В перші роки Другої Світової війни німецькі війська громили противників, надійно координуючи підрозділи за допомогою надзахищеного зв’язку, шифруючи послання через Енігму. Через кілька років шифрування Енігми було зламано і англійські та американські війська читали німецькі військові накази майже в реальному часі. Це підкосило німецьку військову машину, наблизивши її повний розгром.
Сьогодні увесь світ, від пересилання вашого повідомлення в чаті Telegram і криптовалютного гаманця до банківських транзакцій та переговорів спецслужб, також тримається на шифруванні. Використовуване сьогодні шифрування непоборне для сучасних комп’ютерів, але на горизонті уже з’явилися квантові комп’ютери, які розколють шифрування.
Немає питання, чи це станеться. Є питання, коли саме цей день прийде. Для нього уже навіть назву придумали – Q-Day. Від quantum – квантовий та за аналогією з D-Day – найбільшою операцією антинімецьких військ в Європі, яка поклала початок остаточному розгрому гітлерівської німеччини.
“Ми граємо в російську рулетку”, – каже Мішель Моска, співавтор останнього звіту “Хронологія квантових загроз” від Інституту глобальних ризиків, в якому оцінюється, скільки часу нам залишилося. “Ти ймовірно , виграєш, якщо зіграєш тільки один раз, але в цю гру грати не дуже добре”.
Коли Моска і його колеги опитали експертів з кібербезпеки в минулому році, прогноз був переконливим: ймовірність того, що Q-Day відбудеться до 2035 року, становить один до трьох. І які шанси, що це вже таємно сталося? Деякі люди оцінювали у 15 відсотків — приблизно стільки ж, скільки ви отримали б від одного обертання барабана револьвера в «російській рулетці».
Корпоративні війни за штучний інтелект, можливо, і потрапили в заголовки газет в останні роки, але квантова гонка озброєнь теж набирає обертів. Квантова технологія являє собою зовсім іншу форму обчислень.
Використовуючи механіку субатомного світу, квантові комп’ютери «бачать» усі розв’язки проблеми одночасно. Класичний ПК з кремнієвим процесором приречений покроково обчислювати розв’язок за розв’язком.
Тому, природно, технологічні гіганти, такі як Google, Huawei, IBM і Microsoft, шукали безліч позитивних способів використання квантових обчислень — не тільки для пошуку нових матеріалів, але і для комунікацій, розробки ліків та аналізу ринку.
Китай вкладає величезні ресурси в підтримувані державою зусилля. Як США, так і Європейський союз пообіцяли виділити мільйони доларів на підтримку власної квантової індустрії.
Звичайно, той, хто переможе в гонці, отримає не просто наступний великий двигун інновацій. У нього також буде найкраща в історії машина для злому шифрування.
Тому цілком нормально задаватися питанням: який Q-Day чекає людство і чи ми можемо що-небудь зробити, щоб підготуватися?
З точки зору звичайної людини, можливо, Q-Day пройде непомітно. Можливо, це виглядало б як серія дивних і явно незв’язаних новинних сюжетів, розтягнутих на місяці або роки. Енергосистема Лондона виходить з ладу в день виборів, занурюючи місто в темряву. Американський підводний човен, яка виконує секретну місію, спливає на поверхню і опиняється в оточенні ворожих кораблів. Ганебні матеріали починають з’являтися в інтернеті у все більшій і більшій кількості: засекречені телеграми розвідки, спроби прикриття президента, оголені фотографії мільярдерів.
При такому сценарії можуть пройти десятиліття, перш ніж ми зможемо точно визначити, коли насправді стався Q-Day.
З іншого боку, можливо, Q-Day пройде як одночасна атака на всі системи. Знищити інтернет. Вивести з ладу шахти ядерних ракет. Знищити банківську систему. Відкрити всі двері і випустити секрети назовні.
Хоча сучасні шифри є дуже складними, в своїй основі вони використовують простий факт, що знаючи суму після додавання або множення кількох чисел, ми не можемо швидко визначити ці числа.
Припустимо, ви просите класичний комп’ютер розбити число 15 на найменші прості множники. Комп’ютер обрахує всі варіанти один за іншим і видасть відповідь: 3 і 5. Якщо замість числа 15 взяти дуже велике число, наприклад, що складається з 1000 цифр, обчислення займуть тисячоліття. Це ключ до багатьох сучасних криптографічних методів.
