Гряде апокаліпсис через квантові комп'ютери: чому технологія може "зламати" світ

Створення квантових комп'ютерів, у мільйони разів швидших за звичайні, може призвести до розкриття всіх світових секретів. Цю можливість редактор видання WIRED Аміт Катвала розглянув у статті під назвою "Гряде квантовий апокаліпсис. Бійтеся", яку переклав Фокус.

Отже, уявіть: одного дня (зовсім скоро) в дослідницькій лабораторії неподалік Санта-Барбари чи Сіетла — або на секретному об'єкті в горах Китаю — почнеться раптове розкриття світових секретів. Ваших секретів.

Квантова зброя

Аналітики з кібербезпеки називають це Q-Day — день, коли хтось створить квантовий комп'ютер, здатний зламати форми шифрування, які використовуються найчастіше. Ці математичні задачі десятиліттями зберігали конфіденційні дані людства в безпеці, але в Q-Day все може стати вразливим: електронні листи, текстові повідомлення, анонімні повідомлення, історії місцезнаходжень, біткойн-гаманці, поліцейські звіти, лікарняні записи, електростанції, вся світова фінансова система.

"Ми ніби граємо в російську рулетку", — каже Мішель Моска, співавтор останнього звіту "Quantum Threat Timeline" від Global Risk Institute, у якому оцінюється, скільки часу нам залишилося. "Ви, ймовірно, виграєте, якщо зіграєте лише один раз, але це не найкраща гра".

Коли Моска і його колеги торік опитали експертів з кібербезпеки, прогноз був протверезним: шанси один до трьох, що Q-Day відбудеться до 2035 року. А які шанси, що це вже сталося — просто потай? Деякі люди, з якими я говорив, оцінювали ймовірність у 15% — приблизно стільки ж, скільки ви отримаєте при одному обертанні барабана револьвера.

Корпоративні війни ШІ, можливо, і були в заголовках новин останніми роками, але перегони квантових озброєнь теж загострюються. Там, де сьогоднішній ШІ розсовує межі класичних обчислень — тих, які працюють на нулях і одиницях, — квантова технологія являє собою зовсім іншу форму обчислень. Використовуючи моторошну механіку субатомного світу, вона може працювати на нулях, одиницях або чомусь між ними. Це робить квантові комп'ютери доволі поганим варіантом, скажімо, для зберігання даних, але потенційно дуже гарним, наприклад, для пошуку рецепта нового матеріалу майбутнього (або пароля вашої електронної пошти). Класична машина приречена на життя покрокових обчислень: спробуйте один набір інгредієнтів, зазнайте невдачі, відкиньте все, спробуйте знову. Але квантові комп'ютери можуть досліджувати безліч потенційних рецептів одночасно.

Тому, природно, такі технологічні гіганти, як Google, Huawei, IBM і Microsoft, ганяються за незліченними позитивними випадками застосування квантів — не тільки для матеріалознавства, а й для комунікацій, розроблення ліків і аналізу ринку. Китай вкладає величезні ресурси в підтримувані державою розробки, а США і Європейський союз пообіцяли виділити мільйони на фінансування для підтримки вітчизняних квантових галузей. Звичайно, той, хто переможе в перегонах, не просто отримає наступний великий двигун інновацій, що рятують світ. У них також буде найбільша машина для злому кодів в історії. Тому цілком природно задатися питанням: який Q-Day отримає людство — і чи можемо ми щось зробити, щоб підготуватися?

Якби у вас була універсальна відмичка, ви могли б розповісти про це всім — або ви могли б заховати її в кишені так довго, як тільки могли. З погляду звичайної людини, можливо, Q-Day взагалі не був би розпізнаний як Q-Day. Можливо, це виглядало б як серія дивних і, мабуть, не пов'язаних між собою новин, розтягнутих на місяці або роки. Енергосистема Лондона виходить з ладу в день виборів, занурюючи місто в темряву. Американський підводний човен, що виконує секретну місію, виринає на поверхню і виявляється оточеним ворожими кораблями. Матеріали, що бентежать, починають з'являтися в мережі у все більших і більших кількостях: секретні розвідувальні телеграми, президентські приховування, фотографії пенісів мільярдерів. У цьому сценарії можуть пройти десятиліття, перш ніж ми зможемо точно визначити, коли насправді стався Q-Day.

