CC BY
150
УДК 621.396.96:551.501.815
О ПЕРСПЕКТИВАХ СОВМЕСТНОГО ИСПОЛЬЗОВАНИЯ МЕТОДОВ КВАНТОВОЙ И КЛАССИЧЕСКОЙ КРИПТОГРАФИИ
К. К. Дрон
Научный руководитель — О. В. Артюшкин, кандидат педагогических наук Хакасский государственный университет им. Н. Ф. Катанова
В данной статье анализируются перспективы сочетания симметричных методов классической криптографии с квантовыми методами защиты информации и рассматриваются основные протоколы, по которым осуществляется квантовая защита информации. К обсуждению предлагается применение решений, в ходе которых используется асимметричное шифрование; перечисляются недостатки указанного вида шифрования; предлагается альтернативное решение, заключающееся в замене асимметричных методов шифрования квантовыми.
Ключевые слова: информационная безопасность, шифрование, квантовая криптография, классическая криптография, методы криптографии, передача информации.
Компьютеры, ещё несколько десятилетий назад казавшиеся чем-то невероятным, сегодня стали неотъемлемой частью жизни современных людей. Однако жизнь не стоит на месте, и полагаем, что на смену обычным компьютерам придёт их новое поколение - квантовые компьютеры. Соответственно старые технологии заменятся другими, эффективно использующими свойства квантовой физики. В настоящее время в СМИ и в литературных источниках всё чаще появляются сообщения о зарождении, возможностях и перспективах использования таких квантовых технологий, как квантовые вычисления и квантовые линии связи [1; 2]. Квантовые компьютеры, квантовая запутанность, квантовая криптография - все эти понятия, возможно, очень скоро займут своё место в лексиконе многих людей, даже весьма далёких от изучения проблем квантовой механики [3].
В данной статье будут описаны принципы использования квантовых технологий для защиты информации и возможность использования традиционных информационных технологий в сочетании с квантовыми методами защиты информации. Особое внимание уделено анализу протоколов квантового распределения информации. Кроме того, будут рассмотрены причины необходимости подобных комбинированных криптосистем.
Зарождающиеся и развивающиеся методы квантовой криптографии предполагают защиту информации, учитывая особые свойства квантовой физики. В системах, построенных на особых принципах (о них речь пойдёт ниже), информация передаётся с помощью объектов квантовой механики. Процесс отправки и приёма информации всегда выполняется с помощью элементарных частиц, например, при помощи электронов в электрическом токе или фотонов в линиях волоконно-оптической связи. Основным преимуществом метода передачи информации является гарантированное обнаружение попытки перехвата информации. Когда злоумышленник пытается перехватить (измерить) состояние физического объекта, с помощью которого передаётся информация, он гарантированно нарушает состояние этого объекта. Таким образом, количество шума в канале возрастает, и попытка перехвата оказывается раскрытой [4].
Весь эволюционный путь развития способов квантовой защиты коммуникаций заключён в соответствующих протоколах квантового распределения информации: ВВ84, В92, Е91 и Lo05. Кратко охарактеризуем эти протоколы.
Протокол BB84 - первый протокол квантового распределения ключа, который был предложен Чарльзом Беннетом и Жилем Брассаром в 1984 году. Данный протокол использует для кодирования информации четыре квантовых состояния двухуровневой системы, формирующие два сопряжённых базиса. Носителями информации являются двухуровневые системы, называемые кубитами (квантовыми битами).
Согласно общепринятым нормам и профессиональной терминологии в области квантовой криптографии в информационной сессии принимают участие три персонажа: Алиса - передатчик, Боб - приёмник и Ева - злоумышленник. Для формирования ключевой последовательности нулей и единиц Алиса имеет два базиса: ортогональный и диагональный. Ортогональный базис включает в себя горизонтально поляризованный (соответствует логической единице) и вертикально поляризованный фотоны (соответствует логическому нулю). Диагональный базис включает в себя фотон, поляризованный под углом +45° (соответствует логической единице), и фотон, поляризованный под углом -45° (соответствует логическому нулю).
Предположим, что Алиса должна передать Бобу сообщение, а Ева, которая выступает в качестве злоумышленника, пытается любыми способами перехватить это сообщение. Тогда простейший протокол передачи информации по квантовому криптографическому каналу можно представить в виде следующей схемы:
1. Вначале Алиса (отправитель) генерирует некоторое количество фотонов со случайной поляризацией и отправляет их Бобу (получателю).
