Квантовая криптография: Готовность инфраструктуры открытых ключей к будущему

---

В статье рассматриваются стратегии адаптации существующей инфраструктуры открытых ключей (PKI) к угрозам, связанным с развитием квантовых вычислений.

Анализ и рекомендации по переходу на постквантовые алгоритмы в X.509 сертификатах, списках отзыва сертификатов (CRL) и протоколе OCSP.

Несмотря на повсеместное использование, современные протоколы публичного ключа становятся уязвимыми в эпоху развития квантовых вычислений. В работе ‘Shaping a Quantum-Resistant Future: Strategies for Post-Quantum PKI’ анализируются стратегии перехода к постквантовой криптографии в инфраструктуре открытых ключей (PKI). Предлагается комплексный подход к адаптации формата сертификатов X.509, списков отзыва сертификатов (CRL) и протокола OCSP для обеспечения квантовой устойчивости. Сможем ли мы успешно обеспечить безопасную цифровую коммуникацию в постквантовом мире, минимизируя риски и затраты на переход?

---

Квантовая угроза современной криптографии

Современные асимметричные алгоритмы, такие как RSA и ECDSA, лежащие в основе безопасной связи в интернете и цифровой подписи, оказываются уязвимыми перед алгоритмом Шора, как только станут доступны достаточно мощные квантовые компьютеры. Этот алгоритм, разработанный математиком Питером Шором, способен эффективно раскладывать большие числа на простые множители и решать задачу о дискретном логарифме — операции, которые являются вычислительно сложными для классических компьютеров и на которых базируется безопасность RSA и ECDSA. В то время как классические алгоритмы требуют экспоненциального времени для решения этих задач, алгоритм Шора выполняет их за полиномиальное время, что делает взлом криптографических систем, основанных на этих алгоритмах, практически неизбежным с развитием квантовых вычислений. Данная уязвимость представляет серьезную угрозу для конфиденциальности данных и требует разработки новых криптографических методов, устойчивых к квантовым атакам.

Алгоритм Шора представляет собой серьезную угрозу современной криптографии, поскольку он позволяет эффективно раскладывать большие числа на простые множители и решать задачу дискретного логарифмирования. Эти математические операции лежат в основе безопасности асимметричных алгоритмов, таких как RSA и эллиптическая криптография (ECDSA), которые широко используются для защиты конфиденциальной информации в интернете. Традиционные методы факторизации и вычисления дискретного логарифма требуют экспоненциального времени, что делает их практически невозможными для достаточно больших ключей. Однако, алгоритм Шора, используя квантовые вычисления, способен выполнить эти операции за полиномиальное время, что означает, что даже очень большие ключи могут быть взломаны при наличии достаточно мощного квантового компьютера. Это подрывает основные предположения безопасности, на которых основаны эти криптографические методы, и требует разработки новых, квантово-устойчивых алгоритмов для обеспечения дальнейшей защиты данных.

Симметричные алгоритмы шифрования, такие как AES, хотя и считаются более устойчивыми к квантовым атакам, всё же подвержены ускорению атак методом полного перебора благодаря алгоритму Гровера. Этот алгоритм позволяет уменьшить время поиска ключа, эффективно сокращая длину ключа, необходимую для обеспечения эквивалентной безопасности. В связи с этим, для сохранения надёжности шифрования в эпоху квантовых вычислений, рекомендуется переход к использованию более длинных ключей, например, AES-256, который обеспечивает значительно большую криптостойкость по сравнению со стандартным AES-128. Такой подход позволяет смягчить влияние алгоритма Гровера и гарантировать конфиденциальность данных даже при появлении мощных квантовых компьютеров.

Постквантовая криптография: Новый подход к защите данных

Постквантовая криптография (PQ-криптография) представляет собой область разработки криптографических алгоритмов, устойчивых к атакам как с использованием классических, так и квантовых вычислительных устройств. Необходимость разработки PQ-криптографии обусловлена потенциальной угрозой со стороны квантовых компьютеров, способных эффективно решать математические задачи, лежащие в основе широко используемых современных криптосистем, таких как RSA и алгоритмы эллиптических кривых. PQ-криптография стремится к созданию алгоритмов, безопасность которых не зависит от вычислительной сложности этих конкретных задач, обеспечивая таким образом долгосрочную защиту конфиденциальных данных и коммуникаций в условиях развития квантовых технологий.

