ПРИНЦИПЫ ПРОЕКТИРОВАНИЯ СЕТЕВЫХ ПРОТОКОЛОВ РАСПРЕДЕЛЕНИЯ КЛЮЧЕЙ ДЛЯ КВАНТОВЫХ СЕТЕЙ Текст научной статьи по специальности «Математика»

УДК 004.056.5

А. В. Уривскгш

АО «ИнфоТеКС»

Принципы проектирования сетевых протоколов распределения ключей для квантовых сетей

Посвящается памяти Э.М. Габидулина (1937—2021)

В работе рассматриваются вопросы проектирования протоколов выработки общих ключей в квантовых сетях на основе доверенных промежуточных узлов. Невозможность на практике выработки в таких сетях квантовых ключей для произвольных пар абонентов определяет необходимость к переходу к так называемым кван-товозащищенным ключам. Базовый протокол для выработки квантовозащищенных ключей — защищённая передача случайных ключевых компонент, из которых с помощью подходящей функции выработки формируется итоговый общий ключ, причём защита при передаче реализуется с использованием квантовых ключей, доступных на каждом сегменте пути передачи ключевых компонент. Для борьбы с дополнительными угрозами базовый протокол симметризуется, обеспечивая равноправное участие в протоколе обоих абонентов. Повышение надежности реализуется путём процесса гибридизации итогового общего ключа, при котором в выработке участвуют не только компоненты, переданные под защитой квантовых ключей, но и переданные с помощью альтернативных каналов, не использующих квантовые ключи.

Ключевые слова: квантовое распределение ключей, защищённая передача, доверенный промежуточный узел, квантовозащигценный ключ, случайные числа, производный ключ.

А. V. Urivskiy Infotecs JSC

Design principles of network quantum key distribution

protocols

In this paper, we consider design principles of network quantum key distribution protocols based on the usage of trusted intermediate nodes. Quantum networks in practice are not able to produce quantum keys for an arbitrary pair of nodes. This implies the concept of the so-called quantum-protected keys. Basic protocol for making quantum-protected key distribution is a secure transfer of random key components. We generate from these components the final pairwise key using suitable key derivation functions. Component transfer is secured by quantum keys obtained for each network segment by some QKD-protocol. To avoid additional threats the basic protocol is symmetrized providing an equal participation of both nodes in a pair. This essentially contributes to a key agreement. More secure protocols are achieved in the process of mixing components obtained from different secure paths. Namely, the pairwise keys are derived not only from the components protected by quantum keys, but also from those transmitted by alternative secure channels. Thus the cryptoagility is implemented.

Key words: quantum key distribution, secure transfer, intermediate trusted nodes, quantum-protected key, random numbers, derived key.

© Уривский А. В., 2022

(с) Федеральное государственное автономное образовательное учреждение высшего образования

«Московский физико-технический институт (национальный исследовательский университет)», 2022

1. Введение

Квантовое распределение ключей (КРК), предложенное Беннеттом и Брассаром в 1984 году [1], представляло собой протокол выработки общего ключа двумя разнесёнными в пространстве абонентами, обладающий безусловной (абсолютной) стойкостью, опирающийся за законы квантовой физики. Безусловная стойкость понимается в том смысле, что она достигается по отношению к злоумышленнику с неограниченными вычислительными ресурсами, доступными ему сегодня или в будущем, включая квантовый компьютер.

С момента изобретения КРК прошло путь от теоретической концепции до достаточной зрелой технологии. Оно получило реализацию на основе волоконно-оптических линий связи, связи в свободном пространстве в приземной атмосфере и между спутниками. Однако ввиду затухания квантовых сигналов в каналах передачи практические реализации КРК имеют ограничения на предельное расстояние между взаимодействующими абонентами. В оптоволокне, например, типовым является расстояние порядка 100 км с лабораторными рекордами до примерно 500 км.

Для создания географически протяженных сетей связи на тысячи километров с применением КРК используется концепция промежуточных узлов. Суть этой концепции состоит в том, что в протоколе выработки или распределения ключа участвуют не только два абонента, которых надо обеспечить общим ключом, но и некоторое количество вспомогательных, называемых промежуточными узлами. Обычно протокол устроен так, что все множество участвующих в протоколе узлов можно выстроить в последовательность так, что два соседних узла в ней географически могут взаимодействовать друг с другом по квантовому каналу.

Смысл термина «промежуточный узел» варьируется в довольно широких пределах в зависимости от подхода к удлинению квантовой линии связи. В одних случаях промежуточный узел является источником квантовых состояний в протоколе, в других — измерителем этих состояний, в третьих же он одновременно измеряет, а затем повторно кодирует квантовые состояния. Требования по безопасности к таким узлам могут сильно различаться, а практическая реализуемость имеется не для всех из них. На сегодняшний день технологически реализуемым вариантом являются доверенные промежуточные узлы. Смысл доверия к промежуточному узлу в том, что считается допустимым, что такой узел в протоколе в конечном итоге будет знать выработанный общий ключ или его часть.

