Когда появится достаточно мощный квантовый компьютер, алгоритм Шора сломает RSA и ECC. С ним падут TLS, цифровая подпись, VPN, помещения. И это всего лишь вопрос времени: оценка требуемых ресурсов за последние годы упали на несколько порядков, и обсуждение расходов сменило ракурс с академического на инженерный.
Задача решается в двух направлениях. Постквантовая криптография (PQC) — новые математические задачи, устойчивые к квантовым атакам; она работает на обычном железе, NIST утвердил стандарты в 2024 году. Квантовая криптография (КК) представляет собой защиту на уровне физики одиночных квантов и требует выделенной оптики или спутников, но основана не на вычислительных допущениях, а на физических законах — с оговорками, к которым мы вернёмся.
Эта статья — про КК. Сначала разберём физику, на которой она стоит; потом протокол BB84 и родственные ему. Попутно увидим, что QC — это не только распределение ключей. В конце статьи разобраны квантовые сети, атаки на реальное оборудование, позиция регуляторов, а также проведено сравнение QC и PQC.
Откуда угроза
Безопасность RSA и ECC основана на том, что задачи факторизации и региональной логарифмы практически неразрешимы для классических компьютеров. Это не следствие, а эмпирическое наблюдение. В 1994 году Питер Шор показал, что для квантового компьютера существует эффективный алгоритм: обе задачи созданы для поиска функции периода, а период осуществляет квантовое преобразование Фурье.
Популярное объяснение, что Шор «перебирает все варианты одновременно», приводит к заблуждению. Квантовое ускорение — не параллельный перебор, а извлечение глобальной структуры через интерференцию амплитуды: «неправильные» ответы гасят друг друга, «правильные» развиваются.
Симметричные шифры Шор не ломает, но алгоритм Гровера 1996 года приводит к полному перебору квадратично. По теоретической верхней границе это эквивалентно расстояние половины длины ключа: AES-256 означает устойчивость AES-128. На первом железе эффект меньше — Гровер плохо параллелизуется и требует последующих цепочек. Удвоение переключателя — разумная, но не паническая мера.
Более коварная угроза — стратегическая. Зашифрованный трафик можно перехватывать и хранить сегодня, а расшифровывать, когда это станет возможно. Эту модель называют «Собери сейчас, расшифровай позже», и она делает уязвимыми долгосрочные секреты уже сейчас: дипломатию, медицинские и биометрические базы, коммерческие данные, сохраняющие ценность долгие годы.
Два ответа
PQC — алгоритмы, для которых неизвестно: решёточные, кодовые, хеш-основанные квантовые ускорения. В августе 2024 года NIST утвердил первые стандарты: ML-KEM для обмена ключами 1 , ML-DSA и SLH-DSA для замены 2 3. Они уже внедряются в TLS 1.3, Signal, iMessage. Основное преимущество — работа на обычном железе и масштабирование по существующим сетям.
КК основан на физических свойствах одиночных фотонов. Безопасность гарантирована законами природы, не допущенными о вычислительной сложности; взамен возникает необходимость построить выделенную инфраструктуру. КК применяется в нишах, где приоритетом является физическая безопасность, а не универсальность: магистрали между банками, государственные каналы, спутниковые линии.
Дальше — о второй стратегии.
Физика, на которой стоит всё остальное
Вся квантовая криптография сводится к четырем свойствам квантовых систем.
Суперпозиция. Кубит — вектор в двумерном комплексном пространстве: |ψ⟩ = α|0⟩ + β|1⟩, с нормировкой |α|² + |β|² = 1. Геометрически чистое состояние кубита — точка на поверхности поверхности Блока: классический бит живёт в двух полюсах, кубит — в любом корпусе соединения. В роли QKD кубит обычно играет поляризацию одного фотона; Горизонтальная и вертикальная задают одно основание, диагональная и антидиагональная — другое.
Измерение и несовместимость базисов. Измерение необратимо переводит кубит в один из базисных векторов базиса. Ортогональные состояния различаются со 100%-ной надежностью; неортогональные — нет: в любой стратегии их различения есть нижняя граница ошибочная, составляющая их скалярного произведения. Принцип неопределённости Гейзенберга — нельзя частный случай этого факта: одновременно точно знать значения двух некоммутирующих наблюдателей. В BB84 такие наблюдения ведут к поляризации в двух базисах — измерение в одном стирает информацию о втором.