Візьмемо шифрування RSA, розроблене в кінці 1970-х і до цих пір використовується для захисту електронної пошти, веб-сайтів та багато іншого. В RSA ви створюєте закритий ключ, який складається з двох або більше великих простих чисел. Ці числа, помножені один на одного, складають частину вашого відкритого ключа. Коли хтось хоче відправити вам повідомлення, він використовує ваш відкритий ключ для шифрування. Ви єдина людина, яка знає вихідні прості числа, тому ви єдина людина, яка може розшифрувати отримане послання. До тих пір, поки хто-небудь інший не побудує квантовий комп’ютер, який миттєво підбере обрані вами прості числа.
Програмний алгоритм для цього вже існує. У 1994 році, за десятиліття до того, як хто-небудь побудував справжній квантовий комп’ютер, дослідник AT & T Bell Labs Пітер Шор розробив додаток killer Q-Day. Алгоритм Шора використовує той факт, що квантові комп’ютери працюють не на бітах, а на кубітах. Замість того, щоб бути заблокованими в стані 0 або 1, вони можуть існувати як обидва одночасно – в суперпозиції. Коли ви виконуєте операцію над декількома кубітами заданому квантовому стані, фактично ви виконуєте ту ж операцію над тими ж самими кубітами в усіх їх потенційних квантових станах.
З кубітами ви не обмежені методом проб і помилок один за одним. Квантовий комп’ютер може досліджувати всі потенційні рішення одночасно. Ви вираховуєте розподіли ймовірностей, хвилі квантової зворотного зв’язку, які накладаються один на одного і досягають максимуму при правильній відповіді.
З алгоритмом Шора, ретельно розробленим для посилення певних математичних закономірностей, саме це і відбувається: великі числа йдуть на одному кінці, фактори виходять на іншому.
Принаймні, в теорії. Апаратні кубіти неймовірно складно побудувати у реальному житті, тому що найменше втручання навколишнього середовища може вивести їх з крихкого стану суперпозиції.
Але алгоритм Шора викликав інтерес до цієї області, і до 2010-го років у ряді проектів почався прогрес у створенні перших кубітів. В 2016 році, можливо, відчувши загрозу Q-Day, Національний інститут стандартів і технологій США (NIST) оголосив конкурс на розробку алгоритмів шифрування з квантовим захистом.
У 2019 році квантова лабораторія Google в Санта-Барбарі заявила, що вона досягла “квантової переваги”. Її 53-кубітний чип може всього за 200 секунд виконати задачу, яка зайняла б у 100 000 звичайних комп’ютерів близько 10 000 років. Новітній квантовий процесор Willow від Google має 105 кубітів. Але щоб зламати шифрування з допомогою алгоритму Шора, квантовим комп’ютером знадобляться тисячі або навіть мільйони кубітів.
В даний час сотні компаній намагаються створити квантові комп’ютери, використовуючи різні методи. Усі вони спрямовані на те, щоб ізолювати кубіти від навколишнього середовища і тримати їх під контролем: надпровідні схеми, захоплені іони, молекулярні магніти, вуглецеві наносфери.
У той час як прогрес в області квантового апаратного забезпечення просувається вперед, вчені-комп’ютерники вдосконалюють квантові алгоритми, намагаючись зменшити кількість кубітів, необхідних для їх запуску. Кожен крок наближає Q-Day.
Це погана новина не тільки для RSA, але й для величезної кількості інших систем шифрування. Консультант з безпеки Роджер А. Граймс перераховує деякі з них у своїй книзі “Криптографічний апокаліпсис”: шифрування DSA, що використовується багатьма урядовими установами США до недавнього часу, криптографія на еліптичній кривій, що використовується для захисту криптовалют, таких як Біткоїн та Эфіріум, VPN, які дозволяють політичним активістам безпечно переглядати веб-сторінки, генератори випадкових чисел, які працюють в онлайн-казино, смарт-карти, що дозволяють вам проходити через замкнені двері на роботі, безпека вашої домашньої мережі Wi-Fi, двофакторна аутентифікація, яку ви використовуєте для входу в обліковий запис електронної пошти.
Експерти з одного агентства національної безпеки розповіли, що вони поділяють загрози на дві великі області: конфіденційність і аутентифікація. Іншими словами, збереження секретів і контроль доступу до критично важливих систем.
