить, — скорость передачи данных с допустимым уровнем ошибок, в котором не сможет спрятать свои действия злоумышленник.
Квантовое шифрование возможно только при связи напрямую между двумя абонентами. Это не очень удобно для мира, где все привыкли к сетевому общению (не точка—точка, а все—все). Однако высокая защищенность данных позволяет пренебречь этим недостатком военным, финансистам и представителям других профессий, где цена перехвата данных слишком высока.
Как бы ни был идеален канал связи, но и в оптоволокне, и при передаче по воздуху сигнал затухает: фотоны взаимодействуют с веществом, из которого сделан волновод. Поэтому максимальная дальность квантовой линии — 404 километра, на такое расстояние удалось передать ключ ученым китайского Университета наук и технологий в городе Хэфэй. При этом за три месяца удалось передать всего 2584 бит ключа, или 0,0003 бит в секунду. Это означает, что большая часть переданной информации утонула в шумах.
Дальность передачи ключа по квантовому каналу связи пытаются повысить китайцы, передавая сигнал через спутники. Преодолев атмосферу, сигнал принимается на спутнике, который может ретранслировать его в космосе на большое расстояние, тысячи километров, ведь там фотонам не на чем рассеиваться. Однако скорость связи, а значит, и скорость передачи ключа в этом случае падает на порядки. А чем ниже скорость генерации (или передачи) ключа, тем короче его длина и больше промежуток времени между сменой кодов. Оба эти фактора снижают стойкость шифрования к атакам, в которых злоумышленник пытается подобрать ключ.
И все же главный «скелет в шкафу» у квантового шифрования, по мнению Алексея Фёдорова, научного сотрудника Российского квантового центра (РКЦ), — низкая скорость генерации ключа (до 1,5 мегабит в секунду при передаче на 50 километров). Он подчеркнул, что, несмотря на техническую возможность детектировать состояние одиночного фотона и возможность проверки, был ли перехват информации, текущей производительности хватает для абсолютно криптостойкого шифрования только коротких сообщений.
Впрочем, уже сейчас есть документы, на которые имеет смысл тратить ресурсы квантовых линий: это банковские платежки, секретные документы небольшого объема, ключи для будущих секретных сообщений и т. п. Переданный по квантовым линиям ключ может также добавлять криптостойкости системам, шифрующим информацию обычным образом (наложением открытого ключа).
В идеальном мире квантовая физика позволяет сделать передачу сигнала безопасной. Однако Александр Печень, заведующий лабораторией математических методов квантовых технологий Математического института имени В. А. Стеклова РАН, которая занимается в том числе надежностью квантового шифрования, предупреждает, что стойкость квантовой криптографии имеет хорошее теоретическое обоснование только в определенных условиях. Это одновременно должно быть сильно ослабленное состояние (в идеале — однофотонная передача данных) и передача квантов света без затухания.
Дмитрий Кронберг, коллега Александра Печеня по лаборатории, отмечает, что на практике злоумышленник, желающий перехватить данные, будет использовать несовершенство аппаратуры и канала связи. Например, если формируется пучок света, в котором несколько фотонов в заданном состоянии, то один из них может изъять злоумышленник, оставив остальные для «законного» приемного детектора.
Кронберг, как и Фёдоров, отдельно отметил среди недостатков практических систем с квантовым шифрованием довольно медленную генерацию ключа. Она не позволяет его часто менять или применять длинные ключи для кодирования данных — это типичная угроза для зашифрованных данных. Эта проблема решается созданием более совершенного оборудования с высокой скоростью генерирования ключа для квантового шифрования.
Один из основных видов атак направлен на детекторы — устройства, получающие фотоны и изучающие их состояние. Как отмечалось выше, у них тоже есть собственные шумы, которые могут приводить к несовпадениям состояния отправленных и полученных фотонов. У абонентов нет способа отличить эти ошибки от возникающих при перехвате — приходится полагаться на статистику: стороны могут только договориться о приемлемом уровне шумов, исходя из характеристик линии, превышение которого будет означать, что к линии подключился злоумышленник. Но предсказать точное значение шума в каждый момент времени невозможно, и хакер с некоторой вероятностью может остаться незамеченным, так как перехваченные им фотоны будут отнесены к незамеченным из-за шумов детектора. В качестве аналогии можно привести корабль, проходящий вблизи берега. При спокойном море вы почувствуете его рядом по увеличению прибойной волны, но в бурю разницы не заметите.
Дмитрий Кронберг также напомнил, что уже продемонстрированы удачные атаки, «ослепляющие» детектор. Приемные детекторы настроены на фотоны с определенной поляризацией, но при атаке мощным импульсом света с круговой поляризацией они срабатывают независимо от того, на какой вид поляризации настроены. Кроме того, после такого срабатывания детектор некоторое время не способен принимать фотоны — значит, они будут посланы заново, а те, которые пришли в момент ослепления, злоумышленник может использовать для анализа и попытки вскрыть шифр. Считается, что такой атаки можно избежать, добавив перед детекторами получателя источник одиночных фотонов, случайным образом включать его и проверять, что он не «ослеплен».
