Mokslo ir technologijų pasaulis

Dar vienas žingsnis bėgant nuo internetinio saugumo katastrofos: užtaisyta paskutinė kvantinės kriptografijos saugumo spraga
Publikuota: 2015-11-09

Reikia perduoti paslaptį? Fizikos dėsnių stiprumo kodas jau pasiekiamas ranka ir galės užtikrinti, kad mūsų duomenys nebenutekės

Visais laikais žmonės nusvildavo, pasitikėdami ne tais, kuo reikia. Geras to pavyzdys – nesantuokinių ryšių svetainės Ashley Madison naudotojai, kurių duomenys rugpjūtį buvo nutekinti. Kitas pavyzdys – jų sutuoktiniai. Bet kalbant apie kibersaugumą, galiausiai esame pasirengę sukurti pasaulį, kur pasitikėjimas yra pasirenkamas. Ten mus veda vadinamoji nuo įtaiso nepriklausanti kvantinė kriptografija (device-independent quantum cryptography – DIQC). Kai ji bus ištobulinta, galėsite įsigyti saugų įtaisą iš pikčiausio savo priešo ir būti užtikrinti, kad niekas nešnipinėja juo siunčiamų žinučių. „Nereikės kuo nors pasitikėti,“ sako Arturas Ekertas, Oxfordo universiteto fizikas, kurio inovacijos kriptografijoje ir leido įgyvendinti tokią idėją.

Ši idealiai saugi ateitis labai laukiama, nes dabartinių kriptografinių sistemų padėtis nestabili. Visi mūsų internetiniai pirkimai, banko sandoriai, asmeniniai duomenys remiasi viena netvirta prielaida: tam tikras matematines operacijas atlikti sunku. Geriausiai žinoma dabartinė šifravimo sistema yra RSA. Koduodama duomenis, ji sukuria raktą iš dviejų labai didelių pirminių skaičių. Jie laikomi slaptai, tačiau jų sandauga – tūkstančių dvejetainių skaitmenų ilgio – yra viešas. Duomenys gali būti užkoduoti, naudojant šį viešąjį raktą, bet tik žinantys originale panaudotus skaičius, gali juos iššifruoti. RSA saugumas remiasi faktu, kad nėra žinomo būdo, kaip surasti tuos du pradinius skaičius. Vieninteliai būdai tai atlikti yra praktiškai begaliniai procesai, po vieną bandant visas galimybes.

Ar bent jau taip tikimės. „Negalime įrodyti, kad šios problemos yra sudėtingos iš prigimties,“ sako Ekertas. Gali būti, kad kas nors ras būdą, kaip įprastu kompiuteriu greitai faktorizuoti dviejų milžiniškų pirminių skaičių sandaugą. Gal jau šis būdas žinomas ir gudriai slepiamas. Jei šis algoritmas kada nors išvystų dienos šviesą, internetiniai perdavimai taptų negalimi, ir būtų atskleisti finansiniai sandoriai ir itin slapti vyriausybių pranešimai. „Tai išties būtų katastrofa,“ sako Michele Mosca iš Kvantinių skaičiavimų instituto Waterloo, Kanadoje. „Tai lyg Y2K problema, tik nežinome, kada tiksliai ji gali nutikti.“

Net jei galėtume įrodyti, kad faktorizavimo problema tradiciniais kompiuteriais neišsprendžiama, negalima pamiršti kvantinių kompiuterių. Kadangi juose skaičiavimus atliekami, naudojant kvantinius reiškinius, jie galėtų perrinkti visus įmanomus pirminius skaičius iš karto. 1994 metais matematikas Peteris Shoras, dabar dirbantis MIT, parodė, kad tai būtų spartus procesas. Paprasti kvantiniai kompiuteriai jau egzistuoja ir pažangios mašinos, galinčios realizuoti Shoro idėją ne už kalnų.

Vienas iš būdų atkovoti privatumą – ugnį įveikti ugnimi ir pasitelkti kvantinį šifravimą. Taip būtų galima sukurti visiškai atsitiktinius, visiškai neprognozuojamus ir visiškai šnipams neprieinamus raktus.

