Квантовая крипто-неопределенность

(Май 2004)

Если система доказуемо безопасная, то, вероятнее всего, это не так.
Ларс Рамкильде Кнудсен, известный датский криптограф

Quantum-optics

Избрав в качестве постоянного занятия работу обозревателя ИТ-новостей, автор данного текста поневоле регулярно сталкивается с известиями о все более впечатляющих достижениях в области квантовых коммуникаций.

Или, как еще иначе и не совсем корректно называют эту область, в квантовой криптографии. Где для пересылки ключей шифрования используются квантовые состояния частиц, а законы физики делают перехват этой информации невозможным, поскольку всякий акт наблюдения нарушает хрупкое состояние системы и выдает присутствие злоумышленника.

По долгу журналиста-обозревателя, автор всякий раз добросовестно старается выделить необычность и подчеркнуть прогрессивность новой технологии (благо практическое освоение наиболее удивительных квантовых эффектов всегда достойно внимания).

Однако как человека, в прошлом непосредственно связанного с криптографией, автора все время коробит от того, сколь бесконечно далека шумная рекламная трескотня вокруг квантового крипто от действительной ситуации в криптографической науке и от практических задач по защите информации.

Если формулировать предельно кратко (пусть упрощенно), то НИКАКИХ РЕАЛЬНЫХ проблем квантовая криптография эффективно не решает и — более того — очень сомнительно, что будет способна решать в обозримом будущем. Естественно, это вовсе не личное мнение автора, а точка зрения очень многих специалистов, глубоко понимающих суть криптографии и информационной безопасности в целом.

По вполне естественным причинам исторически сложилось так, что квантовым крипто в основном занимаются физики-лазерщики, поэтому два множества — профессионалов из областей криптографии обычной и квантовой — пересекаются между собой крайне слабо.

Вследствие чего промежуточная территория оккупирована ныне всякого рода коммерсантами и маркетологами, которые делают очень смелые, хотя и ничем не подкрепленные заявления о блестящих рыночных перспективах квантовой криптографии. А коль скоро публика слышит лишь тех, кто громче всех кричит, в обществе формируется неадекватное представление о реальной ситуации на этом направлении исследований.

Вот, к примеру, вполне типичная цитата из сравнительно недавней публикации солидного британского издания The Economist относительно коммерческих перспектив квантового крипто:

“Эндрю Хэммонд (Andrew Hammond), вице-президент компании MagiQ, оценивает потенциальный рынок цифрами порядка 1 миллиарда долларов в год, где основная часть заказов будет исходить от фирм с особо ценной интеллектуальной собственностью, вроде фармацевтических и авиастроительных корпораций” [1].

Миллиард долларов, что ни говори, сумма впечатляющая. Но это всего лишь прогнозы бизнесмена, торгующего первым квантовым шифратором, а у них работа такая — нахваливать товар любыми словами, только бы покупали.

Но, к сожалению, примерно то же самое декларируют и ученые-физики, занимающиеся исследованиями в научных лабораториях. Вот как, к примеру, звучат ключевые формулировки из совсем недавнего большого доклада-презентации на семинаре Национального института стандартов и технологий США (NIST):

“Квантовая информатика — это радикальный прорыв в информационных технологиях, для нынешнего уровня ИТ фундаментально более радикальный, чем переход от счетной доски-абаки к цифровому компьютеру… Квантовые коммуникации — 100-процентно безопасны… Квантовое шифрование способно победить любые вычислительные атаки…” [2]

Ну, и далее в том же духе.

Причем это, подчеркнем, доклад не коммерсанта, а Карла Уильямса (Carl J. Williams), одного из ведущих сотрудников немалой Программы НИСТ по квантовой информации (qubit.nist.gov).

В рамках этой программы, надо отметить, за последние годы достигнуты весьма интересные экспериментальные результаты, в том числе и в квантовых коммуникациях. Одна из самых свежих работ, опубликованная в конца апреля (2004), демонстрирует возможности пересылки квантовых криптоключей без оптоволокна – по воздуху на расстояние 730 метров – со скоростью порядка 1 мегабита в секунду [3].

Это примерно на два порядка выше, чем в типичных на сегодня устройствах квантового распределения ключей, работающих со скоростями до десятка килобит в секунду. Как прогнозируют конструкторы-исследователи, повышая разрешающую способность используемого детектора, они смогут повысить быстродействие еще на порядок.

