Первая в России городская линия квантовой связи в существующей телекоммуникационной инфраструктуре была запущена в 2014 году сотрудниками компании «Квантовые коммуникации», основанной на базе лаборатории квантовой информатики Международного института фотоники и оптоинформатики Университета ИТМО. В мае 2017 года та же группа специалистов совместно с коллегами из Казанского квантового центра КНИТУ-КАИ успешно запустила первую в России и СНГ многоузловую квантовую сеть, объединившую четыре узла, расположенные в разных районах столицы Татарстана.

Сеть, которая работает в Университете ИТМО, была создана на основе принципиально нового подхода: метода квантовой коммуникации на боковых частотах модулированного излучения. Его особенность состоит в том, что одиночные фотоны, с помощью которых происходит кодирование, не излучаются непосредственно источником, а выносятся на боковые частоты спектра в результате фазовой модуляции излучения оптической несущей. Этот подход обеспечивает ряд преимуществ для построения квантовых сетей, обеспечивая высокую устойчивость сигнала к внешним воздействиям на канал связи и значительно большую пропускную способность. Система позволяет передавать квантовую информацию на расстояния более 250 километров (результаты исследования были опубликованы в прошлом году в журнале Optics Express).

Анализ безопасности квантовой сети, созданной в Университете ИТМО, на протяжении двух недель проводили специалисты из Quantum hacking lab (Университет Ватерлоо, Канада) — которые представляют одну из ведущих групп по работе с атаками на устройства квантовой коммуникации. Лаборатория сотрудничает, в частности, с швейцарской компаний ID Quantique, а также другими профильными компаниями по всему миру. Анализ безопасности сети проводили научные сотрудники Университета Ватерлоо Шихан Саджед (Shihan Sajeed) и Хао Чин (Hao Qin), а также аспиранты Аньчи Хуанг (Anqi Huang) и Пумпонг Чайвонкхот (Poompong Chaiwongkhot) под руководством профессора Вадима Макарова, руководителя лаборатории квантового взлома в Университете Ватерлоо.

«Когда мы работаем с компаниями, мы подписываем договор о неразглашении и получаем доступ ко всем характеристикам сети, алгоритмам и документам — как опубликованным, так и предназначенным для внутреннего использования. Мы начали работу удаленно еще два месяца назад — первым шагом был анализ документов о системе, которая была создана в Университете ИТМО. На следующем этапе мы приехали сюда и получили возможность лично пообщаться с инженерами и разработчиками сети, чтобы уточнить дополнительные детали, — рассказывают Анчи Хуанг и Пумпонг Чайвонкхот. — Основная цель нашей работы здесь состояла в выработке решений, которые помогут Университету ИТМО повысить безопасность системы. Мы попытались указать на некоторые потенциальные проблемы, которые могут возникнуть в системе, ориентируясь на предыдущий опыт, а также проанализировали возможность возникновения других угроз. Мы нашли ряд проблем, и следующим шагом нашей работы станет разработка и предложение решений, которые помогут специалистам улучшить созданную здесь систему».

Как добавляет Вадим Макаров, все существующие на данный момент системы выполнены по-разному, и протокол, который используется в Университете ИТМО, не похож ни на один из тех, которые применяются в мире. Именно поэтому исследователям потребовалось больше времени на анализ безопасности сети. Полученные результаты лягут в основу отчета, который, как планируют в группе Вадима Макарова, будет подготовлен в течение ближайшего месяца. Отчет будет передан специалистам Университета ИТМО, после чего будет продолжаться индивидуальная работа по проблемам — как внутри вуза, так и в перспективе в сотрудничестве с группой специалистов Университета Ватерлоо.

Сегодня недостаточно просто собрать квантовую сеть и объявить, что она безопасна, подтверждает Артур Глейм, руководитель лаборатории квантовой информатики Международного института фотоники и оптоинформатики Университета ИТМО.

Артур Глейм
Артур Глейм

«Важно доказательно обосновать корректности ее работы, в том числе закрыв все известные уязвимости на уровне “железа”. Мы уже начали работать в этом направлении и будем продолжать активно сотрудничать с канадскими специалистами и другими российскими и зарубежными группами. Наша задача создать качественный продукт на рынке сетевой безопасности, и квантовая сеть в дальнейшем будет выполнять роль испытательного полигона для отработки новых технологий и технических решений», — говорит он.