В литературе, к сожалению, практически не уделяется внимания вопросу о том, как конкретно два абонента получат общий ключ с использованием промежуточных узлов. Обычно все ограничивается рассмотрением тривиального случая трёх узлов и кратким упоминанием, что промежуточный узел, имея квантовые ключи с двумя крайними абонентами, отправляет в канал эти два ключа, сложенные побитно по модулю 2. Так моделируется одноразовый шифр-блокнот, где в качестве ключа зашифрования используется один из квантовых ключей, а в качестве защищаемых данных — другой.

В данной работе мы рассмотрим весьма общие и реализуемые на практике подходы качественного характера к формированию общего ключа двух абонентов в предположении, что эти абоненты связаны квантовым каналом не напрямую, а через цепочку доверенных промежуточных узлов.

2. Квантовые сети

Квантовая сеть — совокупность квантовых узлов (аппаратуры), некоторые из которых, обычно географически соседние, связаны между собой квантовым каналом и могут вырабатывать общий ключ, называемый для простоты квантовым. Математически квантовая сеть моделируется в виде графа, вершины которого составляют квантовые узлы, а ребрами являются квантовые каналы. Далее будем называть такой граф квантовым. Ребро присутствует в графе не по факту наличия квантового канала как такового, а только в том случае, когда соединённые квантовым каналом узлы могут выработать общий кванто-

вый ключ. Дело в том, что не любая пара узлов, соединённых квантовым каналом, может выработать квантовый ключ. Например, если в каждом из двух соседних узлов стоит формирователь квантовых состояний, и ни в одном нет приемника, то, очевидно, никакого ключа выработать невозможно.

Чтобы любая пара квантовых узлов могла в итоге выработать общий ключ, необходимо, чтобы квантовый граф был связным. Путь в квантовом графе из одного узла в другой будем называть ключевым квантовым, путём.

Ввиду аналогии между квантовой сетью и традиционным телекоммуникационными сетями будем считать, что реализованы механизмы построения маршрутов между двумя заданными узлами квантовой сети, и, как частный случай, узлы умеют определять своих непосредственных соседей.

Будем считать, что квантовый граф является связным, и любая пара квантовых узлов должна уметь выработать общий ключ. Наша задача — построить протокол, который решает указанную задачу. Протокол такого вида мы будем называть сетевым протоколом выработки ключей, а полученный в результате его работы ключ — общим итоговым ключом. Слово «итоговый» здесь лишь подчеркивает успешное завершение работы протокола, который в процессе своего функционирования может создавать и другие общие данные, например промежуточный ключевой материал или промежуточные ключи, одновременно доступные двум вырабатывающим общий парный ключ абонентам.

В практических применениях не обязательно будет требоваться, чтобы любая пара узлов могла вырабатывать общий ключ. Обычно достаточно, чтобы набор заранее известных пар узлов мог это делать. Однако такое уточнение практически не упрощает задачу и не будет влиять на дальнейшие результаты.

Мы не будем рассматривать вопросы создания, функционирования и стойкости протоколов КРК. Также не будем касаться вопросов реализации аппаратуры КРК. Будем считать, что если в квантовом графе есть ребро, то соответствующая пара узлов может вырабатывать общий квантовый ключ. И при необходимости в рассуждениях будем считать, что такой ключ уже доступен или будет доступен в нужное время.

Мы интересуемся ситуацией, когда квантовый путь включает три и больше узлов. И предполагаем, что только соседние узлы в квантовом пути могут выработать квантовый ключ. А вот любые другие пары уже не могут. (Если это не так, то между двумя заданными узлами существует несколько квантовых путей, некоторые из которых могут быть более предпочтительными по критерию, например, надежности или скорости выработки квантовых ключей. Но нам подойдет любой квантовый путь.) Это означает, что какой бы не был протокол, выработанный итоговый общий ключ не может быть квантовым. А именно, итоговый ключ не будет получен как результат работы некоторого протокола КРК, в отношении которого можно утверждать, что его стойкость обеспечивается физическими законами. Стойкость итогового ключа дополнительно будет ограничиваться устройством протокола и теми криптографическими функциями, которые обеспечивают в нём защиту. Но разумно предположить, что в процессе функционирования протокола итоговый ключ будет защищаться квантовыми ключами, выработанными на каждом сегменте квантового пути. Иначе никакого отношения к технологии КРК разрабатываемый протокол иметь не будет. Поэтому будем называть итоговый общий ключ квантовозащищенным ключом,.

Кратко коснёмся возможности построения протоколов, в результате работы которых при наличии промежуточных узлов мог бы получиться не квантовозащищенный, а квантовый ключ. Мы не исключаем существование групповых квантовых протоколов выработки ключей, в которых будет вырабатываться ключ, известный сразу группе взаимодействующих узлов, включая частный случай, когда группа образует ключевой квантовый путь. Такой протокол одновременно решал бы задачу выработки общего ключа и для любой пары узлов из группы. Однако представляется, что скорость выработки ключа будет падать экспоненциально быстро с ростом размера группы или длины квантового пути. Суть работы всех известных квантовых протоколов состоит в том, что два абонента, сгенериро-

вав независимо друг от друга случайные битовые строки, определяют в них совпадающие биты, которые и объявляются квантовым ключом. Априори совпадать может примерно половина бит из сгенерированных строк. В результате работы самого лучшего протокола КРК от этой половины останется малая доля совпадающих бит. Если же в протоколе будет участвовать п участников, каждый из которых генерирует свою случайную строку, то доля совпадающих бит в исходных строках будет оцениваться как 2-(га-1). При п порядка нескольких десятков, что на практике будет составлять разумные несколько тысяч километров, на выходе протокола не будет оставаться ни одного общего бита, известного всем участникам, и протокол потеряет прикладной смысл.

