Грядет апокалипсис из-за квантовых компьютеров: почему технология может "сломать" мир

Создание квантовых компьютеров, в миллионы раз быстрее обычных, может привести к раскрытию всех мировых секретов. Эту возможность редактор издания WIRED Амит Катвала рассмотрел в статье под названием "Грядет квантовый апокалипсис. Бойтесь", которую перевел Фокус.

Итак, представьте: однажды (совсем скоро) в исследовательской лаборатории недалеко от Санта-Барбары или Сиэтла — или на секретном объекте в горах Китая — начнется внезапное раскрытие мировых секретов. Ваших секретов.

Квантовое оружие

Аналитики по кибербезопасности называют это Q-Day — день, когда кто-то создаст квантовый компьютер, способный взломать чаще всего используемые формы шифрования. Эти математические задачи десятилетиями сохраняли конфиденциальные данные человечества в безопасности, но в Q-Day все может стать уязвимым: электронные письма, текстовые сообщения, анонимные сообщения, истории местоположений, биткойн-кошельки, полицейские отчеты, больничные записи, электростанции, вся мировая финансовая система.

"Мы будто играем в русскую рулетку", — говорит Мишель Моска, соавтор последнего отчета "Quantum Threat Timeline" от Global Risk Institute, в котором оценивается, сколько времени нам осталось. "Вы, вероятно, выиграете, если сыграете только один раз, но это не лучшая игра".

Когда Моска и его коллеги в прошлом году опросили экспертов по кибербезопасности, прогноз был отрезвляющим: шансы один к трем, что Q-Day произойдет до 2035 года. А каковы шансы, что это уже произошло — просто втайне? Некоторые люди, с которыми я говорил, оценивали вероятность в 15% — примерно столько же, сколько вы получите при одном вращении барабана револьвера.

Корпоративные войны ИИ, возможно, и были в заголовках новостей в последние годы, но гонка квантовых вооружений тоже накаляется. Там, где сегодняшний ИИ раздвигает границы классических вычислений — тех, которые работают на нулях и единицах, — квантовая технология представляет собой совершенно иную форму вычислений. Используя жуткую механику субатомного мира, она может работать на нулях, единицах или чем-то между ними. Это делает квантовые компьютеры довольно плохим вариантом, скажем, для хранения данных, но потенциально очень хорошими, например, для поиска рецепта нового материала будущего (или пароля вашей электронной почты). Классическая машина обречена на жизнь пошаговых вычислений: попробуйте один набор ингредиентов, потерпите неудачу, отбросьте все, попробуйте снова. Но квантовые компьютеры могут исследовать множество потенциальных рецептов одновременно.

Поэтому, естественно, такие технологические гиганты, как Google, Huawei, IBM и Microsoft, гоняются за бесчисленными положительными случаями применения квантов — не только для материаловедения, но и для коммуникаций, разработки лекарств и анализа рынка. Китай вкладывает огромные ресурсы в поддерживаемые государством разработки, а США и Европейский союз пообещали выделить миллионы на финансирование для поддержки отечественных квантовых отраслей. Конечно, тот, кто победит в гонке, не просто получит следующий великий двигатель инноваций, спасающих мир. У них также будет величайшая машина для взлома кодов в истории. Поэтому вполне естественно задаться вопросом: какой Q-Day получит человечество — и можем ли мы что-то сделать, чтобы подготовиться?

Если бы у вас была универсальная отмычка, вы могли бы рассказать об этом всем — или вы могли бы спрятать ее в кармане так долго, как только могли. С точки зрения обычного человека, возможно, Q-Day вообще не был бы распознан как Q-Day. Возможно, это выглядело бы как серия странных и, по-видимому, не связанных между собой новостей, растянутых на месяцы или годы. Энергосистема Лондона выходит из строя в день выборов, погружая город во тьму. Американская подводная лодка, выполняющая секретную миссию, всплывает на поверхность и оказывается окруженной вражескими кораблями. Смущающие материалы начинают появляться в сети во все больших и больших количествах: секретные разведывательные телеграммы, президентские сокрытия, фотографии пенисов миллиардеров. В этом сценарии могут пройти десятилетия, прежде чем мы сможем точно определить, когда на самом деле произошел Q-Day.