Спору нет, защищенная передача криптоключей на мегабитных скоростях — это очень заметное достижение для технологий квантовой криптографии.

Другой вопрос, а кому это, собственно, нужно, когда в традиционных неквантовых системах нет никаких проблем с криптографической защитой гораздо более быстрых, гигабитных коммуникаций. Причем без каких-либо ограничений на коммутацию-маршрутизацию каналов и дальность передачи…

Реальная ситуация с новой технологией сегодня выглядит примерно так.

Квантовая криптография по умолчанию подразумевает, что вы имеете аутентичный канал между сообщающимися сторонами, т.е. между ними заведомо не может быть “человека посередине”.

Говоря иначе, стандартные протоколы квантового крипто применимы лишь в таких условиях, когда существует какой-то еще иной механизм, гарантирующий, что партнер на другом конце оптоволоконного кабеля — это тот самый человек, с которым вы и намерены общаться. А не кто-то еще, подсоединившийся на каком-то из участков кабеля и проводящий хрестоматийную атаку MITM.

(Man In The Middle: злоумышленник M вклинивается между A и B, представляясь стороне A как B, а стороне B, соответственно, как A; возможности для этого заложены в самих основах открытого обмена ключами, а для борьбы с MITM, в частности, предназначена PKI, инфраструктура открытых ключей, формирующая сеть взаимно-доверяющих сторон).

Вследствие этого нюанса (и физических ограничений на стабильность состояния фотонов) квантовое крипто хотя бы более-менее прилично выглядит лишь в очень специфических условиях — выделенный оптоволоконный кабель длиной до 100 километров или оптическая связь без кабеля на расстоянии до нескольких десятков километров. Причем связь только “точка-точка”.

Любая гипотетическая попытка удлинения канала или создания сети приводит к необходимости установки усилителей-репитеров или маршрутизаторов (квантовой или классической конструкции), которые даже в теории кардинально повышают уязвимость системы к перехвату и атакам “человека посередине”.

И даже в тех “тепличных” условиях, где квантовое крипто выглядит относительно неплохо, связывающиеся стороны вынуждены-таки убедиться в аутентичности друг друга с помощью доступных протоколов неквантовой природы — практически все они обычно построены на алгоритмах криптографии с открытым ключом.

Ирония (если угодно, абсурдность) этой ситуации обычно исследователями игнорируется — квантовое крипто вроде бы создается для преодоления слабых сторон уже имеющихся технологий, но в принципе не может без этих технологий обходиться.

И, естественно, совершенно без ответа остается вполне резонный вопрос оппонентов из лагеря обычной криптографии:

“А как часто на практике мы имеем физический канал, аутентичности которого мы вполне доверяем, но при этом в канале существует угроза перехвата (от которого гаранированно защищает квантовое крипто)”?

Имеется и еще одна серьезная проблема с квантовой криптографией.

Даже убирая в сторону весь вопрос о доверии к физическому каналу, технология подразумевает некий “черный ящик” на каждом из концов линии связи, который реализует волшебные квантовые штучки. Ясно, что пользователь должен полностью доверять данному черному ящику.

На практике это означает следующие вещи: (1) конструкция устройства должна быть тщательно проконтролирована, а целостность каждого элемента проверена; (2) устройство должно быть доставлено с фабрики или склада в каждую конечную точку с соблюдением строгих мер безопасности; (3) устройство должно быть постоянно защищено от угроз подключения к нему злоумышленников.

Если внимательно вглядеться в эти требования, то на самом деле совершенно с тем же успехом можно разослать в каждую точку по жесткому диску-винчестеру емкостью эдак гигабайт 160, по завязку наполненному ключевым материалом, т.е. случайными равновероятными последовательностями. К этому диску можно применять в точности те же меры физической безопасности, что и к квантовому черному ящику.

И если даже предположить весьма расточительное расходование ключевого материала, скажем, по одному ключу для алгоритма AES-256 каждую секунду, то 160-гигабайтного жесткого диска хватит аж на 150 лет эксплуатации. Каждый использованный ключ можно тут же стирать ради страховки от возможных будущих компрометаций.