Для реализации сетевого протокола выработки общего ключа мы будем рассматривать использование только симметричных криптографических механизмов, подразумевающих, что два взаимодействующих абонента заранее знают некоторый общий парный секретный ключ. И мы принципиально не будем рассматривать возможность использования асимметричных криптографических механизмов. Квантовое распределение ключей при правильной реализации может обеспечить абсолютную стойкость вырабатываемого ключа. При переходе к сценарию квантовых сетей, т.е. от квантового ключа к квантовозащищённому ключу, необходимо максимально сохранить это свойство. Во всяком случае, не ухудшить его неподходящим выбором криптографических механизмов и самим протоколом. Применение асимметричных механизмов противоречит этой идее. Во-первых, широко распространённые сегодня асимметричные механизмы, например протокол Диффи-Хеллмана в конечной группе, неустойчивы к квантовому компьютеру. Во-вторых, даже применение так называемых постквантовых или квантовоустойчивых механизмов не гарантирует необходимой стойкости. Последние, в связи с развитием квантовой алгоритмики в будущем, могут, в действительности, оказаться неустойчивыми к квантовым вычислителям.

3. Сетевой протокол выработки ключей 3.1. Защищённая передача

Базовый криптографический компонент, необходимый для построения сетевого протокола выработки общего ключа, — защищённая передача. Защита понимается в криптографическом смысле: необходимо подходящими криптографическими средствами обеспечить конфиденциальность передаваемых данных и их имитозащиту (или аутентичность). Реализация первого свойства ведет в конечном итоге к тому, что общий ключ будет оставаться в секрете, а второго — что не случится навязывания ложного ключа.

Защищённая передача сообщения s с использованием симметричных криптографических механизмов от абонента А к абоненту В будет использовать некоторый шифр E(s, КдВ) и некоторый механизм выработки имитовставки (кода аутентификации сообщений) MAC(з,КдВ). Здесь КдВ и секретные ключи, известные одновременно абонентам А и В, для шифрования и вычисления имитовставок соответственно. Далее мы будем, в общем случае, различать ключи в зависимости от направления передачи сообщения, что будет отражаться в порядке следования идентификаторов в индексе ключа: для передачи от А к В используется ключ & от В к А — ключ Ква-

Конкретный вид функций Е(■, ■) и MAC(■, ■) зависит от требований безопасности в конкретной системе. В качестве Е(■, ■) может выступать, например, блочный шифр в режиме гаммирования, а в качестве MAC(■, ■) тот же блочный шифр в режиме вычисления имитовставки. Порядок применения функций Е(■, ■) и MAC(■, ■) может быть различным в зависимости от требований безопасности. Более подробно этот вопрос рассмотрен в [2], где показано, что наиболее безопасный вариант при прочих равных условиях — сначала зашифрование, а после этого вычисление имитовставки от зашифрованных данных, т. е. передача в канал данных E(s, К^в), MAC(E(s, К^в), K^B). Именно этот вариант мы будем подразумевать далее. На практике такой вариант обеспечивает ещё и наиболее эффектив-

ную реализацию при приеме данных: если при проверке имитовставка не сходится, то далее нет необходимости в расшифровании данных.

Вместо двух функций Е(■, •) и МАС(■, ■) может быть использована объединённая функция защиты, так называемое аутентифицированное шифрование, которое использует один (единый) ключ.

В нашем случае в качестве сообщения s будет использоваться некоторые ключевые компоненты (ключевой материал), на основе которых будет выработан итоговый общий ключ.

3.2. Базовый протокол: защищённый транспорт ключа

Пусть имеется квантовый путь, состоящий из L + 1 квантового узла Nq, N\,..., Nl. На каждом сегменте между двумя соседними узлами Ni и N+i v каждого из них имеются ключи qKfi+lví qK^+i для шифрования и имитозащиты соответственно. Будем предполагать, что каждый из этих ключей выработан в квантовом протоколе между Ni и Ni+\.

Рассмотрим базовый протокол получения общего квантовозащищённого ключа для узлов Nq и Nl, крайних в квантовом пути.

Один из узлов, скажем Nq, используя генератор случайных чисел, вырабатывает случайную ключевую компоненту qRq. Забегая вперед, скажем, что qRq — основа для формирования итогового криптографического ключа, и она отличается от последнего только длиной. Поэтому мы предъявляем к её формированию такие же требования, как и к формированию ключей: она должна выбираться случайно и равновероятно из всего множества компонент заданной длины. При этом мы считаем, что каждый узел в квантовом пути обладает генератором случайных чисел необходимого качества. Это предположение достаточно обосновано, поскольку каждый узел в квантовом пути по определению участвует в КРК-протоколах с соседними узлами, требующих большого количества случайных чисел.

