Функционирует при финансовой поддержке Федерального агентства по печати и массовым коммуникациям (Роспечать)

В этом модуле вы узнаете:

• о роли и месте криптографии в современных телекоммуникационных системах;
• о главных уязвимостях сетей передачи данных;
• о квантовых методах, которые могут защитить от прослушивания;
• о принципах работы и устройстве квантовой связи и квантовых сетей.


Квантовые коммуникации (или квантовая криптография) — технология кодирования и передачи данных в квантовых состояниях фотонов. Законы физики не позволяют измерить квантовое состояние так, чтобы оно не изменилось, поэтому квантовый канал связи невозможно прослушать незаметно для адресатов.

Квантовые коммуникации и квантовые сети сегодня активно развиваются во всем мире, они востребованы банками, государственными организациями и военными.


Зачем нужна «обычная» криптография

Защита данных от посторонних глаз стала будничным делом почти для каждого человека, пользующегося электронной почтой, мессенджерами, банковскими приложениями или просто посещающего сайты в интернете.

Отправляя сообщение, заходя в приложение или открывая страницу в сети, мы передаем свою информацию, и ее нужно защитить от несанкционированного доступа. Для этого есть множество методов шифрования данных.

Хотя для нас, пользователей, они незаметны, представить без них нормальную жизнь и работу уже нельзя.

Шифрование обычно происходит так: исходный текст по определенным правилам преобразуется, чтобы его невозможно было прочесть и понять, а затем тот, кому он предназначен, проделывает обратную операцию — расшифровывает его.

Роль инструкции для шифрования и дешифровки играет шифровальный ключ. Чем длиннее ключ, тем сложнее «взлом» шифра, а если длина ключа сопоставима с длиной зашифрованного текста, то его дешифровка без знания ключа может быть просто невозможной.

Однако если ключ попадет в чужие руки, шифрование становится бессмысленным. Чтобы обеспечить безопасную передачу ключа, его можно отправить с доверенным курьером или по какому-то каналу, заведомо защищенному от прослушивания.

Но когда шифруется едва ли не вся информация в сети, создавать специальные каналы для ключей нецелесообразно. Особенно учитывая, что ключи для шифрования нужно постоянно менять. Поэтому и шифровальные ключи, и сами зашифрованные сообщения передаются по одним и тем же каналам.

Разумеется, ключи нельзя сообщать открытым текстом — либо они шифруются в соответствии со специальными алгоритмами, либо используются асимметричные криптографические алгоритмы с открытым и закрытым ключом.

И в том и в другом случае желающим сохранить в секрете свои данные остается полагаться только на то, что дешифровка сообщения без знания ключей требует слишком большой вычислительной мощности и слишком большого времени (в некоторых случаях речь идет о паре тысяч лет).

Один из самых распространенных методов защиты информации — использование криптографии с открытым ключом. Он основан на использовании односторонних функций, то есть таких, где x из известного y невозможно вычислить за разумный срок, в то время как вычисление y из x не представляет никаких сложностей.

Таким асимметричным действием может быть обычное умножение: если сложность операции умножения растет по мере увеличения множителей не слишком быстро и современные вычислительные машины легко перемножают даже очень большие числа, то обратная операция — разложение на множители, факторизация — для достаточно больших чисел может оказаться не по плечу даже самым мощным суперкомпьютерам.

Другой пример — хэш-функции, используемые для «опознавания» паролей. Из пароля пользователя по специальному алгоритму вычисляется символьная строка — «хэш», которая и хранится на сервере.

Каждый раз, когда пользователь пытается зайти на сервер (например, электронной почты), вводит пароль, программа вычисляет хэш и сравнивает его с тем, что хранится на сервере. При ошибке в пароле даже на один символ хэш изменится и в доступе будет отказано.

Заметьте, на сервере сам пароль не хранится и по сетям не передается, поэтому даже если вас будут «подслушивать», взломать вашу почту злоумышленник не сможет.

На такого рода асимметричных функциях основана криптография с открытым ключом, в частности алгоритмы RSA, PGP и многие другие. Однако их защита все же не абсолютна — в конечном счете даже очень сложные функции теоретически можно вычислить. Возможно, в скором будущем появятся квантовые компьютеры, которые смогут сделать это относительно легко.

