Квантовая криптография: вчера, сегодня и завтра (часть 2)

Квантовая криптография: вчера, сегодня и завтра (часть 2)

Есть ли будущее у квантовой криптографии? Хотя классическая криптография и не сдает свои позиций, ее будущее целиком зависит от развития алгоритмов квантового распределения ключа.

Автор: Chris Lee

Первую часть статьи можно посмотреть здесь.

Поляризационное кодирование? В оптоволокне?

Меня также интересовала техническая реализация алгоритма QKD. В большинстве научных и формальных описаниях алгоритма QKD биты кодируются поляризацией фотона. Как мы уже знаем, поляризация – это ориентация электрического поля или световой волны; но, как только свет входит в оптоволокно вся поляризация необратимо нарушается. Так как же ID Quantique решили кодировать биты?

Ответ, как оказалось, заключается в использовании фазы света. В действительности, решение довольно инновационное. Боб генерирует импульс света. Импульс разделяется на два отдельных импульса, которые отсылаются Алисе. Алиса получает импульсы и случайным образом меняет фазу одного из импульсов с помощью задержки. Как и раньше, существует два базиса. Алиса может выбирать между нулевой задержкой и задержкой в половину длины волны, либо между задержками в четверть или три четверти длины волны. Алиса затем возвращает импульсы Бобу, который случайно выбирает задержку либо из первого, либо из второго базиса и интерферирует импульсы. Если Алиса и Боб выбрали одинаковый базис, то фазы импульсов либо полностью совпадают, либо находятся в противофазе. В результате можно точно предугадать, какой из двух фотодетекторов сработает. Если же были выбраны различные базисы, то предугадать фотодетектор можно с вероятностью 50%.

Система, работающая на фазах света, полностью идентична исходной системе и позволяет решить все проблемы, связанные с передачей поляризованных фотонов по оптоволокну. Если передавать импульсы достаточно близко друг к другу, то фазы импульсов света не будут искажаться. Недостаток метода в том, что в каждый момент времени вы можете передавать по оптоволокну только один пучок импульсов, вследствие чего скорость генерации ключа уменьшается. Хотя, полагая, что круговой маршрут составляет 160 км, и скорость передачи данных 2КБ/с, ключ можно генерировать с периодичностью в несколько секунд.

Так кто же все-таки покупает QKD-системы?

Я, честно говоря, убежден в том, что изобретение квантового компьютера уже не за горами. Но даже если его не изобретут, никто, как утверждает Келли Ричдэйл из ID Quantique, не может быть уверен, что симметричные/ассиметричные системы шифрования останутся безопасными в перспективе. Так кто же покупает QKD-системы? Сказать по правде, никто не покупает QKD-системы. Что люди покупают, так это системы безопасности данных, в которых QKD является лишь составной частью.

Если вы видите будущее за QKD, то это означает, что телекоммуникационные компании станут пользоваться услугами частиц света вместо услуг электромагнитных волн”, – говорит Ричдэйл.

Чтобы я лучше понял, Ричдейл показала и рассказала мне, как используется их продукция. В настоящее время клиентами ID Quantique являются компании, которые согласно нормативным требованиям должны проводить резервное копирование данных на особых условиях. Например, банки должны не только делать бэкап, но и следить, чтобы датацентр с резервными копиями имел профиль риска, отличный от профиля риска датацентра с рабочими данными; и если землетрясение разрушит один датацентр, то второй, скорее всего, останется целым и невредимым.

Банк также должен шифровать данные при их передаче между датацентрами. Можно воспользоваться ассиметричной системой шифрования и сначала сгенерировать пару мастер-ключей. На основе мастер-ключей генерируются сессионные ключи, и в действительности, данные при передаче шифровать именно на сессионном ключе. Если нарушитель сможет взломать сессионный ключ, то он узнает только небольшое количество данных. Но если нарушителю удастся взломать мастер-ключ, он получит доступ абсолютно ко всем данным. Хакер может просто скачать и сохранить весь потом данных вместе с открытым мастер-ключом. В какой-то момент времени в будущем, открытый ключ станет уязвимым из-за возросшей вычислительной мощности, и сохраненные данные будут расшифрованы.