Постквантовая криптография (PQ-криптография) опирается на несколько математических подходов, каждый из которых использует различные сложные для решения задачи. К ним относятся криптография на решетках, основанная на сложности задач поиска ближайшей точки и коротких векторов; кодовая криптография, использующая сложность декодирования общих линейных кодов; хеш-криптография, полагающаяся на стойкость криптографических хеш-функций; многомерная криптография, использующая сложность решения систем полиномиальных уравнений; и изогоническая криптография, основанная на сложности вычисления изогоний между эллиптическими кривыми. Каждый из этих подходов использует различные математические структуры и проблемы, чтобы обеспечить безопасность данных в условиях появления квантовых компьютеров.

Разнообразие подходов в постквантовой криптографии, включающее решёточные, кодовые, хеш-функции, многомерные и изогенические методы, обеспечивает избыточность и устойчивость к возможным прорывам в атаках на конкретные криптографические примитивы. Вместо полагаться на единственную математическую проблему, сложность которой гарантирует безопасность, постквантовая криптография предлагает несколько независимых подходов. В случае, если одна из базовых математических задач будет решена, другие методы продолжат обеспечивать защиту данных. Такая диверсификация снижает риски, связанные с потенциальными уязвимостями в отдельных алгоритмах, и повышает общую надёжность криптографической системы.

Стандартизация NIST: Формирование безопасного будущего

Национальный институт стандартов и технологий (NIST) в течение нескольких лет проводил комплексную оценку и стандартизацию постквантовых (PQ) криптографических алгоритмов. Этот процесс включал в себя открытый призыв к предложениям алгоритмов, их тщательный анализ с точки зрения безопасности, производительности и применимости, а также публичное обсуждение результатов. Целью NIST являлось определение набора алгоритмов, способных противостоять атакам со стороны квантовых компьютеров и обеспечить долгосрочную безопасность цифровой информации. Оценка проводилась экспертами в области криптографии и включала в себя как теоретический анализ, так и практические тесты на различных платформах.

В результате многолетнего процесса оценки, проведенного Национальным институтом стандартов и технологий (NIST), для стандартизации были выбраны несколько постквантовых (PQ) алгоритмов. К ним относятся алгоритмы на основе решеток Kyber и Dilithium, а также алгоритм на основе хешей SPHINCS+ и еще один решеточный алгоритм Falcon. Данные алгоритмы были отобраны на основании их безопасности, производительности и пригодности для различных криптографических применений, включая цифровые подписи, установление ключей и шифрование. Выбор этих алгоритмов представляет собой важный шаг в подготовке к потенциальной угрозе со стороны квантовых компьютеров, способных взломать современные криптографические системы.

Внедрение алгоритмов постквантовой криптографии требует учета размеров сертификатов. Гибридные сертификаты, сочетающие классические и постквантовые алгоритмы, могут достигать 43 КБ и поддерживаются OpenSSL версии 1.0.2 и выше. Однако, библиотека mbedTLS версии 2.4.2 имеет ограничение на максимальный размер сертификата — 9 КБ. Это различие в поддержке размеров сертификатов необходимо учитывать при планировании развертывания и обеспечении совместимости с различными криптографическими библиотеками и платформами.

Развертывание PQ-криптографии: Обеспечение совместимости и доверия

Для интеграции постквантовых (PQ) алгоритмов в существующие инфраструктуры, такие как сертификаты X.509v3, необходимы механизмы поддержки нескольких открытых ключей. Это достигается посредством расширений, в частности, Subject Alt Public Key Info, позволяющего включать в сертификат информацию о различных алгоритмах шифрования. Данный подход обеспечивает плавный переход к новым стандартам, поддерживая сосуществование классических и постквантовых алгоритмов, а также сохраняя обратную совместимость со старыми системами. Внедрение Subject Alt Public Key Info позволяет гибко настраивать сертификаты, адаптируясь к различным требованиям безопасности и обеспечивая постепенное обновление криптографической защиты без полной замены существующей инфраструктуры.

