После прошлогоднего скандала с раскрытием и депортацией десяти российских шпионов из США ФБР сообщило, что доступ к их шифрованным коммуникациям удалось получить после тайного проникновения в дом одного из подозреваемых, где агенты обнаружили клочок бумаги с 27-символьным паролем.

По сути, в ФБР сочли, что будет более эффективным взломать замок в доме, чем пытаться взламывать 216-разрядный код, несмотря на наличие у правительства США достаточных для этого вычислительных ресурсов. Причина в том, что современная криптография, если ее грамотно применять, дает очень высокую степень защиты: на взлом шифрованного сообщения может уйти невероятно много времени.

Масштаб задачи по взлому шифра

Современные алгоритмы шифрования можно взломать, но их защищенность обусловлена тем, что взлом займет настолько много времени, что в этом не будет смысла. Допустим, вы пользуетесь 128-разрядным кодом AES. Количество возможных 128-разрядных ключей равно 2 128 , или 3,4*10 38 . Если об особенностях ключа никакой информации нет (например, вы можете знать, что владелец привык использовать в качестве паролей дни рождения своих детей), то попытка взлома кода потребует проверки каждого возможного ключа до нахождения работоспособного.

Если вы, допустим, располагаете достаточной вычислительной мощностью, чтобы проверять по 1 трлн ключей в секунду, то на перебор всех возможных ключей уйдет 10,79*1018 лет. Это примерно в 785 млн раз больше, чем возраст видимой части Вселенной (составляющий 13,75 млрд лет). С другой стороны, вам может повезти уже в первые 10 минут.

При использовании квантовой технологии, обладающей той же пропускной способностью, на подбор 128-разрядного ключа ушло бы около шести месяцев. А если взламывать на квантовой системе 256-разрядный шифр, то на это ушло бы столько же времени, сколько у обычного компьютера на перебор 128-разрядных ключей. Квантовый компьютер мог бы взломать код, зашифрованный по алгоритму RSA или основанный на эллиптических кривых, практически мгновенно.

«Весь коммерческий мир работает исходя из предположения, что шифрование обеспечивает абсолютную надежность и не подвержено взлому», — полагает Джо Муркоунз, вице-президент компании SafeNet, поставляющей средства информационной безопасности. Прежде чем говорить об угрозе квантовых вычислений, стоит описать нынешний уровень развития шифрования. Как объясняет Муркоунз, в межкорпоративных коммуникациях используется два типа алгоритмов шифрования: симметричный и асимметричный. Симметричные алгоритмы обычно используются для отправки самой информации, тогда как асимметричные применяются для передачи информации и ключей.

Симметричное шифрование требует, чтобы отправитель и получатель пользовались одними и теми же алгоритмом и ключом. В данном случае расшифровка просто представляет собой процесс, обратный шифрованию, отсюда и название.

Существует множество симметричных алгоритмов, но большинство компаний пользуется стандартом Advanced Encryption Standard (AES), который был утвержден в 2001 году Национальным институтом стандартов и технологий США после пяти лет тестирования. Он заменил Data Encryption Standard (DES), увидевший свет в 1976 году и использовавший 56-разрядный ключ.

AES, в котором обычно применяются ключи длиной 128 или 256 разрядов, еще ни разу не был взломан, тогда как DES можно взломать за считанные часы, указывает Муркоунз. AES одобрен для шифрования уязвимой несекретной информации правительства США.

Что касается секретной информации, то алгоритмы, используемые для ее защиты, разумеется, и сами являются секретом. «Как правило, они представляют собой модифицированные варианты стандартов, — утверждает аналитик IDC Чарльз Колоджи. — Разработчики вносят в них изменения, затрудняющие взлом. И обычно для шифрования секретных сведений используется по нескольку алгоритмов».

Характерная слабость AES (и любой симметричной системы) в том, что отправитель должен передать ключ получателю. Если этот ключ перехватят, передачи становятся «открытой книгой». Но тут на помощь приходят асимметричные алгоритмы.

