Книга: Криптография. Как защитить свои данные в цифровом пространстве
Назад: 8. Дилемма криптографии
Дальше: Благодарности

9. Наше криптографическое будущее

Сегодня в нашем распоряжении есть замечательные криптографические инструменты для защиты многого из того, чем мы занимаемся в киберпространстве. Конечно, использование шифрования порождает социальные дилеммы, но они не в состоянии сдержать дальнейшее распространение криптографии, так как она слишком полезна. Криптография никуда не денется. Но каким будет ее будущее?

Будущее уже наступило

Представьте, что у вас есть письмо, содержимое которого должно оставаться конфиденциальным даже в отдаленном будущем. Вы храните его в сейфе с самым современным замком и спокойно себе спите, пока однажды, спустя десятилетие, вам на глаза не попадается заметка в газете о том, что воры научились взламывать сейфы этой модели. В ответ вы покупаете новый сейф с еще более надежным замочным механизмом и кладете свое письмо туда. Еще через несколько лет ситуация повторяется, и вы покупаете еще один сейф и т. д. Иными словами, совершенствуются не только методы взлома сейфов, но и ваша защита от них.

Для сейфов эта стратегия подходит хорошо, но с шифрованием процесс немного иной. У вас есть конфиденциальное письмо. Вы создаете множество его копий и помещаете каждую из них в отдельный сейф с самым современным замком. Вы раздаете все эти сейфы своим злейшим врагам. Десять лет спустя вы узнаете, что сейфы этой модели могут быть взломаны, поэтому вы покупаете целую кучу новых сейфов и просите своих врагов вернуть старые сейфы, чтобы вы могли их заменить. Хм, ничем хорошим это не закончится, не так ли?

Проблема в том, что цифровую информацию крайне просто копировать и хранить. Нам имеет смысл исходить из того, что зашифрованные данные всегда доступны злоумышленнику. Учитывая возможные будущие прорывы в сфере криптографических атак, полагаться на обновление алгоритма шифрования для защиты существующих данных нет смысла. Вы можете заново зашифровать тот же исходный текст с помощью новых, более надежных средств шифрования, но вы не можете гарантировать, что копии прежнего шифротекста не останутся доступными злоумышленнику, желающему их взломать.

Самый серьезный вызов, стоящий перед разработчиками криптографических алгоритмов, состоит в том, что сегодняшняя криптография будет проверена на прочность в будущем. Если уже используемый алгоритм окажется небезопасным, время и деньги, необходимые для его замены, могут быть существенными. Когда в 1990-х под сомнение была поставлена безопасность блочного шифра DES, он уже был настолько глубоко интегрирован в банковскую инфраструктуру, что избавиться от него оказалось практически невозможно. В итоге мы до сих пор используем эту технологию, хоть и в более защищенном варианте, Triple DES.

В связи с этим современные криптографические алгоритмы разрабатываются в очень консервативном ключе, с жесткими требованиями к безопасности и как можно большим заделом на будущее. Разработчики пытаются предвидеть будущее развитие компьютеров, особенно в отношении вычислительных ресурсов, с существенной поправкой на ошибку. Как вы помните, самый быстрый на сегодня компьютер будет искать 128-битный ключ AES на протяжении 50 миллионов миллиардов лет. Такая защита может показаться излишней, но мы хотим шифровать данные так, чтобы они оставались конфиденциальными даже через двадцать пять лет (а в некоторых случаях и намного дольше). Насколько мощным будет самый быстрый компьютер к тому времени? Осторожный подход к проектированию AES предусматривает более длинные, 192- и 256-битные ключи, которые можно использовать уже сегодня для данных, требующих чрезвычайно высокого уровня защиты, или перейти на них в будущем, чтобы сэкономить.

В контексте криптографии будущее должно заботить нас уже сегодня. Неважно, как именно оно будет выглядеть, главное, что мы к нему готовимся.

Кванты

Слово квантовый оказывает на людей чуть ли не гипнотический эффект. Оно вызывает в воображении увлекательные и иногда тревожные образы сложных технологий будущего, которые мы даже не можем себе представить. Мы ошеломленно качаем головой и думаем: «Лучше оставить это специалистам» (надеюсь, что слово криптография больше не оказывает на вас подобного воздействия).

Однако от важной роли прилагательного квантовый по отношению к криптографии прятаться не стоит. Оно возникает как минимум в трех разных контекстах, которые, несмотря на фундаментальные отличия между ними, часто путают. Первый из них касается существующих технологий разной степени практичности. Второй относится к важной технологии, которая еще не существует, но уже имеет большое значение. Третий контекст охватывает несуществующие технологии, которые вряд ли будут актуальными в ближайшем будущем.

Две потенциально полезные квантовые технологии, имеющие отношение к криптографии, уже существуют, и обе связаны с разными аспектами управления ключами. Первая – это квантовая генерация случайных чисел. Как мы уже видели, случайные числа чрезвычайно важны для криптографии, особенно для генерации ключей, и недетерминистические генераторы, основанные на естественных физических источниках, подходят лучше всего. Лучшие (или, по крайней мере, одни из лучших) инструменты этого рода основаны на квантовой механике. Вторая технология направлена на решение проблемы с получением общего закрытого ключа в двух разных местах. Квантовое распространение ключей позволяет доставить ключ, сгенерированный случайным образом, из одного места в другое по специальному квантовому каналу.