С другой стороны, возможно, владелец универсальной отмычки предпочитает исход, как в фильме-катастрофе: все, везде, все сразу. Уничтожить сеть. Отключить ракетные шахты. Уничтожить банковскую систему. Открыть все двери и выпустить секреты наружу.

Как это работает простыми словами

Предположим, вы просите классический компьютер решить простую математическую задачу: разложить число 15 на его наименьшие простые множители. Компьютер перебрал бы все варианты один за другим и дал бы вам почти мгновенный ответ: 3 и 5. Если вы затем попросите компьютер разложить число из 1000 цифр, он бы справился с задачей точно так же, но вычисления займут тысячелетия. Это ключ ко многим современным криптографическим методам.

Взять шифрование RSA, разработанное в конце 1970-х годов и до сих пор используемое для защиты электронной почты, веб-сайтов и многого другого. В RSA вы (или ваше приложение для зашифрованных сообщений по выбору) создаете закрытый ключ, который состоит из двух или более больших простых чисел. Эти числа, умноженные друг на друга, образуют часть вашего открытого ключа. Когда кто-то хочет отправить вам сообщение, он использует ваш открытый ключ для его шифрования. Вы единственный человек, который знает исходные простые числа, поэтому вы единственный человек, который может его расшифровать. До тех пор, пока кто-то другой не построит квантовый компьютер, который может использовать свои жуткие возможности параллельных вычислений, чтобы вывести закрытый ключ из открытого — не за тысячелетия, а за считанные минуты. Затем вся система рушится.

Алгоритм для этого уже существует. В 1994 году, за десятилетия до того, как кто-либо построил настоящий квантовый компьютер, исследователь AT&T Bell Labs по имени Питер Шор разработал убийственное приложение Q-Day. Алгоритм Шора использует тот факт, что квантовые компьютеры работают не на битах, а на кубитах. Вместо того, чтобы быть заблокированными в состоянии 0 или 1, они могут существовать как оба одновременно — в суперпозиции. Когда вы запускаете операцию на нескольких кубитах в заданном квантовом состоянии, вы на самом деле запускаете ту же самую операцию на тех же самых кубитах во всех их потенциальных квантовых состояниях. С кубитами вы не ограничены методом проб и ошибок. Квантовый компьютер может исследовать все потенциальные решения одновременно. Вы вычисляете распределения вероятностей, волны квантовой обратной связи, которые накладываются друг на друга и достигают пика в правильном ответе. С алгоритмом Шора, тщательно разработанным для усиления определенных математических закономерностей, именно это и происходит: большие числа поступают на один конец, множители выходят на другой.

По крайней мере, в теории. Кубиты невероятно сложно построить в реальной жизни, потому что малейшее вмешательство окружающей среды может вывести их из деликатного состояния суперпозиции, в котором они балансируют, как вращающаяся монета. Но алгоритм Шора вызвал интерес в этой области, и к 2010-м годам ряд проектов начали продвигаться по созданию первых кубитов. В 2016 году, возможно, почувствовав зарождающуюся угрозу Q-Day, Национальный институт стандартов и технологий США (NIST) объявил конкурс на разработку квантово-устойчивых алгоритмов шифрования. Они в основном работают, представляя квантовым компьютерам сложные многомерные лабиринты, называемые структурированными решетками, в которых даже они не могут ориентироваться без указаний.

В 2019 году квантовая лаборатория Google в Санта-Барбаре заявила, что достигла "квантового превосходства". Ее 53-кубитный чип может выполнить всего за 200 секунд задачу, на которую 100 000 обычных компьютеров ушло бы около 10 000 лет. Последний квантовый процессор Google, Willow, имеет 105 кубитов. Но чтобы взломать шифрование с помощью алгоритма Шора, квантовому компьютеру понадобятся тысячи или даже миллионы.

Сейчас сотни компаний пытаются построить квантовые компьютеры, используя совершенно разные методы, все из которых направлены на то, чтобы держать кубиты изолированными от окружающей среды и под контролем: сверхпроводящие схемы, захваченные ионы, молекулярные магниты, углеродные наносферы. Пока прогресс в области аппаратного обеспечения продвигается вперед, специалисты по информатике совершенствуют квантовые алгоритмы, пытаясь сократить количество кубитов, необходимых для их работы. Каждый шаг приближает Q-Day.