2. Боб получает эти фотоны и измеряет их поляризацию в случайно выбранном базисе.
3. Боб запоминает результаты измерений.
4. По любому открытому, но аутентифицированному каналу (данные в таком канале нельзя подменить), Боб
сообщает Алисе, какой базис он выбрал для измерения поляризации каждого фотона.
5. Алиса в свою очередь сообщает, какие измерения были верными; таким образом была совершена первичная
передача данных.
Далее сверяются отдельные биты сообщения; таким образом выявляется возможность прослушивания с вероятностью, вычисляемой по следующей формуле:
1 -2Л(-к),
где к - количество сравниваемых битов.
После проверки можно повторять процедуру первичной передачи.
Следующий протокол квантового распределения ключа - В92 - был предложен одним из авторов первого протокола Чарльзом Беннетом в 1992 году. Отсюда и название В92, под которым этот протокол известен в наше время.
Протокол В92 основан на принципе неопределённости, как и ВВ84. Данный алгоритм фактически является усовершенствованным ВВ84. Основное его отличие состоит в использовании неортогональных состояний. В качестве базисов В92 рассматриваются два вида поляризации: линейная и круговая.
В соответствии с принципом неопределённости В. Гейзенберга [5], при измерении состояния фотонов невозможно отличить два неортогональных состояния. Таким образом, для злоумышленника невозможно достоверно определить значение передаваемого бита.
Протоколы ВВ84 и В92 довольно сложны с точки зрения их практической реализации, что делает их в некоторой степени небезопасными. Эти протоколы подвержены Р№-атакам (photon-number-spИttmgattack). Данные атаки представляют собой отделение злоумышленником некоторого числа фотонов, достаточного для измерения поляризации всего пучка. Остальные фотоны при этом доходят неизмененными до адресата, и злоумышленник остаётся незамеченным [6].
Протокол Е91, называемый ещё протоколом Артура Экерта (разработан в 1991 г.), использует для передачи информации парадокс Эйнштейна-Подольского-Розена [7]. Исходя из данного парадокса можно создать пару «запутанных» состояний квантовых частиц. Особенность данных частиц заключается в том, что при измерении состояния одной из них достоверно становится известно состояние другой частицы: оно меняется на противоположное состоянию первой частицы. Данный эффект называют «квантовой телепортацией», которая происходит мгновенно вне зависимости от расстояния или препятствий между частицами.
Протокол Е91 работает следующим образом. Третий участник сессии (не Ева) генерирует пару спутанных фотонов и модулирует их (изменяет поляризацию, фазу, амплитуду и т. д.). В силу того, что эта пара фотонов находится в запутанном состоянии, то в случае если один из фотонов изменится, то другой сразу же меняет свои характеристики.
Далее происходит процесс, во многом аналогичный процессам, наблюдающимся в других квантовых протоколах:
1. Боб начинает измерения фотонов в случайно выбранном базисе.
2. Боб сообщает Алисе по открытому каналу, какой базис был выбран для измерений каждого кубита.
3. Алиса в свою очередь также сообщает базисы своих измерений.
4. Боб сравнивает выбранные базисы измерений со своими.
После выполненных действий Боб осуществляет разделение ключа на две части. Одна из них включает в себя измерения кубитов, проведённые в совпадающих с Алисой базисах. Вторая часть содержит измерения, совершённые в базисе, отличном от базисов, выбранных Алисой. Далее эта часть ключа будет использована для определения присутствия криптоаналитика в системе.
В том случае, если Ева захочет перехватить ключ, то её действие необратимо изменит все параметры фотонов и это выльется в значительное количество ошибок в ключах Алисы и Боба. В этом и состоит главное отличие протокола от других, наличие криптоаналитика также может быть выяснено путём проверки неравенств Белла для отброшенных ключей. Данное неравенство будет нарушаться при условии, если передача информации пройдёт без перехвата, и выполняться в случае присутствия криптоаналитика в канале.
Как и в случае с остальными протоколами, протокол Е91 позволяет определить, какое конкретно количество информации получил криптоаналитик. Данная технология может применяться для передачи информации как в одноранговых сетях между Алисой и Бобом, так и в двухранговых - типа пользователи и сервер.