Кріс Демчак, колишній офіцер армії США, професор кібербезпеки у Військово-морському коледжі США, каже, що квантовий комп’ютер може дозволити противнику підслуховувати секретні військові дані в режимі реального часу. “Було б дуже погано, якби вони точно знали, де знаходяться всі наші підводні човни”, – говорить Демчак. “Було б дуже погано, якби вони точно знали, на що дивляться наші супутники. І було б дуже погано, якби вони точно знали, скільки у нас ракет і яка їх дальність “. Баланс геополітичних сил може швидко змінитися.
Крім цієї загрози конфіденційності в режимі реального часу, існує також перспектива атак за принципом “зібрати інформацію зараз, розшифрувати пізніше”. Хакери та уряди останні роки збирають зашифровані дані у надії одного разу отримати квантовий комп’ютер та розшифрувати цю інформацію. “Вони поглинають все”, – сказав Демчак.
Тоді виникає питання: як довго ваші конфіденційні дані будуть залишатися цінними? “У цьому копиці сіна можуть бути голки”, – говорить Брайан Маллінс, генеральний директор Mind Foundry, яка допомагає компаніям впроваджувати квантові технології. Дані вашої поточної кредитної карти можуть виявитися неактуальними через 10 років, але ваш відбиток пальця залишиться актуальним все ваше життя. Список розвідданих часів закінчення війни в Іраку може здаватися непотрібним, поки один з цих агентів не стане видатним політиком.
Загроза аутентифікації може бути ще страшнішою. “Практично все, що говорить про те, що людина та, за кого себе видає, підкріплене шифруванням”, – говорить Дебора Фрінке, спеціаліст з інформатики та експерт з національної безпеки з Sandia National Laboratories. “Деякі з найбільш чутливих і цінних об’єктів інфраструктури, які у нас є, були б відкриті для того, щоб хтось увійшов і видав себе за законного власника і віддав якусь команду: відключити мережу, вплинути на енергосистему, створити фінансові збої шляхом закриття фондового ринку”.
Точний рівень хаосу Q-Day буде залежати від того, у кого є доступ до першого реального квантового комп’ютера. Якщо це будуть Сполучені Штати, то, на думку Демчака, на вищих рівнях уряду почнуться запеклі дебати щодо того, чи оприлюднити це в наукових цілях або зберегти в таємниці і використовувати у розвідувальних цілях.
“Якщо приватна компанія добереться туди першою, США куплять її, а китайці спробують зламати”, – стверджує він. Якщо це одна з технологічних компаній США, уряд міг бипоставити її під суворий експортний контроль, який зараз застосовується до чипів штучного інтелекту.
Більшість атак з боку держав відбуваються на приватні компанії — скажімо, хтось намагається проникнути до оборонного підрядника, такого як Lockheed Martin, і вкрасти плани створення винищувача наступного покоління. Але згодом, по мірі того як квантові комп’ютери стануть більш доступними, фокус атак може розширитися.
Такі компанії, як Microsoft і Amazon, вже пропонують дослідникам доступ до своїх примітивних квантових пристроїв в хмарі, а великі технологічні компанії не завжди досягали успіху в контролі за тим, хто використовує їх платформи. Можливий дивний сценарій, при якому кіберзлочинець використовує платформу хмарних квантових обчислень Amazon для злому веб-сервісів Amazon.
Кіберзлочинці, які мають доступ до квантового комп’ютера, могли б використовувати його для більш ефективного досягнення тих же цілей або для більш масштабних дій: злому міжнародної платіжної системи SWIFT для перенаправлення грошових переказів або ведення корпоративного шпигунства для збору компромату.
Найбільш ранні квантові комп’ютери, ймовірно, не зможуть так швидко запускати алгоритм Шора — вони можуть отримувати тільки один або два ключа в день. Але об’єднання квантового комп’ютера з штучним інтелектом, який може намітити слабкі місця організації і виділити, які ключі слід розшифрувати, щоб завдати найбільшої шкоди, може призвести до руйнівних наслідків.
І ще є Bitcoin. Криптовалюта надзвичайно вразлива для Q-Day. Оскільки кожен блок в системі Біткойна фіксує дані з попереднього блоку, Біткойн не може бути переведений на квантово захищену криптографію, за словами Капіла Дхимана, генерального директора Quranium, постквантовой компанії по забезпеченню безпеки блокчейна. “Єдиним вирішенням цієї проблеми, мабуть, є хард—форк – дати початок новому ланцюжку, а старий ланцюжок помре”.