Это плохие новости не только для RSA, но и для ошеломляющего множества других систем, которые будут уязвимы после Q-Day. Консультант по безопасности Роджер А. Граймс перечисляет некоторые из них в своей книге "Криптографический апокалипсис" : шифрование DSA, использовавшееся многими правительственными агентствами США до недавнего времени, криптография на основе эллиптических кривых, используемая для защиты криптовалют, таких как Bitcoin и Ethereum, VPN, которые позволяют политическим активистам и любителям порно тайно просматривать веб-страницы, генераторы случайных чисел, которые поддерживают онлайн-казино, смарт-карты, которые позволяют вам проходить через запертые двери на работе, безопасность вашей домашней сети Wi-Fi, двухфакторная аутентификация, которую вы используете для входа в свою учетную запись электронной почты.

Две главные угрозы

Эксперты из одного агентства национальной безопасности рассказали мне, что они разбивают возникающие угрозы на две широкие области: конфиденциальность и аутентификация. Другими словами, сохранение секретов и контроль доступа к критически важным системам. Крис Демчак, бывший офицер армии США, который является профессором кибербезопасности в Военно-морском колледже США и говорил со мной в личном качестве, говорит, что компьютер Q-Day может позволить противнику прослушивать секретные военные данные в режиме реального времени. "Было бы очень плохо, если бы они точно знали, где находятся все наши подводные лодки", — говорит Демчак. "Было бы очень плохо, если бы они точно знали, на что смотрят наши спутники. И было бы очень плохо, если бы они точно знали, сколько у нас ракет и какова их дальность". Баланс геополитической силы, скажем, в Тайваньском проливе может быстро нарушиться.

Помимо этой угрозы конфиденциальности в реальном времени, есть также перспектива атак "собрать сейчас, расшифровать позже". Хакеры, связанные с китайским государством, как сообщается, годами собирали зашифрованные данные в надежде, что однажды у них появится квантовый компьютер, который сможет их взломать. "Они сжирают все", — сказал мне Демчак. (США почти наверняка делают то же самое.)

Тогда возникает вопрос: как долго ваши конфиденциальные данные будут оставаться ценными? "В этом стоге сена могут быть иголки", — говорит Брайан Маллинс, генеральный директор Mind Foundry, которая помогает компаниям внедрять квантовые технологии. Ваши текущие данные кредитной карты могут стать неактуальными через 10 лет, но ваши отпечатки пальцев — нет. Список активов разведки с конца войны в Ираке может показаться бесполезным, пока один из этих активов не станет видным политиком.

Угроза аутентификации может быть еще страшнее. "Почти все, что говорит о том, что человек является тем, за кого себя выдает, подкреплено шифрованием", — говорит Дебора Фринк, компьютерный ученый и эксперт по национальной безопасности в Sandia National Laboratories. "Некоторые из самых чувствительных и ценных инфраструктур, которые у нас есть, будут открыты для того, чтобы кто-то пришел и выдал себя за законного владельца и отдал какую-то команду: отключить сеть, повлиять на энергосистему, создать финансовый сбой, закрыв фондовый рынок".

Точный уровень хаоса в Q-Day будет зависеть от того, кто получит доступ к первым криптографически значимым квантовым компьютерам. Если это будут Соединенные Штаты, то, по мнению Демчак, на высших уровнях правительства начнутся "ожесточенные дебаты" по поводу того, следует ли выпускать их для научных целей или держать их в секрете и использовать для разведки. "Если частная компания доберется туда первой, США ее купят, а китайцы попытаются взломать", — утверждает она. Если это одна из технологических компаний США, правительство может поставить ее под строгий экспортный контроль, который сейчас применяется к чипам ИИ.