З іншого боку, можливо, власник універсальної відмички віддає перевагу результату, як у фільмі-катастрофі: все, скрізь, усе відразу. Знищити мережу. Відключити ракетні шахти. Знищити банківську систему. Відкрити всі двері і випустити секрети назовні.

Як це працює простими словами

Припустимо, ви просите класичний комп'ютер розв'язати просту математичну задачу: розкласти число 15 на його найменші прості множники. Комп'ютер перебрав би всі варіанти один за одним і дав би вам майже миттєву відповідь: 3 і 5. Якщо ви потім попросите комп'ютер розкласти число з 1000 цифр, він би впорався із завданням так само, але обчислення займуть тисячоліття. Це ключ до багатьох сучасних криптографічних методів.

Взяти шифрування RSA, розроблене наприкінці 1970-х років, яке досі використовується для захисту електронної пошти, веб-сайтів і багато чого іншого. У RSA ви (або ваш застосунок для зашифрованих повідомлень за вибором) створюєте закритий ключ, який складається з двох або більше великих простих чисел. Ці числа, помножені одне на одне, утворюють частину вашого відкритого ключа. Коли хтось хоче надіслати вам повідомлення, він використовує ваш відкритий ключ для його шифрування. Ви єдина людина, яка знає вихідні прості числа, тому ви єдина людина, яка може його розшифрувати. Доти, доки хтось інший не побудує квантовий комп'ютер, який може використовувати свої моторошні можливості паралельних обчислень, щоб вивести закритий ключ із відкритого — не за тисячоліття, а за лічені хвилини. Потім уся система руйнується.

Алгоритм для цього вже існує. У 1994 році, за десятиліття до того, як хто-небудь побудував справжній квантовий комп'ютер, дослідник AT&T Bell Labs на ім'я Пітер Шор розробив убивчий застосунок Q-Day. Алгоритм Шора використовує той факт, що квантові комп'ютери працюють не на бітах, а на кубітах. Замість того, щоб бути заблокованими в стані 0 або 1, вони можуть існувати як обидва одночасно — у суперпозиції. Коли ви запускаєте операцію на кількох кубітах у заданому квантовому стані, ви насправді запускаєте ту саму операцію на тих самих кубітах у всіх їхніх потенційних квантових станах. З кубітами ви не обмежені методом проб і помилок. Квантовий комп'ютер може досліджувати всі потенційні рішення одночасно. Ви обчислюєте розподіли ймовірностей, хвилі квантового зворотного зв'язку, які накладаються одна на одну і досягають піку в правильній відповіді. З алгоритмом Шора, ретельно розробленим для посилення певних математичних закономірностей, саме це й відбувається: великі числа надходять на один кінець, множники виходять на інший.

Принаймні в теорії. Кубіти неймовірно складно побудувати в реальному житті, тому що найменше втручання довкілля може вивести їх з делікатного стану суперпозиції, в якому вони балансують, як монета, що обертається. Але алгоритм Шора викликав інтерес у цій царині, і до 2010-х років низка проєктів почали просуватися зі створення перших кубітів. У 2016 році, можливо, відчувши загрозу Q-Day, що зароджується, Національний інститут стандартів і технологій США (NIST) оголосив конкурс на розробку квантово-стійких алгоритмів шифрування. Вони здебільшого працюють, представляючи квантовим комп'ютерам складні багатовимірні лабіринти, звані структурованими решітками, в яких навіть вони не можуть орієнтуватися без вказівок.

У 2019 році квантова лабораторія Google у Санта-Барбарі заявила, що досягла "квантової переваги". Її 53-кубітний чіп може виконати всього за 200 секунд завдання, на яке 100 000 звичайних комп'ютерів пішло б близько 10 000 років. Останній квантовий процесор Google, Willow, має 105 кубітів. Але щоб зламати шифрування за допомогою алгоритму Шора, квантовому комп'ютеру знадобляться тисячі або навіть мільйони.

Зараз сотні компаній намагаються побудувати квантові комп'ютери, використовуючи абсолютно різні методи, всі з яких спрямовані на те, щоб тримати кубіти ізольованими від довкілля і під контролем: надпровідні схеми, захоплені іони, молекулярні магніти, вуглецеві наносфери. Поки прогрес у галузі апаратного забезпечення просувається вперед, фахівці з інформатики вдосконалюють квантові алгоритми, намагаючись скоротити кількість кубітів, необхідних для їхньої роботи. Кожен крок наближає Q-Day.