Квантовые коммуникации гарантируют абсолютную неуязвимость линий оптической связи для хакерских атак. В отличие от математических алгоритмов шифрования, даже самый сложный из которых все-таки можно «раскусить», в системе квантовых коммуникаций на защиту данных встают фундаментальные законы квантовой физики: носителями информации здесь выступают одиночные фотоны, которые необратимо изменяются при любой попытке перехвата сигнала – таким образом, пользователь мгновенно узнает о вторжении в канал.

Теоретических уязвимостей у квантовой связи нет никаких, говорит Вадим Макаров. Несмотря на ряд недостатков (пока это дорого, медленно, а также имеются ограничения на расстояние и требует дополнительного оборудования), она решает фундаментальную проблему защиты данных: в отношении квантовой коммуникации строго доказано, что она безопасна и теоретически не взламываема. Еще одно преимущество: даже несмотря на огрехи в реализации оборудования для квантовой связи, ее невозможно взломать «задним числом».

«В мире существует довольно много информации, которая требует длительной защиты: персональные данные, медицинские записи, банковские тайны, коммерческие, правительственные, военные секреты. Пользователя не устраивает, если через двадцать лет это прочитают. Но именно это как раз и происходит с математической криптографией. Потому что всегда классическую информацию — единички, нолики — можно скопировать и ждать, пока появится метод взлома. С квантовой криптографией такого не произойдет. Во-первых, она теоретически невзламываема. Во-вторых, чтобы использовать практические уязвимости, все равно нужно действовать в реальном времени. Даже если была практическая уязвимость, с которой мы работаем, нужно ставить оборудование и взламывать ее сегодня, завтра шанс будет упущен. Задним числом она не ломается. Это как раз те две причины, по которым квантовой криптографией все занимаются», — объясняет Вадим Макаров.

Вадим Макаров
Вадим Макаров

Но как тогда все-таки можно взломать квантовые сети?

Несмотря на отсутствие теоретических уязвимостей, пока квантовые сети не застрахованы от взломов. К ним может привести неидеальность оборудования, всегда существующая в реальных системах. Эта ситуация роднит невзламываемую квантовую криптографию с математической, которую также можно взломать через «лазейки».

«Там тоже полно дыр в реализации, их находят, закрывают, находятся методы изготовления более устойчивых к дырам систем. Если достаточно анализировать, в конце концов приходишь к тому, что появляются устойчивые реализации. Это известно и много раз наблюдалось в системах классической криптографии. Первые реализации всегда имели какие-то смешные дыры, но проходит 10-20 лет, и специалисты находят метод, который устойчив ко взлому. То же самое происходит сейчас в квантовой криптографии. И мы уже где-то в середине или даже во второй половине этого пути. Мы уже знаем достаточное количество методов взлома, их более десяти. Нам известно, как с ними бороться, и сейчас ведется разработка систем, которые устойчивы к этим методам. Это инженерная работа, которая должна быть выполнена. Лет через пять-десять ожидается, что появятся системы, над которыми мы посидим, подумаем и скажем, что мы ничего не нашли», — говорит руководитель лаборатории квантового взлома в Университете Ватерлоо.

Но пока специалисты находят, добавляет он. Например, несколько лет назад группа Вадима Макарова обнаружила серьезную уязвимость, к которой приводило «ослепление» детектора. Такие однофотонные детекторы — неотъемлемая часть квантовых коммуникационных систем. Когда детектор поглощает фотон, он регистрирует отсчет, и это является нормальным режимом работы, который необходим для реализации алгоритма квантовой связи. Но если на него просто направить яркий свет, детектор насыщается, «слепнет» и перестает регистрировать отсчеты. Если этот яркий свет промодулировать (определенным образом изменять его яркость во времени), то мы сможем управлять детектором и сделать так, чтобы он выдавал отсчет в заранее запрограммированный момент.

