Квантовая криптонеопределенность
Автор: Киви Берд Избрав обозревание ИТ-новостей в качестве постоянного занятия, автор данного текста неизбежно сталкивается с известиями о достижениях в области квантовых коммуникаций. Или, как иначе и не совсем корректно называют эту область, — в квантовой криптографии, где для пересылки ключей шифрования используются квантовые состояния частиц, а законы физики делают перехват этой информации невозможным, поскольку всякий акт наблюдения нарушает хрупкое состояние системы и выдает присутствие злоумышленника. По долгу журналиста-обозревателя, автор всякий раз добросовестно старается подчеркнуть необычность и прогрессивность новой технологии (благо практическое освоение наиболее удивительных квантовых эффектов всегда достойно внимания). Однако как человека, в прошлом непосредственно связанного с криптографией, автора коробит от того, сколь бесконечно далека рекламная трескотня вокруг квантового крипто от действительной ситуации в криптографической науке и от практических задач по защите информации.Если формулировать предельно кратко (пусть упрощенно), то никаких реальных проблем квантовая криптография эффективно не решает и — более того — очень сомнительно, что сумеет решить в обозримом будущем. Естественно, это вовсе не личное мнение автора, а точка зрения многих специалистов, глубоко понимающих суть криптографии и информационной безопасности в целом. Исторически сложилось так, что квантовым крипто в основном занимаются физики-лазерщики, поэтому два множества — профессионалов из областей криптографии обычной и квантовой — пересекаются слабо. Вследствие чего промежуточная территория оккупирована ныне всякого рода коммерсантами и маркетологами, которые делают очень смелые, хотя и ничем не подкрепленные заявления о блестящих рыночных перспективах квантовой криптографии. А коль скоро публика слышит лишь тех, кто громче кричит, в обществе формируется неадекватное представление о реальной ситуации на этом направлении исследований. Миллиард долларов, что ни говори, сумма впечатляющая. Но это всего лишь прогнозы бизнесмена, торгующего первым квантовым шифратором, а у них работа такая — нахваливать товар любыми словами, только бы покупали. Но, к сожалению, примерно то же самое декларируют и физики, занимающиеся исследованиями в научных лабораториях. Вот, скажем, как звучат ключевые формулировки из доклада-презентации на семинаре Национального института стандартов и технологий США (NIST): Квантовая информатика — это радикальный прорыв в информационных технологиях, для нынешнего уровня ИТ фундаментально более радикальный, чем переход от абака к цифровому компьютеру… Квантовые коммуникации стопроцентно безопасны… Квантовое шифрование способно отразить любые вычислительные атаки… [2]. И далее в том же духе. Причем это, подчеркнем, доклад не коммерсанта, а Карла Уильямса (Carl J. Williams), одного из ведущих сотрудников обширной программы НИСТ по квантовой информатике (www.qubit.nist.gov). В рамках этой программы, надо отметить, за последние годы достигнуты интересные экспериментальные результаты, в том числе и в квантовых коммуникациях. Одна из работ, опубликованная в конца апреля 2004 года, демонстрирует возможности пересылки квантовых криптоключей без оптоволокна (по воздуху, расстояние 730 м) со скоростью порядка 1 Мбит/с [3]. Это примерно на два порядка выше, чем в типичных устройствах квантового распределения ключей, работающих со скоростями до десятка килобит в секунду. Как прогнозируют конструкторы-исследователи, увеличивая разрешающую способность детектора, они смогут повысить быстродействие еще на порядок. Спору нет, защищенная передача криптоключей на мегабитных скоростях — очень заметное достижение для технологий квантовой криптографии. Другой вопрос, а кому это, собственно, нужно, когда в традиционных неквантовых системах нет никаких проблем с криптографической защитой гораздо более быстрых, гигабитных коммуникаций. Причем без каких-либо ограничений на коммутацию-маршрутизацию каналов и дальность передачи. Реальная ситуация с новой технологией выглядит примерно так. Квантовая криптография по умолчанию подразумевает, что вы имеете аутентичный канал между сообщающимися сторонами, то есть между ними заведомо не может быть «человека посередине». Говоря иначе, стандартные протоколы квантового крипто применимы лишь в таких условиях, когда существует еще и иной механизм, гарантирующий, что партнер на другом конце оптоволоконного кабеля — это тот самый человек, с которым вы и намерены общаться. А не кто-то другой, подсоединившийся на одном из участков кабеля и проводящий хрестоматийную атаку MITM (Man In The Middle — злоумышленник M вклинивается между A и B, представляясь стороне A как B, а стороне B, соответственно, как A; возможности для этого заложены в самих основах открытого обмена ключами, а для борьбы с MITM, в частности, предназначена PKI, инфраструктура