ОГЛАВЛЕНИЕ

Квантовая криптография: дорогая игрушка или технология будущего?
А. Винокуров
Технологии и средства связи № 5, 2003
Телекоммуникации и проблемы защиты данных
Уже мало кто сомневается в том факте, что незадолго до начала XXI века человечество вступило в новую технологическую эпоху - эру информационных технологий. IT-индустрия, занимающаяся вопросами производства, обработки, хранения и передачи информации, стала неотъемлемой частью мировой хозяйственной системы, вполне самостоятельным и довольно значительным сектором экономики. Зависимость современного общества от информационных технологий настолько высока, что сбои в информационных системах способны привести к значительным инцидентам в "реальном" мире.
Телекоммуникации - ключевая отрасль для информационных технологий, ведающая вопросами транспортировки информации. Однако именно при транспортировке информация более всего уязвима к различного рода злоупотреблениям. Действительно, узлы хранения и обработки данных ввиду их компактности можно физически защитить от доступа злоумышленников, чего не скажешь о линиях связи протяженностью многие сотни или тысячи километров -защитить их практически невозможно. Поэтому именно в телекоммуникационной сфере весьма актуальна проблема защиты информации.
Эта проблема была осознана еще в древние времена, когда в качестве канала связи выступал курьер, везущий письменное сообщение. Исторически первой задачей защиты информации стало обеспечение секретности данных в каналах связи, то есть защита этих данных от ознакомления с ними лиц, для которых они не предназначены. Тогда же были разработаны и средства защиты информации, среди которых важнейшую роль играет криптография.
Привлекательность криптографических методов состоит в том, что в отличие от других подходов они основаны на преобразовании самой информации и никак не связаны с характеристиками ее материальных носителей, вследствие чего наиболее универсальны и потенциально дешевы в реализации.
И хотя сейчас криптография используется для решения большого числа разных проблем, например для подписи цифровых данных или вручения сообщения "под расписку", обеспечение секретности до сих пор считается главной задачей криптографии и решается шифрованием передаваемых данных, то есть преобразованием к виду, в котором данные не могут быть адекватно прочитаны и интерпретированы посторонними. Получатель сможет восстановить данные в исходном виде, только владея секретом такого преобразования, недоступным всем остальным. Согласно принципу Керкхоффа, в соответствии с которым строятся все современные криптосистемы, секретной частью шифра является его ключ - отрезок данных определенной длины. Этот же самый ключ требуется и отправителю для шифрования сообщения. В данном случае речь идет о симметричных или одноключевых шифрах.
Проблема распределения ключей в криптографии
Указанный подход порождает своего рода замкнутый круг: чтобы разделить секрет (передаваемое сообщение) отправитель и получатель уже должны обладать общим секретом (ключом шифрования). Раньше данная проблема решалась некриптографическим методом - передачей ключа по физически защищенным от прослушивания каналам связи (рис. 1). Однако создание подобного канала и поддержание его в оперативной готовности на случай экстренной необходимости передачи ключа является довольно трудоемким и затратным делом. Поэтому в условиях постоянно возрастающей интенсивности информационных потоков такой способ распределения ключей становился все менее приемлемым и удовлетворительным.

Рис. 1. Схема защиты информации с помощью симметричного шифрования и физически защищенного канала связи для распределения ключей
Проблема была успешно разрешена в рамках возникшей чуть более четверти века назад современной криптографии", называемой так в противовес уже известной к тому моменту "традиционной криптографии" [1]. Решение заключается в использовании асимметричных (двухключевых) шифров или схем распределения ключа по открытым каналам связи.
В первом случае процедуры за- и расшифрования выполняются на разных ключах, поэтому нет надобности держать ключ зашифрования в секрете. Однако из-за крайне низких характеристик эффективности и подверженности некоторым специальным видам атак такие шифры оказались малопригодны для закрытия непосредственно пользовательской информации. Вместо этого асимметричные шифры используются в составе комбинированных схем, когда массив данных шифруется симметричным шифром на разовом ключе, который в свою очередь шифруется двухключевым шифром и в таком виде передается вместе с данными.
Схемы распределения ключей по открытым каналам связи решают ту же проблему несколько иным способом: в ходе сеанса взаимодействия два корреспондента вырабатывают общий секретный ключ, который затем используется для зашифрования передаваемых данных симметричным шифром. Причем перехват информации в канале во время сеанса выработки такого ключа не дает противнику возможности получить сам ключ: K=K(X,Y) невычислимо (рис. 2).