Запрет клонирования. Не существует универсальной квантовой операции, копирующей сведения о неизвестном состоянии (Вуттерс и Зурек, Дикс, 1982). Доказательство умещается в одну строку из линий: если копировщик U работает на базисных состояниях, то для суперпозиций |ψ⟩ = (|0⟩ + |1⟩)/√2 он дает U |ψ⟩|0⟩ = (|00⟩ + |11⟩)/√2, настоящая копия |ψ⟩|ψ⟩ = (|00⟩ + |01⟩ + |10⟩ + |11⟩)/2 — совсем другое состояние. Противоречие. Следствие для криптографии: перехватчик не может «снять фиксатор» фотона и отправить оригинал дальше, так что исследование происходит по-настоящему, разрушение исходного состояния.
Запутанность. Две частицы могут находиться в состоянии, не раскладывающемся в произведении обработки каждой: например, |Φ⁺⟩ = (|00⟩ + |11⟩)/√2. Измерение одной частицы мгновенно устанавливает другое состояние. Это не передача сигнала быстрее света — сам результат, — но корреляции в запутанных парах сильнее, чем предполагает любая классическая теория со скрытыми параметрами; формально они нарушают цвет Беллы. Проверка нарушений — статистический тест на первоначальность квантовой природы соответствия. В протоколе E91 такая проверка встроена прямо в переключатель процесса.
Протокол BB84
Чарльз Беннет и Жиль Брассар предложили BB84 в 1984 году. Это первый и самый отработанный протокол квантового распределения ключей; остальные — вариации на ту же тему.
В криптографических протоколах традиционно используют имена: Алиса (легитимный отправитель), Боб (легитимный получатель) и Ева (перехватчик, от англ. eavesdropper).
Алиса кодирует случайные биты в поляризацию одиночных фотонов, для каждого фотона случайный выбор одного из двух базисов: прямолинейный (0°/90° = 0/1) или диагональный (45°/135° = 0/1). Боб берет фотоны и каждый независимо и случайно выбирает основу измерения. Когда базисы пришли, Боб немного читает Алисы. Когда не произошло, результат случился.
Дальше происходит по открытому классическому каналу. Алиса и Боб сообщают друг другу базисы (но не биты) и оставляют только позицию, где базисы совпали, — это «сырой ключ» в четвертом примерно вдвое меньше исхода по последовательности. Затем они случайно выбрали часть сырого ключа и открыто сравнивают биты: доля расхождений — QBER, коэффициент квантовых битовых ошибок. Если QBER ниже порога (для BB84 — около 11%), канал считается приемлемым. Оставшиеся биты передают коррекцию ошибок классическими методами и усиление конфиденциальности: хеш-функция «сжимает» ключ, уничтожая информацию, которая теоретически может утечь Еву. На выходе — короткий, но информационно-теоретический безопасный ключ.
Одна реализация протокола на восьми битах выглядит так (H и V — горизонтальная и вертикальная поляризация, D и A — диагональная и антидиагональная; ?означают случайный результат при несовпадении базисов):
|
Позия |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
бит Алисон |
0 |
1 |
1 |
0 |
1 |
0 |
0 |
1 |
|
База Али Вид |
+ |
× |
+ |
× |
× |
+ |
× |
+ |
|
Поляризация |
ЧАС |
Д |
В |
Д |
А |
ЧАС |
А |
В |
|
Базис Боба |
+ |
+ |
× |
× |
× |
+ |
+ |
+ |
|
Результат Боба |
0 |
? |
? |
0 |
1 |
0 |
? |
1 |
|
Базы совпали |
✓ |
✗ |
✗ |
✓ |
✓ |
✓ |
✗ |
✓ |
|
В сыром ключе |
0 |
— |
— |
0 |
1 |
0 |
— |
1 |
Из восьми переданных фотонов в сыром ключе получилось пять битов — 0, 0, 1, 0, 1. Это ещё не окончательный ключ: дальше от него отделят часть для оценки QBER, выполнят коррекцию ошибок и усиление конфиденциальности. На следующем этапе в финальном ключе появляется меньше четверти исходных битов.
