Впервые создан чип, который не верит собственным измерениям — и это делает его неуязвимым

Цифровая безопасность держится на случайных числах, которые никто не должен угадать. Из них получают ключи шифрования, ими защищают банковские операции, цифровые подписи, вход в сервисы и обмен данными между устройствами. Если генератор начинает выдавать последовательность с закономерностью, злоумышленник может восстановить ключ или предсказать следующий набор битов.

Инженеры Национального университета Сингапура разработали квантовый генератор случайных чисел на чипе, который проверяет измерительный узел прямо во время работы. Микросхема создает случайные биты за счет квантовых эффектов, сравнивает ответы детектора с расчетами квантовой теории и прекращает выдачу данных, если измерения перестают совпадать с ожидаемой картиной.

Команду возглавил доцент Чарльз Лим из департамента электротехники и вычислительной техники NUS. По оценке исследователей, подход пригодится в системах, где важно не просто получить случайные числа, а убедиться, что источник случайности не сбился и не начал выдавать предсказуемый поток. К таким областям относятся финансы, медицина, инфраструктура для искусственного интеллекта, подключенные устройства и криптографические сервисы.

Слабое место генераторов случайных чисел связано не с самой идеей случайности, а с аппаратной частью. Обычные генераторы используют шум физических процессов. Квантовые версии опираются на явления микромира, где результат измерения нельзя заранее вычислить. Но практические системы обычно требуют верить, что лазеры, модуляторы, детекторы и другие элементы после установки продолжают работать с той точностью, которую заложили разработчики.

В лаборатории компонент можно откалибровать, проверить и описать математической моделью. В реальном устройстве условия меняются: материалы стареют, детали теряют точность, настройки уходят от начальных значений, а злоумышленник может попытаться воздействовать на модуль. Если детектор начнет чаще выдавать одни значения, пропускать часть событий или реагировать не так, как ожидает модель, пользователь увидит только поток битов и не сразу поймет, что качество случайности ухудшилось.

Большинство квантовых генераторов работает по модели доверенного устройства. Пользователь принимает, что измерительный блок ведет себя правильно и детектор соответствует характеристикам, заложенным в расчеты. Сингапурская команда выбрала другой путь - протокол, независимый от измерительного устройства. В такой схеме доверие нужно только к квантовым световым состояниям, которые поступают на вход, а не к детектору, выполняющему измерение.

Во время работы чип формирует заранее известные квантовые состояния света и подает их на встроенный детектор. Затем система сравнивает ответы измерительного узла с тем, что должна показать квантовая теория. Если ответы совпадают с прогнозом, данные проходят проверку и превращаются в случайные числа. Если измерения отклоняются от ожидаемого поведения, генерация останавливается, чтобы наружу не вышел поток, которому нельзя доверять.

Лим связывает главную проблему именно с измерительным блоком. В квантовых генераторах случайных чисел детектор трудно полностью описать и проверить во всех рабочих режимах, поэтому надежность после установки сложно гарантировать. Новый метод убирает необходимость верить, что измерительная часть в момент генерации работает именно так, как предполагали разработчики.

Микросхема объединяет кодировщик сигнала и оптический детектор на одном кремниевом чипе. Чип изготовили на восьмидюймовых кремниевых пластинах, которые используют в полупроводниковом производстве. Устройство работает при комнатной температуре и не требует криогенного охлаждения. Для квантовых систем это важная инженерная деталь: охлаждение жидким гелием или сложной холодильной установкой сильно усложняет выпуск компактных устройств.

Отдельная сложность возникла с кремниевыми модуляторами света. Они меняют фазу световой волны, но в кремниевой платформе настройка фазы может случайно менять и яркость сигнала. Для генератора случайных чисел такая связь опасна: по яркости можно получить лишнюю информацию о состоянии света или исказить проверку детектора. Команда разработала способ управления, который компенсирует побочный эффект и удерживает оптический сигнал стабильным.

В испытаниях детектор чипа показал суммарную эффективность 69,1%. Протокол требует не меньше 67%, поэтому экспериментальная система прошла минимальный порог. Исследователи также проверили, расширяет ли устройство исходную случайность. Генератор получил на вход короткое начальное зерно, а на выходе выдал больше случайных битов, прошедших проверку протокола. Значит, чип не просто переработал исходные данные, а добавил новую случайность.

Авторы называют разработку самым защищенным квантовым генератором случайных чисел на чипе среди уже показанных решений. Анализ безопасности построен на жестком сценарии: исследователи допускают, что атакующий может иметь квантовую связь с самим детектором. Иными словами, модель учитывает попытку использовать измерительный узел против системы, а не просто предполагает честную работу аппаратной части.

За постоянную проверку приходится платить скоростью. Текущий экспериментальный образец выдает 64 бита в секунду. Для сравнения, обычные квантовые генераторы случайных чисел могут превышать 100 гигабит в секунду. Прототип NUS пока не подходит для задач, где нужен большой поток случайных данных, но показывает другой приоритет: не максимальную скорость, а проверку источника и детектора во время генерации.

Исследователи рассчитывают ускорить чип за счет более эффективных детекторов. Лабораторные фотодиоды, созданные командой, уже достигли эффективности 92,4%. Компьютерное моделирование показывает, что будущие версии микросхемы могут выйти на 68 мегабит в секунду. Такая скорость уже ближе к практическим криптографическим системам, особенно если устройство сохранит компактность, встроенную проверку и работу без сложного охлаждения.

Следующий шаг для команды - перенести самопроверку из экспериментальной установки в компактные защищенные устройства. Если инженеры сохранят контроль детектора и поднимут скорость, квантовый генератор сможет выдавать случайные числа вместе с постоянной проверкой аппаратной части.