Рис. 2. Распределение ключей по открытым каналам связи с использованием асимметричной криптографии
Проблемы асимметричной криптографии
На сегодняшний день асимметричная криптография вполне успешно решает задачу распределения ключей по открытым каналам связи. Тем не менее существует несколько проблем, вызывающих определенное опасение за ее будущее. Стойкость всех схем асимметричной криптографии основана на невозможности эффективного вычислительного решения ряда таких математических задач (так называемых NP-проблем), как факторизация (разложение на множители) больших чисел и логарифмирование в дискретных полях большого размера. Но указанная невозможность является всего лишь предположением, которое в любой момент может быть опровергнуто, если будет доказана противоположная ему гипотеза, а именно NP=P. Это привело бы к краху всей современной криптографии, так как задачи, на нерешаемости которых она базируется, достаточно тесно связаны, и взлом даже одной криптосистемы будет означать взлом большинства других. В этом направлении ведутся интенсивные исследования, однако проблема до сих пор остается открытой.
Другая угроза современным криптосистемам исходит от так называемых квантовых компьютеров - устройств обработки информации, построенных на принципах квантовой механики, идея которых впервые была предложена известным американским физиком Р. Фейнманом. В 1994 г. П. Шор предложил алгоритм факторизации для квантового компьютера, который позволяет разложить число на множители за время, зависящее полиномиальным образом от размера числа [2]. А в 2001 г. этот алгоритм был успешно реализован на созданном специалистами фирмы IBM и Стэнфордского университета первом действующем макете квантового вычислителя [3].
По оценкам специалистов, квантовый компьютер, способный взломать криптосистему RSA, может быть создан примерно через 15-25 лет.
Еще одним неприятным фактом в асимметричных криптосистемах является то, что минимальный "безопасный размер" ключей постоянно растет вследствие прогресса в соответствующей области. За всего четвертьвековую историю таких систем он вырос уже примерно в 10 раз, тогда как за этот же период для традиционных симметричных шифров размер ключа изменился менее чем вдвое.
Все вышеперечисленное делает долгосрочные перспективы систем асимметричной криптографии не вполне надежными и вынуждает искать альтернативные способы решения тех же самых задач. Некоторые из них могут быть решены в рамках так называемой квантовой криптографии, или квантовой коммуникации.
Основы квантовой криптографии
Квантовая криптография - это сравнительно новое направление исследований, позволяющее применять эффекты квантовой физики для создания секретных каналов передачи данных [4]. С чисто формальной точки зрения данное направление нельзя назвать разделом криптографии, скорее, оно должно быть отнесено к техническим методам защиты информации, так как в квантовой криптографии в основном используются свойства материальных носителей информации. Указанный факт находит свое подтверждение еще и в том, что основной прогресс в данной области достигается инженерами-физиками, а не математиками и криптографами. Тем не менее термин "квантовая криптография" вполне устоялся и используется наряду с более корректным аналогом - "квантовая коммуникация".
В квантовой криптографии используется фундаментальная особенность квантовых систем, заключающаяся в принципиальной невозможности точного детектирования состояния такой системы, принимающей одно из набора нескольких неортогональных состояний. Это вытекает из факта, что достоверно различить подобные состояния за одно измерение не получается. Например, нельзя определить длину отрезка в пространстве только по его проекции на одну ось, а более одного измерения сделать невозможно, потому что после первого же измерения система непредсказуемым образом изменяет свое состояние. Кроме того, в квантовой механике справедлива теорема о запрете точного клонирования систем, что делает невозможным изготовление нескольких копий исследуемой системы и последующее их тестирование.
Для начала рассмотрим работу идеального квантового канала [5], принцип действия которого предполагает, что приемно-передающая аппаратура и каналы связи идеальны. В качестве носителей информации в квантовой криптографии, как правило, используются отдельные фотоны, или связанные фотонные пары. Значения 0 и 1 битов информации кодируются различными направлениями поляризации фотонов. Для передачи сигнала отправитель случайным образом выбирает один из двух или в некоторых схемах из трех взаимно неортогональных базисов. При этом однозначно правильное детектирование сигнала возможно, если только получатель правильно угадал базис, в котором отправитель подготовил сигнал. В случае, если базис угадан неверно, исход измерения не определен. На рис. 3 показано, что получатель пытается детектировать сигнал 10 (квант, поляризованный вдоль оси Y0) в неверном базисе 1 (оси X1, Y1, повернуты на 45°), в итоге он может получить с равной вероятностью как 0, так и 1, то есть результат измерения полностью недостоверен.