В компьютерных технологиях назревает революция. Квантовые компьютеры, по всей видимости, будут способны выполнять некоторые задачи намного быстрее, чем нынешнее оборудование. Это существенно повлияет на криптографию, так как криптографические операции, которые не по силам традиционным компьютерам, станут выполнимыми. На сегодня существует лишь несколько квантовых компьютеров с крайне ограниченными возможностями, по сравнению с которыми карманный калькулятор может показаться суперкомпьютером. Но квантовые вычисления продолжат развиваться, поэтому мы должны относиться к ним серьезно и готовиться к тому моменту, когда они станут зрелыми.

Квантовые компьютеры будут способны взломать некоторые из криптографических алгоритмов, которые используются сегодня. Казалось бы, для решения этой проблемы было бы логично тоже обратиться к квантовым вычислениям. В конце концов, если квантовый компьютер способен взломать существующую криптографию, почему бы не разработать новые квантовые алгоритмы, которые будут выполняться на квантовых компьютерах? В этой идее нет ничего плохого, но в контексте защиты киберпространства она должна иметь довольно низкий приоритет.

У нас пока еще нет серьезных квантовых компьютеров, и появятся они, вероятно, нескоро. Но пройдет какое-то время, и квантовые компьютеры, может быть, будут применяться в нескольких технологически развитых организациях. Только у них будет возможность применять квантовые криптографические алгоритмы. Но намного важнее то, что всем остальным придется защищаться от этих нескольких квантовых устройств с помощью криптографии, которая работает на традиционных компьютерах. Пройдет еще какое-то время, и, возможно, квантовые вычисления станут чуть более распространенными. Только тогда в квантовых криптографических алгоритмах начнет появляться какой-то смысл. Со временем, вероятно, возможно, наверное… Я подозреваю, что эта проблема будет актуальна скорее для наших детей (или, может быть, даже их детей), чем для нас с вами.

Остерегайтесь разговоров более общего характера, касающихся квантовой криптографии. Этот абстрактный термин часто используется в отношении любого из контекстов, которые я описал в начале этого раздела, а то и всех трех сразу. Таким образом, квантовая криптография может уже существовать, а может и нет, может быть революционной или умозрительной, практичной или непрактичной. Вот почему я бы избегал этого термина. Однако мы не должны игнорировать квантовые компьютеры. Они все еще не умеют швырять злых птичек по свиньям, но у них есть потенциал стать настоящей катастрофой для современной криптографии.

Оружие массовой расшифровки

Кое-что о квантовых компьютерах известно уже сейчас. Они работают совершенно по-другому, чем традиционные вычислительные устройства. Данные, которые они обрабатывают, не нуждаются в переводе в двоичный код. Благодаря своей способности производить некоего рода операции параллельно они смогут выполнять задачи намного эффективней, чем их классические аналоги.

Однако многое о квантовых компьютерах все еще остается неизвестным. Мы не знаем, когда появятся квантовые компьютеры, пригодные для реального применения. Мы не знаем, смогут ли квантовые компьютеры достичь на практике всех тех целей, которые ставятся перед ними в теории. Мы не знаем, кто создаст первый практичный квантовый компьютер. Мы не знаем, как в итоге будет выглядеть внедрение квантовых компьютеров. Мы не знаем, станут ли они когда-либо обычной потребительской технологией. Но с точки зрения планирования будущего криптографии все это неважно. Главное, что квантовые компьютеры могут стать реальностью, и мы должны уже сегодня начинать разработку средств защиты от них.

Квантовые вычисления действительно будут иметь существенное влияние на современную криптографию, но они не отправят на свалку истории все криптографические технологии, которые мы используем сегодня. Некоторые алгоритмы, активно использующиеся сейчас, беззащитны перед квантовыми компьютерами, но другие по-прежнему остаются эффективными. Мы должны учитывать все эти прогнозы и понимать их возможные последствия.

Главная область риска – асимметричное шифрование и связанные с ним методы создания цифровых подписей. Почти все его разновидности, которые используются на сегодня, основаны на предполагаемой сложности двух математических задач: разложение на простые множители и поиск дискретных логарифмов. Достаточно мощный квантовый компьютер сможет эффективно справляться и с тем и с другим, что довольно прискорбно. Иными словами, квантовые вычисления сделают все современные технологии асимметричного шифрования и создания цифровых подписей неэффективными.

Проблема с нынешними асимметричными алгоритмами шифрования в том, что их защищенность основана на конкретных вычислительных задачах, слишком сложных (по общему мнению) для традиционных компьютеров. Если появится настоящий квантовый компьютер, которому эти же задачи будут по зубам, у нас возникнут большие проблемы.

В связи с этим исследователи занимаются разработкой и анализом новых алгоритмов асимметричного шифрования, основанных на альтернативных вычислительных задачах, которые квантовые компьютеры не должны решать так же легко и эффективно. Эти постквантовые алгоритмы придут на смену технологиям, которые мы используем сегодня. Аналогичные шаги предпринимаются для разработки новых постквантовых методов создания цифровых подписей. К этим технологиям предъявляется одно важное требование: они должны быть совместимы с традиционными компьютерами; квантовые методики как таковые в них не используются, однако они предназначены для того, чтобы защищать информацию от будущих злоумышленников с доступом к квантовым компьютерам.