В компаниях до сих пор борются с этой проблемой, однако в лабораториях удалось победить ее окончательно: научное сообщество уже разработало специальную схему, которая полностью нечувствительна к атакам на детекторы. В этой схеме, внутри защищенного оборудования, детекторов просто нет. Впрочем, даже такие атаки нельзя выполнить «задним числом»: найденные дыры в реализациях не влияют на защищенность уже переданной информации. Таким образом, в любом случае проблемы с реализациями в квантовой криптографии менее серьезны, чем проблемы с криптостойкостью алгоритмов математической криптографии, говорит Вадим Макаров.

Будущее квантовых сетей: с чем столкнутся разработчики сетей, когда выйдут на реальных пользователей?

Крупнейшие многоузловые квантовые сети уже созданы в США (разработка Управления перспективных исследовательских проектов Министерства обороны США (DARPA)), Европе (SEQOQC), Японии (Сеть Токио, разработчик – компания Toshiba), а также Китае, где была запущена самая длинная в мире линия квантовой связи.

Последний опыт показывает, что сеть уже начинает вовлекать пользователей, что, в свою очередь, позволяет инженерам исследовать реальный опыт работы квантовых сетей, а не только их эффективность в лабораториях. Почему это важно? Особенности использования квантовых систем и логистика существенно отличаются от тех, что существуют в математической криптографии, говорит Вадим Макаров. Именно поэтому исследователям уже сегодня необходимо получать реальный опыт и думать над решением проблем, с которыми могут столкнуться разработчики систем в будущем.

«Какие могут быть потенциальные проблемы? Самое главное: как интегрировать квантовую криптографию с уже существующей информационной инфраструктурой. Ведь у нее есть свои особенности применения, которые не похожи на классическую криптографию. Например, логика передачи ключей: нужно всегда иметь цепочку оптических линий, — уточняет Вадим Макаров. — Сейчас идет работа с инженерами, специалистами по информационной безопасности, которая направлена на понимание того, как интегрировать квантовые методы с уже существующим большим набором методов классической криптографии, как их постепенно внедрить и сделать это безболезненно. И при этом не получится разрушить все до основания и построить снова. Происходит постепенный процесс вставки квантовых методов, их интеграция с уже существующими».

При этом вряд ли квантовые принципы полностью вытеснят классическую криптографию: скорее всего, рынок будет поделен между этими технологиями, предполагает он. Несмотря на ограниченное время безопасности, математическая криптография все же найдет свое применение — например, для хранения информации с ограниченным сроком конфиденциальности. Тогда как квантовые методы найдут свою нишу в областях, где потребуется более долгосрочное хранение секретной информации.

Есть ли возможность в будущем полностью устранить практические уязвимости?

Есть, и такая работа уже ведется, говорит Вадим Макаров. Стоит понимать, что область квантовой криптографии еще достаточно молода: коммерческие системы появились на рынке 12 лет назад, тогда как всей области науки примерно 25 лет. Это небольшой возраст. И чтобы гарантировать безопасность, необходимо пройти достаточно долгий путь.

В классической криптографии, которая существует значительно дольше, постепенно появились сертификационные стандарты. Сегодня практически в каждой развитой стране существуют свои национальные лаборатории, которые способны в соответствии с этими стандартами взять реализацию от поставщика, проанализировать, разобрать ее по деталям и сертифицировать, обеспечив уверенность, что изделие лишено огрехов, которые могут привести к дырам в безопасности. Это говорит о том, что в классической криптографии уже сложилась экосистема стандартизации и национальных либо коммерческих сертификационных лабораторий. Такой же путь сейчас проходит и квантовая коммуникация.

«Разработка сертификационных стандартов уже началась, и я даже могу сказать, кто этим занимается. Над этим вопросом работает интернациональная группа в Европейском институте телекоммуникационных стандартов (European Telecommunications Standards Institute — ETSI), куда входят практически все ключевые игроки. Может быть, и Университет ИТМО присоединится к ней в следующем году, мы как раз разговариваем об этом», — отмечает Вадим Макаров.

По его прогнозам, разработка стандарта занимает несколько лет, примерно столько же времени может занять создание национальных лабораторий. Таким образом, соответствующая экосистема стандартизации для квантовой криптографии может появиться примерно через пять лет.