Далее выполняется защищённая передача компоненты qRq оч Nq к Nl- При этом каждый промежуточный узел Ni, г = 1,...,L — 1 выполняет расшифрование компоненты, полученной из канала, и повторное её зашифрование перед отправкой в канал, т.е. перешифрование компоненты qRq.

Более формально, отправляющий узел ^зашифровывает коми оненту qRq, для зашифрованной компоненты вычисляет имитовставку и в канал отправляет данные:

Е(qRa, qK%+1),MAC(Е(qRq, qK^t+1),qK^+1). (1)

Принимающий узел N+1 v полученных данных проверяет имитовставку. В случае успешной проверки данные расшифровываются, и узел Ní+i получает компоненту qRq в открытом виде. Далее узел Ní+i сам выступает в роли отправляющего, зашифровывая qRq и вычисляя имитовставку для зашифрованных данных на ключах qKf+n+2 и í+2-

Процесс повторяется для каждого г = 0,..., L — 2.

По окончании процесса передачи узлы Nq и Nl с использованием заранее известной функции выработки ключа KDF (■, ■) из ключевой компоненты вырабатывают итоговый квантовозащищенный ключ

Q = KDF (qRo,Meta).

Здесь Meta — некоторая общеизвестная мета-информация, необходимая для системы управления ключами в квантовой сети. Как правило, такая метаинформация включает идентификаторы узлов, для которых вырабатывается общий ключ, длины идентификаторов, длины исходных ключевых компонент и итогового ключа и тому подобную информацию.

Если бы функция KDF(■, ■) в качестве результата выдавала бы только свой первый аргумент, то ключом бы являлась та компонента, которую сформировал узел Щ, и словосочетание «транспорт ключа» имело бы прямой смысл.

Централизованный режим

Выработка случайной компоненты может быть реализована не только крайним узлом N0. Вместо него может использоваться любой промежуточный узел в квантовом пути, например узел N3. Случайная компонента дК^ выработанная на будет за-щищенно транспортирована до узлов N0 и которые сформируют итоговый ключ д = КБР {дЩ ,МеЪа).

Такой вариант работы протокола естественно назвать централизованным, поскольку он хорошо подходит для ситуации, когда по каким-то причинам узел является выделенным по отношению к другим узлам. Например, если он выступает в роли центра звезды в квантовой сети. И все квантовые пути проходят через этот узел. При этом естественно ожидать от такого центрального узла большей производительности как в смысле традиционных вычислительных ресурсов, так и в случае скорости выработки квантовых ключей с соседними узлами.

Длина квантового пути

Очевидно, что ключ Q может быть вычислен любым узлом в квантовом пути N0, N1,..., И^. Компрометация любого из них ведет к компрометации Q. И это принципиально неустранимая особенность, которая приводит к требованию, чтобы все без исключения узлы в квантовом пути были доверенными.

Если вероятность компрометации промежуточного узла составляет р и компрометация узлов независимая, то вероятность скомпрометировать итогововый ключ для малых р составит

1 - {1 - р)ь-1 ~ {Ь - 1)р.

Если в качестве р рассматривать вероятность компрометации квантового протокола между двумя узлами, то вероятность компрометации этого ключа будет вычисляться аналогично. Как и следовало ожидать, вероятность компрометации растет пропорционально длине квантового пути.

«Неквантовость» ключевой компоненты

Иногда высказываются соображения, что поскольку ключевая компонента дКо вырабатывается генератором случайных чисел, то итоговый квантовозащищенный ключ Q не обладает некой «квантовостью». При этом сам этот термин, естественно, не определяется, но подразумевается, что возможность достижения абсолютной стойкости итогового ключа из-за «неквантовости» теряется. Рассмотрим в связи этим два аспекта.

Пусть компонента дКо является частью или детерминированной производной некоторого квантового ключа, который был выработан узлом N0 с каким-то узлом N * в квантовом протоколе. Такой узел N * может входить в квантовый путь, а может и не входить. Если N * входит в квантовый путь, то пусть для простоты это будет узел N1. По отношению к узлам N0 и ^компонента дВ.0 может обладать «квантовостью» при любом определении этого термина. Но по отношению ко всем другим узлам квантового пути это просто внешние данные с заданными свойствами. При защищённом транспорте, в лучшем случае, такие свойства не будут утеряны. Но основная угроза в описанном базовом протоколе — компрометация промежуточного узла, в результате которой происходит раскрытие злоумышленником дК0 и в конечном и тоге Q. В отношении этой угрозы совершенно не важно, обладает ли дК0 какими-то конкретными свойствами, в частности некой «квантовостью», или нет. Если N * не входит в квантовый путь, то, исходя из логики протокола, он все равно должен быть доверенным. При этом мы получаем снижение доверия к итоговому ключу за счет увеличения числа доверенных узлов.

