Новый метод криптографии, обещающий идеальную секретность, встречен со скептицизмом
Международная команда разработчиков заявляет, что их идеальную криптографию физически невозможно взломать
В непрекращающейся гонке создания и взлома цифровых кодов идея идеальной секретности парит где-то на горизонте наподобие миража. Недавняя исследовательская работа привлекла к себе как интерес, так и скептицизм, благодаря описанию того, как достичь идеальной секретности при передаче сообщений при помощи особых кремниевых чипов, генерирующих однократные ключи, которые невозможно воссоздать.
Современная криптография требует, чтобы компьютерные алгоритмы выполняли математически сложные процессы, превращающие обычные данные в тарабарщину. Обычно данные становятся нечитаемыми для любого человека, у которого нет цифрового ключа, раскрывающего математику, использованную для защиты этих данных – если только у оппонента не окажется достаточно вычислительных мощностей, чтобы взломать математически сложный код без ключа. Однако в опубликованном 20 декабря 2019 года в журнале Nature Communications исследовании заявляется об изобретении «криптографии идеальной секретности», которая будет оставаться в безопасности даже когда у оппонента появится доступ к квантовым компьютерам будущего.
«Идеальная секретность – понятие, обозначающее высшую степень безопасности в криптографии», — говорит Рафаэль Мисоцки, криптограф из Intel Corporation, не участвовавший в написании работы. «Если криптосистема достигает идеальной секретности, она должна оставаться безопасной вне зависимости от объёма имеющихся у злоумышленников вычислительных мощностей».
Большинство попыток достичь идеальной секретности сконцентрировались на разработке систем с квантовым распределением ключей (КРК). КРК-системы полагаются на принципы квантовой физики для безопасного распространения цифровых ключей по миру. Однако, уточняет Мисоцки, для внедрения КРК компаниям и правительствам придётся раскошелиться на новые каналы квантовой связи, такие, как спутниковые сети.
В отличие от них, новый метод криптографии идеальной секретности, описанный в Nature Communications, должен работать на существующей инфраструктуре оптоволоконной связи. Этот метод был разработан международной командой исследователей из Университета науки и технологии им. короля Абдуллы в Саудовской Аравии, Университета Сент-Эндрюс в Шотландии и Центра нестандартных научных процессов в Калифорнии, США.
«Мне нравится считать это мостом, дающим жизнеспособную реализацию идей КРК с использованием классической оптической связи», — говорит Андреа Фраталоччи, инженер-электрик из Университета науки и технологии им. короля Абдуллы, ведущий автор работы. Картинка из работы демонстрирует, как массив светоотражающих дисков, расположенных в виде узора отпечатка пальцев человека, может создавать хаотичные световые состояния, отражая свет лазера.
Вместо того, чтобы полагаться на квантовую физику в вопросе безопасности ключей, Фраталоччи с коллегами использовали для охраны секретности ключей хаотичные состояния света. Для этого они нанесли на поверхность кремниевых чипов светоотражающие нанодиски, расположение которых выбрано в виде узора, напоминающего отпечатки пальцев. Поверхность чипа играет роль лабиринта для волн лазерного света, которые отражаются внутри него, перемещаясь по нему случайным образом.
«Хаотичность означает, что любой входящий в лабиринт свет генерирует хаотичное движение без исключений, — поясняет Фраталоччи. – Не каждый узор из дисков способен удовлетворить этому требованию, и правильный узор нужно искать в компьютерных симуляциях».
Что важно, любое малое и необратимое изменение структуры узоров на чипах создаст совершенно другое рассеяние лазерных волн. Исследователи продемонстрировали это экспериментально, поместив на поверхность чипа загрязнённые капли воды, и показав, как небольшие отложения, оставшиеся после испарения воды, изменили как узор самого чипа, так и получаемое хаотичное состояние света. Они представляют себе, что в будущем чипы будут использовать абсорбирующий гидрогель, способный изменять форму, изменяя тем самым и узор.
Чтобы использовать такую систему, двое пользователей – которых в криптографических сценариях часто называют Алиса и Боб – берут себе по одному чипу с узором из дисков, способному генерировать хаотичные состояния света. Алиса и Боб начинают с того, что запускают лазерные импульсы, проходящие через чип каждого из них. Потом они передают эти разные хаотичные состояния света другому человеку по обычному оптическому кабелю.
По окончанию передачи Алиса и Боб измеряют спектральную последовательность полученного хаотического состояния света, и используют другой канал для публичной передачи тех полученных данных, которые не были изменены. Сравнивая полученные данные они совместно могут создать одноразовый ключ, основанный на наложении повторяющихся спектральных последовательностей.
Случайным образом необратимо меняя узоры на чипах, Алиса и Боб могут создавать и передавать одноразовые ключи, безопасность которых не нарушат подслушивание или перехват третьим лицом (которое в таких сценариях часто называют Евой). Всё оттого, что каждый чип с узором изначально будет существовать в термодинамическом равновесии с его окружением, поэтому каждое последующее изменение узора чипа будет увеличивать общий беспорядок как в системе, так и в окружении.
Даже если Ева попытается воссоздать ключ, сохраняя все сигналы, переданные Бобом и Алисой друг другу, или создав идеальную физическую копию обоих чипов, Ева не сможет воссоздать точное окружение каждого чипа, которое также участвует в определении хаотичного состояния света. Второй закон термодинамики делает физически невозможным для Евы воссоздание оригинального термодинамического равновесия, существовавшего в начальных условиях каждого из чипов.