открытых ключей, формирующая сеть взаимно доверяющих сторон). Из-за этого нюанса (и физических ограничений на стабильность состояния фотонов) квантовое крипто более или менее прилично выглядит лишь в очень специфических условиях — выделенный оптоволоконный кабель длиной до 100 км или оптическая связь без кабеля на расстоянии до нескольких десятков километров. Причем речь идет только о связи «точка-точка». Любая гипотетическая попытка удлинения канала или создания сети приводит к необходимости устанавливать усилители-репитеры или маршрутизаторы (квантовой или классической конструкции), которые даже в теории кардинально повышают уязвимость системы к перехвату и атакам «человека посередине». Но даже в тех «тепличных» условиях, где квантовое крипто выглядит относительно неплохо, связывающиеся стороны вынуждены-таки убедиться в аутентичности друг друга с помощью доступных протоколов неквантовой природы — практически все они построены на алгоритмах криптографии с открытым ключом. Ирония (если угодно, абсурдность) этой ситуации в том, что квантовое крипто вроде бы создается для преодоления слабых сторон уже имеющихся технологий, но в принципе не может без этих технологий обходиться. Эта ирония обычно игнорируется исследователями. Без ответа остается и резонный вопрос оппонентов из лагеря обычной криптографии: «Как часто на практике мы имеем физический канал, аутентичности которого мы вполне доверяем, но при этом в канале существует угроза перехвата (от которого гарантированно защищает квантовое крипто)»? Даже если не ставить вопрос о доверии физическому каналу, с квантовой криптографией связана еще одна серьезная проблема. На каждом из концов линии связи пользователь получает в свое распоряжение некий черный ящик, который реализует волшебные квантовые штучки. Ясно, что пользователь должен безоговорочно доверять черному ящику. На практике это означает, что: 1) конструкция устройства должна быть тщательно проконтролирована, а целостность каждого элемента проверена; 2) устройство должно быть доставлено с фабрики или со склада с соблюдением строгих мер безопасности; 3) устройство должно быть постоянно защищено от угроз подключения к нему злоумышленников. Но ведь с точно таким же успехом можно разослать в каждую точку по винчестеру емкостью эдак гигабайт 160, под завязку наполненному ключевым материалом, то есть случайными равновероятными последовательностями. К этому винчестеру можно применять те же меры физической безопасности, что и к квантовому черному ящику. И если даже предположить расточительное расходование ключевого материала — скажем, по одному ключу для алгоритма AES-256 каждую секунду, то 160-гигабайтного жесткого диска хватит аж на 150 лет эксплуатации. Каждый использованный ключ можно тут же стирать ради страховки от возможных будущих компрометаций. А можно сделать и еще лучше — трансформировать использованный ключ с помощью одностороннего (необратимого) преобразования в новый ключ и оставить на следующий цикл, если вдруг с поставками возникнут проблемы. Наконец, для самых щепетильных пользователей, ни в какую не доверяющих надежности стирания и псевдослучайным математическим преобразованиям, можно предусмотреть вместо винчестера пачку дисков DVD-R, которые будут сжигаться по мере использования. Нетрудно понять, что эта альтернатива имеет ряд преимуществ перед квантовым распределением ключей. Здесь не требуется никаких предположений относительно свойств канала — легко можно использовать Интернет, телефон, спутниковую или даже коротковолновую радиосвязь. Нужные в работе винчестеры и ПК можно купить в соседнем магазине, и никто даже не заподозрит, что вы намерены с их помощью установить строго секретную связь. Вряд ли кому придет в голову встраивать хитрую закладку в серийную общедоступную технику до того, как вы ее купили (с квантовым ящиком все принципиально иначе). Необходимое программное обеспечение легко написать и проконтролировать. Наконец, жесткий диск на 160 Гбайт гораздо дешевле квантового бокса, не говоря уже о стоимости выделенного оптоволоконного канала, необходимого для работы этих устройств. Коли уж речь зашла о привлекательности традиционных, неквантовых альтернатив, имеет смысл отметить существенный сдвиг в обычной криптографической науке, оставшийся пока незамеченным даже многими криптографами. Особенность текущего момента заключается в том, что без помпы и широкой огласки происходит фактическое объединение двух важнейших направлений криптографии — строго секретной математики, развивавшейся весь XX век за неприступными стенами спецслужб, и параллельного направления, последние лет тридцать открыто развиваемого академическим сообществом ученых и исследователями компьютерной индустрии. Криптографические спецслужбы, как и прежде, почти не раскрывают своих секретов, но их многоопытные аналитики подтверждают высочайшую стойкость систем, совместными усилиями разработанных в открытом сообществе. Более того, спецслужбы рекомендуют эти криптоалгоритмы для защиты наиболее важных государственных секретов. Вот лишь два конкретных примера за последний год. Изданный в июне 2003 года Агентством национальной безопасности США документ «О национальной политике в использовании AES (продвинутого стандарта шифрования. — Б.