Единственный недостаток такой системы можно устранить, прибегнув к помощи QKD. В QKD-системе сессионный ключ генерируется одновременно на открытом мастер-ключе и на ключе QKD-системы. На самом деле из мастер-ключа генерируется один сессионный ключ, а QKD-система создает второй сессионный ключ. Результирующий сессионный ключ получается путем побитового XOR двух сессионных ключей. В результате, даже если хакер получит весь мастер-ключ, ему никак не удастся расшифровать сохраненную информацию.

Есть одно ‘но’: гибридные системы стоят много денег. ID Quantique в сотрудничестве с Colt пытаются уменьшить стоимость квантового распределения ключей, предлагая QKD в качестве сервиса. Сервисно-ориентированный подход возможен благодаря тому, что большую часть времени каналы просто простаивают. Простаивающие оптические каналы могут использоваться для распределения ключей других клиентов.

Фактически, данные в датацентре смогут хранить много клиентов. Сами данные будут передаваться по арендованным линиям связи, защищаться данные будут закрытыми ключами, которые генерируются QKD системой, использующей простаивающие оптические каналы. В таком случае, клиенты владеют только своими данными и сгенерированными ключами. Ричдэйл говорит: “Если вы видите будущее за QKD, то это означает, что телекоммуникационные компании станут пользоваться услугами частиц света вместо услуг электромагнитных волн”.

Ричдэйл постоянно подчеркивает, что даже если квантовый компьютер не будет изобретен, вы не можете на сто процентов быть уверенными, что современные методы шифрования останутся безопасными в будущем. ID Quantique позиционируют себя как компанию, продукты которой проектируются с перспективой на будущее: ключи шифрования генерируются случайным образом, а не с помощью ассиметричных методов. Похоже, что криптография с “доказуемой безопасностью” – это неотъемлемая часть маркетинговой стратегии ID Quantique.

“Невзламываемые” QKD-системы

Основная уязвимость QKD-систем заключается в том, что мы никогда не сможем детектировать квантовое событие, если только детектор не поглотит фотон и не сгенерирует микроскопический поток. Но два и более фотонов генерируют один поток. Чтобы усложнить все еще больше, скажу, что реальные детекторы никогда не ведут себя, так как они должны вести себя в теории. Как следствие, вы можете заставить детекторы генерировать ту битовую последовательность, которая нужна именно вам; точно также действовала бы и Ева, подменяя общий ключ Алисы и Боба.

Подобные действия называются атакой по сторонним каналам. В QKD-системах атаки по сторонним каналам эксплуатируют уязвимости, связанные с физической реализацией теоретически безопасной модели. В теории предполагается, что детекторы работают идеально, но в действительности детекторы не идеальны: например, они не могут различить однофотонные и мультифотонные импульсы, кроме того, пару мгновении после детектирования детекторы “слепы”. Следовательно, можно выборочно активировать и “ослеплять” детекторы, чтобы сгенерировать нужную нам последовательность битов. Все известные атаки по сторонним каналам на QKD-системы так или иначе основывались на обмане детекторов.

“Очень часто математики раздражаются на заявления квантовых физиков, что якобы QKD-системы обладают свойством совершенной безопасности. В теории так оно и есть, но на практике все совсем по-другому, – говорит Ричдэйл. – Мы очень тесно работает с хакерским сообществом… помогаем им взламывать свои системы, находить потенциальные уязвимости, потому что только так можно должным образом протестировать работу QKD-систем.”

Когда я упомянул несколько недавних атак по сторонним каналам, Ричдэйл заметила, что все они проводились в идеализированных условиях. Исследователи, в отличие от реальных нарушителей, могут залезть в ящик и подключить провода к детекторам. А вообще, попытки атак лишь еще раз подчеркивают ту мысль, что в случае с QKD физическая реализация имеет такую же высокую важность, как и программная реализация для классических криптографических систем.