С другими криптографическими инструментами ситуация получше. Защищенность алгоритмов симметричного шифрования обычно не зависит от какой-то одной вычислительной задачи. Они основаны, скорее, на разумном проектировании, чем на математике, и создают настолько сложную вычислительную преграду между исходными и зашифрованными данными, что вместо попыток взлома самого алгоритма лучше и логичнее сразу начинать поиски подходящего ключа.

Сегодня считается, что квантовый компьютер в лучшем случае сможет существенно ускорить простой перебор ключей, но не настолько, чтобы все современные алгоритмы симметричного шифрования разом стали неэффективными. В частности, высказываются предположения о том, что для защиты от злоумышленников с квантовыми компьютерами длину симметричных ключей придется удвоить.

Наиболее широко в современном киберпространстве используется алгоритм симметричного шифрования AES со стандартной длиной ключа 128 бит. Мы довольно много говорили о нем в этой книге. Однако AES поддерживает и 256-битные ключи, поэтому те, кто опасается квантовых компьютеров, могут просто поменять этот параметр. Тем не менее часть широко распространенных систем не используют AES. В большинстве банковских и платежных сетей по-прежнему применяется алгоритм Triple DES, а у него ключи более короткие. Этим сетям, чтобы защититься от квантовых компьютеров, придется перейти на другие технологии симметричного шифрования.

Квантовые вычисления представляют реальную угрозу для криптографии, какой мы ее знаем и используем. Экстренные меры защиты от этой угрозы уже разрабатываются, и я убежден, что набор криптографических алгоритмов, способных противостоять квантовым компьютерам, будет разработан задолго до того, как эти компьютеры станут реальностью. Но до тех пор остается риск того, что данные, которые мы шифруем сегодня, могут быть завтра взломаны посредством квантовых вычислений.

Волшебные каналы

Технология, предоставляющая квантовое распространение ключей (англ. quantum key distribution – QKD), уже существует. Это не алгоритм шифрования, и в квантовом компьютере она тоже не нуждается. Суть технологии QKD в ее названии: это метод применения квантовой механики для распространения симметричного ключа.

Давайте еще раз пройдемся по основам проблемы распространения ключей. Два пользователя хотят обменяться зашифрованными сообщениями с помощью своего любимого алгоритма симметричного шифрования. Для этого каждому из них нужно каким-то образом получить копию одного и того же закрытого симметричного ключа. Один из вариантов состоит в том, что отправитель генерирует случайный ключ и передает его получателю. Но как это сделать?

В отсутствие телепатии это настоящая проблема. Отправитель не может просто передать ключ получателю по незащищенному каналу связи, так как злоумышленник может следить за этим каналом и перехватить ключ. Верно?

Не совсем. Этот аргумент применим к стандартным каналам связи, таким как сотовая сеть, Wi-Fi или Интернет. Но представьте, что речь идет о «волшебном» канале, обладающем одним необычным свойством: если злоумышленник перехватит информацию, которая по нему проходит, получатель будет об этом оповещен (например, с помощью сигнала тревоги). Таким образом, отправитель может спокойно передать ключ получателю по волшебному каналу. Если сигнал тревоги не прозвучит, оба пользователя будут знать, что ключ не увидел никто лишний. В противном случае отправитель и получатель могут избавиться от ключа и повторить попытку.

Именно так устроен процесс QKD. «Волшебным» каналом в его случае выступает квантовое оптическое соединение, устанавливаемое с помощью лазеров прямой видимости или оптоволокна. Ключ кодируется в виде квантовых состояний, а благодаря свойствам квантовой механики любой, кто попытается прочитать данные в канале, непреднамеренно изменит эти состояния так, что позже получатель сможет это обнаружить. QKD, вне всяких сомнений, одно из самых остроумных на сегодня применений квантовой механики. На основе этой технологии уже созданы разные экспериментальные сети, и с ее помощью происходит распространение ключей в космосе, через орбитальные спутники. Коммерческие системы QKD уже доступны на рынке, хотя они далеко не дешевы.

Однако даже если технология захватывающая и новаторская, это еще не означает, что она нам действительно нужна. Суда на воздушной подушке, «Конкорд» и MiniDisc от Sony были блестящими изобретениями, которые решали реальные проблемы, но частью повседневной жизни они так и не стали. Средства QKD могут найти применение в нишевых сферах, но, увы, вполне вероятно, что они пополнят список технологий, которые больше обсуждают, чем применяют. И вот почему.

Во-первых, QKD – это дорогое решение проблемы, которую можно решить дешевле. QKD распространяет ключи для любых алгоритмов симметричного шифрования. Это замечательно, однако для этого существует множество других способов, включая предустановку долгосрочных ключей, из которых по мере необходимости генерируются ключи шифрования, как это происходит в мобильных телефонах, беспроводных сетях, банковских картах и других устройствах.