Це погані новини не тільки для RSA, а й для приголомшливої безлічі інших систем, які будуть уразливі після Q-Day. Консультант із безпеки Роджер А. Граймс перераховує деякі з них у своїй книзі "Криптографічний апокаліпсис": шифрування DSA, яке використовували багато урядових агентств США донедавна, криптографія на основі еліптичних кривих, яка використовується для захисту криптовалют, таких як Bitcoin та Ethereum, VPN, що дають змогу політичним активістам та любителям порно таємно переглядати вебсторінки, генератори випадкових чисел, що підтримують онлайн-казино, смарт-картки, що дають змогу проходити крізь замкнені двері на роботі, безпека вашого домашнього комп'ютера та його захист від небезпеки, безпека вашого домашнього комп'ютера, безпека вашого домашнього комп'ютера.

Дві головні загрози

Експерти з одного агентства національної безпеки розповіли мені, що вони розбивають загрози, які виникають, на дві широкі області: конфіденційність і аутентифікація. Іншими словами, збереження секретів і контроль доступу до критично важливих систем. Кріс Демчак, колишній офіцер армії США, який є професором кібербезпеки у Військово-морському коледжі США і говорив зі мною в особистій якості, говорить, що комп'ютер Q-Day може дозволити противнику прослуховувати секретні військові дані в режимі реального часу. "Було б дуже погано, якби вони точно знали, де розташовані всі наші підводні човни", — каже Демчак. "Було б дуже погано, якби вони точно знали, на що дивляться наші супутники. І було б дуже погано, якби вони точно знали, скільки в нас ракет і яка їхня дальність". Баланс геополітичної сили, скажімо, у Тайванській протоці може швидко порушитися.

Крім цієї загрози конфіденційності в реальному часі, є також перспектива атак "зібрати зараз, розшифрувати пізніше". Хакери, пов'язані з китайською державою, як повідомляють, роками збирали зашифровані дані, сподіваючись, що одного разу у них з'явиться квантовий комп'ютер, який зможе їх зламати. "Вони зжирають усе", — сказав мені Демчак. (США майже напевно роблять те саме.)

Тоді виникає питання: як довго ваші конфіденційні дані залишатимуться цінними? "У цьому копиці сіна можуть бути голки", — каже Брайан Маллінс, генеральний директор Mind Foundry, яка допомагає компаніям впроваджувати квантові технології. Ваші поточні дані кредитної картки можуть стати неактуальними через 10 років, але ваші відбитки пальців — ні. Список активів розвідки з кінця війни в Іраку може здатися марним, доки один із цих активів не стане видним політиком.

Загроза аутентифікації може бути ще страшнішою. "Майже все, що свідчить про те, що людина є тим, за кого себе видає, підкріплене шифруванням", — каже Дебора Фрінк, комп'ютерний вчений і експерт з національної безпеки в Sandia National Laboratories. "Деякі з найчутливіших і найцінніших інфраструктур, які в нас є, будуть відкриті для того, щоб хтось прийшов і видав себе за законного власника і віддав якусь команду: відключити мережу, вплинути на енергосистему, створити фінансовий збій, закривши фондовий ринок".

Точний рівень хаосу в Q-Day залежатиме від того, хто отримає доступ до перших криптографічно значущих квантових комп'ютерів. Якщо це будуть Сполучені Штати, то, на думку Демчак, на вищих рівнях уряду почнуться "запеклі дебати" з приводу того, чи слід випускати їх для наукових цілей, чи тримати їх у таємниці і використовувати для розвідки. "Якщо приватна компанія добереться туди першою, США її куплять, а китайці спробують зламати", — стверджує вона. Якщо це одна з технологічних компаній США, уряд може поставити її під суворий експортний контроль, який зараз застосовується до чипів ШІ.