Протокол Lo05 - квантовый криптографический протокол распределения ключей, созданный в 2005 году учёными Хои-Квоном Ло, Ксионфеном Ма и Кай Ченом. Этот протокол является наиболее новым и наиболее надёжным на данный момент протоколом передачи информации с использованием квантовой криптографии. В большей мере протокол Lo05 копирует своих предшественников, однако он содержит одно существенное отличие, позволяющее избежать Р№-атак, по отношению к которым теоретически уязвимы все три ранее названных протокола.
Основным отличием протокола Lo05 является использование специальных состояний-ловушек для определения злоумышленников. Суть таких состояний-ловушек состоит в том, что Алиса случайным образом посылает Бобу сигналы с количеством фотонов ниже среднего. Ева в таком случае не может отличить передаваемую информацию от ложной. После окончания передачи Алиса объявляет по открытому каналу, какое число фото-
нов использовалось для передачи отдельных бит. Таким образом, Боб получает возможность отличить ловушки от информации.
Отдельным преимуществом рассматриваемого протокола является не только повышение безопасности передачи информации, но и увеличение производительности генерации ключа, что связано со специальным алгоритмом определения верхних и нижних границ некоторых параметров сигнала. Кроме того, сигнал можно передавать на большее расстояние. При этом немаловажным является тот факт, что принципиально нового оборудования для реализации такого протокола не требуется, нужно лишь выставить нужные параметры для оборудования, используемого в протоколах BB84 или B92.
Однако, несмотря на очевидную эффективность данных технологий защиты информации, следует назвать причины, по которым не стоит рассматривать указанные протоколы как отдельный способ защиты информации:
1) сложность реализации и соответственно высокая стоимость квантовых криптографических систем;
2) недостаточная скорость передачи информации;
3) ограниченное расстояние, на которое возможна передача информации.
В связи с тем, что скорость передачи информации в настоящее время крайне ограничена, необходимо найти применение, совместимое с реальными возможностями такого использования технологии, соответственно сохранить безопасность передачи информации. Одним из таких способов является сочетание технологии передачи информации с помощью квантового канала с методами классической криптографии, а именно с методами симметричного шифрования.
Симметричными методами шифрования называют такие методы, в которых для шифрования и дешифрования информации используют один и тот же ключ.
Современные методы симметричного шифрования отличаются следующими преимуществами:
а) высокой надёжностью;
б) высокой стойкостью к дешифрованию;
в) относительно низкими затратами вычислительной мощности компьютера в сравнении с асимметричными методами.
Однако данные методы имеют один существенный недостаток, связанный с распределением ключа. В связи с тем, что для шифрования и дешифрования используется один и тот же ключ, довольно сложно передать его всем участникам обмена информацией, при этом не дискредитировав её. Для компенсации этих недостатков, как правило, применяются асимметричные методы шифрования. С помощью асимметричного шифрования осуществляются шифрование ключа для симметричного шифра и последующее его безопасное распределение между участниками обмена информацией. Следует сказать, что асимметричное шифрование требует сравнительно больших вычислительных мощностей, поэтому обеспечение скорости распределения ключей вызывает определённые сложности, а в некоторых случаях сокращает количество обновлений ключа для симметричного шифрования в угоду быстродействия всей системы.
Стоит отметить, что это далеко не единственная проблема криптосистем с открытым ключом. Как правило, большинство современных криптосистем с открытым ключом основаны на задаче факторизации, то есть задачи разложения достаточно большого числа на простые множители. На момент создания криптосистем с открытым ключом данная задача считалась практически неразрешимой за приемлемое время. В настоящее время эта задача в некоторых случаях может быть решена на обычном персональном компьютере. Впрочем, проблема с этой уязвимостью может быть закрыта умеренным увеличением размера ключа, что естественно ударит по быстродействию таких алгоритмов, однако не приведёт к полному отказу от таких систем.
Что же касается других проблем, связанных с асимметричными алгоритмами шифрования, то здесь стоит вспомнить о стремительном развитии квантовых компьютеров в последнее время. Такие компьютеры способны решать некоторые специфические задачи за достаточно короткое время по сравнению с обычными компьютерами. Одной из задач, с которой намного быстрее справляется квантовый компьютер, является задача факторизации числа.
В связи с этим напомним, что в 1994 году Питером Шором был разработан алгоритм, предназначенный для квантового компьютера [8]. Данный алгоритм позволяет провести факторизацию числа, используя главную особенность квантовых компьютеров, а именно возможность каждого отдельного кубита принимать неопределённое состояние и находиться в состоянии квантовой запутанности. Эта особенность позволяет проводить вычисления в условиях экономии кубитов. Действенность алгоритма Питера Шора была доказана группой специалистов IBM через семь лет после его разработки [9].
