Квантовая криптография позволяет успешно защищаться от атак с целью прослушивания.

При помощи физических методов квантовая криптография пытается решить то, что математике оказалось не под силу: осуществление передачи данных при доказуемой небольшой вероятности прослушивания. Первые практические устройства уже появились, хотя большинство публикаций до сих пор составляют научные статьи.

Надежный обмен конфиденциальной информацией через Internet нельзя представить без шифрования. Однако криптография сталкивается с двумя основными проблемами: во-первых, до сих пор не доказана (с одним едва ли применимым исключением) надежность алгоритмов шифрования, а во-вторых, необходимый обмен секретными ключами, как правило, производится по незащищенным от прослушивания линиям. «Едва ли применимым исключением» является «одноразовый блокнот» (One-Time Pad), когда ключ должен быть «действительно случайным», а его длина равна длине незашифрованного текста (см. врезку «Одноразовый блокнот»).

Естественно, сразу же приходится решать, каким образом передать получателю столь длинный ключ. Поэтому «одноразовый блокнот» используется лишь в особых случаях, когда ключ может быть доставлен курьером. На практике распространены более короткие ключи и алгоритмы, например 3DES, Twofish и AES, у которых, несмотря на все старания, пока еще не найдено ни одного слабого места. При передаче ключей применяется шифрование с помощью открытых ключей (Public Key Cryptography, PKC) с опорой на все тот же «принцип надежды»: такие математически сложные задачи, как факторизация или вычисление дискретных логарифмов больших чисел, по всей видимости, лежат за пределами возможностей вычислительной техники.

Однако пугаться не стоит. По всей видимости, алгоритмы, считающиеся надежными, еще долгое время будут таковыми оставаться, в том числе и PKC. Тем не менее когда-нибудь появятся большие квантовые компьютеры, и тогда прекрасный мир PKC вместе с его криптографией и эллиптическими кривыми разрушится. Впрочем, у каждой медали есть две стороны, и «разрушительная» квантовая физика предлагает, кроме всего прочего, возможность надежной передачи ключей. По крайней мере, до тех пор, пока действуют известные нам законы природы. В отличие от все еще гипотетических квантовых компьютеров речь идет о принципах, которые уже вполне можно использовать на практике.

КАЖДОЕ ИЗМЕРЕНИЕ БУДЕТ ЗАМЕЧЕНО

Новое чудесное оружие называется квантовой криптографией. Тайный перехват данных при использовании этой технологии становится практически невозможен. Основная мысль, в принципе, проста: любое измерение влияет на измеряемый объект и принципиально связано с неопределенностью. Это означает, что один-единственный фотон может быть измерен лишь при его поглощении, и даже тогда его состояние определяется только с некоторой заданной вероятностью. Для прослушивания потока данных, где каждый фотон соответствует биту, пришлось бы перехватывать все фотоны и отправлять новые, поскольку кванты неделимы. Но поскольку достоверно определить состояние фотонов невозможно, злоумышленник обязательно оставит следы, которые заметит получатель. В противовес этому интенсивность света при обычной передаче данных по оптическому волокну столь сильна, что на каждый передаваемый бит приходится слишком много фотонов. Таким образом, становится возможным «присвоить» несколько из них по ответвлению для целей прослушивания.

Итак, речь не о том, чтобы предотвратить нежелательное «любопытство», а о том, чтобы достоверно установить его факт. Посредством квантовой криптографии передаются не секретные данные, а лишь случайные числа, не несущие осмысленной информации для постороннего. Лишь когда накоплено достаточное количество случайных чисел, относительно которых достоверно известно, что они не прослушивались, их используют в качестве криптографического ключа. В таком случае говорят о «квантовом распределении ключей» (Quantum Key Distribution, QKD).

ПОЛЯРИЗАЦИЯ И СЦЕПЛЕНИЕ

Начало квантовой криптографии было положено исследованиями Бенетта и Брассарда в 1984 г., поэтому наиболее популярным протоколом сегодня является ВВ84, достаточно хорошо описанный в [6], а также [1] и [5]. Он использует поляризацию фотонов. Свет, колеблющийся только в одной плоскости, называется (линейно) поляризованным, а вертикально установленный поляризационный фильтр не пропускает горизонтально поляризованный свет. Если же плоскость колебаний фотона отклонена от вертикали на 450, то он пройдет через фильтр с вероятностью в 50%. Его состояние нельзя определить, есть лишь одна попытка.