К.) для защиты национальных систем безопасности и информации» говорит буквально следующее: Конструкция и стойкость ключей алгоритма AES всех длин (то есть 128, 192 и 256 бит) достаточны для защиты засекреченной информации вплоть до уровня SECRET. Информация с грифом TOP SECRET потребует использования длин ключа 192 или 256 [4]. Здесь необходимо напомнить, что международный конкурс на алгоритм AES, затеянный в конце 1990-х годов НИСТом для замены устаревшего DES, первоначально подразумевал выбор шифра лишь для надежной защиты важной, но несекретной информации. И если уж АНБ США, бесспорно самая мощная криптослужба в мире, теперь признает AES, созданный молодыми иностранцами-бельгийцами, пригодным для защиты национальных секретов с грифами Secret и Top Secret, то можно быть уверенным, что AES — это действительно о-очень крепкий шифр. Стойкость которого, попутно заметим, не имеет ни малейшего отношения к стойкости криптографии с открытым ключом, которую в теории может когда-нибудь скомпрометировать квантовый компьютер (спасительной мерой на этот случай и выдвигается рассылка ключей методами квантового крипто). Причем и в применении криптографии с открытым ключом АНБ демонстрирует весьма интересную эволюцию. В октябре 2003 года эта спецслужба купила лицензию на сугубо коммерческую, открыто разработанную криптотехнологию ECC (elliptic curve cryptography, крипто на эллиптических кривых) у еще одних иностранцев — канадской корпорации Certicom [5]. Алгоритм ECC гораздо удобнее для ключевого обмена, нежели популярнейший RSA, поскольку эквивалентная криптостойкость достигается здесь при куда меньших длинах ключей (подробности см. в «КТ» #517). По рекомендациям НИСТ (которые в области крипто обычно готовит АНБ), эквивалентом 1024-битного ключа RSA, к примеру, является ECC-ключ длиной всего 163 бита (соотношение 6:1). Причем зависимость эта нелинейна, так что для ключа ECC длиной 512 бит размер аналога в системе RSA составляет уже 15360 бит (соотношение 30:1). Согласно опубликованной информации, именно такие 512-битные ECC-ключи намерено использовать АНБ в шифрсредствах для себя и своих клиентов — американских правительственных ведомств, федеральных контракторов из промышленности и других организаций, имеющих дело с национальной безопасностью. Иначе говоря, отныне можно считать, что и коммерческая технология ECC одобрена к использованию для защиты государственных секретов США. О квантовых же быстрых алгоритмах расшифровки ЕСС пока ничего не слышно, и даже если когда-нибудь удастся создать квантовый компьютер с 1000-кубитным регистром для факторизации 512-битных чисел RSA (что само по себе далеко неочевидно), такой же длины ключ ECC окажется новой технике не по зубам. Завершить этот небольшой обзор ситуации вокруг перспектив квантовой криптографии хотелось бы цитатой из текстов крипто-гуру Брюса Шнайера [6], славящегося умением приводить к единому знаменателю и обобщать не слишком внятно сформулированные позиции множества членов криптосообщества. «Я не верю, — пишет Шнайер, — что крипто решает хоть какие-то проблемы безопасности из тех, что реально нуждаются в решении. Дело тут даже не в том, что квантовая криптография может быть небезопасна. Дело в том, что никому не нужна криптография еще более безопасная, чем она есть сегодня. Безопасность — это цепь, и она сильна настолько, насколько сильно ее самое слабое звено. Математическая криптография, даже со всеми своими нынешними изъянами, является самым сильным звеном в большинстве цепей общей безопасности. Все остальные звенья — защита компьютера, сетевая безопасность, человеческий фактор — существенно менее надежны. Криптография здесь — единственная область безопасности, с которой мы может работать как надо. Тут мы четко знаем, как делать данное звено сильным. Не исключено, что квантовая криптография может сделать это звено еще сильнее, но чего ради заботиться именно об этом? В безопасности существуют более, причем намно-о-ого более серьезные проблемы, о которых следует беспокоиться. И намного больше смысла в том, чтобы тратить деньги на укрепление именно слабых звеньев цепи. Возня с квантовым крипто, — продолжает Шнайер, — чем-то напоминает защиту от приближающегося врага с помощью установки одного здоровенного столба. Бессмысленно спорить, какой высоты должен быть этот столб — 15 метров или 30, — потому что атакующий на него все равно не полезет. Он его обойдет». Ссылки[1] Uncrackable beams of light. The Economist, 4 Sep 2003, www.economist.com/science/displayStory.cfm?story%20id=2020013.
|