В первые годы Второй мировой войны немецкие войска громили противников, надежно координируя подразделения с помощью сверхзащищенной связи, шифруя послание через Энигму. Несколько лет спустя шифрование Enigma было взломано, и английские и американские войска читали немецкие военные приказы почти в реальном времени. Это подкосило немецкую военную машину, приблизив ее полный разгром.
Сегодня весь мир, от пересылки Вашего сообщения в чате Telegram и криптовалютного кошелька до банковских транзакций и переговоров спецслужб, также держится на шифровании. Используемое сегодня шифрование непобедимо для современных компьютеров, но на горизонте уже появились квантовые компьютеры, которые раскалывают шифрование.
Нет вопроса, произойдет ли это. Есть вопрос, когда именно этот день придет. Для него уже даже название придумали – Q-Day. От quantum-квантовый и по аналогии с D – Day-крупнейшей операцией антинемецких войск в Европе, положившей начало окончательному разгрому гитлеровской Германии.
” Мы играем в русскую рулетку“, – говорит Мишель Моска, соавтор последнего отчета” хронология квантовых угроз » Института глобальных рисков, в котором оценивается, сколько времени нам осталось. «Ты вероятно, выиграешь, если сыграешь только один раз, но в эту игру играть не очень хорошо”.
Когда Моска и его коллеги опросили экспертов по кибербезопасности в прошлом году, прогноз был убедительным: вероятность того, что Q-Day произойдет к 2035 году, составляет один к трем. И каковы шансы, что это уже тайно произошло? Некоторые люди оценивали в 15 процентов — примерно столько же, сколько вы получили бы от одного вращения барабана револьвера в «русской рулетке».
Корпоративные войны за искусственный интеллект, возможно, попали в заголовки газет в последние годы, но квантовая гонка вооружений тоже набирает обороты. Квантовая технология представляет собой совершенно иную форму вычислений.
Используя механику субатомного мира, квантовые компьютеры «видят» все решения проблемы одновременно. Классический ПК с кремниевым процессором обречен пошагово вычислять решение за решением.
Поэтому, естественно, технологические гиганты, такие как Google, Huawei, IBM и Microsoft, искали множество положительных способов использования квантовых вычислений — не только для поиска новых материалов, но и для связи, разработки лекарств и анализа рынка.
Китай вкладывает огромные ресурсы в поддерживаемые государством усилия. И США, и Европейский союз пообещали выделить миллионы долларов на поддержку собственной квантовой индустрии.
Конечно, тот, кто победит в гонке, получит больше, чем просто Следующий большой двигатель инноваций. У него также будет лучшая в истории машина для взлома шифрования.
Поэтому совершенно нормально задаться вопросом: какой Q-Day ждет человечество и можем ли мы что-нибудь сделать, чтобы подготовиться?
С точки зрения обычного человека, возможно, Q-Day пройдет незаметно. Возможно, это выглядело бы как серия странных и явно несвязанных новостных сюжетов, растянутых на месяцы или годы. Энергосистема Лондона выходит из строя в день выборов, погружая город во тьму. Американская подводная лодка, выполняющая секретную миссию, всплывает на поверхность и оказывается в окружении вражеских кораблей. Позорные материалы начинают появляться в интернете во все большем и большем количестве: засекреченные телеграммы разведки, попытки прикрытия президента, обнаженные фотографии миллиардеров.
При таком сценарии могут пройти десятилетия, прежде чем мы сможем точно определить, когда на самом деле произошел Q-Day.
С другой стороны, возможно, Q-Day пройдет как одновременная атака на все системы. Уничтожить интернет. Вывести из строя шахты ядерных ракет. Уничтожить банковскую систему. Открыть все двери и выпустить секреты наружу.
Хотя современные шифры очень сложны, в своей основе они используют простой факт, что зная сумму после сложения или умножения нескольких чисел, мы не можем быстро определить эти числа.
Предположим, вы просите классический компьютер разбить число 15 на наименьшие простые множители. Компьютер обсчитает все варианты один за другим и выдаст ответ: 3 и 5. если вместо числа 15 взять очень большое число, например, состоящее из 1000 цифр, вычисления займут тысячелетия. Это ключ ко многим современным криптографическим методам.