А можно сделать и еще лучше — трансформировать использованный ключ с помощью однонаправленного (необратимого) преобразования в новый ключ и оставить на следующий цикл, если вдруг в будущем с поставками возникнут проблемы. Наконец, для самых щепетильных, ни в какую не доверяющих надежности стирания и псевдослучайным математическим преобразованиям, можно предусмотреть вместо винчестера пачку дисков DVD-R, которые будут сжигаться по мере использования.

Несложно понять, что данная альтернатива с дисковым накопителем на 160 Гб имеет целый ряд ощутимых преимуществ в сравнении с квантовым распределением ключей.

Здесь не требуется абсолютно никаких предположений относительно свойств канала — легко можно использовать Интернет, телефон, спутниковую или даже коротковолновую радиосвязь. Нужные в работе винчестеры и ПК можно купить в любом соседнем магазине, и никто даже не заподозрит, что вы намерены с их помощью установить строго секретную связь, т.е. вряд ли кому придет в голову встраивать хитрую закладку в серийную общедоступную технику до того, как вы ее купили (с квантовым ящиком все принципиально иначе). Необходимое в работе программное обеспечение легко написать и проконтролировать.

Ну и, наконец, жесткий диск на 160 ГБ стоит несравненно дешевле, чем квантовый бокс, не говоря уже о стоимости выделенного оптоволоконного канала, необходимого для работы этих устройств.

И коли уж речь зашла о привлекательности традиционных, неквантовых альтернатив, то имеет смысл отметить весьма существенный сдвиг в обычной криптографической науке, оставшийся пока незамеченным не только среди непрофессионалов, но и среди многих криптографов.

Очень важная особенность текущего момента в развитии науки заключается в том, что без помпы и широкой огласки происходит фактическое объединение двух важнейших направлений криптографии — строго секретной математики, развивавшейся весь XX век за высокими стенами спецслужб, и параллельного направления, последние лет 30 открыто развиваемого академическим сообществом ученых и исследователями компьютерной индустрии.

Криптографические спецслужбы как и прежде (почти) не раскрывают своих секретов, но их многоопытные аналитики подтверждают высочайшую стойкость систем, совместными усилиями разработанных в открытом сообществе. Более того, спецслужбы рекомендуют эти криптоалгоритмы для защиты наиболее важных государственных секретов. Вот лишь два конкретных тому примера за последний год.

Изданный в июне 2003 года Агентством национальной безопасности США документ “О национальной политике в использовании AES (Продвинутого стандарта шифрования) для защиты национальных систем безопасности и информации” говорит буквально следующее:

“Конструкция и стойкость ключей алгоритма AES всех длин (т.е. 128, 192 и 256 битов) достаточны для защиты засекреченной информации вплоть до уровня SECRET. Информация с грифом TOP SECRET потребует использования длин ключа 192 или 256” [4].

Здесь необходимо напомнить, что международный конкурс на алгоритм AES, затеянный в конце 1990-х годов НИСТом для замены устаревшего DES, первоначально подразумевал выбор шифра лишь для надежной защиты важной, но несекретной информации. И если уж АНБ США, бесспорно самая мощная криптослужба в мире, теперь одобряет AES, созданный молодыми иностранцами-бельгийцами, для защиты национальных секретов с грифами Secret и Top Secret, то можно быть уверенным, что AES — это действительно очень крепкий шифр.

Стойкость которого, попутно заметим, не имеет абсолютно никакого отношения к стойкости криптографии с открытым ключом, которую в теории может когда-нибудь скомпрометировать квантовый компьютер, а альтернативой для чего выдвигается рассылка ключей методами квантового крипто.

Причем и в применении криптографии с открытым ключом АНБ демонстрирует ныне весьма интересную эволюцию. В октябре 2003 года эта спецслужба купила лицензию на сугубо коммерческую, открыто разработанную криптотехнологию ECC (elliptic curve cryptography, крипто на эллиптических кривых) у еще одних иностранцев — канадской корпорации Certicom [5].

Алгоритм ECC является значительно более удобным средством ключевого обмена, нежели популярнейший RSA, поскольку эквивалентная криптостойкость достигается здесь при куда меньших длинах ключей. Согласно рекомендациям НИСТ США (которые в области крипто обычно готовит АНБ), эквивалентом 1024-битного ключа RSA, к примеру, является ECC-ключ длиной всего 163 бита (соотношение 6:1). Причем зависимость эта нелинейна, так что для ключа ECC длиной 512 битов размер аналога в системе RSA составляет уже 15360 битов (соотношение 30:1).