Другой аспект состоит в том, что если дК0 была выработана в некотором квантовом протоколе, то можно считать, что она была получена из некоторого распределённого источ-

ника случайных чисел. С эксплуатационной точки зрения как источник случайных чисел квантовый протокол неэффективен [3]: типовые реализации квантовых протоколов на типовых расстояниях работы на один выработанный бит квантового ключа могут требовать десятки тысяч и даже миллионы исходных случайных бит. Но может ли такой источник нести дополнительные свойства безопасности по отношению к ситуации, когда qRq была получена с выхода генератора случайных чисел? Любой ключ, выработанный в квантовом протоколе, характеризуется так называемой е-секретностью по критерию вариационного расстояния [4], где обычно малый параметр е характеризует, насколько распределение на множестве вырабатываемых ключей, с учётом действий злоумышленника и утечек по всевозможным классическим и квантовым каналам, отличается от идеального — случайной и равновероятной выборки на всем множестве ключей. Параметр е можно сделать достаточно малым. Достигается это обычно увеличением степени сжатия в процедуре усиления секретности, что эквивалентно падению скорости выработки квантового ключа. Чтобы протокол КРК оставался практически полезным, величина е должна быть весьма далека от 0. В случае же использования генератора случайных чисел аналогично расчитанная величина е для qRq может бы сделана существенно меньшей, чем в случае квантового протокола. Поэтому, с точки зрения безопасности, а именно качества случайных последовательностей, пользы от применения в качестве qRq результата работы квантового протокола по сравнению с традиционным генератором случайных чисел не наблюдается.

3.3. Симметризованный протокол: выработка ключа

В предыдущих рассуждениях мы неявно подразумевали, что генератор случайных чисел, который формирует ключевую компоненту qRq, обладает необходимым качеством. Но что если на практике окажется, что заявленные свойства не выполняются? Например, неравновероятность распределения больше допустимой или злоумышленник своими действиями влияет на генератор.

Усилим протокол, чтобы компенсировать возможные угрозы. Пусть узел Nl с использованием своего генератора случайных чисел формирует ключевую компоненту qRl- И эта ключевая компонента с использованием базового протокола защищенно транспортируется от узла Nl к узлv Nq через промежуточные узлы Ni, г = L — 1,..., 1. Для передачи в канал от узла г + 1 к узлv г формируются данные

E(qRL, qK+i,i), MAC(E(qRL, qK+ ,г), qK+i,г).

Здесь мы обращаем внимание на порядок индексов по сравнению с выражением (1).

В результате каждому из узлов Nq и Nl будут доступны ключевые компоненты qRq и qRL, из которых будет сформирован общий ключ

Q = KDF(qRo, qRL, Meta).

В этом варианте можно говорить не просто о транспорте ключа или его распределении, но о совместной выработке ключа: два непосредственных потребителя Nqh Nl делают одинаковый вклад как в части данных, из которых вырабатывается ключ, так и в сам процесс формирования. Подчеркнём, что ценность такой симметричности и равноправности сторон в том, что если у одной из них возникнут сложности с выработкой своей компоненты, то качество итогового ключа не пострадает.

По отношению к угрозе компрометации промежуточных узлов симметризованный протокол не добавляет ничего принципиально нового. Но потенциальное влияние злоумышленника на формирование итогового ключа уменьшается. Пусть злоумышленник знает ключевую компоненту одного из двух узлов, скажем компоненту qRo тал a Nq, или даже может навязать её по своему выбору. Но если он не знает второй компоненты, то при подходящем выборе функции выработки итогового ключа KDF(■,...) он не получит информации о ключе Q.

Функция выработки ключа

Имея две компоненты дК^ и дКь, можно разными способами сформировать ключ Q с помощью функции КИР{■,...). И мы уже упоминали, что при «подходящем» выборе этой функции можно достичь дополнительных свойств безопасности протокола распределения ключей. В чем состоит «подходящий» выбор? Укажем несколько качественных требований к КОР{■,...).

Чтобы выход функции КИР{■,...) рассматривался как криптографический ключ, она должна выполнять так называемую экстракцию энтропии [5], которая, по сути, сводится к тому, что распределение выхода как случайной величины «выравнивается», т. е. стремится к равномерному, даже если распределение входных величин таковым не является.

Знание части выхода функции при неизвестных входных аргументах не должно позволять злоумышленнику вычислить неизвестную оставшуюся часть выхода. Требование становится особо актуальным, если длина выхода КИР{■,...) позволяет получить сразу несколько ключей. В этом случае компрометация какого-то числа этих ключей не должна приводить к компрометации оставшейся части ключей.

Не должно существовать сколько-нибудь эффективных способов определения аргументов КИР{■,...) на основе знания только результата вычислений. По сути, КИР{■,...) должна быть однонаправленной функцией. Такое свойство обеспечивает в нашем случае защиту внутренних состояний узлов, принимающих участие в протоколе, в случае компрометации итогового ключа.

Наиболее подходящим с точки зрения безопасности, особенно для достижения теоретико-информационной стойкости, было бы использование семейств универсальных хэш-функций, которые обеспечивают гарантированные свойства [6]. Если достаточно обеспечить вычислительную стойкость, то в качестве экстрактора используются конструкции с использованием криптографических функций хэширования.

Подходящий выбор функции КИР{■,...) позволяет решить потенциальную угрозу временной несимметричности вычисления итогового ключа. В своих рассуждениях мы никак не учитывали время или порядок формирования, доставки и обработки данных в протоколе. Но пусть, например, узел N0 вырабатывает компоненту дК0 только после того, как он получит дКь- И вырабатывает он её так, чтобы общий ключ Q обладал заданными свойствами. Например так, чтобы некоторые конкретные биты ключа принимали бы фиксированные значения. Если КИР{■,...) была бы, например, побитовым сложением по модулю 2, это была бы очень простая задача. Но если КИР{■,...) выполняет экстракцию энтропии, то для фиксации заданных т, бит в итоговом ключе необходимо будет совершить работу, пропорциональную 2т попыткам под бора дВ-0- Это переборная атака с экспоненциально растущей сложностью.