Легрэ не так сильно отбивался от моих распросов: он вспомнил несколько атак, в результате которых удавалось получить от 98% до 100% закрытого ключа. “Но, – сказал он, – если мы знаем атаку, то мы можем и найти противодействие атаке.” Точнее будет сказать, что атаки показывают, где физическая реализация отличается от теоретической, и, как только отличие найдено, физическую реализацию можно изменить и сделать ее ближе к теоретической. Битва между разработчиками и хакерами не закончилась, просто поле битвы сместилось с программной на физическую реализацию.

По утверждению Легрэ QKD-системы в будущем станут намного безопаснее. “Аппаратно-независимые QKD были бы идеальным решением, но…” – Легрэ замолчал на мгновение. Проблема в том, что даже если вам удастся разделять ресурсы квантовой запутанности, то при определённых обстоятельствах становится возможным “подделать” ожидаемую корреляцию запутанных частиц. Следовательно, если величина потерь в соединительном оптическом кабеле превосходит определенную границу, нельзя быть полностью уверенным, что наблюдаемая корреляция вызвана именно запутанностью. Поэтому даже аппаратно-независимые QKD не гарантируют идеальную безопасность и имеют еще больше ограничений, чем обычные QKD в том смысле, что аппаратно-независимые QKD не могут безопасно использоваться на больших расстояниях.

Будущее разработок в области QKD

Университет Женевы – это своеобразный маяк в области разработок алгоритма квантового распределения ключей. Профессор Николас Гисин обитает в отдельном здании, которое похоже на крепость и по моим догадкам выдержит пальбу даже из пушечной канонады. Вот уж действительно, защита на века. Хотя Гисин и занимается практической частью, его интересы все же сфокусированы на фундаментальных теоретических проблемах, а именно на возможности работы алгоритма QKD на расстояниях, превышающих 100 км.
Университет Женевы

Во всех физических реализациях системы требуется наличие прямой оптоволоконной линии между двумя конечными точками. Такое требование накладывает серьезное ограничение на максимальное расстояние между датацентрами: не более 100 км. Вероятность “потери” отдельного фотона возрастает с увеличением расстояния. В результате время генерации ключа увеличивается, как и время, необходимое для защиты передаваемых данных. С более широкой точки зрения для удачной передачи одиночного фотона по 1000 километровому оптическому каналу на мощности 10 ГГц потребуется несколько веков.

Классические коммуникации подвержены тем же потерям, но потери можно восполнить с помощью амплификации. Но и здесь есть ограничения: процесс амплификации необходимо постоянно стимулировать. Присутствие фотона вынуждает возбужденный ион испустить фотон, находящийся в таком же состоянии, что и исходный фотон. Но с тем же успехом возбужденный ион способен испустить фотон спонтанно. Вы можете подумать: “Хорошо, я потерял один фотон, но есть еще множество других, ведь в амплификаторе находятся триллионы возбужденных ионов.” К сожалению, все не так просто: спонтанно испущенный фотон может пройти сквозь амплификатор и вызвать стимулированную эмиссию. В результате мы усилим шум. В обычных оптических каналах амплификаторы обычно помещаются так, чтобы входящий световой сигнал был бы доминирующим источником стимулированной эмиссии. Но в QKD-системах у нас есть только один фотон, и амплифицированная спонтанная эмиссия так или иначе превосходит входной сигнал.

Очевидно, нужен другой подход. Гисин описывает далее идею квантового повторителя. Квантовый повторитель использует квантовую телепортацию для передачи состояния фотона по всей длине оптического канала. Чтобы квантовая телепортация осуществилась, нам нужно иметь пару запутанных фотонов: один в начале канала, а другой - в конце.

Здесь необходимо также ввести понятие обмена запутанностью (entanglement swapping). Представьте, что у нас есть два источника света, которые испускают пары запутанных фотонов. По одному фотону с каждого источника света сходятся у расщепителя луча, где каждый фотон либо проходит дальше, либо отражается. Мы никогда не знаем, что именно произойдет с фотонами, поэтому их необходимо описывать, как единую частицу. Но каждый из фотонов уже находился в состоянии квантовой запутанности, следовательно, две частицы, которые ранее не были запутанны, теперь становятся запутанными.