Большинство атак на уровне государства направлены на частные компании — например, кто-то пытается взломать оборонного подрядчика, например, Lockheed Martin, и украсть планы истребителя следующего поколения. Но со временем, по мере того как квантовые компьютеры становятся все более доступными, фокус атак может расшириться. Такие компании, как Microsoft и Amazon, уже предлагают исследователям доступ к своим примитивным квантовым устройствам в облаке, а крупные технологические компании не всегда хорошо контролируют, кто использует их платформы. (Солдат, взорвавший Cybertruck возле отеля Trump International в Лас-Вегасе в начале этого года, запросил ChatGPT, чтобы помочь спланировать атаку.) У вас может быть странный сценарий, когда киберпреступник использует облачную квантовую вычислительную платформу Amazon, чтобы взломать Amazon Web Services.

Киберпреступники, имеющие доступ к квантовому компьютеру, могут использовать его для более эффективного преследования тех же целей или для более масштабных действий: взлома международной платежной системы SWIFT для перенаправления денежных переводов или проведения корпоративного шпионажа для сбора компромата. Самые первые квантовые компьютеры, вероятно, не смогут запустить алгоритм Шора так быстро — они могут получать только один или два ключа в день. Но объединение квантового компьютера с искусственным интеллектом, который может выявить слабые места организации и указать, какие ключи нужно расшифровать, чтобы нанести наибольший ущерб, может дать разрушительные результаты.

А еще есть Bitcoin. Криптовалюта исключительно уязвима для Q-Day. Поскольку каждый блок в блокчейне Bitcoin захватывает данные из предыдущего блока, Bitcoin не может быть обновлен до постквантовой криптографии, по словам Капила Дхимана, генерального директора Quranium, компании по безопасности постквантовых блокчейнов. "Единственным решением, похоже, является хард-форк — рождение новой цепочки, а старая цепочка умирает".

Но это потребует огромных организационных усилий. Во-первых, 51 процент операторов узлов Bitcoin должны будут согласиться. Затем всем, кто держит биткойны, придется вручную переместить свои средства из старой цепочки в новую (включая неуловимого Сатоши Накамото, разработчика Bitcoin, который контролирует кошельки, содержащие около 100 миллиардов долларов криптовалюты). Если Q-Day произойдет до хардфорка, ничто не остановит биткойн от обнуления. "Это как бомба замедленного действия", — говорит Диман.

Последствия Q-Day

Эта бомба будет только началом. Когда Q-Day станет достоянием общественности, либо через мрачное правительственное обращение, либо через радостный пресс-релиз крупных технологических компаний, мир вступит в постквантовую эпоху. Это будет эпоха, определяемая недоверием и паникой — конец цифровой безопасности, какой мы ее знаем. "И тогда начнется битва", — говорит Демчак.

Вся уверенность в конфиденциальности наших коммуникаций рухнет. Конечно, маловероятно, что сообщения каждого человека действительно будут атакованы, но восприятие того, что за вами могут шпионить в любое время, изменит наш образ жизни. И если к тому моменту квантово-защищенные алгоритмы NIST не будут развернуты на ваших устройствах, вы столкнетесь с реальной проблемой, поскольку любые попытки установить обновления через облако также будут подозрительными. А что, если эта загрузка от Apple на самом деле не от Apple? Можно ли доверять инструкциям, в которых говорится, что вам следует перевести свою криптовалюту в новый квантово-защищенный кошелек?

Граймс, автор книги "Криптографический апокалипсис", предсказывает огромные сбои. Возможно, нам придется вернуться к методам передачи конфиденциальных данных времен Холодной войны. Ходят слухи, что после крупного взлома в 2011 году один подрядчик якобы попросил своих сотрудников прекратить использование электронной почты на шесть недель. Заполните жесткий диск, заприте его в портфеле, посадите кого-нибудь, кому доверяете, в самолет с полезной нагрузкой, прикованной наручниками к его запястью. Или используйте одноразовые блокноты — книги заранее согласованных кодов для шифрования и расшифровки сообщений.

Квантовая безопасность, но не очень масштабируемая. Стоит ожидать, что основные отрасли — энергетика, финансы, здравоохранение, производство, транспорт — замедлятся до минимума, поскольку компании с конфиденциальными данными перейдут на бумажные методы ведения бизнеса и будут изо всех сил нанимать дорогих консультантов по криптографии. Будет резкий скачок инфляции. Большинство людей просто смирятся с неизбежным: обществом постконфиденциальности, в котором любые ожидания секретности исчезнут, если только вы не общаетесь с кем-то лично в уединенном месте с выключенными телефонами. Большой Квант следит за вами.