Есть мнение о том, что QKD может защитить нас от атак с использованием квантовых компьютеров, поскольку позволяет распространять ключи для специального алгоритма симметричного шифрования, известного как шифр одноразовых блокнотов или шифр Вернама. Теоретически этот алгоритм обладает максимальным уровнем защиты, возможным в симметричном шифровании, поскольку шифрует каждый бит исходных данных отдельно, используя случайный ключ. К сожалению, использование шифра Вернама требует больших затрат, поскольку ему нужны случайные ключи, а они по длине равны исходным данным. Для большинства из нас нет никакого смысла заморачиваться распространением таких ключей, ведь, как уже отмечалось, алгоритм AES тоже устойчив к атакам квантового компьютера, и его ключи при этом относительно коротки.

Во-вторых, если говорить о будущем появлении квантовых компьютеров, QKD решает не ту проблему. Для использования QKD нужна статическая сеть с известным набором устройств, каждое из которых подключается с помощью специальной технологии. Именно в таком окружении для защиты сети будет достаточно симметричной криптографии. Но если квантовые компьютеры когда-либо станут реальностью, слабым местом будет вовсе не симметричное шифрование. Похоже, что квантовые вычисления создают необходимость в новых видах асимметричного шифрования. Нам нужны новые асимметричные алгоритмы для защиты соединений в открытых окружениях, таких как Всемирная паутина, где между сторонами взаимодействия не существует заранее определенных отношений. Соединения в открытых окружениях невозможно защитить с использованием QKD. Логично, что эта технология играет куда менее значительную роль в нашей будущей безопасности, чем разработка постквантовых алгоритмов асимметричного шифрования.

Криптография повсюду!

Надеюсь, теперь вы отдаете себе полный отчет о том, насколько важна криптография для защиты вашего пребывания в Интернете, ваших телефонных звонков, покупок с помощью банковских карт и т. д. Для большей части подобной деятельности необходима криптография, так как все это происходит в разных областях того, что мы традиционно называем киберпространством.

Сейчас наблюдается тенденция к размытию границ между объектами, которые у нас прочно ассоциируются с киберпространством, включая компьютеры, планшеты, телефоны и другие повседневные вещи. Мы постепенно свыкаемся с мыслью о том, что телевидение, игровые консоли, часы и автомобили тоже становятся частью киберпространства. Мы уже (почти) готовы к тому, что к ним присоединятся термостаты, духовки, жалюзи и стиральные машины. Но действительно ли нам нужны солонки, зеркала, тостеры и мусорные ведра с подключением к Интернету, которые, между прочим, уже можно купить?

Такую поддержку сетевого подключения у различных предметов иногда называют Интернетом вещей (англ. Internet of Things, или IoT). Это явление частично объясняется разработкой миниатюрных и доступных датчиков, которые можно встраивать в привычные для нас вещи. Поскольку к киберпространству можно подключить почти что угодно, и в большинстве случаев при этом требуется какой-то уровень безопасности, с популяризацией IoT криптография будет использоваться все более широко и во все более неожиданных местах.

Одна из сред, которые созрели для инноваций в сфере IoT – ваш дом. Уже доступны технологии, которые позволяют подключить к сети вашу бытовую технику, упрощая управление освещением, отоплением и другими электроприборами и делая их энергоэффективными. Вы, наверное, думаете, что вашим бытовым приборам не нужна особая безопасность, но подумайте еще раз. Информация в сети умного дома по большей части конфиденциальна. То, когда вы включаете и выключаете освещение и отопление, смотрите телевизор, готовите ужин и принимаете душ, позволяет получить представление о том, как проходит ваш типичный день. Немногие посчитают эти сведения интересными, но для тех, кто собирается вломиться к вам в дом, они бесценны.

Для получения корректного счета за электричество все эти данные должны быть правильными. Вам точно не захочется, чтобы к вашей сети имел доступ кто попало, иначе шутники превратят ваше жилище в дом с привидениями, где загадочным образом включается и выключается свет, посреди ночи начинает греться духовка, а батареи, напротив, перестают греть в самую холодную пору. К счастью, кибердом можно защитить, надлежащим образом применяя криптографию. Будем надеяться, что те, кто разрабатывает все эти подключенные к сети технологии, обращают внимание на безопасность.

Одно из преимуществ умных духовок, выключателей с интернет-соединением и систем киберотопления в том, что все они имеют достаточно крупные габариты и могут поддерживать криптографию того же типа, которую мы используем в наших телефонах, банковских картах и автомобильных замках. О некоторых других устройствах, которые мы подключаем к Интернету, так не скажешь. Крошечные приспособления вроде RFID-меток (средств радиочастотной идентификации, которыми можно помечать товары) и миниатюрных беспроводных датчиков (у которых есть всевозможные способы применения, включая мониторинг сельскохозяйственных культур и отслеживание миграций диких животных) весьма ограничены в возможностях, если говорить о хранении и обработке данных. У них обычно мало памяти, и им нужно экономить электроэнергию, чтобы дольше проработать от аккумулятора.

Чтобы защитить такие устройства с помощью криптографии, исследователи работают над созданием специальных легковесных криптографических алгоритмов, тем более что в будущем может понадобиться что-то практически невесомое. В таких алгоритмах обычно жертвуют какими-то аспектами безопасности в пользу повышения производительности по сравнению с традиционными аналогами. Это, пожалуй, допустимый компромисс, ведь вполне вероятно, что данные, собираемые такими устройствами, не нужно хранить в тайне долгое время. К тому же легковесная криптография лучше, чем вообще никакой.