Согласно опубликованной информации, именно такие 512-битные ECC-ключи намерено использовать АНБ в шифрсредствах для себя и своих клиентов —американских правительственных ведомств, федеральных подрядчиков из промышленности и других организаций, имеющих дело с национальной безопасностью.

Иначе говоря, отныне можно считать, что и коммерческая технология ECC одобрена к использованию для защиты государственных секретов США. И даже если когда-нибудь в отдаленном будущем удастся реально создать квантовый компьютер с 1000-кубитным регистром для факторизации 512-битных чисел RSA (что само по себе далеко неочевидно), такой же длины ключ ECC окажется новой технике абсолютно не по зубам.

Завершить этот небольшой обзор общей ситуации вокруг перспектив квантовой криптографии хотелось бы цитатой из текстов крипто-гуру Брюса Шнайера [6], наиболее знаменитого способностью приводить к единому знаменателю и от себя лично четко обобщать не слишком внятно сформулированные позиции множества членов криптосообщества, думающих примерно в одинаковом направлении.

И позиция эта такова, что нет ни малейших надежд на какой-либо коммерческий успех и распространение квантового крипто.

Я не верю, пишет Шнайер, что оно решает хоть какие-то проблемы безопасности из тех, что реально нуждаются в решении. И дело тут даже не в том, что квантовая криптография может быть небезопасна. Дело в том, что никому не нужна криптография еще более безопасная, чем она есть сегодня.

Безопасность — это цепь, и она сильна настолько, насколько сильным является ее самое слабое звено. Математическая криптография, даже со всеми своими нынешними изъянами, является самым сильным звеном в большинстве цепей общей безопасности.

Все остальные звенья — защита компьютера, сетевая безопасность, человеческий фактор — существенно менее надежны. Криптография здесь — единственная область безопасности, с которой мы может работать как надо. Тут мы четко знаем, как делать данное звено сильным.

Не исключено, что квантовая криптография может сделать это звено еще сильнее, но чего ради заботиться именно об этом? В безопасности существуют более, причем намно-о-ого более серьезные проблемы, о которых следует беспокоиться. И намного больше смысла в том, чтобы тратить деньги на укрепление именно слабых звеньев цепи.

Возня с квантовым крипто, продолжает Шнайер, чем-то напоминает защиту от приближающегося врага с помощью установки одного здоровенного столба. Совершенно бессмысленно спорить, какой высоты должен быть этот столб — 15 там метров или 30 — потому что атакующий на него все равно не полезет. Он его обойдет. [конец цитаты]

Никто не думает оспаривать, что технологии квантовых коммуникаций имеет смысл исследовать и развивать дальше. Потенциально они предоставляют весьма интересные возможности в таких областях, как, например, квантовая телепортация или плотное квантовое кодирование информации.

Но непосредственно в деле инфобезопасности у квантового крипто будущего, скорее всего, нет никакого. Потому что, подобно неуловимому ковбою Джо из старого анекдота, оно никому в общем-то не нужно…

The END

ССЫЛКИ:

[1] «Uncrackable beams of light,» The Economist, 4 Sep 2003, http://www.economist.com/node/2020013

[2] «An Introduction to Quantum Information,» by Carl J. Williams, MCSD Seminar — NIST, March 23, 2004, http://math.nist.gov/mcsd/Seminars/2004/2004-03-23-williams-presentation.pdf

[3] J. C. Bienfang, et al., «Quantum key distribution with 1.25 Gbps clock synchronization,» Opt. Express 12, 2011-2016 (2004), http://www.opticsinfobase.org/oe/abstract.cfm?URI=OPEX-12-9-2011

[4] «Fact Sheet № 1, National Policy on the Use of the Advanced Encryption Standard (AES) to Protect National Security Systems and Information». USA National Security Agency, June 2003, http://csrc.nist.gov/groups/STM/cmvp/documents/CNSS15FS.pdf

[5] «Certicom Sells Licensing Rights to NSA,» Certicom Corp. Press Release, October 24, 2003, http://www.certicom.com/index.php/2003-press-releases/314-certicom-sells-licensing-rights-to-nsa

[6] Bruce Schneier, «Quantum Cryptography,» Crypto-Gram, Dec 2003, https://www.schneier.com/crypto-gram-0312.html#6