Возьмем шифрование RSA, разработанное в конце 1970-х годов и до сих пор используемое для защиты электронной почты, веб-сайтов и многого другого. В RSA вы создаете закрытый ключ, состоящий из двух или более больших простых чисел. Эти числа, умноженные друг на друга, составляют часть вашего открытого ключа. Когда кто-то хочет отправить вам сообщение, он использует ваш открытый ключ для шифрования. Вы единственный человек, который знает исходные простые числа, поэтому вы единственный человек, который может расшифровать полученное послание. До тех пор, пока кто-нибудь другой не построит квантовый компьютер, который мгновенно подберет выбранные вами простые числа.
Программный алгоритм для этого уже существует. В 1994 году, за десятилетия до того, как кто-либо построил настоящий квантовый компьютер, исследователь AT & T Bell Labs Питер Шор разработал приложение Killer Q-Day. Алгоритм Шора использует тот факт, что квантовые компьютеры работают не на битах, а на кубитах. Вместо того, чтобы быть заблокированными в состоянии 0 или 1, они могут существовать как оба одновременно – в суперпозиции. Когда вы выполняете операцию над несколькими кубитами в заданном квантовом состоянии, вы фактически выполняете одну и ту же операцию над одними и теми же кубитами во всех их потенциальных квантовых состояниях.
С кубитами вы не ограничены методом проб и ошибок один за другим. Квантовый компьютер может исследовать все потенциальные решения одновременно. Вы вычисляете распределения вероятностей, волны квантовой обратной связи, которые накладываются друг на друга и достигают максимума при правильном ответе.
С алгоритмом Шора, тщательно разработанным для усиления определенных математических закономерностей, именно это и происходит: большие числа идут на одном конце, факторы выходят на другом.
По крайней мере, в теории. Аппаратные кубиты невероятно сложно построить в реальной жизни, потому что малейшее вмешательство окружающей среды может вывести их из хрупкого состояния суперпозиции.
Но алгоритм Шора вызвал интерес к этой области, и к 2010-м годам в ряде проектов начался прогресс в создании первых кубитов. В 2016 году, возможно, почувствовав угрозу Q-Day, Национальный институт стандартов и технологий США (NIST) объявил конкурс на разработку алгоритмов шифрования с квантовой защитой.
В 2019 году квантовая лаборатория Google в Санта-Барбаре заявила, что достигла “квантового превосходства”. Ее 53-кубитный чип может всего за 200 секунд выполнить задачу, которая заняла бы у 100 000 обычных компьютеров около 10 000 лет. Новейший квантовый процессор Willow от Google имеет 105 кубитов. Но чтобы взломать шифрование с помощью алгоритма Шора, квантовым компьютером понадобятся тысячи или даже миллионы кубитов.
В настоящее время сотни компаний пытаются создавать квантовые компьютеры, используя различные методы. Все они направлены на то, чтобы изолировать кубиты от окружающей среды и держать их под контролем: сверхпроводящие схемы, захваченные ионы, молекулярные магниты, углеродные наносферы.
В то время как прогресс в области квантового аппаратного обеспечения продвигается вперед, ученые-компьютерщики совершенствуют квантовые алгоритмы, пытаясь уменьшить количество кубитов, необходимых для их запуска. Каждый шаг приближает Q-Day.
Это плохая новость не только для RSA, но и для огромного количества других систем шифрования. Консультант по безопасности Роджер А. Граймс перечисляет некоторые из них в своей книге » криптографический апокалипсис: шифрование DSA, используемое многими правительственными учреждениями США до недавнего времени, криптография на эллиптической кривой, используемая для защиты криптовалют, таких как Биткойн и Эфириум, VPN, которые позволяют политическим активистам безопасно просматривать веб-страницы, генераторы случайных чисел, которые работают в онлайн-казино, смарт-карты, позволяющие вам проходить через запертую дверь на работе, безопасность вашей домашней сети Wi-Fi, двухфакторная аутентификация, которую вы используете для входа в учетную запись электронной почты.
Эксперты из одного агентства национальной безопасности рассказали, что они разделяют угрозы на две большие области: конфиденциальность и аутентификация. Другими словами, сохранение секретов и контроль доступа к критически важным системам.
