Квантовая криптография:уже сегодня или пока только завтра?

Если мы рассмотрим доказательство стойкости протоколов квантового распределения ключей (например, ставшего уже классическим BB84), то увидим, что информация в них передается посредством кодирования состояний фотонов на передающем конце и последующем их измерении на приемном. В случае если нарушитель попытается вклиниться в канал между легитимными абонентами и перехватить передаваемые фотоны, то в соответствии с принципом неопределенности Гейзенберга легитимные абоненты смогут определить факт такого вторжения через резко возросшее число ошибок при регистрации фотонов.

Квантовое распределение ключей позволяет не только обеспечить защиту от несанкционированного доступа к передаваемой информации, но и выявить факт такой попытки. Подобное свойство представляется важным с учетом большого количества существующих угроз информационной безопасности. К примеру, использование этого решения позволяет избежать угроз, связанных с возможным созданием квантовых вычислителей.

Однако так ли все хорошо на практике?

От лабораторных систем к коммерческим решениям

Практические реализации квантовых систем распределения ключей прошли долгий путь от лабораторных систем пионеров рынка Magiq и ID Quantique до широкого спектра развернутых в настоящее время волоконно-оптических решений, а также экспериментальных воздушных и даже космических.

В России уже три исследовательские группы (МГУ им. М.В. Ломоносова, Российский квантовый центр и Университет ИТМО) вплотную подошли к созданию коммерческих систем квантового распределения ключей.

В подавляющем большинстве случаев системы рассматриваемого типа состоят из двух частей:

• серверной, на которую возлагается задача по предоставлению сервиса выработки ключей и измерению состояний фотонов;
• клиентской, от которой исходит запрос на выработку ключей и реализуется формирование (кодирование) квантовых состояний.

В ряде квантовых протоколов клиентскую часть можно сделать относительно простой и дешевой в реализации, что позволяет создавать сети квантового распределения ключей, построенные по топологии "звезда".

К настоящему моменту накоплен большой научный и практический опыт по созданию систем подобного рода. В целом при наличии достаточного финансирования возможно на основе доступных публикаций собрать нечто похожее на квантовую систему распределения ключей. Но надо понимать, что ослабленный лазер, пара фотодетекторов и ряд дополнительных оптических элементов – это совсем еще не система квантового распределения ключей.

Типы атак на системы квантовой криптографии

С момента появления первых прототипов начался активный поиск различных способов построения атак на конкретные реализации системы квантовой криптографии. Для различных типов квантовых систем предложен широкий спектр способов использования неидеальности оптических элементов для перехвата вырабатываемого системами секретного ключа.

Атака с расщеплением пучка фотонов

Например, проблемой при построении квантовых систем распределения ключей является достижение однофотонности импульсов источника излучения. В большинстве случаев используются так называемые слабые когерентные импульсы, которые содержат неизвестное заранее (до измерений) число одинаковым образом закодированных фотонов. При этом нарушитель имеет возможность расщепить пучок фотонов, чтобы перехватить один из них и измерить его состояние. Очевидно, что легитимные абоненты не смогут определить факт наличия такой атаки. Это приводит к известной атаке с расщеплением пучка фотонов.

Троянская атака

Все мы наслышаны о широком использовании троянских программ для похищения конфиденциальной информации пользователей. Оказывается, что аналогичная троянская атака может быть достаточно просто осуществлена и на квантовом уровне. Для этого нарушитель облучает пучком света кодирующий источник импульсов и получает информацию о кодировании состояния фотона, анализируя отраженный сигнал.

Как уже было отмечено, основой возможности осуществления подобных атак является неидеальность используемых компонентов. Так, в некоторых системах в клиентском модуле могут быть реализованы несколько фотодетекторов, предназначенных для фиксации появления фотонов. Учитывая наличие темновых отсчетов (самопроизвольных срабатываний фотодетектора) или неоднофотонных импульсов, вероятно одновременное срабатывание двух детекторов. Если такие события будут просто отбрасываться без надлежащей постобработки, нарушитель может провести определение ключа с помощью атаки повторного срабатывания без возможности ее обнаружения легитимными пользователями.

Атака типа "человек посередине"

Оказалось, что нарушитель в ряде случаев может просто "ослеплять" оптические элементы устройств. Данный тип атак применяется против лавинных фотодетекторов. В процессе атаки фотодетектор облучается мощным пучком света, что приводит к переходу детектора под полный контроль нарушителя. В результате этого он может реализовать атаку типа "человек посередине", проводя измерения фотонов, посылаемых сервером, и индуцируя в соответствии с проведенным измерением срабатывание соответствующего фотодетектора на стороне клиента.

Разработка международных стандартов и требований

Мы рассмотрели только несколько примеров того, как нарушитель может воздействовать на реализации систем квантового распределения ключей, но даже из них становится ясно, что важен не столько факт создания подобной системы, сколько оценка ее возможности противостоять различным типам угроз. Базисом для получения такой обоснованной оценки является общая методология и требования к результатам тестирования системы.

Первые шаги в создании подобной методологии были сделаны девять лет назад Группой по квантовому распределению ключей Европейского института телекоммуникационных стандартов (ETSI). К настоящему моменту группой разработан стек стандартов, касающихся архитектуры таких систем, и вопросов оценки их безопасности.

В начале 2019 г. 27-й подкомитет 1-го объединенного технического комитета Международной организации по стандартизации/Международной электротехнической комиссии (ISO/IEC JTC1 SC27) начал разработку серии из двух стандартов, посвященных требованиям к устройствам квантового распределения ключей и методике оценки соответствия этим требованиям. По сравнению с достаточно старыми стандартами ETSI этот проект основан на последних результатах в области атак на системы квантового распределения ключей и противодействия таким атакам.

Международный союз электросвязи (ITU-T) также ведет схожие с ETSI работы сразу в двух исследовательских группах: SG13 (методология построения сетей с квантовым распределением ключей) и SG17 (вопросы безопасности таких сетей и квантовых датчиков случайных чисел). Однако в данном случае проекты находятся на ранних стадиях.

Примечательно, что перспективами использования квантового распределения ключей заинтересовались и в Исследовательской группе интернет-технологий (IRTF), которая проводит долгосрочные исследования, связанные с вопросами развития архитектуры, базовых протоколов и сетевых приложений сети Интернет. В рамках IRTF создана отдельная Исследовательская группа квантового Интернета (QIRG - Quantum Internet Research Group), ее эксперты пытаются ответить на вопрос, каким образом может быть построен Интернет будущего на основе существующих протоколов квантового распределения ключей и пока не существующих квантовых репитеров, которые позволят объединять между собой различные сети.

Стандартизация в России

В России вопросами стандартизации в области квантовых систем распределения ключей занимается рабочая группа "Квантово-криптографические системы выработки и распределения ключей" Технического комитета по стандартизации "Криптографическая защита информации" (ТК 26). Одним из вопросов, изучаемых данной группой, является стандартизация интерфейсов взаимодействия систем квантового распределения ключей и средств криптографической защиты информации.

В 2017 г. ФСБ России утвердила Временные требования к квантовым криптографическим системам выработки и распределения ключей для средств криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

Таким образом, можно видеть, как казавшаяся еще некоторое время назад фантастической область квантовой криптографии приобретает привычные очертания через формирование методик разработки, тестирования и использования квантовых систем распределения ключей. В перспективе можно ожидать появление квантовых криптографических систем, чья безопасность основана не только на заявлениях разработчиков, но и подтверждена результатами независимых исследований.