Стратегия Евы «перехватить, измерить, переслать» проигрывает сразу по всем фронтам. Скопировать фотон нельзя, значит измерения проводить обязательно. Базис Алисы Ева неизвестна, накануне происшествия она выбирает неправильный вариант и разрушает исходное состояние. В позициях, где базисы Алисы и Боба совпали, ее вмешательство дает около 25% ошибок — характеристика опережения QBER, которую законные стороны мгновенно видят.
Откуда берётся 25% — проще увидеть на одной позиции. Пусть Алиса отправила бит 0 в прямолинейном базисе, то есть фотон |H⟩. Ева выбрала диагональный (не угадала). Ее измерение разрушает |H⟩ и с равной вероятностью даст |D⟩ или |A⟩; пусть получилось |D⟩, и Ева пересылает Бобу именно |D⟩. Боб измеряет в прямолинейном базисе (базисы с Алисой совпали — позиция войдёт в сырой ключ). Проекция |D⟩ на {|H⟩, |V⟩} даёт |H⟩ с вероятностью 1/2 (бит 0, правильно) и |V⟩ с вероятностью 1/2 (бит 1, ошибка). Агрегат по всему ключу: Ева угадывает базис с вероятностью 1/2 и ничего не портит; когда не угадывает — перенаправленный фотон дает Бобу неверный бит с вероятностью 1/2. Итого ошибка в сыром ключе: 1/2 × 1/2 = 25%. При QBER ~11% протокол безопасен, при 25% — явно нет.
Семейство протоколов
E91 (Экерт, 1991) основан на запутанности, безопасность верифицируется нарушением протокола Белла. B92 (Беннет, 1992) — упрощение BB84 с двумя неортогональными состояниями. CV-QKD работает с квадратурами когерентных импульсов, совместим со стандартным телеком-оборудованием и обеспечивает высокую скорость на постоянных расстояниях. MDI-QKD Использовать датчики обнаружения: измерение проводится на промежуточном узле, который может быть даже враждебным. Twin-Field QKD (2018) использует интерференцию на промежуточной станции и установил оптоволоконный рекорд без доверенных узлов до 600–800 км.
Где теория расходится с реальностью
Безопасность BB84 основана на идеальном единственном фотоне и идеальном детекторе. Ни того, ни другого не бывает.
Реальные лазеры иногда испускают импульсы с двумя и более фотонами, и Ева может отделить лишний, сохраниться в квантовой памяти и измерить после объявления базисов — атаку Расщепления числа Фотонов. Контрмера — государства-приманки. В практической реализации Алиса случайным образом переключает светодиод лазера между несколькими уровнями: «сигнал» (μ ≈ 0,5 среднего числа фотонов на импульс), «приманка» (ν ≈ 0,1) и вакуум (0). На уровне отдельных фотонов Ева не может записать сигнал от приманки. Но если она блокирует однофотонные импульсы и пропускает только многофотонные, то расположение полученных импульсов на трёхточиях у Боба нарушится — оно перестанет соответствовать тому, что даёт пуассоновскую статистику идеального лазера. По обусловленным частотам приема и QBER на каждом канале Алиса и Боб оценивают нижнюю границу для доли однофотонных импульсов, честно дошедших до Боба, и из этой границы выводится гарантированный размер конечного ключа. Мощным лазером Ева может ещё и перевести детекторы Боба в линейный режим, управляя их оборудованием, — ослепление детектора; ответ — MDI-QKD и мониторинг детекторов состояния. Побочные соединения (энергопотребление, ЭМ-излучение, тайминги) продолжают обеспечивать проблему, которой квантовая природа канала автоматически не закрывает.
Фраза «гарантированная защита законов физики» требует трёх оговорок. Нужен аутентифицированный классический канал — без него Ева проводит обычный MITM и становится «Бобом» для Алисы и наоборот; аутентификация требует в предварительно распределенный секрет или асимметричную подпись, то есть снова сводится к классической или постквантовой криптографии. Оборудование должно соответствовать модели — все вышеописанные атаки эксплуатируют именно разрыв между идеализацией и реальностью. И формальные доказательства делаются при явных противостояниях о моделях (индивидуальных, коллективных, последовательных атаках) и с учётом конечно-ключевых эффектов. Это не отменяет ценности QKD, но «нерушимая физика» — упрощение.
