Агентство национальной безопасности США выпустило FAQ под названием «Часто задаваемые вопросы о квантовых вычислениях и постквантовой криптографии», в котором оно исследует потенциальные последствия для национальной безопасности будущего, выходящего за рамки классических вычислений и криптографии.
В частности, АНБ исследует потенциальные проблемы безопасности, которые возникнут в связи с предполагаемым созданием «криптографически релевантного квантового компьютера» (CRQC).
CRQC — это квантовый суперкомпьютер будущего, достаточно мощный, чтобы взламывать современные схемы шифрования, разработанные для классических вычислений. Предполагается, что он сможет расшифровывать алгоритмы асимметричного шифрования, которые практически невозможно взломать с помощью существующих или даже будущих суперкомпьютеров.
Экспертов по безопасности беспокоит возможность того, что квантовые системы могут попасть в руки злоумышленников. По данным АНБ, «внедрение новой криптографии во все системы национальной безопасности ��ожет занять 20 или более лет».
Агентство заявляет, что «CRQC может подорвать работу широко распространенных алгоритмов открытых ключей, используемые для цифровых подписей». При этом системы национальной безопасности США используют криптографию с открытым ключом в качестве критически важного компонента для защиты конфиденциальности. В АНБ констатируют, что «без эффективного смягчения последствий использование квантового компьютера с преступным умыслом может иметь разрушительные последствия» для этих систем и страны. Агентство рекомендует использовать подписи SP 800-208 на основе хэшей, если они реализованы на должным образом проверенных криптографических модулях для защиты систем в специализированных сценариях.
Более ранние документы АНБ, опубликованные Эдвардом Сноуденом, показывали, что агентство инвестировало $ 79,7 млн в исследовательскую программу, целью которой было выяснить, можно ли использовать квантовый компьютер для взлома традиционных протоколов шифрования. Это особенно важно, учитывая, что уже существует алгоритм Шора, который может использовать квантовый компьютер в подобных целях. Единственное, что мешает реализации алгоритма Шора на квантовом уровне, — это то, что он требует на порядки больше кубитов, чем используется в самых современных системах. Однако появление таких систем считается вопросом времени.
В качестве возможной меры защиты от взлома с помощью квантового компьютера рассматривается постквантовая криптография — схемы шифрования, предназначенные для того, чтобы приостановить или полностью остановить работу будущих CRQC. АНБ заявило, что работает над алгоритмами «квантово-устойчивых открытых ключей», которые смогут использовать частные поставщики правительства США. Но их развертывание в настоящее время, когда угрозы постквантовой эпохи видятся далекими, вызовет проблемы с точки зрения функциональной совместимости инфраструктуры. АНБ считает, что использование предварительно разделенных симметричных ключей в соответствии со стандартами станет лучшим краткосрочным решением, чем реализация экспериментальных постквантовых асимметричных алгоритмов.
АНБ указывает, что постквантовая криптография будет реализована с помощью Национального института стандартов и технологий (NIST), который «находится в процессе стандартизации квантово-устойчивой общедоступной информации». В 2020 году институт объявил о старте третьего этапа стандартизации с участием трех кандидатов на цифровую подпись и четырех кандидатов на асимметричное шифрование. Дополнительно рассматривается восемь альтернатив.
Агентство подчеркивает, что его «намерение состоит в том, чтобы… удалить квантово-уязвимые алгоритмы и заменить их подмножеством квантово-устойчивых алгоритмов, выбранных NIST».