В теории протокол работает следующим образом. Отправительница Элис посылает получателю Бобу отдельные фотоны, для каждого из которых они устанавливают свои фильтры под углом 0, 45, 90 или 1350 — случайным образом и независимо друг от друга. Затем по (возможно) прослушиваемому, но защищенному от подделки каналу происходит обмен информацией о том, на каком именно фотоне установлена комбинация 0/900 или 45/1350 (т. е. в сообщении значится «0 или 90» либо «45 или 135»). Если оба поляризатора были параллельны или перпендикулярны друг другу, то Боб мог определить плоскость поляризации фотона, в противном случае — нет (процент пропускания — 50). В дальнейшем применяются только измерения первого случая.

На следующем шаге и тот и другой выбирают из пригодных измерений случайное (!) подмножество и сравнивают результаты. В идеальном случае все измеренные направления поляризации должны совпадать. Если кто-то пытался подслушивать — что по физическим причинам влечет за собой поглощение и новое излучение фотонов, — то отклонение будет тем вероятнее, чем больше измерений использовалось для проверки. Каждый поглощенный и излученный при прослушивании фотон с вероятностью в 25% станет источником ошибки. В случае 100 фотонов вероятность того, что факт прослушивания не будет обнаружен, составляет одну 30-миллиардную долю процента. Если Элис и Боб уверены в отсутствии «слежки», то при помощи оставшихся «хороших» измерений они формируют ключ, который может использоваться для симметричных методов, как AES, или — при достаточной длине — для «одноразового блокнота».

Известная поговорка гласит: в теории почти нет отличий между теорией и практикой, на практике — есть. Фотон невозможно гарантированно отправить в точно определенный момент времени; в действительности случаются потери, ошибки в измерениях и очень сильные помехи из-за «нежелательных» фотонов. Тем удивительнее тот факт, что Генф и Лозанна, удаленные друг от друга на 67 км, уже соединены волоконно-оптическим каналом с квантовым шифрованием. Toshiba в Кембридже удалось достигнуть на 100-километровой волоконно-оптической линии скорости 15 бит/с. Однако наилучшие результаты показаны на построенной при помощи телескопа и лазера воздушной линии передачи протяженностью 23,4 км между горами Карвендель и Цугшпитце. Эта технология подробно описана в [6]; там же, а кроме того, и в [5, глава 5.8] рассказывается о проблемах, которые пришлось преодолеть: рассеивание, посторонний свет, преломление и фазовое искажение вследствие турбулентности и т. д. Всего перечисленного можно избежать лишь посредством точной фокусировки, резких спектральных фильтров, синхронизирующих и измерительных импульсов с последующими временными окнами длиной в наносекунды и т. п. При этом следует помнить, что в отличие от других попыток речь идет о соединении между горными вершинами, а не об опытах в лабораторных условиях. Устройства были установлены в горах на открытом воздухе (хотя эксперименты проводились ночью при хорошей видимости). Достигнутая скорость передачи данных (применительно к генерируемым ключам) превысила 400 бит/с — т. е. подходит, скорее, для AES, чем для «одноразового блокнота».

Еще одним сложным для непосвященных принципом являются сцепленные фотоны. Это пары фотонов, которые излучаются совместно, но, разлетаясь в разные стороны, тем не менее не различаются между собой. В тот же момент, когда измерения проводятся над одним фотоном, определенное состояние принимает и второй. Т. е. невозможно измерить лишь один из фотонов без оказания влияния на второй [1, глава 7]. Таким образом, прослушивающий непременно обнаружит себя. Многие источники утверждают, что подобные методы — дело далекого будущего, однако «никогда не говори «никогда»: в апреле 2003 г. в Вене при помощи парных фотонов впервые был защищен перевод денег.

ПРИМЕНЕНИЕ И БЕЗОПАСНОСТЬ

Принцип QKD выглядит заманчиво, на это и делают ставку его сторонники. Однако ясно, что безопасность такого рода может быть обеспечена лишь в случае соединения между двумя фиксированными точками. Для отдельных квантов, в особенности фотонов, нельзя применять никаких усилителей. Достигнутая дальность передачи в 100 км по оптическому волокну удивительна, однако практически значимая сеть QKD должна иметь повторители, а значит, создается точка для атаки, особенно если на повторителе имеется программное обеспечение.

Путь «по воздуху» заслуживает большего доверия, потому что с повышением высоты атмосфера становится все менее плотной и турбулентность убывает, а «квантовый канал» со спутником будет не более подвержен помехам, как и двухкилометровый канал на земле. Эта техническая проблема в ближайшие годы будет, безусловно, решена. Спутник может сохранять ключ и распределять его по всей планете. Если рассуждать здраво, схожий уровень безопасности может быть достигнут при помощи спутника и импульсов со слабой светосилой, что не оставляет ни малейшего шанса для прослушивания. Однако насколько можно доверять производителю спутника? Кроме того, подобные соединения требуют хорошей видимости.