Как объясняет Муркоунз, асимметричные системы называют еще криптографией с открытым ключом, поскольку в них для шифрования используется общедоступный ключ, а для расшифровки применяется другой, закрытый ключ: «Вы можете опубликовать открытый ключ в общедоступном каталоге напротив своего имени, и я с помощью этого ключа могу зашифровать для вас сообщение, но при этом только вы располагаете закрытым ключом, который позволит декодировать это сообщение».

Самый распространенный асимметричный алгоритм — RSA (названный так по именам его изобретателей Рона Райвеста, Ади Шамира и Леонарда Адлемана). Он основан на трудности разложения на множители больших чисел, из которых формируются два ключа.

Однако RSA-сообщения с ключами длиной до 768 разрядов уже взламывались, о чем сообщает Пол Кохер, глава компании Cryptography Research. «Думаю, что в течение ближайших пяти лет взломают даже 1024-разрядный код RSA», — добавляет он.

Как отмечает Муркоунз, нередко для защиты 256-разрядных ключей AES используются 2048-разрядные ключи RSA. Помимо RSA с длинными ключами, пользователи обращаются к алгоритмам шифрования, основанным на математических описаниях эллиптических кривых. Их защищенность тоже зависит от длины ключа. Эти алгоритмы могут обеспечить тот же уровень защищенности, что и RSA, но требуют вчетверо меньшей вычислительной сложности, поясняет Муркоунз. Однако, как отмечает Кохер, на сегодня уже взламывались шифры на эллиптических кривых с ключами длиной до 109 разрядов.

RSA остается популярным среди разработчиков, поскольку его реализация требует лишь использования операций умножения, что упрощает программирование и повышает быстродействие. Кроме того, сроки действия всех патентов, относящихся к RSA, уже истекли. Эллиптические кривые, в свою очередь, выгоднее, когда имеются ограничения по пропускной способности или оперативной памяти, добавляет Муркоунз.

С появлением квантовых компьютеров нынешняя четкая иерархия мира криптографии может кардинально измениться.

«В технологиях квантовых компьютеров за последние несколько лет произошел грандиозный прогресс, — утверждает Мишеле Моска, заместитель директора Института квантовых вычислений при Университете Ватерлоо в Онтарио. — За последние 15 лет мы перешли от экспериментов с квантовыми битами к созданию квантовых логических вентилей. Если развитие и дальше пойдет такими темпами, то в течение 20 лет мы построим квантовый компьютер».

По мнению Моска, такой компьютер способен вывести криптографию на качественно новый уровень, причем изменения, как объясняет эксперт, будут обусловлены не быстродействием, а астрономическим сокращением количества шагов, которые требуется проделать для выполнения вычислений определенного рода. По сути, поясняет Моска, квантовый компьютер сможет за счет использования свойств квантовой механики отыскивать повторяющиеся последовательности в гигантском числе без изучения каждой цифры этого числа. Именно эта задача решается при взломе RSA и шифра на эллиптических кривых — поиск повторяющихся последовательностей в огромных числах.

Как объясняет Моска, чтобы обычный компьютер мог найти повторяющуюся последовательность в коде на эллиптических кривых с ключом длиной n разрядов, ему потребуется проделать количество шагов, равное 2n/2. Например, для 100 разрядов (это умеренная длина) потребуется 250 (1125899,9 млрд) шагов. Квантовому компьютеру же для этого достаточно будет всего лишь около 50 шагов, то есть взлом кода потребует не большей вычислительной мощности, чем процесс шифрования. В случае с RSA определение количества шагов, требуемых для взлома обычным компьютером, будет более сложным, чем для шифра на эллиптических кривых, но масштаб сокращения потребности в вычислениях на квантовом компьютере будет таким же огромным, утверждает Моска.

Ситуация с симметричным шифрованием не так плоха. Взлом симметричного шифра наподобие AES состоит в переборе всех возможных сочетаний ключей до обнаружения верного. Для 128-разрядного ключа таких сочетаний 2128. Однако благодаря способности квантового компьютера обрабатывать большие числа ему понадобится перебрать лишь количество вариантов, соответствующее квадратному корню из общего числа сочетаний, то есть в данном случае 264. Это все равно огромное количество, поэтому AES при увеличении длины ключа останется защищенным.