Внедрение постквантовых криптографических алгоритмов не требует немедленного отказа от существующих систем безопасности. Напротив, предусмотрена возможность сосуществования классических и постквантовых методов, обеспечивающая плавный переход к новым стандартам. Такой подход позволяет поддерживать обратную совместимость с устаревшими системами, что критически важно для сохранения функциональности и защиты данных в течение переходного периода. Благодаря этому, организации могут постепенно интегрировать постквантовые решения, минимизируя риски и обеспечивая непрерывность работы существующих сервисов и инфраструктуры.

Размеры гибридных сертификатов, использующих постквантовые алгоритмы в сочетании с классическими, демонстрируют существенную вариативность в зависимости от выбранной комбинации. В ходе тестовых испытаний, сертификаты типа ‘S’ показали размер около 49 216 байт. Однако, при использовании комбинаций, обозначенных как ‘P’ и ‘G’, размеры значительно возрастают, достигая 209 478 байт и 3 605 052 байт соответственно. Эта разница в объеме обусловлена включением дополнительных ключей и данных, необходимых для обеспечения совместимости и безопасности в процессе перехода к постквантовой криптографии, и требует учета при проектировании и внедрении соответствующих систем.

Исследование, представленное в данной работе, подчеркивает необходимость адаптации инфраструктуры открытых ключей (PKI) к угрозам, которые несет в себе квантовая криптография. Анализ существующих систем, таких как X.509 сертификаты, списки отзыва сертификатов (CRL) и протокол OCSP, выявляет сложность и масштаб предстоящих изменений. Ада Ловлейс однажды заметила: «Я верю, что машина может делать все, что мы можем заставить ее делать». Эта мысль находит отклик в текущем контексте: возможность создания квантово-устойчивой PKI требует не только разработки новых алгоритмов, но и глубокого понимания взаимосвязей внутри всей системы, подобно тому, как сложная машина требует продуманной конструкции и управления. Устойчивость системы достигается не за счет увеличения ее сложности, а за счет четкой структуры и ясных границ, что полностью соответствует принципам элегантного дизайна и целостного подхода к решению задач.

Что дальше?

Представленный анализ инфраструктуры открытых ключей (PKI) в контексте постквантовой криптографии выявляет не столько технические препятствия, сколько фундаментальный вопрос: что мы на самом деле оптимизируем? Безусловно, защита от гипотетического квантового компьютера важна, но в погоне за устойчивостью к будущим угрозам легко упустить из виду текущие уязвимости и сложность существующих систем. Простая замена алгоритмов — это лишь поверхностное решение, не учитывающее взаимосвязанность компонентов PKI и необходимость обеспечения бесшовной совместимости.

Будущие исследования должны сосредоточиться не только на разработке новых квантово-устойчивых алгоритмов, но и на глубоком понимании влияния этих алгоритмов на производительность, масштабируемость и удобство использования PKI. Важно исследовать альтернативные модели управления сертификатами, выходящие за рамки традиционных списков отзыва сертификатов (CRL) и протокола OCSP. Необходимо помнить, что простота — это не минимализм, а чёткое различение необходимого и случайного. Иначе, в стремлении к идеальной безопасности, мы рискуем создать систему, непрактичную и сложную для внедрения.

В конечном счёте, переход к постквантовой криптографии — это не технологическая задача, а системная. Это требует междисциплинарного подхода, объединяющего усилия криптографов, инженеров, специалистов по безопасности и политиков. Успех этого перехода будет зависеть не столько от силы новых алгоритмов, сколько от нашей способности мыслить целостно и проектировать системы, которые являются одновременно безопасными, эффективными и удобными в использовании.

---

Оригинал статьи: https://arxiv.org/pdf/2601.11104.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/