Рис. 3. Использование квантовых эффектов для секретной передачи данных
Поскольку отправитель выбирает базис случайным образом, получатель неизбежно будет ошибаться в выборе базиса детектирования, и часть измерений окажется неверной. Затем получатель и отправитель проводят обсуждение исходов передачи по аутентичному, но, возможно, несекретному каналу связи. Что именно при этом передается зависит от использованного квантового протокола, но в любом случае указанная информация позволяет корреспондентам исключить случаи, когда получатель неверно угадал базис, и не дает противнику никаких сведений относительно правильно переданных данных.
Если противник попытается подслушать информацию, передаваемую через квантовый канал, то он, так же как и получатель, будет неизбежно ошибаться в выборе базиса. Поскольку квант, несущий информацию, при детектировании разрушается, противник испускает новый квант, поляризованный тем или иным образом в использованном им базисе. В определенных случаях этот базис не будет совпадать с тем, который использовался отправителем, что приведет к искажению данных. Наличие искажений будет обнаружено в ходе сверки корреспондентами выработанного общего отрезка данных, и это будет означать попытку прослушивания.
Таким образом, системы квантовой криптографии обладают рядом принципиальных особенностей. Во-первых, нельзя заранее сказать, какой из передаваемых битов будет корректно принят получателем, так как этот процесс носит вероятностный характер. Во-вторых, существенной особенностью системы является использование низкоэнергетических импульсов, в идеале состоящих из одного фотона, что сильно снижает скорость передачи по тому же каналу в сравнении с обычным уровнем оптических сигналов. В силу указанных причин квантовый канал связи малопригоден для передачи пользовательских данных, а больше подходит для выработки ключа симметричного шифра, который будет использован корреспондентами для зашифрования передаваемых данных. В этом отношении он подобен асимметричному шифрованию или схемам открытого распределения ключей.
Проблемы реальных систем квантовой криптографии
В идеальных системах квантовой коммуникации перехват данных невозможен, так как он моментально обнаруживается участниками обмена по возникающим ошибкам в передаче. Однако реальные системы отличаются от идеальных.
Во-первых, аппаратура участников информационного обмена несовершенна, что приводит к появлению ошибок приема-передачи. В этих обстоятельствах наличие определенного уровня ошибок не должно восприниматься системой как попытка подслушивания. А наличие собственного фона ошибок позволяет противнику осуществлять перехват, маскируя неизбежно возникающие при этом искажения под собственные ошибки системы.
Во-вторых, в реальных линиях передачи существует затухание сигнала, что вынуждает отправителя увеличивать мощность импульса, т.е. число фотонов в нем, либо приводит к потере части импульсов в канале. В первом случае, если импульс содержит много фотонов, поляризованных одинаковым образом, с помощью светоделителя от него можно сделать отвод и тестировать уже его, не трогая основной сигнал. Понятно, что такой перехват следует осуществлять как можно ближе к отправителю - там уровень сигнала выше (рис. 4). Во втором случае затухание сигнала приводит к увеличению общего уровня ошибок, и у противника увеличиваются шансы замаскировать перехват под собственные ошибки системы.

Рис. 4. Использование многофотонных импульсов для передачи сигнала делает возможным перехват данных путем "отвода" части фотонов
В-третьих, у противника есть лучшая стратегия перехвата, чем простое угадывание базиса. Дело в том, что законы квантовой механики запрещают лишь идеальное клонирование квантовой системы, неидеальное клонирование при этом остается возможным. В настоящее время доказана теоретическая возможность успешного однократного копирования состояния квантовой системы с вероятностью успеха 5/6, а с ростом числа копий эта вероятность снижается до 2/3. Эксперименты по клонированию фотонов показывают результат, близкий к предсказанному теорией. Это дает противнику возможность копировать фотон и затем анализировать его поляризацию в двух различных базисах. Конечно, при этом будут возникать ошибки, но их уровень будет ниже, чем при простом угадывании базиса. И если базис окажется сопоставим с собственным фоном ошибок системы, прослушивание становится возможным. Поэтому в распоряжении противника всегда есть возможность перехватить какую-то часть передаваемых битов, замаскировав неизбежно сопровождающие такой перехват ошибки под собственные ошибки системы.
Для отсеивания собственных ошибок в реальных системах квантовой криптографии необходимо применять различные протоколы коррекции, а для снижения значимости перехваченных противником битов нужно использовать процедуру усиления секретности. Для этого проще всего вырабатывать несколько "слепков" ключа, а итоговый рабочий ключ получать простым побитовым суммированием по модулю 2 этих "слепков". Тогда, чтобы наверняка определить хотя бы один бит ключа, злоумышленнику нужно знать соответствующие биты во всех "слепках". Другой возможный способ заключается в том, чтобы вырабатывать ключи из сформированного битового вектора с помощью хэш-функций.
