195176, г. Санкт-Петербург,
Пискаревский пр. д.25,
литер А пом. 8Н.
info@armkllc.ru
   +7 (812) 748-51-31

ГОТОВЬ САНИ ЛЕТОМ или почему это хорошая идея – думать о квантовой безопасности уже сейчас

Дата публикации: 2019-08-30 16:47:00

Данные, украденные сегодня, могут быть легко расшифрованы в будущем,

когда появятся квантовые вычисления.

Учёные всего мира работают над созданием квантовых вычислительных систем. В околонаучных и специализированных СМИ регулярно появляются заметки об успехах в этом направлении тех или иных малых и больших коллективов исследователей. Особенно на этом поприще преуспевают крупнейшие национальные университеты и фирмы-гиганты IT-отрасли. И вот одна из таких громадин, IBM, озаботилась будущим безопасности информационных потоков и хранения данных в условиях сверхмощных компьютеров уже недалёкого будущего. Да, с появлением доступных и практичных квантовых компьютеров откроются новые возможности для медицины, лабораторий, производств, искусственного интеллекта и прочих областей знаний и разработок. Но, вместе с тем, уже сейчас становится очевидным тот факт, что эти машины также легко взломают современные алгоритмы шифрования. Так, асимметричная криптография типа RSA, на которую сегодня полагаются профессионалы, просто не выдержит.

Пока одни институты рассматривают стандартизацию сложных для квантовых взломов специальных криптографических алгоритмов, IBM начнёт предлагать «квантово-безопасные» крипто-сервисы в своём публичном облаке. Это случится в 2020 году, и начало будет положено с алгоритмов SSL для защиты данных. Часть разработок, стоящих за коммерческими сервисами, будет пожертвована проектам с открытым исходным кодом, таким как OpenQuantumSafe, для использования в распространённых технологиях, таких как OpenSSL и OpenSSH.

Кроме того, как бы то ни удивляло, сейчас компания занимается прототипом квантово-безопасного шифрования на ленточных накопителях. Объясняется это низкой вероятностью использования одних и те же жёстких дисков в условиях реальности квантовых вычислений, и способностью ленточных накопителей храниться довольно продолжительное время. К тому же чтение и запись данных как часть обслуживания ленты поможет сделать переход к квантово-безопасному шифрованию относительно простым.

Чтобы помочь предприятиям понять, защита каких данных приоритетна для работы, IBM применяет собственную консалтинговую бизнес-модель «квантовой оценки рисков».

 «Прямо сейчас вся криптография, используемая в Интернете и повсюду, основана на некоторых математических проблемах, которые будут сломаны - нам просто нужен достаточно мощный компьютер», – говорит Вадим Любашевский, криптограф, который работает над проблемой в IBM Research уже 15 лет. Далее он высказывает мысль, что классический компьютер никогда не будет достаточно мощным, чтобы взломать AES (симметричное блочное шифрование, принятое в качестве стандарта правительством США), но квантовые компьютеры могут взломать такой тип шифра за несколько дней или часов. Поэтому Любашевский предупреждает: «Если мы верим, что такие компьютеры будут построены, скажем, через десять-тридцать лет, важно отойти от используемой сейчас криптографии… кто-то может собрать данные сейчас, а расшифровать их потом».

Поскольку в AES и других симметричных алгоритмах один и тот же ключ используется и для шифровки, и дешифровки, придётся как минимум удвоить размер этого ключа, чтобы сохранить тот же уровень защиты. Хешированию тоже понадобятся большие возможности для выросших размеров обработки. А для асимметричного шифрования, использующего пары открытый-закрытый ключи, нужно будет переключиться на квантово-безопасную криптографию. Зато это будет упрощено с помощью обычных инструментов и платформ, но уже основанных на постквантовых алгоритмах, стандарты которых сейчас разрабатываются в NIST. Сам процесс стандартизации должен завершиться к 2022-2024 годам. Сегодня оценивается 26 из почти 70 представленных предложений, многие из которых являются вариациями одних и тех же подходов.

Искусственные трудности

Квантово-безопасные криптографические исследования продолжаются в течение 20 лет, но для создания соответствующего алгоритма, необходимо выявить такие математические проблемы, которые квантовый компьютер не мог бы сломать

Команда IBM использует различные вариации решения этой задачи: одни из них – математические вычисления с использованием так называемых решёток высокого порядка. Другие же основаны на системах квадратных уравнений с несколькими переменными или декодировании линейных кодов. Сейчас фаворитами являются решётки, поскольку они меньше, быстрее и проще, чем существующие схемы шифрования, но NIST планирует выбрать несколько алгоритмов в качестве части стандарта на тот роковой случай, если сложность созданной «заградительной» задачи всё-таки будет преодолена мощностью квантовых вычислений.

Также не стоит выпускать из виду и насущную потребность в компромиссах по таким составляющим как скорость или размер ключа. Если вы собираетесь передавать 3 ГБ файлов, то прибавление крипто-шифрованием секунды или миллисекунды не покажется критичным. Но в случае небольших размеров это всё-таки вызовет неудобства напрасной потерей времени и неминуемые сожаления о недостатке скорости.

Однако ждать появления стандартов от NIST не имеет смысла, потому что их интеграция займёт время, поскольку потребуется немалая подготовка к этому внедрению. «Вы должны убедиться, что ваша сеть готова к этим различным типам алгоритмов, потому что они имеют немного большие ключи, и скорости могут быть разными», – говорит Вадим Любашевский.

Подготовка к квантово-безопасной криптографии – двухэтапный процесс: во-первых, нужно убедиться, что вы используете модульную криптографию, чтобы вы могли подключить новые алгоритмы. Уже есть разветвления проектов, таких как OpenSSH, OpenSSL и OpenVPN, использующих квантово-безопасные алгоритмы с открытым исходным кодом для проверки того, что переключение на новые протоколы будет работать.

Дальнейшая работа включает проработку IT-экосистемы организации. Добавление квантово-безопасной криптографии в HSM может быть более сложным из-за дополнительных свойств безопасности (например, измерение мощности) для защиты от атак через побочный канал. Хотя некоторую свободу в этом смысле как раз даёт прототип ленточного накопителя IBM, ведь это автономная среда. Любашевский делает на этом акцент: «Здесь легко обновить криптографию до стандартов, потому что накопитель на магнитной ленте не говорит ни с чем, кроме считывателя, и мы контролируем обе криптографические части этого».

Второй этап – принять новые алгоритмические стандарты и протестировать их на своих средах и сетях.

Проблема выбора и перспектив

Любашевский заметил, что, возможно, нет необходимости в квантовом безопасном шифровании жёстких дисков сегодня. Но если данные о них по-прежнему будут конфиденциальными или ценными в течение тридцати лет, он предложил убедиться, что ваша политика утилизации дисков гарантирует, что данные не могут быть восстановлены и расшифрованы в будущем: «Есть ещё люди, использующие 1024-битные ключи для RSA, потому что у них есть система, жёстко запрограммированная для этого». Но это больше не считается безопасным. «Если некоторые вещи действительно должны быть в безопасности через 10–30 лет, и вы боитесь, что их собирают, тогда вам действительно нужна квантовая безопасность». Всё дело в том, чтобы знать какие именно данные необходимо защитить. Нужно сделать выбор: что из вашей информации будет иметь конфиденциальную ценность через десять или тридцать лет, а что в течение гораздо меньшего времени.


По материалам Data Center Knowledge