Один из вариантов решения этой проблемы — защитить сам процесс передачи ключей, чтобы прослушивание было невозможно и посторонний, даже подключившись к вашей линии, не смог прочесть ваши данные. И здесь нам может помочь квантовая физика.


Как была изобретена квантовая криптография

В конце 1960-х годов студент университета Колумбии Стивен Визнер поделился со своим приятелем Чарльзом Беннетом идеей, как сделать банкноты, абсолютно защищенные от подделки, — квантовые деньги.

Для этого на каждую банкноту следовало поместить ловушку для фотонов, причем каждый фотон должен быть поляризован в одном из двух базисов: либо под углом 0 и 90, либо 45 и 135 градусов. Комбинацию поляризаций и базисов, соответствующую серийному номеру банкноты, знает только банк.

Если злоумышленник попытается воспроизвести банкноту, он должен будет измерить поляризацию каждого фотона. Поскольку он не знает, в каких базисах нужно измерять поляризацию, то он не сможет получить верные данные о состояниях фотонов, и его затея провалится.

Идею Визнера использовать квантовые методы для защиты информации долго не признавали. Первую статью он отправил в журнал IEEE Transactions on Information Theory еще в начале 1970-х годов, но редакторы ее отвергли.

Статья была опубликована только в 1983 году в журнале ACM Newsletter Sigact News. А в 1984 году Чарльз Беннет и Жиль Брассар придумали первый квантовый протокол передачи данных — BB84.

Первый реальный эксперимент по квантовой передаче данных они провели в 1989 году — квантовая связь была установлена на дистанции 32,5 сантиметра. Прибор менял поляризацию передаваемых фотонов, но при этом шумел по-разному в зависимости от поляризации.

«Наш прототип был защищен от любого подслушивающего, который был бы глухим», — писал Брассар. Тогда до появления первой коммерческой компании, которая вывела на рынок системы квантового распределения ключей, оставалось более 10 лет — первой это сделала американская компания MagiQ Technologies в 2003 году.

А еще через четыре года, в 2007-м, система квантовой защищенной связи, разработанная компанией Id Quantique, впервые использовалась для защиты данных о результатах голосования на парламентских выборах в швейцарском кантоне Женева.


Принципы квантового распределения ключей

Представьте, что вы отправляете письмо, написанное на бумаге, цвет которой необратимо меняется, если вскрыть конверт (например, это может быть фотобумага, чувствительная к свету). Тогда ваш адресат по цвету бумаги сможет понять, читал ли кто-то письмо до него.

Точно так же устроена и квантовая криптография: данные кодируются в состояниях фотона, которые в соответствии с законами квантовой механики необратимо меняются при попытке измерения.

В теории для квантовой связи можно использовать любые объекты, способные находиться в двух разных квантовых состояниях, иначе говоря, любые кубиты — например, электроны, ионы и так далее. Однако из-за широкого распространения волоконно-оптических сетей фотоны остаются практически безальтернативным вариантом для квантовой криптографии.

В обычных волоконных линиях информация кодируется в импульсах излучения лазера, например в двухуровневой форме (есть сигнал — 1, нет сигнала — 0).

Для квантовой связи данные кодируются в состояниях одиночных фотонов — например, в поляризации или фазе. Так, одному варианту поляризации приписывается значение 1, противоположному — 0.

Два главных участника квантовой беседы традиционно обозначаются как Алиса (отправитель сообщения) и Боб (получатель), иногда к этим героям присоединяется третий — Ева, которая пытается подслушать разговор. Когда Ева измеряет фотоны, их состояния меняются, и Боб понимает, что линия связи скомпрометирована.

Однако в реальных сетях квантовая коммуникация устроена несколько иначе: ключи не формируются в процессе «общения» двух собеседников, Алисы и Боба, а распределяются по всем участникам сети из одной точки, поэтому технология и называется «квантовое распределение ключей».