Хакер также может использовать затухание сигнала в оптоволокне. Если он имеет физический доступ к каналу связи (а экономически эффективна передача данных именно по общедоступным каналам, например предназначенным для интернета, доступ к которым злоумышленнику получить относительно реально), то он может моделировать затухание сигнала, когда ему не удается перехватить ключ. Или наоборот, улучшать условия для прохождения данных, когда удается установить подслушивание методами, приведенными выше (ослепление детектора, перехват одного из парных фотонов и т. п.). Таким образом, злоумышленник может управлять уровнем шумов, что снижает надежность общей системы шифрования.
Работа квантовой линии связи требует хорошей теоретической подготовки как для реализации, так и для вычисления оптимальных параметров связи. Возможно, именно наукоемкость практической реализации квантового шифрования и традиционно сильное инженерное образование привели к тому, что на практике оно было реализовано сразу несколькими российскими организациями.
Лаборатория квантовых оптических технологий физического факультета МГУ совместно с Физико-техническим институтом имени А. Ф. Иоффе РАН реализовали пилотный проект 32-километровой линии связи, защищенной квантовым шифрованием, используя существующий оптоволоконный канал связи «Ростелекома»
Лаборатория квантовых оптических технологий физического факультета МГУ совместно с Физико-техническим институтом имени А. Ф. Иоффе РАН реализовали пилотный проект 32-километровой линии связи, защищенной квантовым шифрованием, используя существующий оптоволоконный канал связи «Ростелекома». Сейчас ведутся разработки квантово-защищенной связи по атмосферному каналу.
Санкт-Петербургский государственный университет информационных технологий, механики и оптики (ИТМО) образовал консорциум из 16 компаний, который развивает линии связи с квантовой защитой на базе собственных технологий. По утверждению представителей университета, оригинальные решения, применяемые в узлах пилотного участка, обеспечивают высокие показатели скорости связи и эффективности использования полосы пропускания волоконно-оптического канала.
В 2014 году специалисты ИТМО запустили первую в России квантовую сеть. В 2017-м совместно с Казанским квантовым центром создана первая в России многоузловая квантовая сеть на базе каналов телекоммуникационного оператора «Таттелеком». Квантовая коммуникация может быть реализована только при соединении точка—точка, а для создания сети нужны коммутаторы, которые могли бы получать информацию из квантовых линий, классическим образом ее копировать и отправлять дальше по нужной квантовой линии.
Российский квантовый центр, начавший свою работу как научно-исследовательская организация, быстро включил в свою деятельность создание коммерческих спин-офф компаний, продукты которых используют квантовые технологии: создают детекторы одиночных фотонов, элементы квантового компьютера, квантово-защищенные линии связи и др.
В 2016 году РКЦ создал первую в России квантовую линию связи для коммерческой компании — она соединила два отделения Газпромбанка. Финансовая организация инвестировала около 400 млн рублей в различные разработки научного центра
Сейчас во многих странах включая Россию проводятся первые внедрения квантовых коммуникаций, но серийное производство оборудования для защиты линий связи квантовыми методами начала швейцарская ID Quantique. В создании проектов «под ключ» она тоже участвует, например, совместно с некоммерческой научно-исследовательской организацией Battelle строит квантовые «сети». Однако рынок еще не только не поделен, но и не сформировался.
Стоимость одного устройства для защищенной связи, по словам сооснователя и главы разработки компании Acronis Станислава Протасова, может составлять сотни тысяч долларов (публично цены не разглашаются). Это подтолкнуло разработку Acronis и коллег из РКЦ к идее наладить промышленный выпуск собственных устройств для квантовой связи. Если удастся снизить стоимость, то это резко повысит количество клиентов.
Есть спрос и на более простые устройства, использующие особенности квантовой механики, — генераторы случайных числе (ГСЧ), их применяют для создания ключей шифрования. Станислав Протасов объяснил, что существующие устройства, использующие различные алгоритмы и даже тепловой шум, могут быть сымитированы, и это угрожает криптостойкости системы. А квантовый шум случаен по своей природе и поэтому представляет собой идеальный ГСЧ. Сейчас квантовые генераторы случайных числе стоят около 5000 швейцарских франков, и это разумная цена за хороший ГСЧ.
В целом прогнозы различных аналитических агентств совпадают. Рынок квантовых технологий (который включает в себя квантовую криптографию) находится в зачаточном состоянии: его обороты в ближайшее время составят всего миллиарды долларов — это проценты от мирового рынка средств шифрования, то есть менее процента от всего рынка шифрования. А значит, у российских компаний пока есть возможность принять участие в конкурентной гонке, потому что прогнозируется быстрый рост рынка квантовой криптографии и распространение технологий из лабораторий в частную и коммерческую сферы применения.
Темы: Наука и технологии