Одно из последствий современного подхода к криптографии заключается в том, что для многих систем, с которыми вы взаимодействуете в киберпространстве, роль криптографического ключа играете вы сами. Банкомат выдаст деньги, только если система уверена в том, что чип на вставленной карте содержит ключ, который, как она считает, принадлежит вам. Кто бы ни сделал звонок с телефона, в который вставлена ваша SIM-карта, платить за него будете вы. Ваш автомобиль откроет дверь любому, у кого есть криптографический ключ, привязанный к вашему брелоку.

Однако в будущем такая связь между человеком и его криптографическими ключами может стать еще теснее. Вы больше не будете представлены ключами – они будут содержаться в вашем теле, и, возможно, в больших количествах. Выиграют от применения технологий IoT, скорее всего, медицинские исследования и здравоохранение в первую очередь. В будущем к киберпространству среди прочих вещей будут подключены медицинские имплантаты, такие как электрокардиостимуляторы и другие средства мониторинга, как для наружного ношения, так и для внутреннего потребления. Эти технологии вполне могут передавать данные вашим мобильным медицинским приложениям, или непосредственно вашему врачу. Internet of Me (мой Интернет) – это уже не научная фантастика, а реальность. И эта область совершенно точно нуждается в защите, а значит, и в криптографии.

В 2012 году в одной из серий американского сериала Родина для покушения на вице-президента Уолдена злоумышленник подключается к его электрокардиостимулятору и ускоряет его сердцебиение. Эту серию, наверное, было не очень приятно смотреть тысячам зрителей с кардиостимуляторами по всему миру. Но, как и в случае с любыми другими будущими сферами использования IoT, при тщательном проектировании и внедрении криптографии их пульс, скорее всего, останется в норме. Мы можем защитить конфиденциальность медицинских баз данных и разработать кардиостимуляторы, которые будут взаимодействовать только с авторизованными медицинскими специалистами и допускать только безопасные параметры. Цель, стоящая перед обществом, состоит в том, чтобы вымышленные атаки оставались вымышленными.

Облачно, местами криптография

Когда-то мир был устроен так: вы генерировали данные (документы, фотографии, электронные письма – неважно) и хранили их на своем персональном компьютере, который находился под вашим контролем. Если вас беспокоила безопасность ваших данных, вы должны были заниматься их защитой (используя криптографию, конечно). Это в равной степени относилось как к организациям, так и к частным лицам.

В наши дни все работает немного иначе: вы генерируете данные и сохраняете их где-то (неведомо где), позволяя контролировать их кому-то другому (неведомо кому). Вы можете обратиться к своим данным в любой момент и откуда угодно, их объем может многократно превышать емкость вашего локального хранилища на жестком диске. Именно так работают системы управления электронной почтой вроде Gmail, обмена файлами вроде Dropbox, музыкального вещания вроде Spotify и организации фотографий вроде Flickr. Необходимо отметить, что все больше организаций вверяют все свои данные заботе подобных сервисов, потому что это проще, дешевле и намного удобнее, чем поддерживать собственные системы. В целом эту концепцию принято называть облаком. Конечно, таких облаков много, но все они основаны на одних и тех же фундаментальных принципах.

Делегирование управления своими данными кому-то другому не обходится без очевидных рисков. Тем не менее приличный провайдер облачных услуг должен серьезно относиться к кибербезопасности. На самом деле ваша информация может быть лучше защищена в облаке, чем на вашем собственном компьютере, так как вы можете попросту забыть об элементарных мерах предосторожности вроде резервного копирования. Однако в некоторых ситуациях (например, если дело касается базы данных с медицинскими записями) мы не хотим, чтобы провайдер облачных услуг мог просматривать данные, которые он для нас хранит. Очевидным решением будет шифрование данных перед их отправкой в облако.

К сожалению, хранение зашифрованной базы данных медицинских записей в облаке представляет собой серьезную проблему. Представьте, что нам нужно найти пациентов с определенной болезнью, отсортировать записи по дате рождения или вычислить средний возраст пациентов с определенными параметрами. Поскольку традиционные средства шифрования рассчитаны на генерацию непонятного шифротекста без видимой связи с оригиналом, эти операции нельзя проводить непосредственно с зашифрованной информацией. Таким образом мы должны загрузить зашифрованную базу данных из облака, расшифровать ее и только затем выполнить наш анализ локально. Это неэффективный и неудобный процесс, так как облако нужно в первую очередь для того, чтобы избежать локального хранения всей этой информации.

Могло бы показаться, что потребность в криптографии подрывает некоторые преимущества облачных вычислений. Но на самом деле произошло кое-что поинтересней: необходимость в облачных вычислениях породила целую волну инноваций в области криптографии. Специально для ситуаций, подобных описанным выше, разрабатываются особые виды криптографических алгоритмов. Например, методы шифрования с возможностью поиска позволяют владельцам данных искать нужную им информацию без предварительной расшифровки, а при использовании гомоморфного шифрования владельцы данных могут проводить с ними целый ряд вычислений (таких как сложение и умножение) и тоже без необходимости их расшифровывать. Шифрование данных с помощью этих методов делает возможной работу с ними прямо в облаке.

