Сообщение о том, что китайские исследователи применили квантовый компьютер D-Wave для взлома алгоритмов шифрования, используемых для защиты банковских счетов, сверхсекретных военных данных и криптокошельков, на первый взгляд вызывает глубокую озабоченность.
«Это первый случай, когда настоящий квантовый компьютер представляет реальную и существенную угрозу для множества полномасштабных структурированных алгоритмов SPN (сетей замещения-перестановок), используемых сегодня», — написала 1 октября газета South China Morning Post (SCMP), основываясь на рецензируемой статье ученых Шанхайского университета.
В статье рассказывается о взломе шифрования RSA (Ривест-Шамир-Адлеман), одной из старейших и наиболее широко используемых криптосистем с открытым ключом.
Подробности о последних исследованиях появляются медленно, поэтому сложно сказать наверняка, насколько серьезна угроза для криптовалют и технологии блокчейн. По состоянию на 11 октября статья еще не была выпущена на английском языке, и исследователи не брали никаких интервью, предположительно «из-за деликатности темы», согласно SCMP.
Но если результаты исследователей подтвердятся и смогут быть продублированы другими, «это будет шагом вперед» в эволюции квантовых вычислений, сказал Марек Нарозняк, физик с опытом работы в области квантовых вычислений и основатель Sqrtxx.com.
Будет ли это означать, что механизмы защиты паролем, используемые во многих отраслях, включая банковское дело и криптовалюты, вскоре могут оказаться уязвимыми, как многие опасаются?
«В документе отсутствуют многие детали, поэтому трудно дать однозначный ответ относительно его возможного значения”, — сказал Массимилиано Сала, профессор и руководитель лаборатории криптографии в Университете Тренто.
Многое зависит от того, смогли ли ученые взломать ключи RSA определенного размера — то есть ключи такого же размера, как те, которые сегодня используются банками для защиты сберегательных и текущих счетов клиентов.
«Доказательств этому нет, — сказал Сала. — Но если бы они это сделали, это было бы огромно.
Многие говорят, что квантовые вычисления (QC), которые используют атомный «спин» вместо электрического заряда для представления двоичных единиц и нулей, развиваются с экспоненциальной скоростью. Но полнофункциональные устройства контроля качества еще не появились в больших масштабах.
Машины D-Wave, используемые в Шанхае, иногда называемые квантовыми отжигателями, на самом деле являются прото-квантовыми компьютерами или предшественниками, способными выполнять только специализированные задачи.
Чип процессора квантового отжига D-Wave 2X 1000 Qubit установлен и закреплен проводами в держателе образца. Источник: Mwjohnson0.
Однако, если и когда универсальные квантовые компьютеры действительно появятся, они могут поставить под угрозу криптографическую структуру с эллиптической кривой, которая до сих пор служила Биткоину и другим криптовалютам очень хорошо.
Это может быть только вопросом времени, когда квантовые компьютеры смогут идентифицировать огромные простые числа, которые являются ключевыми составляющими закрытого ключа Биткоина — при условии, что не будут разработаны контрмеры.
«Мы должны помнить, что квантовые компьютеры D-Wave не являются квантовыми компьютерами общего назначения, — добавил Сала. — Более того, возможность D-Wave факторизовать ключи RSA уже была установлена одним из моих коллег несколько месяцев назад».
Такая Мияно, профессор машиностроения японского университета Рицумейкан, также поставил под сомнение значимость результатов ученых — и в том же духе, что и Сала.
Длина целого числа, факторизованного шанхайскими исследователями, — 22 бита — «намного короче, чем у реальных целых чисел RSA, которые обычно равны или превышают 1024 бита — например, 1024, 2048 и максимально — 4096 бит», — сказал он. Более того, «машина D-wave — это своего рода квантовый симулятор для решения задач оптимизации, а не универсальный компьютер», — добавил Мияно. Неясно, сможет ли он провести быструю факторизацию больших целых чисел RSA в реальном мире.
Почему важна факторизация простых чисел
Факторизация — это математический процесс, при котором число можно записать как произведение меньших целых чисел. Например, 12 можно факторизовать или записать как 3 x 2 x 2. Эффективную факторизацию простых чисел называют «Святым Граалем» взлома криптосистемы с открытым ключом RSA.
В конце концов, RSA — это больше, чем просто шифрование. Это также схема генерации «ключей», которая обычно включает в себя умножение больших простых чисел. Две стороны — например, банк и его клиент — обычно получают набор простых чисел, которые используются для вычисления их закрытых и открытых ключей, пояснил Нарозняк.
Процесс фактической генерации закрытых и открытых ключей сложен, но если «p» и «q» — простые числа, а «n» — произведение этих двух простых чисел (т. е. n = pxq), то можно сказать, что p и q связаны с закрытыми ключами, а n — с открытым ключом.
Основной математический принцип, лежащий в основе шифрования RSA, заключается в том, что, хотя умножить два простых числа легко, очень сложно сделать обратное, то есть найти два простых числа, которые являются делителями произведения.
Коллеги Салы из Университета Тренто ранее в этом году использовали квантовый отжиг, чтобы обнаружить два простых делителя числа 8 219 999 (32 749 и 251), «которое, насколько нам известно, является самым большим числом, которое когда-либо было факторизовано с помощью квантовое устройство», — написали исследователи.