Таким образом, в отличие от идеальных реальные системы квантовой коммуникации не способны обеспечить абсолютную секретность передаваемых данных. Это обусловлено наличием у них фона собственных ошибок, под которые можно замаскировать попытки перехвата, а также затуханием в каналах связи из-за необходимости использования многофотонных импульсов. Последнее делает возможным неразрушающий перехват данных и является практически неустранимым фактором, так как качество каналов не всегда поддается контролю, например в радиоканале между наземным центром управления и низкоорбитальным спутником.
Настоящее и будущее квантовой криптографии
Вышеперечисленные проблемы реальных систем квантовой коммуникации требуют принятия специальных мер. Решить проблему многофотонного импульса можно путем изменения способа кодирования сигнала. Например, предложены схемы, в которых число фотонов в импульсе (то есть его энергия) является одним из параметров состояния квантовой системы и его изменение при "отводе" части квантов становится обнаруживаемым.
Для борьбы с ошибками системы используются различные коды коррекции, а для снижения значимости перехваченных битов - процедура усиления секретности. Кроме того, могут приниматься дополнительные меры защиты чисто технического характера. Так, трудность перехвата сигнала можно существенно увеличить, распараллелив его на несколько путей распространения, как в интерферометре Маха - Цендера. Возможны и более сложные схемы, в которых распараллеленный сигнал мультиплексируется по времени в один канал связи [6]. Эти меры никак не ограничивают теоретическую возможность перехвата данных, но чрезвычайно осложняют практическое осуществление такого перехвата, делая его технически невозможным на данный момент времени.
На пути практической реализации систем квантовой коммуникации возникает ряд таких технических трудностей, как разработка стабильных источников одиночных фотонов и детекторов одиночных фотонов, которые были бы работоспособны в обычном диапазоне температур и не нуждались в охлаждении жидкими газами. Кроме того, для реального использования важно создание так называемых plug&play-систем, начинающих работать сразу после включения и не нуждающихся в сложной юстировке аппаратуры. Все эти задачи необходимо решить, чтобы перейти от экспериментальных установок к промышленным образцам.
В настоящее время уже несколько фирм (например, компании id Quantique, Magic Technologies) предлагают первые коммерческие системы квантового распределения ключей [7, 8]. Эти системы имеют сходные характеристики: использование оптоволокна в качестве среды передачи, максимальная дальность связи в несколько десятков километров и невысокая скорость выработки ключа (порядка единиц килобит в секунду). С технической точки зрения эти системы еще весьма далеки от совершенства. Основное неудобство в их использовании: необходимость применения сложной физической аппаратуры, которая должна быть заранее размещена у корреспондентов, и ограничение среды передачи данных оптическими каналами. Это делает установку канала "по требованию" практически невозможной: как, например, установить аппаратуру на низкоорбитальном спутнике, если он был запущен без нее или старая аппаратура вышла из строя?
Очевидно, что по массовости применения системы квантовой коммуникации еще очень не скоро смогут приблизиться к асимметричной криптографии: по крайней мере до тех пор, пока возможный прорыв в квантовых вычислениях либо в теории вычислительной сложности не изменит ситуацию. Скорее всего, этот процесс займет не один десяток лет, и вполне вероятно, что мы станем свидетелями постепенного проникновения квантовой криптографии на рынок средств защиты информации, начиная с верхних сегментов этого рынка. Однако уже сейчас системы квантовой коммуникации могут найти применение для защиты особо важных каналов связи или информационных магистралей между крупными центрами обработки данных, то есть там, где чрезвычайно высоки требования к стойкости или очень велик трафик.
Литература
1. Diffie W., Hellman M. New Directions in cryptography // IEEE Transactions on Information Theory ГГ-22. Vol. 6. Nov. 1976.
2. Shor P.W. Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer // Proc. the 35th Annual Symp. FOCS. 1994.
3. Lieven M.K. et al. Experimental realization of Shor's quantum factoring algorithm using nuclear magnetic resonance// Nature 414. 20-27 Dec. 2001:
4. Bennett C., Brassard G. Quantum Cryptography, Public key distribution and coin tossing// Proc. Int. Conf. Computer Systems and Signal Processing. Bangalore. 1984.
5. Bennett C.H. et al. Experimental quantum cryptography // Journal of Cryptology. Vol. 5. № 1,1992.
6. Muller A. et al. Plug-and-play systems for quantum cryptography//Appl, Phys.Lett. Vol. 70. № 7.1997.
7. www.idquantique.com.
8. www.magiqtech.com.
Об авторе: А.Ю. Винокуров, главный эксперт ММВБ



ОГЛАВЛЕНИЕ