Одноразовые ключи, полученные таким методом, помогли бы реализовать идею криптографию идеальной секретности, или "одноразового блокнота" (one-time pad, OTP), придуманную в эру телеграфа во время Первой Мировой войны в 1917 году. Метод OTP объединяет закодированное сообщение с одноразовым случайным ключом длиной с сам текст. Однако OTP не прижился потому, что большая длина ключа неудобна в обращении, а проблему безопасной его передачи сложно решить.
История с хаотичным чипом, используемая Фраталоччи и его коллегами, предлагает решение задачи безопасной передачи ключей. Более того, исследователи также разработали алгоритм, извлекающий больше цифровой информации из каждого импульса лазерного света, что ускоряет процесс создания одноразовых ключей для более длинных сообщений.
Международная команда исследователей уже отправила заявку на патент, описывающий работу системы, предполагая приспособить её для коммерческого использования уже через несколько лет. На вопрос о наличии недостатков или ограничений этого метода, которые могут проявиться при практическом его использовании, или же возможных проблемах с безопасностью, Фраталоччи ответил, что ему о таковых неизвестно.
«С нами связались различные компании, у которых есть различные интересы, и с которыми мы обсуждаем различные методы применения этого метода для различных задач из области безопасности, — сказал Фраталоччи. – Наша конечная цель – использовать эту систему для получения ответов на все существующие вопросы, связанные с угрозами криптобезопасности».
Но некоторые независимые эксперты в криптографии и физике выразили опасения или просто скептически отозвались о том, может ли такой подход на самом деле обеспечить идеальную секретность для практической криптографии.
«Я хочу подчеркнуть, что главная проблема с этой работой состоит в том, что в ней делаются чрезвычайно смелые заявления, однако совершенно ясно, что у автора отсутствует какое бы то ни было понимание основ криптографии», — говорит Иехуда Линдел, специалист по информатике из Центра исследований прикладной криптографии и кибербезопасности при Университете имени Бар-Илана в Израиле. «Это всегда вызывает серьёзные опасения».
Линдел признал, что он сам не физик, и не может подтвердить достоверность физических аспектов работы. Однако он подчеркнул то, что он назвал «грубыми ошибками» в работе, касающимися криптографии. К примеру, он оспаривает заявление работы о том, что квантовые компьютеры способны взломать все классические криптографические методы, указав, что Advanced Encryption Standard (AES) может оставаться в безопасности даже при использовании квантовых компьютеров, просто удвоив длину ключа.
«Если бы в работе описывался результат, полученный на основании первичных исследований, который стоит изучать далее, думаю, что я бы отреагировал совсем по-другому, — сказал Линдел. – Криптография – вещь очень сложная; какой-то специалист из другой области, заявляющий, что решил все её проблемы, просто не заслуживает доверия».
Идею использования теории хаоса в криптографии изначально предложил британский физик Роберт Мэтьюс в 1989 году, говорит Квек Леон Чуан, физик из Центра квантовых технологий при Национальном университете Сингапура. Но он добавил, что такой подход оказался непопулярным из-за проблем с безопасностью.
«Считаю, что анализ безопасности требует дальнейшего изучения, — сказал Квек. – В целом, хотя попытка заслуживает похвалы, мне кажется, что возможные пробелы в безопасности могут испортить и эти протоколы».
Криптограф из Intel, Мисоцки, охарактеризовал новое исследование, как «интересное», указав одновременно на возможные трудности в безопасной реализации системы. В частности он указал на то, что второй публичный канал, используемый для общения между Алисой и Бобом, может быть уязвим для атак с посредником (MitM), тайно передающим и, возможно, изменяющим сообщения, передающиеся от одной стороны к другой, которые верят, что общаются только друг с другом.
Для предотвращения подобных атак обычная криптография полагается на цифровые подписи и другие методы аутентификации, чтобы гарантировать прямой обмен сообщениями с доверенными лицами, и отсутствие злоумышленника посередине. «Неясно, как к этому новому подходу можно добавить этот слой аутентификации, поскольку второй канал, предлагаемый в работе, способен только на передачу ключей», — сказал Мисоцки.
В ответ Фраталочи пояснил, что новый подход совместим с различными техниками аутентификации, включая те, что предлагаются для КРК-систем. «Наша система очень гибкая и открыта для интеграции различных схем аутентификации, однако я не могу раскрывать их, поскольку они являются частью разрабатываемых нами методов», — говорит Фраталоччи.
Анонимный исследователь, читавший черновик работы из Nature Communications в рамках экспертной оценки, также подчеркнул наличие «множества практических вопросов с реализацией системы в её текущем виде». Его интересует, не приведёт ли относительно малая скорость механической смены узоров на чипе по сравнению с частотой лазерных импульсов к тому, что у многих импульсов окажутся «идентичные начальные условия несмотря на то, что пользователи намереваются менять их достаточно быстро». Также рецензент предположил, что требование системы к тому, чтобы у обоих пользователей были практически идентичные источники лазерных лучей, «приведёт к серьёзным трудностям в практической реализации системы».
Ещё одна вероятная сложность проистекает из требования достижения термодинамического равновесия между чипами и их окружением. Это может оказаться трудным и непрактичным требованием для некоторых приложений, в которых не получится постоянно гарантировать термодинамическое равновесие, сказал Мисоцки. Но, несмотря на его опасения, он ожидает возможности увидеть, как система поведёт себя на практике.
«В целом, работа представляет интересную альтернативу обмену ключами по обычным каналам связи, — говорит Мисоцки. – При правильной реализации её можно будет использовать для OTP-шифрования, и достичь такой идеальной идеи в криптографии, как идеальная секретность».