Обмен запутанностью может происходить множество раз: представьте цепочку источников света, испускающих пары запутанных фотонов. Пары соединяются, запутанность передается направо и налево, до тех пор, пока фотоны на концах цепочки не становятся запутанными друг с другом. Но обмен запутанностью подчиняется вероятностным законам: половину времени оба фотона выходят из одного и того же порта расщипетеля, и не спутываются. Так для двух источников света вероятность обмена запутанностью составляет 50%, а для четырех источников – 25%. А для 1000-километрового оптического канала со, скажем, 20 источниками света, у нас есть всего 1 шанс из 2500, чтобы передать запутанность от одного конца канала на другой.

“Главная экспериментальная задача сегодня – это создание квантовой памяти, источников запутанных фотонов и механизмов передачи запутанности, которые надежно работали бы на больших расстояниях, – говорит Гисин. – Нашей группе уже удалось передать запутанность на довольно большое расстояние: 50 км внутри лаборатории и 20 км за пределами лаборатории.”

Затем Гисин начал рассказывать о квантовой памяти. Квантовый компьютер подразумевает наличие квантовой памяти. Такой вид памяти требует, чтобы когерентность и квантовая запутанность сохранялись долгое время. “У наших разработок есть одно преимущество по сравнению с квантовым компьютером: для взаимодействия нам не нужно много кубитов. В действительности, достаточно будет всего двух”, - говорит Гисин. Такая простота реализации очень важна, поскольку практически каждая операция, выполняющаяся в квантовой памяти, имеет определенную вероятность успеха, следовательно, чем меньше у нас кубитов, тем выше вероятность, что все пройдет удачно.

Гисин оптимистически заявляет, что использование легированных кристаллов (кристаллов, которые содержат небольшое количество европия и неодимия) позволит растянуть длительность когеренции на несколько секунд. К настоящему времени максимальная длительность когеренции составляет несколько миллисекунд, но, учитывая, что время жизни электронных состояний имеет порядок микросекунд, несколько миллисекунд – это уже большое достижение. Для увеличения длительности когеренции Гисин и его коллеги позаимствовали методы, используемые в магнитно-резонансной томографии (MRI).

Образно когеренцию можно интерепретировать, как колебание маятника между двумя точками; но важно понимать, что когеренция – это не физическое колебание, а изменение электронного состояния ионов. Чтобы маятник продолжал колебания, его нужно подталкивать в подходящий момент. В случае с ионами толчком служит импульс света. Методы “раскачивания” ионов до совершенства доведены в спектроскопии ядерного магнитного резонанса (менее известный родственник MRI); в основе работы спектроскопии лежат радиочастотные импульсы.

В оптическом режиме электронные состояния гораздо сильнее подвержены действию так называемых магнитных полей рассеяния, поэтому для поддержки когеренции импульсы должны испускаться с более высокой частотой. С другой стороны, импульсы должны нести определённый заряд энергии, и, чем ближе по времени импульсы расположены друг к другу, тем более короткими и интенсивными они должны быть. Но при таких условиях работа системы может серьезно нарушится.

Гисин затем затронул тему эффективности записи и чтения из квантовой памяти. В его лаборатории эффективность составляет 20%: у вас есть один из пяти шансов успешно сохранить кубит, а затем прочитать его. Рекорд пока равен 70%, но и этого недостаточно. Гисин говорит, что на бумаге все красиво, но вот экспериментальная реализация оказывается проблематичной.

Еще одна важная деталь: поскольку процесс распределения запутанности вероятностный, вы не можете знать, какой именно фотон вам нужен, пока не случится непосредственное взаимодействие. Другими словами, вам нужно хранить все фотоны, а затем взять фотон, который представляет нужный кубит. Вы можете работать лишь с парой кубитов, но на короткое время вам придется хранить сотни или даже тысячи кубитов. По словам Гисина хранение такого большого количества кубитов на кристалле вполне возможно: состояние фотона сохраняется на миллиардах ионов.