Квантовые протоколы передачи данных

Протоколы квантового распределения ключа описывают механизм работы квантовой связи. Первым из них был протокол BB84, который и сегодня активно используется во многих коммерческих системах. Работает он так.

Для передачи информации используются поляризованные фотоны. Алиса поляризует фотоны в двух разных базисах — под углом 0 и 90 градусов, либо 45 и 135 градусов, причем базисы она выбирает каждый раз случайным образом. Затем Боб получает фотоны и измеряет их состояния, тоже выбирая базисы случайно.

После этого Алиса по открытому каналу сообщает Бобу набор использованных базисов, Боб отбрасывает несовпавшие базисы («просеивает» ключ) и говорит Алисе, какие данные не прошли. При этом сами результаты измерений по открытому каналу не передаются.

Несмотря на это, у Алисы и Боба оказывается ключ — одинаковая последовательность нулей и единиц. Если Ева захочет перехватить данные, она должна будет измерять поляризацию фотонов. Она не знает базиса, поэтому, если не угадает правильно, не получит верных данных.

Кроме того, само измерение изменит поляризацию, и ошибки обнаружат и Алиса, и Боб (в этом случае они просто «сбросят» испорченную часть данных, и Ева останется ни с чем).

В случае протокола BB84 допустимый уровень ошибок, вызванных разными причинами, — 11 процентов, если он выше, то считается, что канал прослушивается.

Этот протокол в модернизированном виде может обеспечивать скорость передачи 2,38 мегабит в секунду на дистанции 25 километров, и 52 килобита в секунду — на дистанции 70 километров.

Аналогом протокола BB84, в котором для передачи данных используется не поляризация, а фаза фотонов, является протокол B92, предложенный Беннетом в 1992 году. Одно из его преимуществ — увеличенная скорость генерации квантовых битов по сравнению с BB84.

Более современные протоколы DPS и COW позволяют обеспечить бóльшую дальность передачи — до 250 и даже 300 километров. Однако для этих двух протоколов еще нет строгого доказательства защищенности.

В протоколе E91 используется явление квантовой запутанности. Суть его в том, что Алиса и Боб получают квантово запутанные пары фотонов и при измерении получают связанные значения. Однако этот протокол пока считается экзотикой, так как создание запутанных пар фотонов — сложная и ресурсоемкая задача.


Недостатки и уязвимости квантовых коммуникаций

Главные недостатки квантовой криптографии — продолжение ее достоинств. Кодировать данные в квантовых состояниях достаточно сложно, поскольку для этого необходимо уметь генерировать и детектировать одиночные фотоны, что само по себе непростая технологическая задача.

Кроме того, квантовые состояния уязвимы и могут разрушаться под действием тепловых шумов и других помех. Наконец, реальные квантовые устройства, в отличие от идеальных, могут быть уязвимы для некоторых типов атак.

Разберем недостатки квантовой криптографии по порядку.


Ограничения скорости и дальности передачи данных

Потери в оптоволоконных кабелях растут экспоненциально с увеличением его длины. Для обычных систем связи это вполне решаемая технологическая проблема. Для этого созданы разного типа повторители и маршрутизаторы, которые обновляют и усиливают сигнал. Благодаря этому современные телекоммуникационные сети смогли охватить весь мир.

Но для сетей квантовой связи необходимо, чтобы наш получатель Боб получил именно тот фотон, который отправила Алиса. Не существует способа восстановить его состояние, если оно изменилось в сети при передаче. Для этого пришлось бы измерить состояние фотона, а это равнозначно действиям шпиона Евы.

Поэтому квантовая связь сегодня возможна только на ограниченных расстояниях. Лучшие лабораторные образцы квантовых систем едва преодолели порог дальности 400 километров, при этом они обеспечивают крайне низкую по современным стандартам скорость — около 1 бита в секунду.

Поэтому существующие квантовые сети в основном обеспечивают защищенную связь на расстояниях в десятки километров. Их используют, например, для передачи данных между офисами банков в пределах крупного города.

Несколько научных групп сейчас работают над разработкой квантовых повторителей, которые могли бы «усиливать» квантовый сигнал, но пока эти исследования не вышли из стадии экспериментов.