Методы шифрования с возможностью поиска позволяют проводить поиск по зашифрованной БД так, чтобы владельцу возвращались только найденные нужные элементы, которые затем расшифровываются локально. Гомоморфное шифрование позволяет владельцу данных вычислить среднее значение из каких-то числовых элементов внутри зашифрованной БД: для этого сначала вычисляется среднее зашифрованное значение (обычным образом), которое затем возвращается владельцу, а тот уже расшифровывает его локально, чтобы получить среднее значение для исходных данных. Эта возможность открывает путь для более сложных вычислений, таких как анализ зашифрованных данных.

Такого рода функционал по большому счету еще не готов к повсеместному применению, так как многие из этих новых криптографических методов пока недостаточно эффективны для широкого внедрения. Тем не менее это показывает, насколько далеко ушла криптография с начала 1970-х годов, когда весь диапазон доступных средств состоял из симметричного шифрования. С возникновением в киберпространстве новых видов деятельности, имеющих определенные требования к безопасности, можно ожидать появления новых криптографических инструментов, предназначенных для их защиты. Иными словами, в будущем криптография станет еще более распространенной, и будет предлагать еще больше возможностей.

Восстание машин

Мы часто слышим, что не за горами тот день, когда компьютеры могут стать умнее людей. Никто не знает, когда наступит технологическая сингулярность (кто-то говорит, что в 2030-х, а кто-то – в 2040-х). Никто не может предположить, будут эти суперумные компьютеры похожи на современные, или же мы придем к созданию цифровых киборгов, которые станут результатом слияния компьютерных сетей и человеческого мозга. Мы даже не можем точно сказать, что означает умнее, и заметим ли мы вообще технологическую сингулярность, если она когда-нибудь случится.

Но все это детали. Никто не станет спорить с тем, что компьютеры становятся способны решать все больше задач, которые раньше считались доступными только людям. В наше время компьютеры могут делать то, что было прерогативой человека всего пару десятилетий назад, включая интерпретацию человеческой речи или вождение автомобилей. Ожидается, что прогресс в области искусственного интеллекта только ускорит эту тенденцию. Уже можно себе представить роботов, способных ставить медицинские диагнозы, биноклей с возможностью идентифицировать все объекты в поле зрения, и полностью автоматизированных транспортных систем. Нравится нам это или нет, но искусственный интеллект неизбежно приведет к созданию многих вещей, которые мы пока даже не можем себе представить, и некоторые из них окажутся вне нашего контроля.

Мы сами ускоряем этот прогресс, генерируя все больше и больше данных. В 2018 году пользователи публиковали более 50 000 фотографий, писали более 500 000 твитов и отправляли 13 миллионов текстовых сообщений каждую минуту. Такие огромные объемы информации и улучшения в алгоритмах, предназначенных для их обработки и анализа, помогают компьютерам выполнять аналитические задачи, которые людям и не снились.

Что все это сулит будущему криптографии? Каким бы ни было внутреннее устройство и назначение компьютеров, для защиты данных им, вне всяких сомнений, и дальше будет нужна криптография. Может статься, они справятся лучше нас, и это позволит им гарантировать обеспечение надлежащей криптографической защиты.

Но есть еще один интересный вопрос: какое воздействие искусственный интеллект может оказать на саму криптографию? Станут ли компьютеры в будущем настолько умными, что им будет под силу взломать любые известные криптографические алгоритмы подобно суперкомпьютеру из романа Дэна Брауна Цифровая крепость?

Сомневаюсь. Угроза криптографии возникает в результате несоответствия возможностей тех, кто ею пользуется, и тех, кто пытается ее взломать. Чтобы это проиллюстрировать, стоит вспомнить такие несоответствия, которыми пользовались правительства для контроля за использованием шифрования. В 1950-х и 1960-х годах государство имело намного больше опыта разработки криптографических средств. В 1970-х и 1980-х государство имело возможность ограничить устойчивость и распространение криптографических технологий на уровне законодательства. В наше время информация, раскрытая Сноуденом, показывает, что преимущество правительственных служб заключается в наличии общей картины того, как используется криптография, и возможности политического давления на основных поставщиков технологий. Если нам не удастся создать алгоритмы асимметричного шифрования, устойчивые к квантовым вычислениям, в будущем аналогичное несоответствие может быть выражено в доступе к квантовым компьютерам.

Я легко могу себе представить, что развитие искусственного интеллекта и автоматизации формулирования логических выводов станет угрозой для современной криптографии. Чрезвычайно сложные компьютерные программы вполне могут научиться проводить более тщательный анализ безопасности криптосистем, чем мы способны даже представить сегодня. Это может сделать доступным поиск тонких уязвимостей, для выявления которых приходится проводить глубокое исследование. Такие программы могут находить в зашифрованных данных неочевидные закономерности. Но чтобы прогресс в области искусственного интеллекта привел к несоответствию возможностей, должна появиться машина, способная выполнять атаки, о которых мы даже не догадываемся. Я не могу сказать, что этого никогда не произойдет, но мне кажется, что современный научный прогресс происходит в достаточно открытой среде и в тесном сотрудничестве, поэтому вряд ли кому-то удастся сохранять подобные возможности в тайне действительно долго.