“Меня повергает в трепет сама мысль о том, что идея QKD проистекает из спора между Бором и Энштейном, разразившимся еще на самой заре квантовой механики. Изначально спор был философским, но работы ученых со временем прибавили ему весу.”

Объяснить, как работают кристаллы, довольно сложно. Используемые кристаллы испещрены ионами, но каждый ион находится в своей собственной электромагнитной среде. В результате соседствующие ионы поглощают различные цвета. Для достижения главной цели (сохранения единственного фотона на электрических состояниях миллиарда ионов) импульс света, состоящий из множества четко определенных и равномерно распределенных частот (цветов) и называемый также “гребёнкой частот”, посылается в среду. Из-за импульса ионы возбуждаются, и создается атомная гребёнка частот, в которой определенные ионы переходят в другое электронное состояние. Теперь, когда среда подготовлена, пришло время сохранить наш фотон.

Фотон поступает из источника света, излучающего свет различных цветов; поэтому каждый отдельный фотон имеет собственный диапазон частот, который покрывает две или более линий в атомной гребёнке частот. Когда фотон входит в кристалл, он ищет, какие ионы могут его поглотить, и, в конце концов, поглощается этими ионами. Ионы переходят в возбужденное состояние. Теперь, чтобы завершить процесс сохранения фотона, испускается второй, контрольный импульс света, который переводит возбужденный тоны в новое состояние. В сущности, процесс сохранения идентичен (хотя Гисин с таким сравнением бы не согласился) эффекту электромагнитно-индуцированная прозрачности.

Короче говоря, отдельный фотон и контрольный пучок света вызывают когеренцию, которая сохраняет кубит на миллиарде ионов. Где именно в кристалле сохраняется фотон, зависит от времени между излучением фотона и излучением контрольного импульса, поэтому фотоны в кристалле могут “наслаиваться” друг на друга. Для чтения из памяти, опять же, испускаются контрольные световые импульсы, и фотоны покидают кристалл в том порядке, в котором они прибыли, и мы затем можем просто выбрать необходимый нам фотон. Команде Гисина удалось сохранить таким образом 64 фотона, но именно от этой отметки начинают возникать проблемы, связанные с вероятностными хранилищами и ограниченным временем когеренции.

Гисин очень восхищался теми перспективами, которые предоставляют некоторые следствия квантовой механики. “Возможность доказать свойство безопасности напрямую из свойства нелокальности – вот какую возможность дают аппаратно-независимые QKD. В настоящее время существует несколько размытых идей, как экспериментально доказать безопасность, но до реальных экспериментов еще далеко”,- говорит Гисин.

Гораздо интереснее общие выводы. Похоже, что любая теория, обладающая свойствами нелокальности (свойство подтверждается экспериментальной проверкой неравенств Белла) и несигнальности (свойство означает, что для передачи сообщения подразумевает передачу энергии или материи), уже в основе своей допускает возможность защищенных коммуникаций.

Меня повергает в трепет сама мысль о том, что идея QKD проистекает из спора между Бором и Энштейном, разразившимся еще на самой заре квантовой механики. Изначально спор был философским, но работы ученых со временем прибавили ему весу. Сегодня такие люди, как Гисин, на полном серьезе говорят о приложении идей Бора и Энштейна.

Математики наносят ответный удар

До сих пор я расписывал QKD как единственную панацею от непобедимого и всё взламывающего квантового компьютера. Но такое мнение – лишь результат моего собственного невежества. В наказание за свои проступки я обязан был совершить паломничество в Центр математики и информатике (Centrum Wiskunde & Informatica) при университете Амстердама. Там меня встретили Рональд Крамер и Серж Фер. Благодаря энтузиазму Крамера наш разговор быстро вышел за рамки задуманного и затронул темы, гораздо более широкие, чем я ожидал. Фер же был не так многословен.

