На семинаре в Университете ИТМО вы читали лекцию, посвященную взлому систем квантовой коммуникации. В то же время различные научные и популярные источники утверждают, что взлом систем, защищенных методами квантовой криптографии, противоречит законам физики. Как такое возможно?
Оба заявления корректны. У любой криптографической системы есть конкретное аппаратное и программное обеспечение, которое реализует выбранный алгоритм шифрования. В обычных системах, в которых информация зашифрована математическими алгоритмами, проблемы есть сразу в двух местах: и алгоритм, и его реализация. Развиваются вычислительные науки и растут наши вычислительные способности, и математические криптографические алгоритмы время от времени устаревают. Информацию, зашифрованную алгоритмами классической криптографии, всегда можно скопировать и сохранить на дисках на будущее, а когда система шифрования будет взломана, информацию можно будет прочитать «задним числом». И хотя математические алгоритмы заменяют новыми, более сложными, есть много категорий информации, которая требует длительной защиты — правительственные секреты, военные и коммерческие тайны, медицинские и банковские записи. Квантовая криптография позволяет в принципе решить проблему долговременной защиты передаваемой по каналам связи информации, потому что ее алгоритм в основе своей невзламываемый.
Взломозащищенность алгоритма квантовой криптографии обеспечена принципом неопределенности Гейзенберга. Как этот принцип объясняют школьникам: есть пары квантовых свойств, из которых можно прочесть одно, на выбор, а второе при этом разрушится. К примеру, у вас есть движущаяся частица. Вы можете измерить положение этой частицы в пространстве, но при этом теряется информация о ее скорости, и наоборот. И хотя вы можете попробовать померить положение частицы в пространстве после измерения ее скорости, при этом вы получите случайное значение. Вот на такие пары квантовых свойств, которые невозможно измерить одновременно, можно кодировать биты — выбирать случайным образом, какое из свойств использовать для кодирования информации, при этом выбор неизвестен злоумышленнику, и он не сможет прочесть информацию без ошибок. В системах квантовой криптографии для передачи используются фотоны, элементарные частицы света, которые легко передавать, к примеру, по обычному оптическому волокну. Но в системах передачи данных, которые используют подобные алгоритмы, тоже есть оптические и электронные компоненты, программное обеспечение. И как в случае с любой другой криптографической системой, можно попытаться найти в этой реализации дыру, чем и занимается моя научная группа.
Как проводятся атаки на системы квантовой криптографии?
Мы пытаемся использовать огрехи и неидеальности в оптических компонентах. Например, в криптографических системах используют однофотонные детекторы: когда детектор поглощает фотон, он регистрирует отсчет. Это его нормальный режим работы, который необходим для реализации алгоритма квантовой криптографии. Но его можно просто осветить ярким светом, и детектор насыщается, «слепнет» и перестает регистрировать отсчеты вообще. Если этот яркий свет промодулировать (определенным образом изменять его яркость во времени), то мы можем управлять детектором, делать так, чтобы он выдавал отсчет в заранее запрограммированный момент. Семь лет назад мы показали, что коммерческие системы, которые в то время были на рынке, взламываются ослеплением детектора. С проблемой борются до сих пор, но по большому счету она побеждена, разработчики и научное сообщество создали новые детекторы и алгоритмы, стойкие к такого вида атакам. Однако следует отметить, что в отличие от математической криптографии, взломать квантовую криптографию «задним числом» невозможно, и найденные дыры в реализациях не влияют на защищенность уже переданной информации. То есть любые проблемы с реализациями в квантовой криптографии менее серьезны, чем проблемы с криптостойкостью алгоритмов математической криптографии.
Зависит ли взломоустойчивость системы от способа ее реализации?
Да, существуют более и менее взломоустойчивые системы. Есть так называемые устройствонезависимые системы, их работа основана на измерении белловского состояния и обмене перепутанностью фотонов, а все неидеальности детекторов выносятся за пределы безопасной части системы. У таких систем потенциальных проблем меньше, их работа продемонстрирована в лабораториях, но технически они гораздо сложнее, чем большинство современных систем квантовой криптографии, и в коммерческих целях их пока никто не разрабатывает.