Что ещё знает квантовая криптография
QKD — самая развитая часть, но не внутренняя. Квантовые ГСЧ используют фундаментально шумовые непредсказуемые процессы — дробовой лазер, поляризацию одиночных фотонов, радиоактивный распад. В отличие от классических псевдослучайных генераторов, это истинная случайность; Коммерческие QRNG уже применяются в финансах и шифровании. Квантовая цифровая цифра основана на физических законах, а не на вычислительном допущении, таких как RSA, ECDSA и PQC-подписки; практическая зрелость у нее ниже, чем у QKD. Квантовое разделение секрета делит секрет между участниками с порогом восстановления через многочастичную запутанность. Квантовое обязательство и подбрасывание монеток исключений на основе протоколов с нулевым разглашением и множеством компонентов шифрования; Отрицательный результат Майерса и Ло — Чау (1997) показывает, что безусловно безопасное квантовое обязательство невозможно — существуют только ослабленные варианты.
Как построить квантовую сеть
Между двумя узлами в пределах города обмен квантовым ключом давно решён. Масштабировать эту возможность на глобальную инфраструктуру пока не удаётся.
Оптоволокно принимает сигнал: дальше 150–200 км отдельный фотон становится неразличимым на фоне теплового шума. В классических сетях проблема закрывают оптические усилители — они измеряют сигнал и регенерируют его. В квантовых так нельзя: метод требует копирования (запрещено запретить клонирование), а измерение металлет суперпозицию.
Самый зрелый обходной путь — доверенные узлы. Алиса получается ключом K₁ с Узлом 1, Узел 1 — ключом K₂ с Узлом 2, и так до Боба; сообщение последовательно перешифровывается. Крупнейшее развёртывание — китайская магистраль Пекин — Шанхай протяженностью свыше 2000 км с 32 узлами, запущенная в 2017 году. Критическое ограничение: каждый узел имеет доступ к ключу в открытом виде. Компрометация одного узла ломает всю цепочку, и узлы должны быть физически защищены — это серьезное организационное и финансовое время.
Спутниковая QKD преодолевает расстояние через космический вакуум — там потерь на общность почти нет. В 2016 году Китай запустил Мициуса («Мо-цзы») — первый спутник, специально предназначенный для квантовой связи. Результаты: распределение ключей между наземными станциями на 1200 км, связь запутанных фотонов на одном и том же расстоянии, защищённая видеоконференция Пекин — Вена. Ранние эксперименты проводились ночью, поскольку солнечный свет создает фоновый шум; способствуют распространению схемы и в дневном режиме.
Квантовые повторители решили бы проблему дальности без доверия к промежуточным узлам — через перестановку запутанности (обмен запутанности). Узел A создаёт запутанную, один фотон оставляет у себя пару, второй отправляет на B; узел C делает то же самое, второй фотон тоже отправляется на B; на Б были проведены совместные измерения Беллы двух прибывших фотонов. В результате фотоны A и C оказываются запутанными между собой, хотя никогда не действовали взаимозависимо. Повторяя операцию по цепочке, можно расширить запутанность на любом расстоянии. Но для согласования между сегментами нужна квантовая память с низкой временной когерентностью. Сегодня в лаборатории это микросекунды — важные секунды; для протяжения сетей пока недостаточно.
PQC или QKD
Оба направления решают задачу — безопасную передачу ключей — с разными позициями.
|
|
ПКК |
QKD |
|
Основа безопасности |
Вычислительная сложность новых математических задач |
Отсутствие клонирования, несовместимость базисов |
|
Инфра структураа |
Обычное железо, обновление программного обеспечения |
Выделенная оптика или спутник, одиночные фотоны, криогенные детекторы |
|
Дальность |
Любая (поверх обычного интернета) |
~500–800 км по оптоволокну без доверенных узлов; для глобальных покрытий — спутниковые |
|
лето |
Мегабиты — гигабиты в секунду |
Килобиты — мегабиты в секунду, падающие с расстояния. |
|
Аутентификация |
Встроена |
Не решается — требуется отдельный механизм (обычно PQC) |
|
Модель поражения |
Защита при вычислительных допущениях |
Информационно-теоретический при идеальном оборудовании |
|
Стандарты |
NIST 2024 (ML-KEM, ML-DSA, SLH-DSA), массовое внедрение |
ETSI ISG-QKD, ITU-T; точечные развёртывания |
|
инь |
Программная, минимальная |
Сотни тысяч долларов за канал |
|
Западные регуляторы |
Рекомендации (NIST, NSA CNSA 2.0, UK NCSC, ANSSI, BSI) |
Те же самые агентства публично рекомендуют не доверять QKD гостайнам |
|
Китай и часть ЕС |
Параллельно с QKD |
Активное государственное развёртывание |
Две последние строки — политическая развилка, определяющая географию дальнейших развёртываний. Западные киберведомства скептичны к QKD по инженерным причинам: требует выделенной оптики, не решает проблему аутентификации, дорога, уязвимость к атакам на реализацию, ограничена режимом точка-точка и небольшой дальностью. Китай придерживается противоположной стратегии и инвестирует масштабно.
Практика
Коммерческий рынок небольшой, но существует. ID Quantique (Швейцария) — старейший игрок, оборудование которого гарантировало подсчет голосов в Женеве. Toshiba предлагает системы QKD, совместимые с существующими оптоволоконными линиями посредством мультиплексирования по длине волны. QuantumCTek — основной поставщик средних магистралей. В России работают QRate, ИнфоТеКС, «Смартс-Кванттелеком».
Государственные программы: Китай (магистраль Пекин — Шанхай, Мициус, городские сети Хэфэя, Цзинаня, Шанхая); Евросоюз (EuroQCI объединяет все 27 стран-членов); Россия (проекты РЖД и Росатома, магистраль Москва — Санкт-Петербург); США (инвестиции DOE, DARPA, NSF, но основная федеральная ставка — на PQC); Программа оказания помощи в Японии, Южной Корее, Индии. Стандарты — ETSI ISG-QKD по компонентам и интерфейсам, ITU-T по вопросам телекоммуникаций, ISO/IEC по безопасности.
Распространение сдерживается понятным набором причин: стоимость (SNSPD-детекторы требуют криогеники, канал — десятки долларов), скорость (килобиты в секунду — этого мало для потокового шифрования, но достаточно для регулярной смены ключей в AES), совместимость с существующим трафиком по единой оптоволокну, дальность без доверенных узлов, сертификация устройств. Последнее породило Device-Independent QKD — протоколы, безопасность которых обеспечивается только статистикой нарушений протокола Белла и не зависит от внутреннего оборудования устройства. DI-QKD пока экспериментален.
Что делать сегодня
На 2026 год картина такая. Массовая инфраструктура — браузеры, мессенджеры, TLS, облака — движется к PQC: стандарты приняты, Google, Apple, Cloudflare уже внедряют ML-KEM, предстоит многолетняя миграция. QKD живёт в другом сегменте — выделенные связи между объектами критической волны, особенно магистрали, спутниковые линии. Крупнейшее практическое развёртывание — китайское; Европа строит EuroQCI; США используют PQC. Гибридная архитектура — PQC для массового применения, QKD для специализированных каналов — реалистичный сценарий среднесрочной перспективы.
Практический выбор сегодня приближается к одному вопросу. Если нужно защитить пользовательский трафик, API, почту, подпись документов — планируйте миграцию на PQC (ML-KEM, ML-DSA). Если нужно защитить канал между двумя причинами объектами, есть возможность проложить оптику или использовать спутник, а модель «безопасность, основанная на физике» дает ощутимую ценность — QKD становится вариантом, который стоит рассмотреть вместе с её стоимостью, ограничениями и тем, что аутентификацию она всё равно использует классической или постквантовой криптографии.
Облачные решения для защиты данных
На практике защиту данных в цифровой инфраструктуре уже сегодня можно усилить с помощью проверенных криптографических методов, которые вплотную приближают инфраструктуру к требованиям постквантовой безопасности. Например, российский облачный провайдер Cloud4Y предоставляет услугу шифрования виртуальных машин, которая обеспечивает безопасность виртуальных жёстких дисков и данных на них.
ссылка на оригинал статьи https://habr.com/ru/articles/1024502/