Я хотел задать ученым лишь один вопрос: существуют ли механизмы классической криптографии, которые не подвержены разрушительному воздействию квантовых компьютеров? Ответ: да, существуют. Крамер пустился рассказывать мне о криптографии, основанной на теории решеток (lattice-based cryptography). Основная идея (а я, надо признаться, понял идею недостаточно хорошо) заключается в том, чтобы привязать математическую проблему к высокоразрядной решетке. Например, представьте, что у вас есть высокоразрядная решетка. Вы можете перемещаться от одной точки решетки к другой, комбинируя базисные векторы. Другими словами, решетка описывается множеством векторов и числом, называемым также нормой решетки. Норма определяет размер решетки.

Теперь, зная базис, вектор и число, вам нужно вычислить вектор, который лежал бы ближе всего к данному вектору. Оказывается, найти такой вектор очень сложно. В криптографии, основанной на теории решеток, ключ генерируется путем выбора определенных точек на решетке. Сгенерировать ключ можно быстро, а вот для восстановления закрытого ключа из открытого ключа требуется гораздо больше времени. Фер добавил: “Похоже, что даже квантовый компьютер не ускорит процесс нахождения закрытого ключа”.

Крамер продолжил: “В действительности, многие люди думают, что криптография, основанная на теории решеток не только главный кандидат на должность “пост-квантовой” криптографии, но и превосходное решение для энергозависимых устройств.” Современные методы криптографии на эллиптических кривых потребляют слишком много энергии, чтобы работать на маломощных и энергозависимых устройствах. С другой стороны, операции шифрования и дешифрования криптографии на решетках гораздо менее требовательны к устройствам, чем операции криптографии на эллиптических кривых.

Поэтому, разработки в области криптографии на решетках просто необходимы. Фер заметил:

“QKD в Интернете использоваться не будет. Потому что для работы алгоритма нужно, как минимум, соединение типа “точка-точка”. Существуют теоретические доказательства безопасности алгоритма, причем безопасность подтверждается физическими законами, тем, как работают источники фотонов, детекторы, и.т.п. Но безопасность эта доказана только для моделей, а не для реальных систем. Поэтому, если нарушитель сможет использовать какие-либо уязвимости реализации, которые не были учтены в модели, алгоритм QKD окажется не таким уж и безопасным.”

Мы периодически возвращались к замечанию Фера во время нашей дискуссии. Безопасность всегда проистекает из некоторого множества предположений, и в случае с QKD это физические предположения, нежели математические. И если вы обнаружите место, где реализация отличается от модели, то вы сможете использовать уязвимость реализации.

Тем не менее, и Фер и Крамер думают, что QKD пройдет по тому же пути, что и классическая криптография. “Если вы сравните современную криптографию с криптографией двадцатилетней давности, то увидите следующее: изначально алгоритмы шифрования тоже теоретически были безопасными, но потом обнаружились атаки по сторонним каналам к реализации алгоритмов. Прошло какое-то время, прежде чем уязвимости в реализации были исправлены, и теперь классические криптографические схемы, в большинстве своем, считаются устойчивыми к атакам по сторонним каналам. ”

Хотя QKD сейчас привлекает к себе много внимания, классическую криптографию еще не следует сбрасывать со счетов. Крамера очень восхищает такая область криптографии, как конфиденциальные вычисления (secure computation). При конфиденциальном вычислении множество сторон хотят узнать ответ на какой-либо вопрос, но ни одна из сторон не обладает достаточной информацией, чтобы самой найти ответ. Делиться информацией тоже никто не хочет. На сегодняшний день существует только один способ решить проблему: передать всю информацию доверенной стороне, которая найдет ответ и сообщит его каждой стороне. “Но, да, такой подход слишком тривиален, – соглашается Крамер. – Скажем, у вас есть пять компаний и каждая из них обладает своей конфиденциальной информацией. Компании хотят создать передовые практические методы на основе своих наработок, но, конечно же, информацией они обмениваться не хотят. Например, компании желают узнать среднюю заработную плату менеджеров, не раскрывая зарплату каждого конкретного менеджера.” Конфиденциальные вычисления как раз и имеют своей целью посчитать среднюю зарплату без привлечения доверенных сторон.