Але це вимагало б величезних організаційних зусиль. По-перше, 51 відсоток операторів біткойн-вузлів повинні були б погодитися. Тоді всім, у кого є біткоїн, довелося б вручну переводити свої кошти зі старої ланцюжка в нову (включаючи невловимого Сатоши Накамото, розробника біткоїна, чиї гаманці містять близько 100 мільярдів доларів у кріптовалюті).
Якщо Q-Day відбудеться до хардфорка, ніщо не зупинить обвал біткоїна. “Це як бомба сповільненої дії”, – говорить Дхиман.
Вибух цієї бомби буде тільки початком. Коли про Q-Day стане відомо громадськості або через похмуре урядове звернення, або через бадьорий прес-реліз про великі технології, світ перейде у постквантову еру. Це буде епоха, яка визначається недовірою і панікою — кінець цифрової безпеки, якою ми її знаємо. “І тоді почнеться боротьба”, – говорить Демчак.
Впаде вся впевненість у конфіденційності наших повідомлень. Уявлення про те, що за вами можуть стежити в будь-який час, змінить наш спосіб життя. Що, якщо завантаження з сайту Apple насправді не від Apple?
Граймс, автор книги ” Криптографічний апокаліпсис “, передбачає величезні збої. Можливо, нам доведеться повернутися до методів передачі конфіденційних даних часів холодної війни. Заповніть жорсткий диск, замкніть його в портфелі, пристебніть портфель наручниками до довіреної особи та посадіть цю особу в літак. А також використовуйте одноразові блокноти — збірники заздалегідь узгоджених кодів шифрування та дешифрування повідомлень. Це квантово-безпечний, але не дуже зручний метод.
Чекайте, що основні галузі промисловості — енергетика, фінанси, охорона здоров’я, виробництво, транспорт — сповільняться, оскільки компанії з конфіденційними даними перейдуть на паперові методи ведення бізнесу і змушені наймати дорогих консультантів з криптографії. Відбудеться сплеск інфляції. Більшість людей можуть просто змиритися з неминучим: очікування секретності випаровується, якщо тільки ви не розмовляєте з ким-то особисто в затишному місці з вимкненими телефонами.
Хоча, можливо, Q-Day виявиться таким самим пшиком, як проблема Y2K в 1999 році. Очікувалося, що з настанням 2000 року цифрові технології колапсують, бо програмісти обраховували рік лише двома останніми цифрами. Тому 1 січня 2000 року комп’ютери сприйняли б як 1 січня 1900 року.
Але краху внаслідок проблеми Y2K не було, бо компанії оновили свої системи завчасно. Минулого літа NIST випустила свій перший набір стандартів постквантового шифрування. Постквантовая криптографія NIST вже впроваджена на платформах обміну повідомленнями, таких як Signal і iMessage.
Утім, деякі державні органи, такі як Національна служба охорони здоров’я Великобританії, все ще використовують обладнання і програмне забезпечення 1990-х років.
“Microsoft не збирається оновлювати деякі зі своїх найстаріших операційних систем, щоб забезпечити постквантову безпеку”, – каже Алі Ель Каафарани, генеральний директор PQShield, компанії, що виробляє обладнання, стійке до квантових обчислень.
Оновлення фізичної інфраструктури може зайняти десятиліття, і частина цієї інфраструктури має вразливу криптографію в тих місцях, де її неможливо змінити: енергетична мережа, військова техніка і супутники – все це може виявитися під загрозою.
І необхідно знайти баланс. Прискорення переходу загрожує виникненням вразливостей, яких раніше не було. Деякі з цих вразливостей можуть навіть бути присутнім навмисно: АНБ, можливо, впровадило чорний хід в генератор псевдовипадкових чисел, який був прийнятий на озброєння NIST в 2006 році.
“Всякий раз, коли хтось говорить, що ви повинні використовувати цей конкретний алгоритм, і за ним стоїть національна держава, ви повинні задатися питанням, чи є в цьому корисливий інтерес”, – говорить Роб Янг, директор Центру квантових технологій Ланкастерського університету.
Задовго до того, як квантова технологія стане досить хороша, щоб зламати шифр, вона стане досить комерційно і науково корисною, щоб порушити глобальний баланс.
За матеріалами: Wired
