Как интернет защищает информацию и почему эту защиту скоро разрушат квантовые компьютеры

Передавать информацию по интернету — опасно. Когда мы расплачиваемся за товары банковской картой или отправляем письма по электронной почте, то надеемся, что наши данные не попадут в руки злоумышленников.

И интернет действительно спроектировали так, чтобы он защищал чувствительную информацию: для этого между клиентами и серверами создаются безопасные каналы связи. Например, когда мы просматриваем в браузере веб-страницу, в адресной строке рядом с URL-адресом часто появляется значок в виде маленького замочка. Это означает, что обмен данных ведётся по защищённому протоколу HTTPS (S как раз и означает Secure).

Как это работает? Когда информация передаётся от пользователя к сайту и обратно, она проходит через узлы интернет-сети. Теоретически на каждом узле её могут перехватить злоумышленники. Чтобы не допустить этого, каждый фрагмент данных (пакет) шифруется — так, чтобы при перехвате его невозможно было прочитать. Для шифрования используется криптографический протокол TLS — как и в электронной почте, IP-телефонии и интернет-мессенджерах.

TLS — надёжный протокол защиты информации, он основан на продвинутых криптографических алгоритмах, взломать которые непросто даже с помощью мощных суперкомпьютеров. Но учёные, как обычно, бьют тревогу: вся эта навороченная система защиты данных рухнет с появлением квантовых компьютеров — и тогда банковские счета, письма, история переписки в соцсетях и даже криптовалютные кошельки окажутся уязвимы для злоумышленников. Разберёмся, как устроен протокол TLS, в чём фишка квантовых компьютеров и существуют ли надёжные системы шифрования, которые способны устоять перед бозонами Хиггса современной Computer Science.

Как протокол TLS защищает информацию

TLS использует шифрование с ключом: с помощью специального математического алгоритма он преобразует информацию, понятную для человека (например, текст), в нечитаемый набор символов. А расшифровать её может лишь то устройство, у которого есть специальный ключ. При этом безопасность системы шифрования зависит не столько от секретности алгоритма, сколько от секретности ключа.

Шифрование с ключом в сети бывает трёх видов: симметричное, асимметричное и гибридное. Расскажем о них подробнее.

Симметричное шифрование

При симметричном шифровании один и тот же ключ используется и для шифрования, и для расшифровки информации.

Протокол TLS использует алгоритм симметричного шифрования AES, который сегодня считается самым надёжным и популярным. AES формирует ключи длиной 128, 192 или 256 бит в зависимости от уровня секретности. По сути, это очень длинные пароли, которые практически невозможно взломать методом перебора. Так, 128-битный ключ имеет 2¹²⁸ комбинаций — их перебор даже с помощью суперкомпьютеров займёт около 150 триллионов лет.

AES помогает шифровать файлы и мобильные приложения, обеспечивает безопасность сайтов, Wi-Fi, VPN и других технологий. Даже правительственные организации США используют его для шифрования секретной информации.

Симметричные алгоритмы не требуют большой мощности компьютера для шифрования и расшифровки и не снижают скорость интернета. Однако у них есть серьёзный недостаток: раз и на передающем, и на принимающем устройстве используется один и тот же ключ, злоумышленник может перехватить его — например, в момент передачи, — а затем использовать его для расшифровки данных. Избежать этой проблемы позволяют асимметричные схемы шифрования.

Асимметричное шифрование

Асимметричное шифрование работает не с одним, а с двумя математически связанными ключами. Первый, открытый, ключ, используется для шифрования информации, второй, закрытый, — для расшифровки.

Информация шифруется так:

• Владелец ключей сообщает открытый ключ отправителю информации, не заботясь о его секретности. Закрытый ключ он сохраняет в тайне.
• Отправитель шифрует своё послание открытым ключом и отправляет по незащищённому каналу. Даже если ключ перехватят, расшифровать данные не сможет никто, кроме владельца закрытого ключа.

Закрытый ключ владелец не сообщает никому, даже отправителю информации. Так обеспечивается безопасность шифрования.

Сегодня самым надёжным алгоритмом асимметричного шифрования считается RSA, созданный американскими учёными ещё в 1977 году. В нём используются математические вычисления, которые легко провести в одном направлении, но очень трудно восстановить обратную последовательность действий.

Например, чтобы создать ключи, берутся два огромных простых числа по 1024 бита и перемножаются между собой. Разложить их произведение обратно на множители практически невозможно — даже мощные суперкомпьютеры боятся таких задач.

Но это только распаляет энтузиастов. Для многих учёных взлом алгоритма RSA стал своеобразным хобби. В 1977 году создатели RSA зашифровали фразу «The Magic Words are Squeamish Ossifrage» («Волшебные слова — это брезгливый ягнятник») 500-значным ключом и пообещали 100 долларов за её расшифровку — награда нашла героя лишь в 1995 году.

Для взлома шифра 600 добровольцев из разных стран в течение восьми месяцев жертвовали время 1600 компьютеров. В итоге ключ взломали, потратив больше тысячи лет машинного времени, а выигранные 100 долларов победители отдали Фонду свободного программного обеспечения. То-то Ричард Столлман порадуется :)

В 2010 году был взломан ключ с разрядностью 232 десятичных знака, или 768 бит. А последний рекорд установили в 2019 году французские учёные: им удалось разложить на простые числа ключ из 240 десятичных разрядов (765 бит). Считалось, что на его расшифровку потребуется 35 млн лет компьютерного времени, но учёные уложились в 4000 лет. Для этого они задействовали огромную сеть компьютеров из Франции, Германии и США.