3.4. Гибридизация ключей: несколько ключевых систем

Квантовое распределение ключей в теории может обеспечить абсолютную доказуемую стойкость квантового ключа. Но такого рода утверждение, к сожалению, нельзя, как правило, сделать в отношении конкретной технической реализации. Тому имеется несколько причин.

При доказательствах стойкости квантовых протоколов используются предположения, выполнимость которых на практике не гарантируется. Известно, например, что протокол ВВ84 доказуемо стойкий в предположении, что используемый источник являются строго однофотонным. Однако строго однофотонных источников с практически полезными параметрами, в основном это частота формирования фотонов и интервалы между ними, пока не существует. Поэтому используются квазиоднофотонные источники в виде сильно ослабленного лазерного излучения.

Используемые в реализациях оптические и электронные компоненты неидеальны сами по себе. Детектор, например, не всегда срабатывает при приеме фотона, потому что кван-

товая эффективность детекторов меньше 1, или, наоборот, срабатывает при отсутствии фотона, потому что имеется так называемый темновой счет. Кроме того, компоненты могут проявлять неизвестные свойства при отклонении от штатных режимов функционирования. Пропускная способность аттенюаторов, например, может неконтролируемо и необратимо меняться при воздействии на них мощного оптического излучения. При этом отклонение от штатного функционирования может быть вызвано как естественными причинами, так и целенаправленными действиями злоумышленников. В связи с этим на практике возникает вопрос: в какой мере можно считать квантовый ключ стойким?

Любая неидеальность и любое отклонение от предположений теоретической модели потенциально ведут к некоторой атаке. А поскольку совокупность возможных отклонений и неидеальностей огромна, то описать все возможные атаки и оценить устойчивость к ним системы КРК весьма проблематично. Это ни в коем случае не означает, что на практике квантовое распределение ключей нестойкое. Это просто означает, что реализации систем КРК должны проделать достаточно сложный путь, прежде чем достигнуть совершенства.

Но если в условиях конкретной текущей технической реализации системы КРК квантовый ключ оказывается под угрозой или есть риск снижения стойкости по факту появления конкретной атаки, то что надо делать?

Один из возможных ответов на это вопрос состоит в том, чтобы использовать не только механизмы, определённые и согласованные с используемой аппаратурой КРК, но дополнительные альтернативные варианты. Речь идет о выборе дополнительной ключевой системы, альтернативного подхода к выработке или распределению общего ключа, альтернативных механизмов защиты Е(■, ■) и MAC(■, ■) при передаче случайных компо-Н6НТ И X п

Простая идея состоит в том, что при подходящем комбинировании нескольких подходов удастся скомпенсировать недостатки каждого из них. Даже более строго: проектирование систем с использованием КРК надо проводить так, чтобы компрометация любых используемых ключевых систем, кроме одной, не приводила к компрометации итогового ключа. Совершенно очевидно, что каждый из подходов должен быть максимально независим от остальных: построен на других принципах, использует независимые исходные данные (ключи, ключевые компоненты), использует независимую реализацию и систему управления и т.д.

Пусть у нас имеется альтернативная ключевая система для узлов квантовой сети. В качестве такой системы может выступать традиционное предварительное распределение ключей с помощью доверенных курьеров. Или это может быть система на основе квантово-устойчивых (постквантовых) криптографических механизмов, если она окажется доказуемо устойчивой к квантовому компьютеру. Мы не будем конкретизировать тип и устройство системы. Будем считать, что в заданный момент времени она может обеспечить узлы No и Nl общими секретными ключами Ko,l и Здесь мы подразумеваем, что указан-

ные ключи объединяют в себе ключ для шифрования и ключ для имитозащиты, если это требуется исходя из выбора функций, обеспечивающих защищённую передачу.

Каждый из узлов No и Nl с использованием генератора случайных чисел формирует свою случайную компоненту: До и Rl соответственно. Далее с использованием защищенного транспорта No и Nl обмениваются случайными компонентами путем отправки в канал следующих данных:

Е(Ro, К^),МАС(Е(Ro,

и

E(RL, KEto), MAC(E(Rl, KEoo),K™0).

Обратим вниманием, что в данном случае при передаче не используются никакие промежуточные узлы с точки зрения доступа к компонентам До и Rl-

Теперь итоговый квантовозащищенный ключ будет формироваться как

Q = KDF(qR0, qRL, R0, RL, Meta).

Здесь при выборе функции KDF(■,...) появляется некоторая гибкость. Как одна из возможностей может рассматриваться древовидный вариант Q = KDF (KDF(qR0,qRb,Meta1),KDF(RQ,RL,Meta2),Meta3), при котором сначала обрабатываются случайные компоненты, транспортируемые под защитой определённой ключевой системы, и только после этого происходит их смешивание. Эксплуатационно такой вариант представляется даже более предпочтительным, поскольку позволяет обрабатывать компоненты, относящиеся к разным ключевым системам по мере поступления, и не хранить их в ожидании остальных компонент. Это может оказаться актуальным для квантовых сетей со сложной топологией, когда через конкретный узел может проходить несколько квантовых путей. Или может оказаться из соображений стойкости или эффективности, что для каждой ключевой системы предпочтительней отдельная функция KDF (■,...)-. Q = KDF3 (KDFi(qRo, qRL, Metai), KDF2(Rq, Rl, Meta2),Meta3).