Крис Демчак, бывший офицер армии США, профессор кибербезопасности в военно-морском колледже США, говорит, что квантовый компьютер может позволить противнику подслушивать секретные военные данные в режиме реального времени. «Было бы очень плохо, если бы они точно знали, где находятся все наши подводные лодки”, – говорит Демчак. «Было бы очень плохо, если бы они точно знали, на что смотрят наши спутники. И было бы очень плохо, если бы они точно знали, сколько у нас ракет и какова их дальность “. Баланс геополитических сил может быстро измениться.
Помимо этой угрозы конфиденциальности в режиме реального времени, существует также перспектива атак по принципу “собрать информацию сейчас, расшифровать позже”. Хакеры и правительства в последние годы собирают зашифрованные данные в надежде однажды получить квантовый компьютер и расшифровать эту информацию. «Они поглощают все», — сказал Демчак.
Тогда возникает вопрос: как долго ваши конфиденциальные данные будут оставаться ценными? ” В этом стоге сена могут быть иглы», – говорит Брайан Маллинс, генеральный директор Mind Foundry, которая помогает компаниям внедрять квантовые технологии. Данные вашей текущей кредитной карты могут оказаться неактуальными через 10 лет, но ваш отпечаток пальца останется актуальным всю вашу жизнь. Список разведданных времен окончания войны в Ираке может показаться ненужным, пока один из этих агентов не станет видным политиком.
Угроза аутентификации может быть еще страшнее. «Практически все, что говорит о том, что человек тот, за кого себя выдает, подкреплено шифрованием”, – говорит Дебора Фринке, специалист по информатике и эксперт по национальной безопасности из Sandia National Laboratories. «Некоторые из наиболее чувствительных и ценных объектов инфраструктуры, которые у нас есть, были бы открыты для того, чтобы кто-то вошел и выдал себя за законного владельца и отдал какую-то команду: отключить сеть, повлиять на энергосистему, создать финансовые сбои путем закрытия фондового рынка”.
Точный уровень хаоса Q-Day будет зависеть от того, у кого есть доступ к первому реальному квантовому компьютеру. Если это будут Соединенные Штаты, то, по мнению Демчака, на высших уровнях правительства начнутся ожесточенные дебаты относительно того, обнародовать ли это в научных целях или сохранить в тайне и использовать в разведывательных целях.
«Если частная компания доберется туда Первой, США купят ее, а китайцы попытаются взломать”, – утверждает он. Если это одна из технологических компаний США, правительство могло бы поставить ее под строгий экспортный контроль, который сейчас применяется к чипам искусственного интеллекта.
Большинство атак со стороны Штатов происходят на частные компании-скажем, кто-то пытается проникнуть в оборонного подрядчика, такого как Lockheed Martin, и украсть планы по созданию истребителя следующего поколения. Но со временем, по мере того как квантовые компьютеры станут более доступными, фокус атак может расшириться.
Такие компании, как Microsoft и Amazon, уже предлагают исследователям доступ к своим примитивным квантовым устройствам в облаке, а крупные технологические компании не всегда преуспевали в контроле за тем, кто использует их платформы. Возможен странный сценарий, при котором киберпреступник использует платформу облачных квантовых вычислений Amazon для взлома веб-сервисов Amazon.
Киберпреступники, имеющие доступ к квантовому компьютеру, могли бы использовать его для более эффективного достижения тех же целей или для более масштабных действий: взлома международной платежной системы SWIFT для перенаправления денежных переводов или ведения корпоративного шпионажа для сбора компромата.
Самые ранние квантовые компьютеры, вероятно, не смогут так быстро запускать алгоритм Шора — они могут получать только один или два ключа в день. Но объединение квантового компьютера с искусственным интеллектом, который может наметить слабые места организации и выделить, какие ключи следует расшифровать, чтобы нанести наибольший ущерб, может привести к разрушительным последствиям.
И еще есть биткойн. Криптовалюта чрезвычайно уязвима для Q-Day. Поскольку каждый блок в системе биткойнов захватывает данные из предыдущего блока, Биткойн не может быть переведен на квантово защищенную криптографию, по словам Капила Дхимана, генерального директора Quranium, постквантовой компании по обеспечению безопасности блокчейна. «Единственным решением этой проблемы, вероятно, является хард—форк – дать начало новой цепочке, а старая цепочка умрет”.