Більшість атак на рівні держави спрямовані на приватні компанії — наприклад, хтось намагається зламати оборонного підрядника, наприклад, Lockheed Martin, і вкрасти плани винищувача наступного покоління. Але з часом, у міру того як квантові комп'ютери стають дедалі доступнішими, фокус атак може розширитися. Такі компанії, як Microsoft і Amazon, уже пропонують дослідникам доступ до своїх примітивних квантових пристроїв у хмарі, а великі технологічні компанії не завжди добре контролюють, хто використовує їхні платформи. (Солдат, який підірвав Cybertruck біля готелю Trump International у Лас-Вегасі на початку цього року, запросив ChatGPT, щоб допомогти спланувати атаку). У вас може бути дивний сценарій, коли кіберзлочинець використовує хмарну квантову обчислювальну платформу Amazon, щоб зламати Amazon Web Services.

Кіберзлочинці, які мають доступ до квантового комп'ютера, можуть використати його для ефективнішого переслідування тих самих цілей або для масштабніших дій: злому міжнародної платіжної системи SWIFT для переспрямування грошових переказів або проведення корпоративного шпигунства для збору компромату. Найперші квантові комп'ютери, ймовірно, не зможуть запустити алгоритм Шора так швидко — вони можуть отримувати тільки один або два ключі на день. Але об'єднання квантового комп'ютера зі штучним інтелектом, який може виявити слабкі місця організації і вказати, які ключі потрібно розшифрувати, щоб завдати найбільшої шкоди, може дати руйнівні результати.

А ще є Bitcoin. Криптовалюта винятково вразлива для Q-Day. Оскільки кожен блок у блокчейні Bitcoin захоплює дані з попереднього блоку, Bitcoin не може бути оновлений до постквантової криптографії, за словами Капіла Дхімана, генерального директора Quranium, компанії з безпеки постквантових блокчейнів. "Єдиним рішенням, схоже, є хард-форк — народження нового ланцюжка, а старий ланцюжок помирає".

Але це потребуватиме величезних організаційних зусиль. По-перше, 51 відсоток операторів вузлів Bitcoin повинні будуть погодитися. Потім усім, хто тримає біткойни, доведеться вручну перемістити свої кошти зі старого ланцюжка в новий (включно з невловимим Сатоші Накамото, розробником Bitcoin, який контролює гаманці, що містять близько 100 мільярдів доларів криптовалюти). Якщо Q-Day відбудеться до хардфорка, ніщо не зупинить біткойн від обнулення. "Це як бомба уповільненої дії", — каже Діман.

Наслідки Q-Day

Ця бомба буде тільки початком. Коли Q-Day стане надбанням громадськості, або через похмуре урядове звернення, або через радісний пресреліз великих технологічних компаній, світ вступить у постквантову епоху. Це буде епоха, що визначається недовірою і панікою — кінець цифрової безпеки, якою ми її знаємо. "І тоді почнеться битва", — каже Демчак.

Уся впевненість у конфіденційності наших комунікацій завалиться. Звичайно, малоймовірно, що повідомлення кожної людини дійсно будуть атаковані, але сприйняття того, що за вами можуть шпигувати в будь-який час, змінить наш спосіб життя. І якщо до того моменту квантово-захищені алгоритми NIST не будуть розгорнуті на ваших пристроях, ви зіткнетеся з реальною проблемою, оскільки будь-які спроби встановити оновлення через хмару також будуть підозрілими. А що, якщо це завантаження від Apple насправді не від Apple? Чи можна довіряти інструкціям, в яких говориться, що вам слід перевести свою криптовалюту в новий квантово-захищений гаманець?

Граймс, автор книги "Криптографічний апокаліпсис", пророкує величезні збої. Можливо, нам доведеться повернутися до методів передачі конфіденційних даних часів Холодної війни. Ходять чутки, що після великого злому 2011 року один підрядник нібито попросив своїх співробітників припинити використання електронної пошти на шість тижнів. Заповніть жорсткий диск, замкніть його в портфелі, посадіть кого-небудь, кому довіряєте, в літак із корисним навантаженням, прикутим наручниками до його зап'ястя. Або використовуйте одноразові блокноти — книжки заздалегідь узгоджених кодів для шифрування та розшифрування повідомлень.

Квантова безпека, але не дуже масштабована. Варто очікувати, що основні галузі — енергетика, фінанси, охорона здоров'я, виробництво, транспорт — сповільняться до мінімуму, оскільки компанії з конфіденційними даними перейдуть на паперові методи ведення бізнесу і щосили найматимуть дорогих консультантів із криптографії. Буде різкий стрибок інфляції. Більшість людей просто змиряться з неминучим: суспільством постконфіденційності, у якому будь-які очікування секретності зникнуть, якщо тільки ви не спілкуєтеся з кимось особисто у відокремленому місці з вимкненими телефонами. Великий Квант стежить за вами.

