Открыть сервис

Квантовый криптоанализ

Квантовый криптоанализ — это раздел криптологии, изучающий возможности и методы нарушения криптографических протоколов и систем с использованием принципов квантовой механики, в частности, квантовых вычислений. В отличие от классического криптоанализа, основанного на математических алгоритмах и вычислительной сложности, квантовый криптоанализ опирается на квантовые алгоритмы, способные решать определённые задачи экспоненциально быстрее, чем любые известные классические алгоритмы. Это ставит под угрозу стойкость многих широко распространённых криптосистем, особенно с открытым ключом.

История

Истоки квантового криптоанализа восходят к 1980-м годам, когда были заложены теоретические основы квантовых вычислений. В 1982 году физик Ричард Фейнман впервые выдвинул идею о том, что квантовые системы могут быть использованы для моделирования физических процессов, недоступных классическим компьютерам. В 1985 году Дэвид Дойч формализовал концепцию универсального квантового компьютера.

Ключевым моментом для криптоанализа стало открытие в 1994 году математиком Питером Шором алгоритма, названного его именем. Алгоритм Шора показал, что квантовый компьютер теоретически способен разлагать большие числа на простые множители и вычислять дискретные логарифмы за полиномиальное время. Это означало, что такие криптосистемы, как RSA, DSA и ECDSA, основанные на сложности этих задач, могут быть взломаны при наличии достаточно мощного квантового компьютера.

В 1996 году Лов Гровер предложил алгоритм квантового поиска, который обеспечивает квадратичное ускорение при решении задач перебора, что создало угрозу для симметричных шифров и хеш-функций. С 2010-х годов, по мере прогресса в создании квантовых процессоров, интерес к квантовому криптоанализу резко возрос, что привело к активным исследованиям в области постквантовой криптографии — разработке криптосистем, устойчивых к атакам с использованием квантовых компьютеров.

Квантовые алгоритмы, используемые в криптоанализе

Алгоритм Шора

Алгоритм Шора предназначен для решения задачи факторизации целых чисел и задачи дискретного логарифмирования в конечных полях и на эллиптических кривых. Он использует квантовое преобразование Фурье и технику оценки фазы. Для числа длиной \(n\) бит алгоритм требует порядка \(O(n^3)\) квантовых операций, что делает его экспоненциально более эффективным, чем лучшие классические алгоритмы факторизации (например, решето числового поля). В результате криптосистемы RSA, DSA, Diffie-Hellman, ECDH и ECDSA (используемые в TLS, SSH, PGP, Bitcoin и многих других протоколах) становятся уязвимыми.

Алгоритм Гровера

Алгоритм Гровера решает задачу поиска по неструктурированной базе данных. Для пространства поиска из \(N\) элементов он находит искомый элемент за \(O(\sqrt{N})\) операций, тогда как классический перебор требует в среднем \(O(N)\) операций. В криптографическом контексте это означает, что эффективная длина ключа симметричного шифра (например, AES) уменьшается вдвое: для обеспечения стойкости на уровне 128 бит классической безопасности потребуется использовать ключ длиной 256 бит. Аналогично, для хеш-функций (например, SHA-2) устойчивость к коллизиям снижается: для достижения 128-битной безопасности необходима хеш-функция с выходом 256 бит.

Алгоритм Саймона

Алгоритм Саймона решает задачу поиска периода булевой функции, которая является 2-к-1. Он может быть применён для криптоанализа некоторых блочных шифров (например, в контексте атак на режимы работы) и для взлома определённых типов квантовых протоколов распределения ключей.

Другие квантовые алгоритмы

Существуют и другие квантовые алгоритмы, имеющие потенциальное применение в криптоанализе, такие как алгоритмы для решения задачи о скрытой подгруппе, квантовое преобразование Фурье для абелевых групп, а также методы квантового усиления амплитуды, обобщающие алгоритм Гровера.

Угрозы для различных типов криптосистем

Криптосистемы с открытым ключом

Наибольшую угрозу квантовый криптоанализ представляет для асимметричной криптографии. Алгоритм Шора напрямую атакует математические задачи, лежащие в основе RSA (факторизация), DSA/ECDSA и Diffie-Hellman (дискретный логарифм). При появлении квантового компьютера с достаточным количеством кубитов (порядка нескольких тысяч логических кубитов) все эти системы будут полностью скомпрометированы. Это касается как схем цифровой подписи, так и протоколов обмена ключами.