Независимо от технических особенностей нельзя забывать, что QKD защищает лишь часть длинной цепочки передачи информации: он заменяет уже проявившее себя PKC, надежность которого, впрочем, все еще не доказана, на физически защищенную передачу. Между тем, как следует из [2], ведутся поиски уязвимости всей системы. Кванты нельзя разделить, но можно использовать недостатки излучающей и приемной аппаратуры. До сих пор эта тема не обсуждалась, поскольку разработчики занимались в большей степени базовыми принципами, чем практическими недочетами. Так началось соперничество между конструкторами и злоумышленниками — до сих пор противоборствующими сторонами были криптографы и криптоаналитики. За кем останется победа — неизвестно.

Нерешенным остается еще один вопрос: канал, по которому Элис и Боб обмениваются, к примеру, положениями фильтров, должен быть защищен от подделки. Каждый из них может снабжать свое сообщение цифровой подписью, для чего должно использоваться PKC, а оно все еще считается не достаточно безопасным! Либо можно прибегнуть к НМАС [4], причем понадобится знание общего секретного ключа. И зачем тогда нужна квантовая криптография? В результате остается единственный вариант — физическая проверка канала. Эти риски уравновешивают выигрыш в безопасности от QKD по сравнению c PKC. В качестве недорогой альтернативы возможна передача нескольких ключей по разным маршрутам, а потом их объединение при помощи «исключающего ИЛИ».

Однако одно преимущество устройства QKD все же предлагают: криптографически надежное (поскольку сгенерировано по законам квантовой механики) случайное число может быть предложено немедленно. С другой стороны, владельцу устройства QKD практически не в состоянии его проверить. Атаки типа «отказ в обслуживании» также провести намного проще, чем в случае с классическими маршрутами передачи.

QKD КАК ПРОДУКТ

Продукты для квантово-криптографической передачи ключа предлагают сегодня две компании: Quantique из Генфа, основанная в 2002 г., и Matiq из Бостона, созданная в декабре 2003 г. В компании NEC считают, что, хотя на данный момент рынка QKD как такового нет, рано или поздно он появится. В первую очередь, в нем нуждаются институты с высокими требованиями к безопасности: дипломатия, войска, финансовые учреждения и т. п. Возможно, соединение с квантовым шифрованием уже связывает Белый дом и Пентагон. В таких структурах, естественно, сначала анализируется безопасность всей системы, поэтому QKD дает определенный выигрыш. Пользу и успех на более широком рынке оценить трудно — оптимизм ряда сайтов представляется преждевременным.

Рейнхард Вобст — независимый автор. С ним можно связаться по адресу: wj@lanline.awi.de.


Одноразовый блокнот

Пусть секретное сообщение Р состоит из n бит. Отправитель и получатель знают одну и ту же секретную последовательность S из n случайных бит, которой они обмениваются заранее. Отправитель шифрует Р путем применения побитовой операции «исключающее ИЛИ» к Р и S:

С = P (+) S

Получатель повторяет эту процедуру и получает:

С (+) S = P (+) S (+) S = P

Если S «действительно случайно» — никоим образом не предсказуемо и без какой-либо зависимости битов друг от друга, — тогда этот метод доказуемо надежен (любой незашифрованный текст длины n при помощи специального ключа S может быть получен из заданного зашифрованного текста С). Однако на практике почти всегда возникают проблемы с длиной ключа S: каким образом осуществлять его передачу?


Литература
  1. Вильямс К. П., Клируотер С. Г. «Абсолютный ноль и единица» (C.P.Williams, S.H.Clearwater, Ultimate Zero and One; Copernicus/Springer Verlag New York 2000).
  2. http://www.vad1.com/qcr (Криптографический анализ).
  3. http://www.aip.org/tip/INPHFA/vol-10/iss-6/p22.html (Состояние техники).
  4. Шнайер Б. «Прикладная криптография» (B. Schneier, Angewandte Kryptografie. — Addison-Wesley, 1996).
  5. Вобст Р. «Криптологическое приключение» (R. Wobst, Abenteuer Kryptologie. — Addison-Wesley 2001).
  6. scotty.quantum.physik.uni-muenchen.de/ publ/matthaeus-diplom.pdf.
  7. Вобст Р. «Миф о квантовых компьютерах» (R. Wobst, Mythos Quantencomputer. — UNIX/open 2/02 и 3/02 (http://www.awi.de > LinuxJournal > полнотекстовый поиск).
  8. Каллендер П. «NEC увеличивает диапазон и скорость квантовой криптографии» (P. Kallender, NEC extends quantum cryptography range and speed. — IDG News Service. 17/09/2004).

? AWi Verlag