Найкращий сценарій схожий на Y2K (проблема 2000 року), коли у нас колективна паніка, ми проведемо необхідні оновлення шифрування, і на той час, як настане Q-Day, він настільки розчарує, що стане жартом. Такий результат усе ще можливий. Минулого літа NIST випустив свій перший набір постквантових стандартів шифрування. Однією з останніх дій Джо Байдена на посаді президента було підписання указу, що змінює крайній термін для урядових установ щодо впровадження алгоритмів NIST із 2035 року на "якомога швидше".

Постквантову криптографію NIST уже розгорнуто на платформах обміну повідомленнями, таких як Signal і iMessage. Джерела повідомили мені, що конфіденційні дані національної безпеки, ймовірно, зберігаються способами, які є квантово-безпечними. Але в той час як ваш обліковий запис електронної пошти може бути легко захищений Q-захистом через Інтернет (за умови, що оновлення не походить від квантового самозванця!), інші речі не можуть. Державні органи, як-от Національна служба охорони здоров'я Великої Британії, все ще використовують обладнання та програмне забезпечення 1990-х років. "Microsoft не збирається оновлювати деякі зі своїх старих операційних систем, щоб зробити їх постквантово-безпечними", — говорить Алі Ель Каафарані, генеральний директор PQShield, компанії, яка виробляє квантово-стійке обладнання. Оновлення фізичної інфраструктури можуть зайняти десятиліття, і частина цієї інфраструктури має вразливу криптографію в місцях, які не можна змінити: енергосистема, військова техніка та супутники можуть опинитися під загрозою.

І тут необхідно знайти баланс. Поспішність переходу пов'язана з ризиком появи вразливостей, яких раніше не було. "Як зробити переходи досить повільними, щоб ви могли бути впевнені, і досить швидкими, щоб не зволікати?" — запитує Кріс Балланс, генеральний директор Oxford Ionics, компанії з квантових обчислень. Деякі з цих вразливостей можуть бути навіть навмисно закладені: службові записки, злиті Едвардом Сноуденом, вказують на те, що АНБ могло вставити бекдор у генератор псевдовипадкових чисел, ухвалений NIST у 2006 році. "Щоразу, коли хтось каже, що вам слід використовувати цей конкретний алгоритм, і за ним стоїть національна держава, ви маєте замислитися над питанням, чи є корисливий інтерес", — каже Роб Янг, директор Центру квантових технологій Ланкастерського університету.

З іншого боку, кілька людей, з якими я говорив, вказали, що будь-яка національна держава, яка має фінансові можливості та технічні знання для створення квантового пристрою, здатного запустити алгоритм Шора, може з такою самою легкістю скомпрометувати фінансову систему, енергосистему або апарат безпеки противника за допомогою звичайних методів. Навіщо винаходити нову обчислювальну парадигму, якщо можна просто підкупити прибиральника?

Задовго до того, як квантова технологія стане досить хороша для злому шифрування, вона стане досить корисною в комерційному і науковому плані, щоб змінити світовий баланс сил. У міру того, як дослідники вирішуватимуть інженерну задачу ізоляції кубітів від довкілля, вони розроблять винятково чутливі квантові датчики, які зможуть виявляти кораблі-невидимки і складати карти прихованих бункерів або давати нам нове уявлення про людський організм. Аналогічним чином фармацевтичні компанії майбутнього могли б використовувати квант, щоб красти винаходи конкурентів — або використовувати їх, щоб придумувати ще кращі. Тож зрештою найкращим способом запобігти Q-Day може стати обмін цими перевагами: узяти найкращі батареї, чудодійні ліки, далекоглядне прогнозування клімату і використати їх для створення квантової утопії нових матеріалів і кращого життя для всіх. Або — нехай почнеться битва.

Про автора

Аміт Катвала — редактор і автор підрозділу WIRED, що базується в Лондоні. Він працює над британською версією друкованого журналу, а також над темами науки і культури на сайті. Він закінчив Оксфордський університет за спеціальністю "Експериментальна психологія".