Когда именно квантовый компьютер станет угрозой нынешнему «статус-кво»? «Мы не знаем», — отвечает Моска. Для многих людей двадцатилетний срок представляется большим, но в мире кибербезопасности это практически миг. «Является ли риск появления квантового компьютера приемлемым? — спрашивает Моска. — Я так не считаю. Надо начинать искать альтернативы уже сейчас, поскольку на изменение инфраструктуры потребуется много лет».

Муркоунз возражает: «DES продержался 30 лет, и AES хватит еще лет на 20-30. Противостоять повышению вычислительной мощи можно путем более частой смены ключей: если понадобится, можно менять их после каждого переданного сообщения, тогда как сейчас многие организации меняют ключ только раз в три месяца». Для каждого ключа понадобится новая процедура взлома, поскольку успех с предыдущим ключом не распространяется автоматически на последующие.

По утвержданию Колоджи, практическое правило по поводу шифрования состоит в том, что сообщения должны сохранять защищенность не менее 20 лет, поэтому следует пользоваться алгоритмом шифрования, который сохранит свою силу в течение этого срока.

«Сегодня взлом шифра — это 'бег в обход препятствий' — успех зависит от возможности украсть ключ, — полагает Колоджи. — Получив же нечто 'из воздуха', расшифровать вы это не сможете».

Самая же большая сложность, связанная с шифрованием, состоит в контроле за тем, чтобы криптографией пользовались, когда это необходимо.

«Все хранимые бизнес-критичные данные необходимо шифровать, особенно данные по кредитным картам, — уверен Ричард Стиннон из компании IT-Harvest, занимающейся исследованиями в области информационной безопасности. — Согласно требованиям Совета по стандартам безопасности индустрии платежных карт, продавцы обязаны шифровать информацию по кредитным картам, а еще лучше вообще ее не хранить. В свою очередь законы об уведомлении о взломе данных не требуют раскрытия утраченных данных, если они были зашифрованы». Разумеется, хранить ключи шифрования на клочках бумаги тоже не стоит.

Квантовая механика ставит под угрозу методы, используемые в настоящее время для передачи ключей шифрования, но она же предлагает технологию квантового распределения ключей, с помощью которой такие ключи можно и генерировать, и передавать в защищенном режиме. Данная технология коммерчески доступна еще с 2004 года — она реализована в волоконно-оптической системе Cerberis швейцарской компании ID Quantique. Как объясняет основатель и генеральный директор компании Грегуар Риборди, защищенность системы основана на том факте, что процедура измерения квантовых свойств неизбежно приведет к их модификации.

Излучатель на передающей стороне по оптическому волокну отправляет индивидуальные фотоны принимающей стороне. При обычных условиях они прибывают на принимающую сторону с ожидаемыми значениями и используются для генерации нового ключа шифрования. Если на линии есть перехватчик, получатель зарегистрирует увеличение доли ошибок в значениях фотонов и не сгенерирует ключ. Как утверждает Риборди, при отсутствии ошибок защищенность такого канала гарантирована. Однако поскольку гарантия защищенности может быть получена лишь постфактум — после измерения уровня ошибок, который выполняется мгновенно, — этот канал следует использовать только для отправки ключей, а не самих сообщений, отмечает Риборди.

Еще один недостаток системы — ограниченная дальность ее действия, которая сейчас не может превышать 100 км, хотя исследователи из ID Quantique в экспериментах добились дальности передачи 250 км. Теоретический же максимум, по словам Риборди, составляет 400 км. Чтобы преодолеть этот предел, потребуется разработать квантовый повторитель, предположительно, действующий на основе той же технологии, что и квантовый компьютер. Защита ключей с помощью технологии квантового распределения обойдется недешево: как сообщил Риборди, пара излучатель–приемник стоит около 97 тыс. долл.