Симметричные шифры

Симметричные шифры, такие как AES, менее уязвимы. Алгоритм Гровера позволяет сократить эффективную длину ключа вдвое. Например, AES-128 (ключ 128 бит) будет иметь стойкость, эквивалентную 64 битам, что считается недостаточным. Однако AES-256 остаётся безопасным (эффективная стойкость 128 бит). Кроме того, существуют методы защиты, такие как увеличение длины ключа и использование более сложных режимов шифрования.

Хеш-функции

Для хеш-функций квантовый криптоанализ с помощью алгоритма Гровера позволяет ускорить поиск прообраза (до \(O(\sqrt{2^n})\)) и коллизий (до \(O(\sqrt[3]{2^n})\) с использованием алгоритма Брассара — Хойера — Таппа). Это требует увеличения длины выхода хеш-функции вдвое для сохранения прежнего уровня безопасности.

Протоколы квантового распределения ключей

Парадоксально, но квантовый криптоанализ может быть направлен и на сами квантовые криптосистемы. Существуют атаки на протоколы квантового распределения ключей (QKD), использующие несовершенства оборудования (например, атаки на детекторы фотонов). Однако эти атаки относятся скорее к практической реализации, а не к фундаментальной стойкости квантовой механики.

Постквантовая криптография

В ответ на угрозу квантового криптоанализа активно развивается постквантовая криптография (PQC) — направление, разрабатывающее криптосистемы, устойчивые к атакам как с классических, так и с квантовых компьютеров. Основные классы постквантовых алгоритмов включают:

  • Криптосистемы на основе решёток (например, CRYSTALS-Kyber, CRYSTALS-Dilithium, Falcon). Их стойкость основана на сложности задач обучения с ошибками (LWE) и короткого вектора (SVP).
  • Криптосистемы на основе кодов, исправляющих ошибки (например, Classic McEliece). Основаны на сложности декодирования случайного линейного кода.
  • Криптосистемы на основе многомерных квадратичных уравнений (например, Rainbow — устарел после атак). Стойкость базируется на сложности решения систем многомерных квадратичных уравнений.
  • Криптосистемы на основе хеш-функций (например, SPHINCS+). Используют только стойкость хеш-функций.

В 2024 году Национальный институт стандартов и технологий США (NIST) опубликовал первые стандарты постквантовой криптографии, включая CRYSTALS-Kyber для шифрования и CRYSTALS-Dilithium для цифровых подписей.

Современное состояние и перспективы

На 2025 год квантовые компьютеры, способные взломать RSA-2048, ещё не созданы. Существующие квантовые процессоры (например, от Google, IBM, Rigetti) имеют от нескольких десятков до нескольких сотен физических кубитов, но с высоким уровнем ошибок. Для выполнения алгоритма Шора на ключе RSA-2048 потребуется порядка 20 миллионов физических кубитов с коррекцией ошибок, что на несколько порядков больше текущих возможностей.

Тем не менее, угроза считается долгосрочной, и многие организации (включая правительства, банки и технологические компании) уже начали миграцию на постквантовые алгоритмы. В России также ведутся работы в области постквантовой криптографии, в том числе в рамках деятельности Технического комитета по стандартизации «Криптографическая защита информации» (ТК 26).

Критика и ограничения

Некоторые исследователи критикуют квантовый криптоанализ за излишний пессимизм. Указывается, что практическая реализация квантовых компьютеров может столкнуться с непреодолимыми физическими ограничениями (декогеренция, шум, сложность масштабирования). Кроме того, алгоритм Шора требует огромного количества логических кубитов и операций коррекции ошибок, что может сделать его нереализуемым в обозримом будущем. Также существуют классические контрмеры, такие как использование квантово-устойчивых протоколов и гибридных схем, сочетающих классическую и постквантовую криптографию.

Источники

  1. Шор, П. У. «Алгоритмы квантовых вычислений: дискретный логарифм и факторизация». SIAM Journal on Computing, 1997.
  2. Гровер, Л. К. «Быстрый алгоритм квантового механического поиска». Physical Review Letters, 1996.
  3. Бернстайн, Д. Дж., Ланже, Т. (ред.). «Постквантовая криптография». Springer, 2009.
  4. Национальный институт стандартов и технологий (NIST). «Процесс стандартизации постквантовой криптографии», 2024.
  5. Мосса, М. и др. «Квантовый криптоанализ: угрозы и контрмеры». Communications of the ACM, 2022.
  6. Федеральный закон РФ «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →