Криптовалюты сталкиваются с растущей угрозой со стороны квантовых атак.

Гонка за переход к протоколам онлайн-безопасности, которые невозможно взломать с помощью квантового компьютера, уже началась. Алгоритмы, которые сегодня широко используются для защиты данных в интернете — RSA и криптография на основе эллиптических кривых — не поддаются взлому суперкомпьютерами, но достаточно мощный квантовый компьютер быстро с ними справится. Существуют алгоритмы, достаточно безопасные, чтобы быть недоступными как для классических, так и для будущих квантовых машин, называемые постквантовой криптографией, но переход к ним — это работа, которая еще продолжается.

В конце прошлого месяца команда Google Quantum AI опубликовала аналитический документ, который значительно повысил актуальность этой гонки. В нем команда показала, что размер квантового компьютера, представляющего криптографическую угрозу, примерно в 20 раз меньше, чем считалось ранее. Это все еще далеко от достижимого для существующих сегодня квантовых компьютеров: самые большие машины в настоящее время состоят примерно из 1000 квантовых битов, или кубитов, а в документе подсчитано, что необходимо примерно в 500 раз больше. Тем не менее, это сокращает сроки перехода к постквантовым алгоритмам.

Эта новость неожиданно принесла пользу одному из участников рынка: малоизвестная криптовалюта Algorand подскочила на 44% в ответ на это. В официальном документе Algorand особо отмечалась за внедрение постквантовой криптографии в свой блокчейн. Мы пообщались с главным научным сотрудником Algorand и профессором компьютерных наук и инженерии Мичиганского университета Крисом Пейкертом, чтобы понять, как это объявление влияет на криптографию, почему криптовалюты ощущают его последствия и что может ждать нас в будущем. Ранние работы Пейкерта над особым типом алгоритма, известным как решеточная криптография, лежат в основе большинства современных постквантовых систем безопасности.

IEEE Spectrum: В чём значимость этого документа Google о квантовом искусственном интеллекте?

Пейкерт: Главный вывод этой статьи заключается в том, что она показывает, что квантовый компьютер сможет взломать некоторые из наиболее широко используемых криптографических методов, особенно в блокчейнах и криптовалютах, с гораздо меньшими ресурсами, чем было установлено ранее. Эти ресурсы включают время, необходимое для этого, и количество кубитов (или квантовых битов), которые ему придется использовать.

Эта криптография играет центральную роль не только в криптовалютах, но и в криптографии в интернете в целом. Она также используется для обеспечения безопасных веб-соединений между веб-браузерами и веб-серверами. Варианты криптографии на основе эллиптических кривых используются в системах национальной безопасности и в военной сфере. Она широко распространена и повсеместно используется во всех современных сетях и протоколах.

И эта статья не только улучшала алгоритмы, но и параллельно вышла работа, демонстрирующая существенное улучшение самого оборудования. В ней утверждалось, что количество физических кубитов, необходимых для создания определенного типа логических кубитов, также значительно сократилось. Эти два вида улучшений суммируются. С точки зрения квантовых вычислений это беспроигрышная ситуация, но для криптографии — проигрышная.

IEEE Spectrum: Что означают результаты исследований Google AI для криптовалют и всей экосистемы кибербезопасности в целом?

Пейкерт: Всегда существовала надвигающаяся угроза того, что квантовые компьютеры смогут взломать значительную часть криптографических схем, используемых в криптовалютной экосистеме. И я думаю, что эта статья стала самым громким сигналом тревоги, указывающим на то, что подобные квантовые атаки могут произойти не так уж и скоро, как некоторые предполагали или надеялись в последние годы. Это вызвало переоценку ситуации в отрасли и сдвинуло сроки, когда квантовые компьютеры смогут взломать эту криптографию.

Когда мы размышляем о сроках и о том, когда важно завершить эти переходы [к постквантовой криптографии], нам также необходимо учитывать неизвестные улучшения, которые следует ожидать в ближайшие годы. Наука о квантовых вычислениях не останется неизменной, и будут происходить новые прорывы. Мы не можем точно сказать, какими они будут и когда, но можно с уверенностью сказать, что они обязательно произойдут.

IEEE Spectrum: Как вы думаете, смогут ли квантовые компьютеры взламывать криптографию в реальном мире, и если да, то когда?

Пейкерт: Вместо того чтобы думать о конкретной дате, когда мы ожидаем их появления, мы должны думать о вероятностях и рисках с течением времени. Были сделаны огромные прорывные разработки, включая не только эту статью, но и некоторые в прошлом году. Но даже с учетом этого, я думаю, что вероятность успешной криптографической атаки с использованием квантовых компьютеров в ближайшие три года крайне низка, возможно, менее одного процента. Но если речь идет о нескольких годах, например, пяти, шести или десяти, то вероятность должна быть серьезной, может быть, 5 или 10 процентов или больше. Так что это все еще довольно мало, но достаточно значимо, чтобы мы должны были беспокоиться о риске, потому что ценность, защищаемая таким видом криптографии, действительно огромна.

Правительство США установило 2035 год в качестве целевого срока для перехода всех систем национальной безопасности на постквантовую криптографию. Учитывая сроки модернизации криптографии, это кажется разумной датой. Это медленный процесс. Его нужно проводить очень тщательно и обдуманно, чтобы не создавать новых уязвимостей, не допускать ошибок и чтобы всё работало исправно. Поэтому, учитывая перспективы квантовых компьютеров, крайне важно подготовиться к такому переходу сейчас, или, в идеале, вчера или несколько лет назад.

IEEE Spectrum: Видите ли вы какие-либо существенные препятствия для внедрения постквантовой криптографии в промышленность в будущем?

Пейкерт: Криптографию очень сложно изменить. С начала 1980-х или конца 1970-х годов, когда эта область только зародилась, в криптографии произошло всего одно или, может быть, два крупных перехода. У нас нет систематического способа перехода в криптографии.

Дополнительная сложность заключается в том, что компромиссы в производительности в постквантовой криптографии сильно отличаются от компромиссов в традиционных системах. Ключи, зашифрованные тексты и цифровые подписи в постквантовой криптографии значительно больше по размеру, но вычисления, как правило, выполняются быстрее. В прошлом криптография оптимизировалась по скорости, и сейчас мы имеем очень хорошие показатели скорости в постквантовой криптографии, но размеры ключей представляют собой проблему.

Особенно в блокчейн-приложениях, таких как криптовалюты, пространство в блокчейне ограничено. Поэтому во многих приложениях требуется переоценка способов интеграции криптографии в систему, и эта работа продолжается. Кроме того, в экосистеме блокчейна используется множество передовых криптографических методов, экзотических вещей, таких как доказательства с нулевым разглашением. Во многих случаях у нас есть элементарные конструкции этих сложных криптографических инструментов из постквантовой математики, но они далеко не так зрелы и готовы к использованию в промышленности, как устаревшие системы, которые были развернуты. Разработка постквантовых версий этих очень сложных криптографических схем, используемых в передовых приложениях, остается важной технической задачей.

IEEE Spectrum: Что вас, как исследователя в области криптографии, привлекло в работе с криптовалютами и, в частности, с Algorand?

Пейкерт: Мой бывший научный руководитель — Сильвио Микали, изобретатель Algorand. Эта система очень элегантна. Это высокопроизводительная блокчейн-система, которая потребляет очень мало энергии, обеспечивает быструю обработку транзакций и обладает рядом других замечательных функций. Сильвио понимал, что эта квантовая угроза реальна и надвигается, и команда обратилась ко мне с предложением помочь улучшить протокол Algorand на базовом уровне, чтобы сделать его более защищенным от постквантовой криптографии к 2021 году. Это была очень интересная возможность, потому что интеграция постквантовой криптографии во все различные технические и криптографические механизмы, лежащие в основе протокола, представляла собой сложную инженерную и научную задачу.

IEEE Spectrum: Каково текущее состояние постквантовой криптографии в Algorand и блокчейнах в целом?

Пейкерт: Мы выявили некоторые из наиболее актуальных проблем и проработали над их решением, но в целом это многогранная проблема. Мы начали с целостности самой цепочки, то есть истории транзакций, с которой должны согласиться все участники.

Наш первый крупный проект заключался в разработке системы, которая бы добавила постквантовую безопасность к истории блокчейна. Для этого мы разработали систему, называемую доказательствами состояний, которая представляет собой смесь обычной постквантовой криптографии и некоторых более сложных методов криптографии: это способ взять большое количество подписей и разложить их на гораздо меньшее количество, сохраняя при этом уверенность в том, что это большое количество подписей действительно существует и правильно сформировано. Затем мы опубликовали другие статьи и реализовали проекты, посвященные добавлению постквантовой криптографии и безопасности к другим аспектам блокчейна в экосистеме Algorand.

Это ещё не завершённый проект. Мы не заявляем о полной постквантовой безопасности. Достичь этой цели очень сложно, и есть аспекты, над которыми мы продолжим работать в ближайшем будущем.

IEEE Spectrum: На ваш взгляд, сможем ли мы внедрить постквантовую криптографию до того, как риски действительно станут для нас серьезнее?

Пейкерт: Я склонен быть оптимистом в таких вопросах. Я считаю, что очень хорошо, что все больше людей, принимающих решения, признают важность этой темы и необходимость подобных миграций. Думаю, мы не можем быть самодовольны и не можем откладывать решение проблемы на потом. Но я вижу, что внимание уделяется этой важной проблеме, поэтому я оптимистично настроен, что в большинстве важных систем в конечном итоге будут внедрены эффективные меры по смягчению последствий или полная миграция.

Но это также точка на горизонте, и мы точно не знаем, когда она наступит. Поэтому существует вероятность того, что произойдет огромный прорыв, а у нас останется гораздо меньше лет, чем мы надеялись, и мы не успеем модернизировать все системы, которые хотели бы исправить к моменту появления квантовых компьютеров.