Kvantinė kriptografija remiasi taisyklėmis, valdančiomis tokias daleles, kaip fotonai ar elektronai. Jų savybės, tarkime, poliarizacija, tuo pačiu metu turi daugelį reikšmių, ir tiksli reikšmė įgyjama tik išmatavus. Panaudojus šias savybes šifravimui, užkertamas kelias bet kokioms pastangoms nuskaityti raktą: nuskaitymas pakeistų matavimų rezultatą, iš esmės sunaikindamas rakto nepadirbamą atspaudą. Ši technika jau naudojama ligoninių duomenų, finansinių sandorių ir balsavimo Šveicarijos visuotiniuose rinkimuose rezultatų apsaugai.

Dabartinėse sistemose naudojamas protokolas, kai raktą perduodantis asmuo, įprastai vadinamas Alisa, paleidžia poliarizuotą fotoną, prieš tai jį išmatavusi. Gavėjas, paprastai vadinamas Bobu, pasirenka tam tikrą to poliariškumo matavimo atlikimo būdą, ir tada jis su Alisa nešifruotu kanalu palygina atliktų matavimų rūšį. Taip sukuriamas vienas privataus rakto, naudojamo žinutės šifravimui, skaitmuo. Norėdami sukuri visą raktą, Alisa su Bobu tiesiog kartoja procesą.

Atrodo, to turėtų pakakti, tačiau toks kvantinis šifravimas turi silpnų vietų. „Visada reikia daryti kokias nors prielaidas apie kai kurias įrangos dalis,“ sako Vadimas Makarovas, vienas iš Mosca'os kolegų iš Waterloo. Makarovas yra tokių prielaidų darymo ekspertas, įsilaužęs į daug „saugių“ sistemų iš viso pasaulio. Jis sutinka, kad šias silpnybes išnaudoti fantastiškai sunku, bet kai kalbama, tarkime, apie valstybės paslaptis, ar didelius bankų sandoriu, kas gali būti užtikrintas, kad niekas nepasivargins?

Vienas iš tokių pažeidžiamumų pavyzdžių yra vadinamoji aptikimo landa (detection loophole). Ji atsiranda, nes fotonų detektoriai niekada nebūna idealūs, tad praktinis kvantinis šifravimas ima priminti daugelio rakto kopijų siuntimą kurjerių armija į paštą, kartkartėmis užsidarantį pietums. Alisa turi siųsti daug daugiau fotonų, nei būtina, kadangi Bobas jų visų aptikti negali. Toks nutrūkstantis aptikimas reiškia, kad Alisa ir Bobas negali būti tikri, kad jų aparatai veikia saugiai.

Įmanoma sugalvoti, kaip šiuos techninius trikdžius būtų galima įveikti, bet yra dar viena, subtilesnė problema, kuri – neišvengiamas papildomas patiekalas ir kuri nukelia mus į pačią pasitikėjimo problemos širdį.

Įsivaizduokite, nusipirkote naujausią ir geriausią šifravimo sistemą. Ji gali turėti blizgantį sertifikatą, garantuojantį jos saugumą, bet kaip žinosite, kad gamintojas neįtaisė slaptų durelių, per kurias galės perskaityti ir parduoti jūsų paslaptis?

Tai nėra kažkas neįsivaizduojamo. Vos pasirodžius naujai šifravimo technologijai, vyriausybės, korporacijos ir žvalgybos agentūros ima ieškoti – ir gali netgi pareikalauti – slaptos spragos, kuria jie galėtų pasinaudoti. Gal jūsų mašina suprogramuota išspjauti raktą, atitinkantį ką kas nors kur nors turi faile. O gal yra šoninis kanalas, įrašantis visus sugeneruotus raktus.

Štai čia scenon ir žengia nuo įrenginio nepriklausanti kriptografija. Ji prasidėjo, kai Ekertas 1991 metais sugalvojo išmanią naują kvantinę kriptografiją (Physical Review Letters, vol 67, p 661).

Šis protokolas taip pat naudoja fotonų srautą, o Alisa sukuria atsitiktinių skaičių seką sukuria, kaip ir anksčiau, matuodama kiekvieno matavimo savybes. Skirtumas šį kartą yra tas, kad Bobas iš to paties šaltinio gauna atskirą fotonų srautą, ir jo fotonai susieti (entangled) su Alisos. Susieti fotonai gaunami poromis, ir jų savybės yra surištos. Jei Alisa turi vieną poros narį, o Bobas – kitą, jie gali atlikti atitinkamų fotonų matavimus, taip kurdami kiekvieną rakto skaitmenį.