По мнению Сала, недавняя работа Шанхайского университета имеет значение, «только если они нашли способ факторизовать огромные числа».
Исследователи из Университета Тренто также отметили огромный потенциал квантовых вычислений для решения сложных проблем, которые долгое время оставались «неразрешимыми» для классических компьютеров.
Простая факторизация — проблема разложения числа на простые множители — в частности, «является хорошим кандидатом на эффективное решение с помощью квантовых вычислений, в частности, с помощью квантового отжига».
Крипто-ключи в безопасности — на данный момент
Однако давайте предположим, что шанхайские ученые действительно нашли способ использовать квантовый отжиг для успешного взлома криптографических алгоритмов, в том числе таких, как SPN, которые лежат в основе усовершенствованного стандарта шифрования (AES), широко используемого в армии и финансах. Что это сделает с криптоиндустрией?
«Симметричные шифры, такие как AES-128, используемые для шифрования данных, неуязвимы для такого рода атак, поскольку они не полагаются на факторизацию чисел», — сказал Нарозняк.
Конечно, могут быть исключения, например, если шифр представляет собой общий секрет, полученный с помощью протокола обмена ключами на основе RSA, продолжил он. Но «должным образом зашифрованные пароли и другие данные в целом останутся зашифрованными, даже если подход, представленный в этом исследовании, будет масштабироваться и станет широко доступным — и если это правда», — сказал он.
История недоказанных утверждений RSA
Нарозняк предостерег от поспешных выводов.
«Прежде чем мы переоценим наш уровень оптимизма, давайте подождем, пока кто-нибудь повторит и подтвердит этот результат, — сказал он. — Заявления о взломе RSA не так уж и редки».
Например, в начале 2023 года китайские исследователи заявили, что они факторизовали 48-битный ключ на 10-кубитном квантовом компьютере — утверждение, «которое до сих пор не прошло рецензирование», — прокомментировал Нарозняк.
«А за два года до этого Клаус Шнорр, который является авторитетом в сообществе, допустил честную ошибку и заявил, что RSA сломан. Лично я отношусь к таким громким заявлениям с недоверием». — сказал он.
По словам Сала:
«Нарушение RSA будет означать, что большое количество программного обеспечения должно быть обновлено, но не радикально изменено, поскольку уже существуют стандарты, предоставляющие альтернативы, включая криптографию на основе эллиптических кривых (ECC), используемую для защиты Биткойна. Более радикальным будет влияние на кредитные карты и тому подобное, которые придется массово снимать, чтобы радикально изменить их программное обеспечение».
Можно задаться вопросом, почему криптовалюты не используют RSA широко, как это делают банки. По словам Нарозняка, криптоиндустрия отдает предпочтение криптографии с эллиптической кривой, поскольку она позволяет достичь того же уровня безопасности с гораздо меньшими ключами и меньшим количеством байтов. Это открывает цифровое пространство, которое позволяет сетям расти быстрее.
Жизнеспособно ли решение Бутерина о «хард-форке»?
В марте соучредитель Ethereum Виталик Бутерин предположил, что хард-форк мог бы предотвратить квантовую атаку на Ethereum, если бы она возникла.
«У нас уже есть все возможности для создания довольно простой вилки восстановления, чтобы справиться с такой ситуацией, — написал он 17 октября. — Пользователям, возможно, придется загрузить новое программное обеспечение кошелька, но немногие потеряют средства”.
Но неужели это так просто?
«Я не согласен с тем, что такой хардфорк будет простым», — сказал Нарозняк.
Заглядывая в будущее, квантовобезопасные подписи, такие как ML-DSA, должны будут иметь значительно большие ключи и подписи по сравнению с теми, которые используются сегодня. По мнению Нарозняка, это может замедлить производительность сети и повысить плату за газ.
“Выполнение хард-форка будет сложным, потребует широкого консенсуса сообщества и может не восстановить все потерянные активы и доверие к сети, — сказал Сэмюэл Мюгель, технический директор Multiverse Computing. — Поэтому крайне важно внедрить квантово-устойчивую криптографию до того, как произойдет такая атака, чтобы избежать подобной ситуации».
Необходимы гарантии
«Нам, безусловно, необходимо пересмотреть нашу нынешнюю защиту от кибербезопасности», — сказал Кристос Макридис, доцент-исследователь Университета штата Аризона, основатель и генеральный директор Dainamic.
В мире квантовых вычислений необходимо уделять больше внимания нагрузке на пропускную способность сети (т. е. защите от распределенных атак типа «отказ в обслуживании») и паролям (например, для защиты данных от хакеров).
«Одно из новых мнений заключается в том, что распространение квантовых вычислений и генеративного искусственного интеллекта сделало возможным наступление в киберпространстве больше, чем оборону», — отметил Макридис.
Промышленность не может успокаиваться.
«Появление опасных квантовых компьютеров — это всего лишь вопрос времени», — предупреждает Сала. — Мир блокчейна должен подготовиться как можно скорее, спланировав дорожную карту перехода к постквантовой криптографии, разрабатывая меры защиты, способные противостоять атакам даже со стороны полноценного квантового противника».