Алгоритм П. Шора позволяет разложить число N за время 0(log3N) при использовании logN кубитов, в то время как наилучшие из известных алгоритмов факторизации чисел способны разложить число лишь за время 0(N1/4log4N), имеющих при этом гораздо большие ресурсы памяти.
Таким образом, с решением проблемы масштабируемости квантовых компьютеров асимметричные методы шифрования информации, основанные на задаче факторизации числа и других сходных задач, станут полностью небезопасными. Создание квантового компьютера, состоящего, по крайней мере, из тысячи кубитов, позволит выполнять задачу факторизации чисел размером, сопоставимым с тем, что используется в современных
асимметричных алгоритмах шифрования примерно за то же время, за которое происходит сам процесс шифрования. Из этого следует, что для асимметричных алгоритмов шифрования, по крайней мере, основанных на задаче факторизации, следует определить альтернативу. В то же время квантовый метод защиты информации вполне может заменить в этой роли асимметричные методы шифрования. Для перессылки ключа не требуется большой скорости, это будет крайне выгодно с точки зрения быстродействия, а именно передавать ключ по квантовому каналу с необходимой частотой.
В заключение скажем, что гибридные криптосистемы, использующие квантовый канал для распределения ключа, вполне могут вытеснить старые криптосистемы, применяющиеся для распределения ключа асимметричные методы шифрования. Mожно также отметить, что развитие квантовых методов защиты информации косвенно стимулируется развитием квантовых компьютеров и соответственно увеличением угрозы безопасности для криптосистем, основанных на асимметричных протоколах шифрования. Впрочем, использование квантовой криптографии в качестве альтернативы асимметричным методам защиты информации станет возможным только тогда, когда будут устранены экономические препятствия для вывода информации на рынок, а именно когда стоимость технологии снизится и увеличится расстояние, на которое можно передавать кубиты наиболее безопасным образом.
Библиографический список
1. «N+1»: научно-популярный мультимедийный портал. - URL: https://nplus1.ru/material/2G17/G7/18/51-qubit-text (дата обращения: 15.G5.2G18).
2. Развитие квантовых технологий: основные направления приложния научных усилий / под ред. M. С. Липецкой. - СПб.: Фонд «Центр стратегических разработок «Северо-Запад», 2G17. - 23 с. - URL: http://csr-nw.ru/files/publications/kvantovyj_forsajt1.pdf (дата обращения: 15.G5.2G18).
3. Нильсен, M. Квантовые вычисления и квантовая информация / M. Нильсен, И. Чанг. - M.: M^, 2GG6. - 824 с.
4. Хренников, А. Ю. Введение в квантовую теорию информации / А. Ю. Хренников. - M.: Физматлит, 2GG8. - 284 с.
5. Heisenberg, W. Über den anschaulichen Inhalt der quantentheoretischen Kinematik und Mechanik / W. Heisenberg. - Zeitschrift für Physik. -1927. - Vol. 43. - P. 172-198; англ. перевод в кн.: Wheeler J. A., Zurek H. Quantum Theory and Measurement. - Princeton Univ. Press. -1983. - P. 62-84.
6. Альбов, А. С. Квантовая криптография / А. С. Альбов. - M.: Страта, 2G16. - 248 с.
7. Einstein, A. Can Quantum-Mechanical Description of Physical Reality Be Considered Complete? / А. Einstein, B. Podolsky, N. Rosen // Phys. Rev. / G. D. Sprouse - American Physical Society, 1935. - Vol. 47, Iss. 1G. - P. 777-78G. - ISSN GG31-899X; 1536-6G65 -doi:1G. 11G3/PHYSREV.47.777.
8. Shor, P. Algorithms for Quantum Computation: Discrete Logarithms and Factoring / P. Shor // Foundations of Computer Science, 1994 Proceedings., 35th Annual Symposium on - IEEE, 1994. - P. 124-134. - ISBN G-8186-658G-7 - doi:1G.11G9/SFCS.1994.3657GG.
9. Алгоритм Шора // Википедия. Свободная энциклопедия - URL: https://ru.wikipedia.org/wiki/Алгоритм_Шора (дата обращения: 25.G5.2G18).
© Дрон К. К., 2G18