Сейчас на практике используется стандарт RSA с ключами длиной более 2048 бит — на современных компьютерах такие ключи взломать практически невозможно.

Гибридное шифрование

Однако и у асимметричного шифрования есть ахиллесова пята — из-за сложных вычислений ключи генерируются медленно и потребляют немало компьютерных ресурсов. Симметричное шифрование — гораздо быстрее, но для передачи ключа требуется защищённое соединение.

Чтобы преодолеть эти недостатки, в протоколе TLS используется гибридное шифрование:

• Отправитель с помощью симметричного ключа шифрует отправляемую информацию, а сам симметричный ключ он шифрует открытым асимметричным ключом. Зашифрованную информацию и ключ он отправляет получателю.
• Получатель своим закрытым ключом сначала расшифровывает симметричный ключ, а уже расшифрованным ключом расшифровывает и переданную информацию.

Такая схема сочетает достоинства симметричного и асимметричного шифрования, но лишена их недостатков — ведь ключ фиксированной длины зашифровать гораздо легче, чем набор данных. Получается и быстро, и безопасно.

Почему квантовые компьютеры «выщелкнут» все интернет-шифры

В привычных нам компьютерах вычисления основаны на битах, которые могут принимать значение 0 или 1. Бит можно сравнить с лампочкой: 1 — лампочка горит, 0 — погасла. Когда транзисторные компьютеры решают задачу, они постоянно меняют значения битов — переписывают и стирают информацию, чтобы освобождать память. Это занимает время, и сложную задачу компьютер может решать довольно долго.

А в квантовых компьютерах вместо битов используются кубиты. Это элементы, которые могут мгновенно переходить из 0 в 1, а из 1 в 0 — и даже одновременно находиться в двух состояниях. Мы тоже ничего не поняли, но таковы законы квантовой физики :) Это называется суперпозицией. Кубит можно сравнить с лампочкой, которую выключили, а она продолжает моргать, или с одновременно живым и мёртвым котом Шрёдингера.

При вычислениях кубит может находиться сразу во всех своих состояниях, поэтому квантовый компьютер мгновенно перебирает все варианты решения. Судите сами: чтобы взломать алгоритм RSA с 2048-битными ключами, обычному компьютеру понадобятся триллионы лет непрерывной работы. В то же время квантовый компьютер с 4099 стабильными и безошибочными кубитами, выполняющий миллион операций в секунду, взломает его за 10 секунд. Американский учёный Питер Шор даже разработал алгоритм, который позволит это сделать.

Интересно, что симметричная криптография, которая чуть меньше зависит от математики, не так уязвима для квантовых устройств. Для её взлома методов пока нет. А потому с появлением квантовых компьютеров, возможно, достаточно будет лишь увеличить размер ключа — и данные будут защищены.

Однако прямо сейчас у нас не то что не хватает кубитов — нет даже одного просто качественного (стабильно работающего). Что уж говорить о том, чтобы связать их в единую рабочую систему для взлома всего и вся — ведь к ошибке или потере данных может привести любое внешнее воздействие: случайный электромагнитный шум или даже наблюдение.

Самые большие квантовые компьютеры в настоящее время имеют меньше 100 кубит, а их коэффициент ошибок составляет 0,6%. Но главная проблема — время согласованности, то есть время, за которое кубиты теряют свои особые квантовые свойства. А значит, любые вычисления должны завершаться в его пределах. На данный момент время согласованности в среднем составляет 50–90 микросекунд — то есть о вычислениях, которые требуют больше времени, можно забыть. Чтобы сделать кубиты более устойчивыми, производители используют чрезвычайно низкую температуру: −273 °С.

Современные квантовые компьютеры представляют собой шкафы трёхметровой высоты, большую часть которых занимает система охлаждения и экранирования. А сами квантовые чипы с кубитами — размером с ноготь большого пальца.

Плюс чаще всего квантовые компьютеры — это симуляторы, способные решать лишь определённые виды задач. Универсальный компьютер, способный решить любую задачу, пока построить не удалось.

Над созданием квантовых компьютеров работают компании IBM, Microsoft, Google и Intel.

• Первый двухкубитный компьютер был создан в 1998 году в Калифорнийском университете.
• В 2001 году IBM создала 7-кубитный компьютер, на котором был реализован алгоритм разложения числа на множители.
• В 2018 году в Google объявили, что их инженерам удалось построить 72-кубитный квантовый процессор с низкой вероятностью ошибок в вычислениях. Компания не раскрыла подробностей, но утверждает, что он позволяет достичь «квантового превосходства над обычными компьютерами».
• В декабре 2020 года исследователи из Китая заявили, что их квантовый компьютер Jiuzhang смог за несколько минут провести операцию, которая на обычном компьютере выполнялась бы около двух миллиардов лет.
• А в 2021 году IBM представила свой новый квантовый процессор со 127 кубитами.

И пусть готового квантового убийцы безопасного интернета ещё не существует (разве что «Пегий дудочник», но его стёрли создатели), технологии развиваются, и Google предрекает, что уже к 2030 году появятся мощные и экономически выгодные универсальные квантовые ЭВМ.

Их будут использовать для разработки лекарств от тяжёлых болезней, создания новых материалов с уникальными свойствами и решения других важных для человечества задач. А защита информации? Будем надеяться, что к тому времени для неё разработают новые — уже квантовые — методы.