Но это потребовало бы огромных организационных усилий. Во-первых, 51 процент операторов биткойн-узлов должны были бы согласиться. Тогда всем, у кого есть биткоин, пришлось бы вручную переводить свои средства из старой цепочки в новую (включая неуловимого Сатоши Накамото, разработчика биткоина, чьи кошельки содержат около 100 миллиардов долларов в криптовалюте).
Если Q-Day состоится до хардфорка, ничто не остановит обвал биткоина. «Это как бомба замедленного действия», — говорит Дхиман.
Взрыв этой бомбы будет только началом. Когда о Q-Day станет известно общественности либо через мрачное правительственное обращение, либо через бодрый пресс-релиз о великих технологиях, мир перейдет в постквантовую эру. Это будет эпоха, определяемая недоверием и паникой — конец цифровой безопасности, какой мы ее знаем. «И тогда начнется борьба», — говорит Демчак.
Упадет вся уверенность в конфиденциальности наших сообщений. Представление о том, что за вами могут следить в любое время, изменит наш образ жизни. Что, если загрузка с сайта Apple на самом деле не от Apple?
Граймс, автор книги «криптографический апокалипсис», предвидит огромные сбои. Возможно, нам придется вернуться к методам передачи конфиденциальных данных времен холодной войны. Заполните жесткий диск, заприте его в портфеле, пристегните портфель наручниками к доверенному лицу и посадите этого человека в самолет. А также используйте одноразовые блокноты-сборники заранее согласованных кодов шифрования и дешифрования сообщений. Это квантово-безопасный, но не очень удобный метод.
Ожидайте, что основные отрасли промышленности — энергетика, финансы, здравоохранение, производство, транспорт — замедлятся, поскольку компании с конфиденциальными данными перейдут на бумажные методы ведения бизнеса и вынуждены нанимать дорогостоящих консультантов по криптографии. Произойдет всплеск инфляции. Большинство людей могут просто смириться с неизбежным: ожидание секретности улетучивается, если только вы не разговариваете с кем-то лично в укромном месте с выключенными телефонами.
Хотя, возможно, Q-Day окажется таким же пшиком, как проблема Y2K в 1999 году. Ожидалось, что с наступлением 2000 года цифровые технологии коллапсируют, потому что программисты подсчитывали год лишь двумя последними цифрами. Поэтому 1 января 2000 года компьютеры будут восприняты как 1 января 1900 года.
Но краха в результате проблемы Y2K не было, потому что компании обновили свои системы раньше времени. Прошлым летом NIST выпустила свой первый набор стандартов постквантового шифрования. Постквантовая криптография NIST уже внедрена на платформах обмена сообщениями, таких как Signal и iMessage.
Впрочем, некоторые государственные органы, такие как Национальная служба здравоохранения Великобритании, все еще используют оборудование и программное обеспечение 1990-х годов.
«Microsoft не собирается обновлять некоторые из своих старейших операционных систем для обеспечения постквантовой безопасности», — говорит Али Эль Каафарани, генеральный директор PQShield, компании, производящей оборудование, устойчивое к квантовым вычислениям.
Обновление физической инфраструктуры может занять десятилетия, и часть этой инфраструктуры имеет уязвимую криптографию в тех местах, где ее невозможно изменить: энергетическая сеть, военная техника и спутники – все это может оказаться под угрозой.
И необходимо найти баланс. Ускорение перехода чревато возникновением уязвимостей, которых раньше не было. Некоторые из этих уязвимостей могут даже присутствовать намеренно: АНБ, возможно, внедрило черный ход в генератор псевдослучайных чисел, который был принят на вооружение NIST в 2006 году.
«Всякий раз, когда кто – то говорит, что вы должны использовать этот конкретный алгоритм, и за ним стоит национальное государство, вы должны задаться вопросом, есть ли в этом корыстный интерес”, — говорит Роб Янг, директор Центра квантовых технологий Ланкастерского университета.
Задолго до того, как квантовая технология станет достаточно хорошей, чтобы взломать шифр, она станет достаточно коммерческой и научно полезной, чтобы нарушить глобальный баланс.
По материалам: Wired