Tokie atsitiktiniai

Iki 2004 m. Ekerto idėja tebuvo dar vienas kvantinės kriptografijos atlikimo būdas, turėjęs tas pačias senas spragas (žr. pav. žemiau). Bet tai pasikeitė, kai Antonio Acín iš Fotonų mokslų instituto Barselonoje, Ispanijoje, su kolegomis suprato, kad ši kriptografijos versija dar turi ir būdą patikrinti gamintojo patikimumą. Tai labai svarbu: naudojant šį protokolą, galima įrangą pirkti iš blogiausio priešo ir vis vien būti tikram, kad paslaptys nenutekės. „Man tai buvo netikėta,“ sako Ekertas. „Kartais išradimai gali būti gudresni už išradėją.“

Pagal kvantų teorijos taisykles, ryšys tarp dviejų susietų dalelių yra „monogamiškas“: nėra koreliacijos daugiau su niekuo, tad jokia informacija negali nutekėti šnipui. Acíno tiksli įžanga buvo, kad galima patikrinti ar taip yra, panaudojus Bello testą.

1964 metais paskelbtas fiziko Johno Bello testas nustato, ar du skaičių rinkiniai koreliuoja labiau, nei tai galėtų būti atsitiktinai. „Kuo labiau jie koreliuoja tarpusavyje, tuo mažiau jie gali koreliuoti su kuo nors pašaliniu,“ paaiškina Ekertas.

Sistemai įveikus Bello testą, tai be abejonių šešėlio garantuoja tris dalykus. Pirma – jūsų raktas generuotas „gyvai“, todėl neprognozuojamas. Antra, rakto skaitmenys visiškai atsitiktiniai, tad negali būti nuspėti. Trečia, ir ko gero svarbiausia, niekas nėra įsiterpęs į jūsų rakto perdavimą per galinį įėjimą. Jeigu būtų, koreliacija būtų sutepta.

Ši schema turėjo tik vieną problemą: niekas nebuvo surengęs visiškai patikimo eksperimento Bello testo atlikimui. Tam trukdė tos pačios bėdos, kurios kamuoja ir dabartines kvantinio šifravimo versijas, ir dar papildoma viena, atsirandanti dėl susietumo naudojimo.

Ši paskutinioji problema vadinama lokalumo spraga. Nerimaujama, kad gali būti kažkoks, kol kas dar neaptiktas signalas, perduodantis informaciją tarp susietų dalelių. Jei tai tiesa, prielaida apie atsitiktinumą nebegaliotų ir atsirastų galimybė, kad signalą piktasis genijus visgi perima.

Gal atrodo beprotiška jaudintis dėl to, bet yra dvi geros priežastys stumtis tolyn. Pirmiausia, atlikus viską tinkamai, būtų visiškai eliminuotas pasitikėjimo elementas. O antra, būtent čia kvantinis šifravimas susikerta su fizikų siekiu įrodyti, kad kvantų teorija yra visiškas ir tikslus realybės apibūdinimas. Tai proga atsikratyti tūnančios abejonės, kad po baugiuoju ryšiu tarp susietų dalelių esama dar kažko.

Norint įrodyti, kad nieko nėra, reikia atlikti Bell testą, kai lokalumo ir aptikimo spragos yra užvertos tuo pat metu. Per 51 metus, prabėgusius nuo to laiko, kai Bellas publikavo savo testo tyrimus, mokslininkai atliko bandymus, užtaisydami vieną arba kitą spragą, tačiau niekada – abiejų tuo pat metu. Pasak Stephanie Wehner iš Delfto technologijos universiteto Nyderlanduose, tai stulbinamai sudėtinga. „Tai lyg sakyti, kad galiu važiuoti dviračiu ir galiu žongliruoti, tad turiu gebėti važiuoti dviračiu žongliruodamas,“ sako ji. „Tai ne taip lengva, kaip galite pagalvoti.“

