Создание квантовых компьютеров позволит человечеству совершить прорыв в некоторых областях вычислений, связанных с массивным перебором пространства вариантов. В частности, в моделировании молекулярных взаимодействий и химических реакций, при создании лекарств и развитии химической отрасли в целом, в процессах машинного обучения и моделировании нейронной сети. Но в то же время, перебор, как известно,  –  главный враг криптографии.

В начале февраля 2021 года швейцарская компания Terra Quantum AG заявила, что совершила теоретический прорыв в обнаружении уязвимостей в алгоритмах шифрования, использовав квантовые компьютеры для вычислений. В Terra Quantum AG работает команда из 80 квантовых физиков, криптографов и математиков, которые базируются в Швейцарии, России, Финляндии и США. «То, что в настоящее время считается постквантовой безопасностью, не является постквантовой безопасностью. Мы можем показать и доказали, что алгоритм небезопасен и его можно взломать», – пояснил Маркус Пфлич, главный исполнительный директор и основатель Terra Quantum.

Компания заявила, что ее исследование обнаружило уязвимости, которые влияют на симметричные шифры шифрования, включая Advanced Encryption Standard (AES), который широко используется сейчас для защиты данных (симметричный алгоритм блочного шифрования). Используя метод, известный как квантовый отжиг, исследование компании показало, что даже самые надежные версии шифрования AES могут быть дешифрованы квантовыми компьютерами, которые станут доступны в среднесрочной перспективе.

К слову, об опасности квантовых компьютеров для современных криптографических алгоритмов было известно давно. Так, алгоритм взлома с помощью квантовых вычислений сравнительно надежного на текущий момент алгоритма RSA (ассиметричный алгоритм с открытым и закрытым ключами) с 1994 года известен как алгоритм Шора. Алгоритм Шора – это процедура взлома через разложение на простые множители, которая для классического компьютера занимает время в сотни раз больше, чем возраст вселенной, но для квантового алгоритма, работающего, по сути, с пространством вариаций, задача становится осуществимой. В 2001 году работоспособность алгоритма была продемонстрирована группой специалистов IBM на прототипе квантового компьютера с 7 кубитами.

Сейчас, комментируя исследования Terra Quantum AG, представитель IBM Кристофер Шакка отметил, что его компания знает об этих рисках в течение 20 лет и работает над собственными продуктами для решения проблемы постквантовой безопасности. «Вот почему Национальный институт науки и технологий (NIST) поставил задачу разработать новый квантовый безопасный криптостандарт, – поясняет он. – У IBM есть несколько предложений по этому новому стандарту в финальном раунде, который ожидается через несколько лет».

Возможно одним из методов постквантовой безопасности станет сама квантовая криптография, которая использует для переноса информации методы квантовой механики. И за счет физической, а не математической основы принципов коммуникаций, дает гарантии в обнаружении перехвата информации.

Криптография сегодня

В настоящий момент наиболее надежными алгоритмами шифрования остаются алгоритмы ГОСТ 28147 и AES. Самыми универсальными и эффективными для алгоритмов широкого класса являются дифференциальный и линейный виды криптоанализа. И исследования ученых кафедры ИБ ВМК МГУ Андрея Винокурова и Эдуарда Применко дают следующую оценку криптостойкости этих алгоритмов: «Дать оценку устойчивости алгоритма ГОСТ28147-89 к конкретным видам криптоанализа невозможно без спецификации узлов замен, так как качество этого шифра существенным образом зависит от качества использованных узлов. Однако исследования близких по архитектуре шифров с заданными таблицами подстановок (DES) показали, что криптоанализ шифра с 16 раундами в принципе осуществим, однако требует очень большого числа исходных данных, а при 20–24 раундах становится теоретически бесполезным. ГОСТ предусматривает 32 раунда шифрования, и этого количества хватает с запасом, чтобы успешно противостоять указанным видам криптоанализа».

По оценкам разработчиков шифра Rijndael, уже на четырех раундах шифрования этот алгоритм приобретает достаточную устойчивость к указанным видам криптоанализа. Теоретической границей, за которой линейный и дифференциальный виды криптоанализа теряют смысл, является рубеж в 6–8 раундов в зависимости от размера блока. Согласно спецификации, в шифре предусмотрено 10–14 раундов. Следовательно, шифр Rijndael также устойчив к указанным видам криптоанализа с определенным запасом.

Таким образом, оба сравниваемых шифра обладают достаточной стойкостью к известным видам криптоанализа и достаточными для реализации защищенного взаимодействия при выполнении требований к реализации в соответствии с необходимыми уровнями конфиденциальности.

Эксперты группы компаний Angaraа оказывают необходимые консультации в выборе подходящей системы криптозащиты, ее дальнейшем проектировании, внедрении и сопровождении. Компания работает со всеми производителями в области криптозащиты сети, представленными на российском рынке:

  • В части зарубежной криптографии (и некоторых реализаций ГОСТ с ограниченными возможностями): Palo Alto, Check Point, Cisco, Huawei, Forcepoint Stonegate, UserGate.

  • ГОСТ криптография: S-Terra, Код Безопасности (Континент), Vipnet.