Лучший сценарий выглядит как Y2K (проблема 2000 года), когда у нас коллективная паника, мы проведем необходимые обновления шифрования, и к тому времени, как наступит Q-Day, он настолько разочарует, что станет шуткой. Такой исход все еще возможен. Прошлым летом NIST выпустил свой первый набор постквантовых стандартов шифрования. Одним из последних действий Джо Байдена на посту президента было подписание указа, изменяющего крайний срок для правительственных учреждений по внедрению алгоритмов NIST с 2035 года на "как можно скорее".

Постквантовая криптография NIST уже развернута на платформах обмена сообщениями, таких как Signal и iMessage. Источники сообщили мне, что конфиденциальные данные национальной безопасности, вероятно, хранятся способами, которые являются квантово-безопасными. Но в то время как ваш аккаунт электронной почты может быть легко защищен Q-защитой через Интернет (при условии, что обновление не исходит от квантового самозванца!), другие вещи не могут. Государственные органы, такие как Национальная служба здравоохранения Великобритании, все еще используют оборудование и программное обеспечение 1990-х годов. "Microsoft не собирается обновлять некоторые из своих старых операционных систем, чтобы сделать их постквантово-безопасными", — говорит Али Эль Каафарани, генеральный директор PQShield, компании, которая производит квантово-устойчивое оборудование. Обновления физической инфраструктуры могут занять десятилетия, и часть этой инфраструктуры имеет уязвимую криптографию в местах, которые нельзя изменить: энергосистема, военная техника и спутники могут оказаться под угрозой.

И здесь необходимо найти баланс. Поспешность перехода сопряжена с риском появления уязвимостей, которых раньше не было. "Как сделать переходы достаточно медленными, чтобы вы могли быть уверены, и достаточно быстрыми, чтобы не медлить?" — спрашивает Крис Балланс, генеральный директор Oxford Ionics, компании по квантовым вычислениям. Некоторые из этих уязвимостей могут быть даже намеренно заложены: служебные записки, слитые Эдвардом Сноуденом, указывают на то, что АНБ могло вставить бэкдор в генератор псевдослучайных чисел, принятый NIST в 2006 году. "Всякий раз, когда кто-то говорит, что вам следует использовать этот конкретный алгоритм, и за ним стоит национальное государство, вы должны задаться вопросом, есть ли корыстный интерес", — говорит Роб Янг, директор Центра квантовых технологий Ланкастерского университета.

С другой стороны, несколько человек, с которыми я говорил, указали, что любое национальное государство с финансовыми возможностями и техническими знаниями для создания квантового устройства, способного запустить алгоритм Шора, может с такой же легкостью скомпрометировать финансовую систему, энергосистему или аппарат безопасности противника с помощью обычных методов. Зачем изобретать новую вычислительную парадигму, если можно просто подкупить уборщика?

Задолго до того, как квантовая технология станет достаточно хороша для взлома шифрования, она станет достаточно полезной в коммерческом и научном плане, чтобы изменить мировой баланс сил. По мере того, как исследователи будут решать инженерную задачу изоляции кубитов от окружающей среды, они разработают исключительно чувствительные квантовые датчики, которые смогут обнаруживать корабли-невидимки и составлять карты скрытых бункеров или давать нам новое представление о человеческом организме. Аналогичным образом фармацевтические компании будущего могли бы использовать квант, чтобы красть изобретения конкурентов — или использовать их, чтобы придумывать еще лучшие. Так что в конечном итоге лучшим способом предотвратить Q-Day может стать обмен этими преимуществами: взять лучшие батареи, чудодейственные лекарства, дальновидное прогнозирование климата и использовать их для создания квантовой утопии новых материалов и лучшей жизни для всех. Или — пусть начнется битва.

Об авторе

Амит Катвала — редактор и автор подразделения WIRED, базирующийся в Лондоне. Он работает над британской версией печатного журнала, а также над темами науки и культуры на сайте. Он окончил Оксфордский университет по специальности "Экспериментальная психология".