Решением проблемы может быть создание квантовых сетей из «отрезков», связанных между собой специальными «доверенными» узлами, способными принимать, читать и передавать дальше квантовые данные. Именно так организована крупнейшая на сегодня квантовая сеть, связывающая Пекин и Шанхай.

Второй вариант — использование космических технологий: потери фотонов в атмосфере и космосе относительно невелики по сравнению с поглощением в оптоволокне, поэтому спутник-ретранслятор может обеспечить квантовую связь на дистанции в тысячи километров.

Впервые космическую квантовую связь на практике продемонстрировали китайские и австрийские ученые. В 2017 году китайский спутник «Мо-Цзы» обеспечил распределение запутанных фотонов на рекордное расстояние — свыше 1200 километров, а позже с его помощью была организована квантовая линия между Веной и Пекином.


Детекторы и источники одиночных фотонов

Развитие квантовой связи сдерживает отсутствие дешевых и эффективных источников и приемников одиночных фотонов. При их создании разработчикам приходится искать компромисс между быстродействием устройств, равномерностью свойств излучения и «чистотой» квантовых состояний.

Например, лучшие детекторы фотонов, обладающие низким уровнем темновых отсчетов (срабатываний в отсутствие фотонов) и высокой скоростью счета (до 1 гигагерца) основаны на сверхпроводниковых технологиях и требуют криогенных температур — до 2 кельвин (-271 градус Цельсия), что неудобно при эксплуатации вне лабораторий и сильно увеличивает стоимость устройств.


Квантовый взлом

Теоретически квантовые устройства должны обеспечивать абсолютную защиту для передаваемых данных. Однако реальные системы имеют уязвимости.

Например, недавно был продемонстрирован «взлом» коммерческой системы квантовой связи фирмы ID Quantique с помощью ослепления детектора фотонов сильными лазерными импульсами.

Уязвимость была ликвидирована, но эксперимент показал, что квантовая криптография может быть взломана. На сегодняшний день известны методы атак на фотодетекторы, модуляторы, источники фотонов и другие компоненты квантовых устройств.


Квантовые системы на рынке

На рынке систем квантовой коммуникации сегодня доминируют три компании: китайские Qasky и QuantumCTek, а также швейцарская ID Quantique.

Они производят как отдельные компоненты устройств (источники и приемники одиночных фотонов, генераторы случайных чисел), так и целиком комплексы для квантовой криптографии.

Компания ID Quantique является лидером этого рынка и предлагает два типа систем квантовой криптографии: на основе двунаправленной схемы (plug and play) и когерентной однопроходной на базе протокола COW (его безопасность пока не доказана).

Эти устройства рассчитаны на работу на городских волоконно-оптических сетях и дают возможность генерации квантовых ключей на расстояниях до 70 километров.

Компания Qasky занимается разработкой решений для государственных и силовых структур, поэтому ее продукции нет на открытом рынке.

Компания QuantumCTek в 2018 году представила линейку устройств для городских сетей: системы генерации ключей, совместимые коммутаторы, устройства для телефонии.

Главными клиентами производителей систем квантовой криптографии являются в основном банки и финансовый сектор, государственные и силовые структуры, центры обработки данных.

Объем рынка квантовой криптографии в 2018 году оценивался в 101 миллион долларов, в 2023 году, как ожидается, он вырастет до 506 миллионов долларов.

Особенно быстро квантовые сети развиваются в Китае. Квантовое оборудование установлено в крупнейших банках Китая и других финансовых компаниях, сервисных компаниях в области безопасности.

На основе оборудования компании QuantumCTek в Китае создана квантовая сеть суммарной протяженностью 6000 километров. А продукция компании ID Quantique эксплуатируется пятеркой крупнейших банков Швейцарии.

Совместно с компанией Battelle швейцарская компания также участвует в строительстве магистральных сетей в США. Информация об объемах ее продаж публично не представлена. Капитализация компании в настоящий момент составляет около 150 миллионов долларов.

Узнайте, насколько хорошо вы усвоили материалы модуля.

ПРОВЕРИТЬ СЕБЯ

Нашли опечатку? Выделите фрагмент и нажмите Ctrl+Enter.