«Квантовое превосходство»: традиционное шифрование обречено

Вот так выглядит универсальный квантовый компьютер Google.
Источник: Google / Eric Lukero


Компания Google ненадолго опубликовала в Сети отчет об эпохальном достижении в области квантовых вычислений. Независимо от того, была ли эта публикация преждевременной, дни традиционного шифрования сочтены.

Поздравляем: вам повезло жить в период достижения, возможно, самой важной вехи в истории компьютеров — «квантового превосходства». Вне всякого сомнения, она имеет как минимум такое же значение, как создание Интернета, а ее последствия для информационной безопасности одновременно восхищают и пугают.

Что такое «квантовое превосходство»

Не так давно журнал Fortune сообщил, что компания Google, один из сильнейших участников гонки по созданию применимых на практике квантовых компьютеров, ненадолго опубликовала на сайте НАСА научно-исследовательский доклад о достижении квантового превосходства. Это означает, что квантовый компьютер продемонстрировал способность сделать нечто, чего классический компьютер не может, то есть достиг беспрецедентной скорости вычислений или решил математическую задачу, с которой традиционная машина просто не справится. Судя по отчету Google, компании, похоже, удалось и то, и другое: сообщается, что ее квантовая система за три минуты выполнила вычисления, на которые у самого быстрого в мире компьютера ушло бы десять тысяч лет.

Через несколько часов после публикации Google удалила отчет. Да, это может означать, что квантовое превосходство на самом деле еще не достигнуто. Но вряд ли это так, иначе зачем вообще нужно было публиковать подробный доклад, а потом воздерживаться от комментариев? Исследователи из Google, IBM и китайских организаций публично заявляли, что квантовое превосходство будет достигнуто уже в этом году. Так что, вероятно, доклад просто был опубликован раньше времени в нарушение ранее согласованной тактики пиара.

Мне, как автору книги о квантовых вычислениях и шифровании под названием «Криптографический апокалипсис», вполне понятно подобное поведение Google. Квантового превосходства ждали, начиная с 1959 года, когда Ричард Фейнман впервые заговорил о возможностях использования квантовой механики для реализации новой парадигмы вычислений. И вот этот день, по всей видимости, настал. Одна из важнейших перемен, которая надвигается благодаря возможностям квантовых вычислений, состоит в том, что мы больше не сможем полагаться на защищенность традиционных средств шифрования.

Криптографический разлом

«Чистая» вычислительная мощность квантовых систем при решении многих задач не такая уж и выдающаяся. Есть даже немало случаев, когда квантовые компьютеры будут работать медленнее, чем классические. Однако существует два вида задач, в которых квантовые системы обещают превосходство.

Одна из таких задач — неструктурированный поиск. При использовании квантового алгоритма перебора, разработанного Ловом Гровером, квантовые системы обеспечивают при неструктурированном поиске квадратичное ускорение. В частности, квантовая система вдвое ослабляет системы шифрования на симметричных ключах и хеш-функции. То есть, криптостойкость алгоритма AES-256 падает до уровня AES-128, SHA2-256 — до SHA2-128 и т. д. Соответственно, чтобы защититься от атаки квантовых компьютеров, следует удвоить длину ключей используемых вами алгоритмов симметричного шифрования и хеширования.

Второй класс задач, при решении которых у квантовых компьютеров имеется огромное преимущество, — это уравнения, оперирующие с очень большими простыми числами. Именно на таких уравнениях построено большинство современных алгоритмов асимметричного шифрования с открытым ключом. Еще в 1994 году физик Питер Шор показал, что задачи таких типов можно решить на квантовом компьютере за считанные минуты или даже секунды: нужно лишь достаточное количество кубитов, и все современные алгоритмы асимметричного шифрования вместе с цифровыми подписями лишатся своих защитных свойств.

Первый работоспособный квантовый компьютер был построен еще в 1998 году — он имел всего два кубита. Но даже этого оказалось достаточно, чтобы доказать, что при наличии нужного количества стабильных кубитов алгоритм Шора способен решить уравнение с простыми числами любых размеров. С тех пор коммерческие компании и исследовательские организации, работающие над созданием квантовых компьютеров (таких организаций сейчас более сотни) увеличивают число кубитов в своих системах и повышают их стабильность.

Достигнуто ли квантовое превосходство на самом деле?

На протяжении многих лет исследователи в области квантовых вычислений делали объявления о каждом, даже самом малом достижении в области увеличения числа кубитов и повышения их стабильности. А затем в прошлом году эти новости прекратились, но при этом было объявлено о приближении к квантовому превосходству.

Предположим, что Google удалось то, чего еще никто не достиг, — значительное повышение стабильности кубитов. Это означает, что и остальным удастся то же самое, если это уже не произошло.

После достижения квантового превосходства закономерно продолжится работа над созданием мощных квантовых компьютеров, которые взломают большую часть шифров, защищающих данные во всем мире.

Это означает, что HTTPS, TLS, Wi-Fi, цифровые сертификаты, аутентификационные токены FIDO, а также криптовалюты и другие блокчейны скоро будут взломаны или уже взломаны. Можно также предположить, что правительства перехватывают и сохраняют «защищенный» трафик противников в ожидании дня, когда появится возможность прочитать их секреты. Может быть, квантовое превосходство Google — это розыгрыш или поспешное заявление, но вряд ли. В любом случае, в организациях пришло время начать всерьез задумываться о планах миграции на постквантовые криптографические алгоритмы.

Источник