Насколько широко распространен квантовый хакинг? Есть ли группы злоумышленников, которые специализируются на атаках на системы квантовой криптографии, или такие атаки пока что проводят только в лабораториях?
Систем квантовой криптографии в мире пока что используется слишком мало, и я подозреваю, что «диких» атак, которые проводят реальные злоумышленники, пока что нет. Но гарантий я дать не могу. Методы атак описаны в литературе. Когда находят новую уязвимость, мы публикуем статью. Если какому-то правительству очень понадобится взломать криптографическую систему другого правительства, это будет сделано. Но ни о каких группировках квантовых хакеров сообщений в прессе пока что не было.
К волоконно-оптической линии подключиться несложно: вы залезаете в канализационный люк, находите кабель, разрезаете оболочку и подключаетесь к линии. Раз подключение оптическое, значит, вы приносите с собой небольшой аппарат, волоконно-оптическую сварку, с помощью которой можно подключиться к кабелю и начать снимать данные. Приходит дядя Вася, расставляет вокруг люка оранжевые конусы, вешает оградительную ленту и начинает «ремонтные работы». Все выглядит как обслуживание линий. В принципе возможно, что атака на систему, защищенную методами квантовой криптографии, уже где-то когда-то была проведена, но мы об этом пока что не знаем. В будущем они, конечно, будут, потому что на все классические криптографические системы есть реальные атаки: как только с помощью какого-либо метода начинают шифровать ценную информацию, появляются злоумышленники. Криптография затем и нужна, чтобы от них защищаться.
Чему посвящены ваши последние исследования?
Мы и другие научные группы, которые занимаются этой темой, пытаемся найти новые неидеальности в реализациях и построить на них атаки, потому что это дает понять, как от них защищаться, как устранить дыры. Их много, найдено больше двадцати разных неидеальностей, которые присутствуют в некоторых системах, и каждая конкретная система имеет набор потенциальных уязвимостей, на которые нужно обратить внимание. В течение последнего года моя научная группа стала сотрудничать с коммерческими компаниями по полному анализу их систем, то есть мы подписываем договор о неразглашении, берем полную инженерную документацию и пытаемся найти все возможные способы взлома этих систем, насколько хватает сегодняшнего понимания. Например, мы так сотрудничаем со швейцарской компанией ID Quantique. Раньше исследовали только отдельные дыры, и полный аудит систем пока никто не проводил. Есть исследовательская лаборатория TOSHIBA в Великобритании, она пытается создать систему, в которой учтены все дыры. Но они это делают сами, без посторонней помощи, а в своей собственной системе дыры всегда найти сложнее — нужен сторонний взгляд. Поэтому я сам стараюсь не проектировать системы, мы специализируемся на анализе и никак не связаны с производителями. Все, что находим, рассказываем им.
А возможно ли вообще создать идеальную систему защиты передачи информации, в которой учтены абсолютно все дыры?
В любом инженерном проекте никогда не может быть стопроцентной уверенности в том, что где-то случайно не остался просчет. Строится сто мостов, девяносто девять стоит, сотый падает. То же самое с криптографией: все, что мы можем сделать, — попытаться уменьшить вероятность взлома. Если много людей попытались провести атаку и у них ничего не получилось, есть некоторая разумная гарантия, что в системе не осталось ни одной серьезной дыры.
Технологии, основанные на математической криптографии, которую мы сегодня используем в интернете, в будущем будут взломаны. У нас пока просто нет компьютеров, способных это сделать за разумное время, но сегодняшнее поколение криптографических технологий обязательно потребует замены. Квантовая криптография является одной из возможностей решить эту проблему, так как она предлагает в принципе невзламываемый алгоритм. Но, как широко она будет использоваться, пока непонятно: такие системы требуют для работы определенное железо и обязательно оптический канал связи. Ничего особенно дорогого в квантовой криптографии нет, но любую первую версию технологии себе поначалу смогут позволить только крупные компании. В дальнейшем она будет дешеветь и становиться более компактной, уже сейчас существуют блоки интегральной оптики — приемные и передающие модули — размером с палец. В продаже их пока что нет, но очевидно, что в будущем технология будет доступна всем.