Пример конфиденциальных вычислений из реальной жизни – это датская сахарная промышленность. Всю сахарную свеклу в Дании скупает одна компания. Фермеры покупают права на продажу определенного количества сахарной свеклы монополисту. Индивидуальные фермеры должны покупать права, исходя из примерной оценки своего будущего урожая. В результате фермеры обнаруживают себя на рынке по продаже/покупке прав.

Последнее, чего хотели бы фермеры, так это покупать и продавать права на аукционах, организуемых монополистом (власть монополии все же должна ограничиваться), потому что монополист тогда будет знать о количестве продукции каждого фермера и сможет использовать информацию, чтобы сбивать цену на право продажи. На рынке все происходит следующим образом: продавцы выставляют список: какое количество продукции по какой цене они готовы продать. Покупатели создают похожий список, в котором указывают, какое количество продукции по какой цене они готовы купить. Затем строится график с кривыми спроса и предложения. Сделки совершаются на пересечении двух кривых.

Преимущество такого рынка в том, что никто не знает, кто находится на рынке, и по какой цене каждый конкретный фермер продает/покупает продукцию. На аукционе раскрылось бы слишком много информации, из-за чего фермеры оказались бы беззащитными перед манипуляциями монополиста и других фермеров. Поэтому конфиденциальные вычисления могут помочь в создании менее уязвимых к манипуляции рынков и более честных экономических механизмов.

Но в области конфиденциальных вычислений нужно проделать еще много работы. “Обычно функция вычисляется локально, на отдельном компьютере, и вычисляется она очень быстро. Но в случае с конфиденциальными вычислениями выполнение всех элементарных операций (сложение, умножение, различные сравнения и.т.п) распределено по сети,“ – пояснил Крамер. Общие издержки, связанные с распределенными вычислениями, наряду с защитой соединений между узлами, делают конфиденциальные вычисления очень дорогостоящими. Тем не менее, Крамер полагает, что рост облачных технологий послужит хорошим толчком для развития конфиденциальных вычислений.

Очевидно, что классической криптографии в будущем еще придется сыграть огромную роль. Но во всех статьях по криптографии всегда можно найти одно замечание: “Все эти супер-пупер сложные криптографические схемы абсолютно бесполезны, потому что всегда найдется дурак, который разболтает пароль.” Крамер замечает: “Дни, когда люди думали, что все проблемы безопасности можно решить с помощью криптографии, давно позади. Все теперь знают, что криптография – это один (но определенно не единственный) из краеугольных камней безопасности.” Проблема безопасности – это многогранная проблема, и разработчики с исследователями способны отполировать до блеска ту грань, в которой они разбираются лучше всего. Непонимание многогранности проблемы только ухудшит ситуацию.

Так кто же победит?

Все, с кем бы я ни разговаривал, согласны, что и у квантовой и у классической криптография есть перспективы развития. У QKD слишком много ограничений, чтобы так легко сместить классическую криптографию, и для классической криптографии сейчас находится все больше применений. QKD продается под предлогом того, что система обладает свойством доказуемой безопасности, но в действительности таким свойством обладает модель, а не ее реализация. Именно здесь математики с физиками ломают копья. Математики бы сказали, что QKD-система доказуемо безопасно под определенным набором предположений, но криптография, основанная на решетках, также безопасна, но под другим набором предположений. В итоге, безопасность зависит от достоверности предположений.

Давайте лучше взглянем на всё с другой точки зрения. QKD генерирует действительно случайный закрытый ключ, в алгоритмически генерируемых ключах все же есть малая, но доля предсказуемости. Чтобы расшифровать информацию, зашифрованную на ключе QKD, нужно угадать ключ – другого пути нет. Что касается алгоритмически генерируемых ключей, их стойкость основывается на предположении, что никто не сможет эффективно обратить процесс генерации ключа. Полагая, что QKD-ключ действительно случаен, вы можете на долгие годы защитить информацию, просто увеличив длину ключа до необходимой. В таком случае QKD лучше рассматривать, как оптимальную систему, позволяющую на века защитить данные. Если же мы хотим, чтобы QKD стала системой, используемой повсеместно… но тогда это уже совсем другая история. 

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться