Когда появится достаточно мощный квантовый компьютер, алгоритм Шора сломает RSA и ECC. С ним падут TLS, цифровая подпись, VPN, блокчейны. И это всего лишь вопрос времени: оценки требуемых ресурсов за последние годы упали на несколько порядков, и вопрос миграции перешёл из академического в инженерный.
Задача решается в двух направлениях. Постквантовая криптография (PQC) — это новые математические задачи, устойчивые к квантовым атакам; она работает на обычном железе, NIST финализировал стандарты в 2024 году. Квантовая криптография (QC) представляет собой защиту на уровне физики одиночных квантов и требует выделенной оптики или спутников, но опирается не на вычислительные допущения, а на физические законы — с оговорками, к которым мы вернёмся.
Эта статья посвящена QC. Сначала разберём физику, на которой она стоит; потом протокол BB84 и родственные ему; попутно увидим, что QC — это не только распределение ключей. В конце статьи разобраны квантовые сети, атаки на реальное оборудование, позиция регуляторов, а также проведено сравнение QC и PQC.
Откуда угроза
Безопасность RSA и ECC основана на том, что задачи факторизации и дискретного логарифмирования практически неразрешимы для классических компьютеров. Это не теорема, а эмпирическое наблюдение. В 1994 году Питер Шор показал, что для квантового компьютера эффективный алгоритм существует: обе задачи сводятся к поиску периода функции, а периодом занимается квантовое преобразование Фурье.
Популярное объяснение, что Шор «перебирает все варианты одновременно», вводит в заблуждение. Квантовое ускорение — не параллельный перебор, а извлечение глобальной структуры через интерференцию амплитуд: «неправильные» ответы гасят друг друга, «правильный» усиливается.
Симметричные шифры Шор не ломает, но алгоритм Гровера 1996 года ускоряет полный перебор квадратично. По теоретической верхней границе это эквивалентно потере половины длины ключа: AES-256 сводится к стойкости AES-128. На реальном железе эффект меньше — Гровер плохо параллелизуется и требует длинных последовательных цепочек. Удвоение ключа — разумная, но не паническая мера.
Более коварная угроза — стратегическая. Зашифрованный трафик можно перехватывать и хранить сегодня, а расшифровывать, когда это станет возможно. Эту модель называют Harvest Now, Decrypt Later, и она делает уязвимыми долгосрочные секреты уже сейчас: дипломатию, медицинские и биометрические базы, коммерческие данные, сохраняющие ценность долгие годы.
Два ответа
PQC — алгоритмы, для которых квантовых ускорений неизвестно: решёточные, кодовые, хеш-основанные. В августе 2024 года NIST финализировал первые стандарты: ML-KEM для обмена ключами[^fips203], ML-DSA и SLH-DSA для подписи[^fips204][^fips205]. Они уже внедряются в TLS 1.3, Signal, iMessage. Основное преимущество — работа на обычном железе и масштабирование по существующим сетям.
QC опирается на физические свойства одиночных фотонов. Безопасность гарантирована законами природы, а не допущениями о вычислительной сложности; зато приходится строить выделенную инфраструктуру. QC применяется в нишах, где приоритетом является физическая безопасность, а не универсальность: магистрали между банками, государственные каналы, спутниковые линии.
Дальше — о второй стратегии.
Физика, на которой стоит всё остальное
Вся квантовая криптография сводится к четырём свойствам квантовых систем.
Суперпозиция. Кубит — вектор в двумерном комплексном пространстве: |ψ⟩ = α|0⟩ + β|1⟩, с нормировкой |α|² + |β|² = 1. Геометрически чистое состояние кубита — точка на поверхности сферы Блоха: классический бит живёт в двух полюсах, кубит — в любой точке поверхности. В QKD роль кубита обычно играет поляризация одиночного фотона; горизонтальная и вертикальная задают один базис, диагональная и антидиагональная — другой.
Измерение и несовместимость базисов. Измерение необратимо переводит кубит в один из базисных векторов выбранного базиса. Ортогональные состояния различимы со 100%-ной надёжностью; неортогональные — нет: у любой стратегии их различения есть нижняя граница ошибки, зависящая от их скалярного произведения. Принцип неопределённости Гейзенберга — частный случай этого факта: нельзя одновременно точно знать значения двух некоммутирующих наблюдаемых. В BB84 такими наблюдаемыми служат поляризации в двух базисах — измерение в одном стирает информацию о втором.
Запрет клонирования. Не существует универсальной квантовой операции, копирующей произвольное неизвестное состояние (Вуттерс и Зурек, Дикс, 1982). Доказательство умещается в одну строчку в силу линейности: если копировщик U работает на базисных состояниях, то для суперпозиции |ψ⟩ = (|0⟩ + |1⟩)/√2 он даёт U|ψ⟩|0⟩ = (|00⟩ + |11⟩)/√2, а настоящая копия |ψ⟩|ψ⟩ = (|00⟩ + |01⟩ + |10⟩ + |11⟩)/2 — совсем другое состояние. Противоречие. Следствие для криптографии: перехватчик не может «снять копию» фотона и отправить оригинал дальше, так что измерять приходится по-настоящему, разрушая исходное состояние.
Запутанность. Две частицы могут находиться в состоянии, не раскладывающемся в произведение состояний каждой: например, |Φ⁺⟩ = (|00⟩ + |11⟩)/√2. Измерение одной частицы мгновенно определяет состояние другой. Это не передача сигнала быстрее света — сам результат случаен, — но корреляции в запутанных парах сильнее, чем допускает любая классическая теория со скрытыми параметрами; формально они нарушают неравенства Белла. Проверка нарушения — статистический тест на подлинность квантовой природы корреляций. В протоколе E91 такая проверка встроена прямо в процесс распределения ключа.
Протокол BB84
Чарльз Беннет и Жиль Брассар предложили BB84 в 1984 году. Это первый и самый отработанный протокол квантового распределения ключей; остальные — вариации на ту же тему.
В криптографических протоколах традиционно используют имена: Алиса (легитимный отправитель), Боб (легитимный получатель) и Ева (перехватчик, от англ. eavesdropper).
Алиса кодирует случайные биты в поляризацию одиночных фотонов, для каждого фотона случайно выбирая один из двух базисов: прямолинейный (0°/90° = 0/1) или диагональный (45°/135° = 0/1). Боб принимает фотоны и для каждого независимо и случайно выбирает базис измерения. Когда базисы совпадают, Боб читает бит Алисы. Когда не совпадают, результат случаен.
Дальнейшее происходит по открытому классическому каналу. Алиса и Боб сообщают друг другу базисы (но не биты) и оставляют только позиции, где базисы совпали, — это «сырой ключ» длиной примерно вдвое меньше исходной последовательности. Затем они случайным образом выбирают часть сырого ключа и открыто сравнивают биты: доля расхождений — QBER, Quantum Bit Error Rate. Если QBER ниже порога (для BB84 — около 11%), канал считается приемлемым. Оставшиеся биты проходят коррекцию ошибок классическими методами и privacy amplification: хеш-функция «сжимает» ключ, уничтожая информацию, которая теоретически могла утечь к Еве. На выходе — короткий, но информационно-теоретически безопасный ключ.
Одна реализация протокола на восьми битах выглядит так (H и V — горизонтальная и вертикальная поляризация, D и A — диагональная и антидиагональная; ? означает случайный результат при несовпадении базисов):
|
Позиция |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|---|---|---|---|---|---|---|---|---|
|
Бит Алисы |
0 |
1 |
1 |
0 |
1 |
0 |
0 |
1 |
|
Базис Алисы |
+ |
× |
+ |
× |
× |
+ |
× |
+ |
|
Поляризация |
H |
D |
V |
D |
A |
H |
A |
V |
|
Базис Боба |
+ |
+ |
× |
× |
× |
+ |
+ |
+ |
|
Результат Боба |
0 |
? |
? |
0 |
1 |
0 |
? |
1 |
|
Базисы совпали |
✓ |
✗ |
✗ |
✓ |
✓ |
✓ |
✗ |
✓ |
|
В сыром ключе |
0 |
— |
— |
0 |
1 |
0 |
— |
1 |
Из восьми переданных фотонов в сыром ключе оказалось пять битов — 0, 0, 1, 0, 1. Это ещё не финальный ключ: дальше от него отделят часть для оценки QBER, выполнят коррекцию ошибок и privacy amplification. На длинных последовательностях в финальный ключ попадает меньше четверти исходных битов.
Стратегия Евы «перехватить, измерить, переслать» проигрывает по всем фронтам сразу. Скопировать фотон нельзя, значит измерять обязательно. Базис Алисы Еве неизвестен, в половине случаев она выбирает неправильный и разрушает исходное состояние. В позициях, где базисы Алисы и Боба совпали, её вмешательство даёт около 25% ошибок — статистически заметный QBER, который легитимные стороны немедленно увидят.
Откуда берётся 25% — проще всего увидеть на одной позиции. Пусть Алиса отправила бит 0 в прямолинейном базисе, то есть фотон |H⟩. Ева выбрала диагональный (не угадала). Её измерение разрушит |H⟩ и с равной вероятностью даст |D⟩ или |A⟩; пусть получилось |D⟩, и Ева пересылает Бобу именно |D⟩. Боб измеряет в прямолинейном базисе (базисы с Алисой совпали — позиция войдёт в сырой ключ). Проекция |D⟩ на {|H⟩, |V⟩} даёт |H⟩ с вероятностью 1/2 (бит 0, правильно) и |V⟩ с вероятностью 1/2 (бит 1, ошибка). Агрегат по всему ключу: Ева угадывает базис с вероятностью 1/2 и ничего не портит; когда не угадывает — переправленный фотон даёт Бобу неверный бит с вероятностью 1/2. Итого ошибка в сыром ключе: 1/2 × 1/2 = 25%. При QBER ~11% протокол безопасен, при 25% — очевидно нет.
Семейство протоколов
E91 (Экерт, 1991) опирается на запутанность, безопасность верифицируется нарушением неравенств Белла. B92 (Беннет, 1992) — упрощение BB84 с двумя неортогональными состояниями. CV-QKD работает с квадратурами когерентных импульсов, совместим со стандартным телеком-оборудованием и даёт высокие скорости на коротких дистанциях. MDI-QKD устраняет атаки на детекторы: измерение проводится на промежуточном узле, который может быть даже враждебным. Twin-Field QKD (2018) использует интерференцию на промежуточной станции и установил оптоволоконный рекорд без доверенных узлов до 600–800 км.
Где теория расходится с реальностью
Безопасность BB84 опирается на идеальный одиночный фотон и идеальный детектор. Ни того, ни другого не бывает.
Реальные лазеры иногда испускают импульсы с двумя и более фотонами, и Ева может отделить лишний, сохранить в квантовой памяти и измерить после объявления базисов — атака Photon Number Splitting. Контрмера — decoy states. В практической реализации Алиса случайным образом переключает интенсивность лазера между тремя уровнями: «сигнал» (μ ≈ 0,5 среднего числа фотонов на импульс), «приманка» (ν ≈ 0,1) и вакуум (0). На уровне отдельных фотонов Ева не может отличить сигнал от приманки. Но если она блокирует однофотонные импульсы и пропускает только многофотонные, соотношение принятых импульсов на трёх интенсивностях у Боба нарушится — оно перестанет соответствовать тому, что даёт пуассоновская статистика идеального лазера. По измеренным частотам приёма и QBER на каждой интенсивности Алиса и Боб оценивают нижнюю границу для доли однофотонных импульсов, честно дошедших до Боба, и из этой границы выводят гарантированный размер финального ключа. Мощным лазером Ева может ещё и перевести детекторы Боба в линейный режим, управляя их срабатыванием, — detector blinding; ответ — MDI-QKD и мониторинг состояния детекторов. Побочные каналы (энергопотребление, ЭМ-излучение, тайминги) остаются стандартной проблемой, которую квантовая природа канала автоматически не закрывает.
Фраза «защита гарантирована законами физики» требует трёх оговорок. Нужен аутентифицированный классический канал — без него Ева проводит обычный MITM и становится «Бобом» для Алисы и наоборот; аутентификация требует предварительно распределённого секрета или асимметричной подписи, то есть снова сводится к классической или постквантовой криптографии. Оборудование должно соответствовать модели — все вышеописанные атаки эксплуатируют именно разрыв между идеализацией и реальностью. И формальные доказательства делаются при явных предположениях о модели противника (individual, collective, coherent attacks) и с учётом finite-key effects. Это не отменяет ценности QKD, но «нерушимая физика» — упрощение.
Что ещё умеет квантовая криптография
QKD — самая развитая часть, но не единственная. Квантовые ГСЧ используют фундаментально непредсказуемые процессы — дробовой шум лазера, поляризацию одиночных фотонов, радиоактивный распад. В отличие от классических псевдослучайных генераторов, это истинная случайность; коммерческие QRNG уже применяются в финансах и шифровании. Квантовая цифровая подпись опирается на физические законы, в отличие от RSA, ECDSA и PQC-подписей, основанных на вычислительных допущениях; практическая зрелость у неё ниже, чем у QKD. Квантовое разделение секрета делит секрет между n участниками с порогом восстановления k через многочастичную запутанность. Квантовое обязательство и подбрасывание монетки лежат в основе протоколов с нулевым разглашением и многосторонних вычислений; отрицательный результат Майерса и Ло — Чау (1997) показывает, что безусловно безопасное квантовое обязательство невозможно — существуют только ослабленные варианты.
Как построить квантовую сеть
Между двумя узлами в пределах города обмен квантовым ключом давно решён. Масштабировать эту возможность на глобальную инфраструктуру пока не удаётся.
Оптоволокно поглощает сигнал: дальше 150–200 км отдельный фотон становится неразличим на фоне теплового шума. В классических сетях проблему закрывают оптические усилители — они измеряют сигнал и регенерируют его. В квантовых так нельзя: усиление требует копирования (запрещено no-cloning), а измерение разрушает суперпозицию.
Самый зрелый обходной путь — доверенные узлы. Алиса обменивается ключом K₁ с Узлом 1, Узел 1 — ключом K₂ с Узлом 2, и так до Боба; сообщение последовательно перешифровывается. Крупнейшее развёртывание — китайская магистраль Пекин — Шанхай протяжённостью свыше 2000 км с 32 узлами, запущенная в 2017 году. Критическое ограничение: каждый узел имеет доступ к ключу в открытом виде. Компрометация одного узла ломает всю цепочку, и узлы должны быть физически защищены — а это серьёзное организационное и финансовое бремя.
Спутниковая QKD обходит проблему расстояния через космический вакуум — там потерь на поглощение почти нет. В 2016 году Китай запустил Micius («Мо-цзы») — первый спутник, специально предназначенный для квантовой связи. Результаты: распределение ключа между наземными станциями на 1200 км, передача запутанных фотонов на то же расстояние, защищённая видеоконференция Пекин — Вена. Ранние эксперименты работали ночью, поскольку солнечный свет создаёт фоновый шум; последующие демонстрации распространили схему и на дневной режим.
Квантовые повторители решили бы проблему дальности без доверия к промежуточным узлам — через перестановку запутанности (entanglement swapping). Узел A создаёт запутанную пару, один фотон оставляет у себя, второй отправляет на B; узел C делает то же, второй фотон тоже отправляет на B; на B проводится совместное измерение Белла двух прибывших фотонов. В результате фотоны на A и C оказываются запутаны между собой, хотя никогда не взаимодействовали. Повторяя операцию по цепочке, можно расширять запутанность на любое расстояние. Но для координации между сегментами нужна квантовая память с высоким временем когерентности. Сегодня в лаборатории это микросекунды — единицы секунд; для протяжённых сетей пока недостаточно.
PQC или QKD
Оба направления решают одну задачу — безопасную передачу ключей — с радикально разных позиций.
|
|
PQC |
QKD |
|---|---|---|
|
Основа безопасности |
Вычислительная сложность новых математических задач |
No-cloning, несовместимость базисов |
|
Инфраструктура |
Обычное железо, программное обновление |
Выделенная оптика или спутник, одиночные фотоны, криогенные детекторы |
|
Дальность |
Любая (поверх обычного интернета) |
~500–800 км по оптоволокну без доверенных узлов; для глобального покрытия — спутники |
|
Скорость |
Мегабиты — гигабиты в секунду |
Килобиты — мегабиты в секунду, падает с расстоянием |
|
Аутентификация |
Встроена |
Не решает — требует отдельного механизма (обычно PQC) |
|
Модель противника |
Защита при вычислительных допущениях |
Information-theoretic при идеальном оборудовании |
|
Стандарты |
NIST 2024 (ML-KEM, ML-DSA, SLH-DSA), массовое внедрение |
ETSI ISG-QKD, ITU-T; точечные развёртывания |
|
Стоимость |
Программная, минимальная |
Сотни тысяч долларов за канал |
|
Западные регуляторы |
Рекомендуют (NIST, NSA CNSA 2.0, UK NCSC, ANSSI, BSI) |
Те же агентства публично рекомендуют не полагаться на QKD для гостайны |
|
Китай и часть ЕС |
Параллельно с QKD |
Активное государственное развёртывание |
Две последние строки — политическая развилка, определяющая географию будущих развёртываний. Западные киберведомства скептичны к QKD по инженерным причинам: QKD требует выделенной оптики, не решает проблему аутентификации, дорога, уязвима к атакам на реализацию, ограничена режимом точка-точка и небольшой дальностью. Китай придерживается противоположной стратегии и инвестирует масштабно.
Практика
Коммерческий рынок небольшой, но существует. ID Quantique (Швейцария) — старейший игрок, оборудование которого защищало подсчёт голосов в Женеве. Toshiba предлагает системы QKD, совместимые с существующими оптоволоконными линиями через мультиплексирование по длинам волн. QuantumCTek — основной поставщик китайской магистрали. В России работают QRate, ИнфоТеКС, «Смартс-Кванттелеком».
Государственные программы: Китай (магистраль Пекин — Шанхай, Micius, городские сети Хэфэя, Цзинаня, Шанхая); Евросоюз (EuroQCI объединяет все 27 стран-членов); Россия (проекты РЖД и Росатома, магистраль Москва — Санкт-Петербург); США (инвестиции DOE, DARPA, NSF, но основная федеральная ставка — на PQC); национальные программы в Японии, Южной Корее, Индии. Стандарты — ETSI ISG-QKD по компонентам и интерфейсам, ITU-T по интеграции в телеком, ISO/IEC по безопасности.
Распространение сдерживается понятным набором причин: стоимость (SNSPD-детекторы требуют криогеники, канал — сотни тысяч долларов), скорость (килобиты в секунду — этого мало для потокового шифрования, но достаточно для регулярной смены ключей в AES), совместимость с существующим трафиком по одному оптоволокну, дальность без доверенных узлов, сертификация устройств. Последнее породило Device-Independent QKD — протоколы, где безопасность гарантируется только статистикой нарушения неравенств Белла и не зависит от внутреннего устройства оборудования. DI-QKD пока экспериментален.
Что делать сегодня
На 2026 год картина такая. Массовая инфраструктура — браузеры, мессенджеры, TLS, облака — движется к PQC: стандарты окончательно приняты, Google, Apple, Cloudflare уже внедряют ML-KEM, предстоит многолетняя миграция. QKD применяется в другом сегменте — выделенные каналы между объектами критической инфраструктуры, государственные магистрали, спутниковые линии. Крупнейшее практическое развёртывание — китайское; Европа строит EuroQCI; США делают ставку на PQC. Гибридная архитектура — PQC для массового применения, QKD для специализированных каналов — реалистичный сценарий среднесрочной перспективы.
Практический выбор сегодня сводится к одному вопросу. Если нужно защитить пользовательский трафик, API, почту, подпись документов — планируйте миграцию на PQC (ML-KEM, ML-DSA). Если нужно защитить канал между двумя конкретными объектами, есть возможность проложить оптику или использовать спутник, и модель «security based on physics» даёт ощутимую ценность — QKD становится вариантом, который стоит рассмотреть, вместе с её стоимостью, ограничениями и тем, что аутентификацию она всё равно оставляет классической или постквантовой криптографии.
Облачные решения для защиты данных
На практике защиту данных в цифровой инфраструктуре уже сегодня можно усилить с помощью проверенных криптографических методов, которые вплотную приближают инфраструктуру к требованиям постквантовой безопасности. Например, российский облачный провайдер Cloud4Y предоставляет услугу шифрования виртуальных машин, которая обеспечивает безопасность виртуальных жёстких дисков и данных на них.
ссылка на оригинал статьи https://habr.com/ru/articles/1024562/