Bet Wehner su kolegomis galiausiai atliko Bello testą be spragų anksčiau šiais metais (Nature, doi.org/8km). Svarbiausia idėja, panaudota jų eksperimente vadinama susietumo apkeitimu. Delfto komanda universiteto miestelyje, 1,3 km atstumu, parengė du deimantus. Įsivaizduokite, kad mūsų hipotetinė Alisa yra prie vieno, Bobas prie kito. Abiejuose deimantuose buvo defektas, vadinamasis azoto vakancijos centras. Paveikus ten esantį elektroną mikrobangomis, atsiranda fotonas, susietas su elektronu. Komanda surengė viską taip, kad mikrobangų impulsai deimantus paveiktų daugmaž tuo pačiu metu ir kad atitinkami fotonai pasiektų viduryje esantį detektorių. O čia išmanioji dalis: jeigu fotonai į centrinį detektorių atlekia tiksliai tuo pat metu, susietumas pasikeičia iš kiekvieno asmens elektrono ir fotono poros į susietumą tarp elektronų. Dabar Alisa ir Bobas turi porą susietų elektronų, tačiau niekur nekeliavusių elektronų (žr. „Garantuotas privatumas“ žemiau)

Kadangi elektronus aptikti daug lengviau, nei fotonus, eksperimentas lengvai užtaisė aptikimo spragą. O kadangi elektronai buvo taip toli vienas nuo kito, tyrėjai turėjo ištisas 4 mikrosekundes – per akis XXI amžiaus fizikai – matuoti jų koreliaciją ir įrodė, kad bet koks ją galėjęs sukurti signalas turėtų sklisti greičiau už šviesą. Kadangi bendrosios reliatyvumo teorijos dėsniai tai, žinoma, draudžia, užtaisyta ir lokalumo spraga.

Slaptai

Taip koreliacija įveikė Bello testą ir dabar žinome, kad ji kyla ne dėl detektoriaus klaidų ir ne dėl ryšio,galinčio turėti apeinamą mechanizmą. „Tai geras jausmas,“ sako Wehner projektu vadovavęs kolega Bas Henson. Pagaliau spragos užtaisytos; kvantų teorija įveikė testą ir dabar žinome, kad kad ją galima naudoti užtikrintai saugiai kriptografinei sistemai.

Tačiau dar tebėra kelios raukšlelės. Panašios į visad neraminusias šifruotojus. Pavyzdžiui, priešas gali įsibrauti į biurą ir pavogti raktą. „Fizinis saugumas visada buvo aktualus,“ pažymi Mosca. „Jei galiu pažvelgti į jūsų laboratoriją ir išvysti paprastą tekstą, tai šifravimo įveikti nė nereikia.“ Makarovas nurodo ir kitą kliuvinį: rakto paskirstymas nuo įrangos gal ir nepriklauso, bet kitos sistemos dalys lieka pažeidžiamos. „Tenka pasitikėti, kad jokiuose galutinės stotelės ingredientuose nėra kenkėjiško kodo,“ dėsto jis.

Tačiau, jei ne šios amžinos bėdos, galiausiai pasiekėme saugumo tobulinimo finišą. Užtruks, kol pereisime nuo principo įrodymo iki praktinio pritaikymo: protokolo įgyvendinimas tebėra sunki užduotis. Delft komanda pasiekė 245 susietumus per 9 dienas – nelabai tinkama kriptografinių raktų, kurių ilgis turi būti tūkstančių skaitmenų, generavimo sparta. Bet reikalai taisosi. „Tikimės netrukus vykdyti susietumus 100 000 kartų sparčiau,“ sako Hensonas.

Nuo įrenginio nepriklausanti kvantinė kriptografija, paskutinis slapto susirašinėjimo žodis, dabar atrodo ranka pasiekiama. Kvantinė jos dalis suteikia nenulaužiamą protokolą; nepriklausomumas nuo įrenginio iš lygties pašalina tiekėjo patikimumą. „Jei užtikrinamas fizinis saugumas, tai yra svarbiausia,“ sako Mosca. Ekertas antrina: Bello testo taikymas toks paprastas, kad jį gali atlikti bet kas. „Nereikia net fizikos suprasti.“