Мы называем процесс смешивания ключевых компонент, защита которых была реализована различными способами с применением различных ключевых систем, гибридизацией. В англоязычной литературе употребляется термин cryptoagilitv. Предполагается, что если в реализации одной из ключевых систем обнаружиться слабость, то злоумышленник не сможет ей воспользоваться, поскольку защита будет обеспечиваться другой или другими. И подсистемы с обнаруженными слабостями можно оперативно заменить на стойкие варианты, не изменяя сути и логики выработки общего ключа.

Обобщения гибридизированного протокола

Вариант с гибридизацией очевидным образом обобщается и на случай, когда дополнительные ключевые системы реализуются просто через альтернативные квантовые пути между Nq и Nl- Для каждого квантового nvти между Nq и Nl вырабатывается свой комплект компонент qRo и qRL- А итоговый ключ получается в процессе смешивания компонент, переданных по всем путям. Если при этом окажется, что какие-то квантовые пути частично совпадают, это будет означать, что компрометация промежуточных узлов, входящих в совпадающие сегменты, несет больший риск, чем компрометация остальных промежуточных узлов. Если же можно гарантировать, что в разных квантовых путях нет ни одного общего сегмента (ребра в квантовом графе), то можно реализовать выработку ключа через механизм разделения секрета вплоть до т-из-rn. В этом случае строго математически можно будет гарантировать, что только в случае, когда злоумышленник получит доступ ко все т комплектам случайных компонент, он сможет вычислить общий ключ. В противном случае он не получит никакой информации о ключе.

Гибридизированный протокол на основе нескольких ключевых систем эксплуатационно может быть сведен обратно к негибридизированной версии. Пусть какие-то из этих систем недоступны в конкретный момент времени или перестали функционировать в результате сбоя или действий злоумышленника, или их надо целенаправленно отключить, например, для проведения регламентных работ. В этом случае любой заданный комплект случайных компонент Rq и Rl, а равно и qRo и qRL, при вычислениях могут быть положены заранее известными константами, но только не все пары одновременно. Безусловно, с точки зрения безопасности «отключение» отдельных ключевых систем ведет к известным рискам или даже к снижению стойкости, которые необходимо учитывать.

3.5. Раскрытие ключевой информации на промежуточных узлах

Симметризованный протокол подразумевает, что любому промежуточному узлу в квантовом пути доступны компоненты qRo и qRL- Из них промежуточный узел может выработать ключ qKo,l- Мы уже отмечали, что это принципиальная особенность. Если модель угроз допускает, что какой-то промежуточный узел в квантовом пути может оказаться недоверенным, то симметризованный протокол оказывается полностью нестойким.

Ответом на такую угрозу выступает протокол с гибридизацией. Однако вариант, подразумевающий наличие альтернативной ключевой системы, может быть сделан устойчивым к угрозе компрометации промежуточных узлов и без гибридизации. Для этого при передаче компонент дКо и дКь по квантовому они предварительно защищаются с помощью комплекта ключей Ко,ь и Кь,о- Конкретнее, вместо дКо от Щ к транспортироваться будет

дЩ = Е(дЕоо, К^Ь),МАС(Е(дКо, К^,

Аналогично будет защищен дКь- Поскольку подразумевается, что никакому промежуточному узлу ключ Ко,ь не доступен, то нет угрозы компрометации как итогового ключа, так и отдельных компонент при его формировании. Такой вариант протокола реализуется не гибридизацией ключа, а вложением механизмов защиты. И может показаться, что он даже предпочтительней именно благодаря отсутствию раскрытия информации на промежуточных узлах.

При этом подразумевается, что До и Н-ь не формируются и не передаются. Иначе мы получаем усложнение гибридизированного протокола, в котором нам требуется, кроме квантовых, два комплекта дополнительных ключей: для защиты компонент дКо и дКь на промежуточных узлах и защиты компонент Ко и К^ при передаче между Щ и А это представляется неоправданным усложнением.

Сравним два варианта как по возможности злоумышленника получить доступ к какой-то частичной информацией при компрометации промежуточного узла, так и по угрозам итоговому ключу при такой компрометации. В случае гибридизации ключа злоумышленнику доступны величины дКо и дКь, но не доступны Ко и КПри вложенных механизмах защиты доступны Е(дКо, и Е(дКь, Ко^), но не доступны компоненты дКо и дКь-

В обоих случаях злоумышленнику недоступны по две случайные компоненты, необходимые для формирования итогового ключа, сформированные двумя разными краевыми узлами в квантовом пути. Если требования по случайности и секретности всех компонент одинаковые и формирование ^ выполняется КИЕ(-,...), удовлетворяющей свойствам из раздела 3.4, то в обоих случаях будет получен ключ с одинаковой стойкостью.