Зная, что нам угрожает, мы можем что-то предпринять. Если умные компьютеры сделают скачок вперед с точки зрения взлома криптографии, мне кажется, что этот ум почти наверняка позволит нам усовершенствовать процесс ее разработки. Современная криптография разрабатывается людьми, а компьютеры используются для моделирования и тестирования ее защищенности. В будущем компьютеры вполне могут превзойти нас в этом созидательном процессе и создать более устойчивые криптографические средства, которые будут проходить более тщательную проверку. Скорее всего, они смогут лучше анализировать целые компьютерные системы, определяя, какие криптографические технологии следует применять и как их реализовывать.

Прогресс в области криптографии иногда называют «гонкой» между созидателями и разрушителями. Криптографические технологии должны совершенствоваться, чтобы противостоять методам взлома, которые тоже не стоят на месте. По моему мнению, чтобы удерживать лидерство, созидателям нужно следить за тем, как развиваются приемы разрушения. Если разработчики криптосистем не будут игнорировать прогресс в сфере искусственного интеллекта, то криптографии, которая будет лежать в основе будущих вычислительных потребностей, окажется достаточно. Однако ни у кого из живущих сегодня нет ни малейшего представления о том, как сложится будущее искусственного интеллекта.

Доверие к криптографии

Если в нашем криптографическом будущем и должно что-то измениться действительно серьезно, так это понятие доверия. Криптография тесно связана с доверием, и наша будущая безопасность в конечном счете зависит от того, станет ли эта связь еще теснее. Важно понимать, чем это обусловлено.

Доверие – это «твердая убежденность в надежности, достоверности или способности чего-то или кого-то». Именно это обеспечивает криптография в киберпространстве. Нам нужно понимать, кто и что знает, какая информация корректна и кто с кем взаимодействует. Учитывая природу киберпространства, доверие невозможно выстроить без криптографии.

Криптография тоже опирается на доверие. Чтобы она работала, мы должны доверять утверждению о том, что определенные математические вычисления сложно выполнять на компьютере. Мы должны верить в то, что вычислительные ресурсы злоумышленника не превышают ожидаемого уровня. Мы должны довериться тому, что пользователи криптографии будут вести себя предсказуемо и не станут, к примеру, публиковать свои криптографические ключи в социальных сетях.

В целом же криптография сама по себе нуждается в доверии. Информация, которую раскрыл Сноуден в 2013 году, существенно подорвала доверие общества к криптографии. Как уже отмечалось, процессу разработки криптографических алгоритмов действительно не всегда можно доверять. То же самое относится к их реализации в современных технологиях или процедурам управления ключами. Если мы не верим в надежность криптографии, можно ли надеяться на установление реального доверия в киберпространстве?

Установление доверия в криптографии – задача не самая простая. Существенным препятствием служит очень высокая сложность того, чему мы должны довериться. И речь идет не только об алгоритмах; мы должны доверять всей системе, в которой применяется криптография, включая производителей технологий и операторов сетей, в которых эти технологии развертываются. Все это усугубляется тем, что разные люди доверяют или не доверяют очень разным вещам.

Тем не менее некоторые положительные тенденции свидетельствуют о том, что мы двигаемся в правильном направлении.

Одна из этих тенденций связана с выбором. Парламентская демократия – это система государственного управления, популярность которой помимо прочего объясняется возможностью граждан выбирать своих представителей. Мы не всегда доверяем нашим политикам, но они, наверное, заслуживают больше доверия, чем правители, которые удерживают власть силой. В середине 1970-х в криптографии почти не из чего было выбирать. Если вам нужно было симметричное шифрование, едва ли не единственным вариантом был алгоритм DES. Сегодня же мы можем выбирать любой из десятков доступных алгоритмов симметричного шифрования. Выбор не означает гарантий безопасности, но он укрепляет доверие.

Технологии, которые используются для защиты телекоммуникационных сетей 4G и 5G, позволяют выбирать криптографические алгоритмы; в частности, в Китае был разработан специальный алгоритм для внутреннего использования. По всей видимости, китайцы не доверяют криптографическим алгоритмам, созданным за рубежом (а кто-то другой, несомненно, не доверяет китайским алгоритмам), однако наличие их собственного алгоритма в спецификации способствует укреплению доверия к безопасности телекоммуникаций внутри Китая. Точно так же вы можете сконфигурировать параметры безопасности TLS в своем браузере, чтобы для установления безопасных соединений с сервером использовались только те алгоритмы, которым вы доверяете.

Второй тенденцией стал повышенный интерес (как в научных кругах, так и среди практикующих специалистов) к безопасному применению криптографии в реальных технологиях. В прошлом безопасность криптографии оценивалась в отрыве от окружения, в котором она использовалась. Сейчас при анализе алгоритмов учитывается общая криптосистема, в рамках которой они работают. Например, давая оценку криптографическому протоколу вроде TLS, мы не просто проверяем его корректность и способность достичь заявленного уровня безопасности, но и следим за тем, чтобы эти свойства сохранялись после его реализации в реальной среде, где находчивый злоумышленник может пользоваться вспомогательной информацией, например сообщениями об ошибках. Существует несколько ежегодных мероприятий, которые собирают специалистов для обсуждения теории криптографии, однако крупнейшей в этой сфере считается конференция Real World Crypto Symposium, где сотни исследователей и разработчиков совместно расширяют свое коллективное понимание того, как укрепить доверие к криптографии, применяемой для защиты широко распространенных технологий.

После поступка Сноудена пользователи стали менее беспечными, и это, как мне кажется, самое главное. Этот сдвиг включает в себя более глубокое осознание того, что нам нужна криптография, которой мы можем доверять. Споры о сквозном шифровании, продолжающиеся между правительствами и поставщиками технологий – только один из примеров. Еще один пример, наверное, состоит в том, что вы читаете эту книгу.

Верите ли вы в то, что безопасность, которую обеспечивает криптография, соответствует вашим потребностям? Я показал вам довольно много признаков и причин того, что в это стоит верить, пусть и с некоторыми оговорками. Если мы стремимся создать не просто безопасный криптографический алгоритм, но защищенную криптосистему, в которой работает его безопасная реализация, то в будущем доверие к криптографии может только укрепиться. По крайней мере я на это надеюсь.

Криптография и вы

А что насчет вашего личного криптографического будущего? Всегда полезно знать, какую роль криптография играет в кибербезопасности. Но следует ли вам просто продолжать свою деятельность в киберпространстве, будучи уверенным в том, что криптография «делает свое дело» для вашей защиты?

Прежде всего, я надеюсь, что, сняв завесу тайны с криптографии, я избавил вас от страха перед неизвестным. Тема кибербезопасности доступна для понимания не только компьютерным гениям. Криптография предоставляет фундамент, на котором основаны технологии безопасности. Имея представление о том, как она работает, вы уже обладаете некоторыми основополагающими знаниями об организации безопасности в киберпространстве.

Я надеюсь и на то, что знания о криптографии изменят ваши взгляды на кибербезопасность. Ее анализ через криптографическую призму может быть очень полезным. Вы теперь знаете, что, когда ваш банк выдает вам устройство для онлайн-доступа к вашему счету, вы на самом деле получаете алгоритм и уникальный ключ. Контролируя это устройство, вы можете входить в систему намного более безопасным путем, чем, скажем, при вводе PIN-кода и девичьей фамилии матери.

Криптографическое мышление может помочь вам разобраться в текущих событиях. Если в новостях о технологии, которую вы используете, звучит слово «взлом», не всегда ясно, в чем именно заключается проблема. Возможно, использовался плохой криптографический алгоритм, может, ключи генерировались неправильно, а может, эти ключи были попросту украдены с сервера? Стоит ли вам лично предпринимать какие-то меры, или лучше подождать, пока поставщик технологии не решит проблему? Достаточно ли поменять пароль, или стоит перейти на другую технологию?

Знание основ криптографии также должно придать вам уверенность, необходимую для оценки вашего текущего подхода к кибербезопасности. Как защищены данные на ваших устройствах? Обеспечены ли сетевые соединения, направленные к вашему сайту, криптографической защитой? Насколько легко кому бы то ни было представиться «вами» в киберпространстве? Вы можете даже пойти на упреждающие меры. Если на вашем ноутбуке есть по-настоящему конфиденциальные данные, их, пожалуй, лучше зашифровать. Если вы регулярно записываете конфиденциальную информацию на флешки, вам, возможно, стоит приобрести носители с криптографической защитой.

Что не менее важно, вы можете применять свои знания криптографии при выборе технологий или услуг, которыми вы хотите пользоваться в будущем. Задайте себе неловкие вопросы. Какой уровень безопасности они предоставляют? Какие они используют алгоритмы? Кто генерирует ключи, и где эти ключи хранятся? Ответы на эти вопросы найти не всегда легко, но поставщики все чаще публикуют подробности о предоставляемых ими продуктах, так как становится очевидным тот факт, что безопасность, помимо своей основной функции, еще и делает продукт привлекательней. Учитывайте криптографию при выборе того, что использовать и чем заниматься в киберпространстве.

Понимание того, какую роль криптография играет в кибербезопасности, тоже должно помочь вам сделать свой вклад в общественную дискуссию о ее использовании. Я призываю вас сформировать свое собственное мнение о том, как общество должно совмещать стремление к безопасности и конфиденциальности в киберпространстве. Это не означает, что вы должны стать политиком. Важные проблемы лучше всего решать одновременно на высоком уровне и на местах. Например, для борьбы с глобальным потеплением необходимо сочетание глобального политического руководства и ежедневных изменений, которых добивается каждый отдельный человек. Эти вещи взаимосвязаны, так как индивидуальные действия могут влиять на политику, а политика может изменять поведение людей. Следовательно, вы тоже можете поучаствовать в дискуссии о безопасности и конфиденциальности, включая контроль за использованием криптографии. Вы это делаете, когда решаете, какую информацию публиковать в Интернете, с какими технологиями иметь дело и как реагировать на новости и события из сферы безопасности. Высказывайте свое мнение и не позволяйте другим определять ваше будущее за вас.

Помните о криптографии и о том, как она вам может послужить. Сегодня на нее опирается наша безопасность, и в будущем эта зависимость только усилится.

Назад: 8. Дилемма криптографии
Дальше: Благодарности