Кроме того, если потребуется использовать более двух ключевых систем, то гибриди-зированный вариант естественным образом обобщается на любое их количество, при этом сохраняется независимость функционирования всех ключевых систем. В варианте же с вложением они до известной степени должны быть синхронизированы, а тройное или более шифрования представляются и вовсе странными.

4. Заключение

Квантовое распределение ключей позволяет получить доказуемо стойкий общий ключ паре взаимодействующих абонентов. Однако практические ограничения реализаций систем КРК, в первую очередь по допустимому расстоянию, на которых устойчиво реализуются протоколы КРК, приводят к необходимости организации квантовых сетей в виде множества локально связанных устройств КРК в качестве источника общих ключей. Это обуславливает актуальность задачи синтеза протоколов выработки общего ключа в таких сетях. Важный принципиальный аспект при этом состоит в том, что итоговый общий ключ уже не является квантовым, что означает, что он не является результатом непосредственной работы некоторого протокола КРК. Итоговый ключ является квантовозащищенным, то есть его безопасность обеспечивается с использованием квантовых ключей.

В данной работе мы сознательно отказались от разработки одного определённого протокола. Связано это с тем, что такая разработка требует решения весьма сложных вопросов обоснования выбора конкретных механизмов шифрования, имитозащиты и выработки производных ключей с учётом особенностей и специфики разрабатываемой системы защиты информации, доступных в ней вычислительных и сетевых ресурсов, конкретной модели актуальных угроз и возможных действия злоумышленника.

Мы рассмотрели достаточно общие подходы к проектированию протоколов сетевого распределения ключей. Базовый принцип состоит в криптографически защищённой передаче случайного ключевого материала, из которого будет сформирован итоговый квантовоза-щищенный ключ. Передача происходит через доверенные промежуточные узлы квантовой сети так, что на каждом сегменте передаваемый материал защищен с помощью ключей, выработанных в протоколе КРК на данном сегменте. Доверие к промежуточным узлам в цепочке передачи ключевого материала является принципиальной особенностью. И на текущем уровне развития технологии КРК ещё и неустранимой для сколько-нибудь масштабных квантовых сетей. Реализуя передачу в обоих направлениях между двумя абонентами, мы получаем совместную выработку ключа. Дополнив для повышения стойкости симмет-ризованную выработку гибридизацией, то есть смешиванием общих ключей от нескольких ключевых систем, мы получаем весьма универсальную конструкцию. Предложенный подход описывает целый класс сетевых протоколов выработки общего ключа, стойкость которых может быть обоснована для широкого спектра условий, включая как вычислительно стойкие, так и теоретико-информационно стойкие варианты.

Автор благодарит своих коллег, Михаила Бородина и Андрея Жиляева, и экспертов Технического комитета по стандартизации № 026 «Криптографическая защита информации» за плодотворные дискуссии в области управления ключами для квантовых сетей.

Литература

1. Bennet С. Н., Braasard G. Quantum cryptography: public key distribution and coin tossing // Proc. of IEEE Int. Conf. on Computers, Systems and Signal Processing. Bangalore. India. 1984.

2. Bellare M., Namprempre C. Authenticated Encryption: Relations among Notions and Analysis of the Generic Composition Paradigm // Journal of Crvptologv. 2008. V. 21. P. 100 191.

3. Арбеков И.М., Молотков C.H. Об экстракции квантовой случайности // УФН. 2021. Т. 191, N 6. С. 651—669.

4. Арбеков И.М. Элементарная квантовая криптография: Для криптографов, не знакомых с квантовой механикой. Учебное пособие. Москва : Ленанд, 2022. 168 с.

5. Chevassut О., Fouque P., Gaudry P., Pointcheval D. Key Derivation and Randomness Extraction // Crvptologv ePrint Archive, Report 2005/061. 2005. http://eprint.iacr.org.

6. Hastad J., Impagliazzo R., Levin L.A., Luby M. A Pseudorandom Generator from any Oneway Function 11 SIAM Journal on Computing. 1999. V. 28, N 4. P. 1364-1396.

References

1. Bennet C.H., Braasard G. Quantum cryptography: public key distribution and coin tossing // Proc. of IEEE Int. Conf. on Computers, Systems and Signal Processing. Bangalore. India. 1984.

2. Bellare M., Namprempre C. Authenticated Encryption: Relations among Notions and Analysis of the Generic Composition Paradigm // Journal of Crvptologv. 2008. V. 21. P. 169 191.

3. Arbekov I.M., Molotkov S.N. Extraction of quantum randomness. UFN. 2021. V. 191, N 6. P. 651-669.

4. Arbekov I.M. Elementary quantum cryptography: For cryptographers unfamiliar with quantum mechanics. Study guide. Moscow : Lenand, 2022. 168 p.

5. Chevassut О., Fouque P., Gaudry P., Pointcheval D. Key Derivation and Randomness Extraction // Cryptologv ePrint Archive, Report 2005/061. 2005. http://eprint.iacr.org.

6. Hästad J., Impagliazzo R., Levin L.A., Luby M. A Pseudorandom Generator from any One-way Function 11 SIAM Journal on Computing. 1999. V. 28, N 4. P. 1364-1396.

Поступим в редакцию 24-05.2022