Журнал "Information Security/ Информационная безопасность" #1, 2019

• 33 КРИПТОГРАФИЯ www.itsec.ru 1 B. Schneier, NSA Plans for a Post-Quantum World, https://www.schneier.com /blog/archives/2015/08/n sa_plans_for_a.html, 2015. 2 M. Dyakonov, The Case Against Quantum Computing, https://spec- trum.ieee.org/computing/h ardware/the-case-against- quantum-computing, 2018. В настоящее время как за рубе- жом, так и в Российской Федера- ции ведутся активные исследо- вания в области квантовых вычислений. Создание компью- тера, реализующего квантовую модель вычислений (квантового компьютера), повлечет негатив- ные последствия для ряда крип- тографических механизмов. В частности, на квантовом ком- пьютере можно реализовать с полиномиальной сложностью алгоритмы факторизации и дис- кретного логарифмирования в произвольной группе (метод Шора), что в перспективе может привести к компрометации всех асимметричных криптографиче- ских схем, стойкость которых обосновывается предположением о сложности решения указанных задач, в том числе схем RSA, Диффи – Хеллмана и цифровых подписей ECDSA и ГОСТ Р 34.10–2012. При этом прорыва в области криптоанали- за симметричных криптосхем не ожидается, поскольку известные в настоящее время квантовые алгоритмы анализа хэш-функций и блочных шифров (метод Амбай- ниса для поиска коллизий и метод Гровера для поиска прообраза) по-прежнему имеют экспоненци- альную сложность, хотя и мень- шую, чем классические. При этом специалисты по- разному оценивают перспекти- вы создания действующих образцов квантового вычисли- теля с характеристиками, доста- точными для решения задач практического криптоанализа. Прогнозные оценки сроков соз- дания таких квантовых компью- теров составляют от 10 до 40 лет 1 , некоторые особо пес- симистично настроенные уче- ные 2 считают физические пре- пятствия на пути создания кван- товых вычислителей непреодо- лимыми. Основной характеристикой мощности квантового вычисли- теля является количество куби- тов – элементарных блоков. Задавая условие задачи как начальное состояние системы кубитов, составляющих кванто- вый вычислитель, и производя над ними серию предписанных квантовым алгоритмом пре- образований, в результате финального измерения состоя- ния системы кубитов получают решение задачи. При этом воз- никают значительные трудности инженерно-физического харак- тера, связанные с необходи- мостью противодействия физи- ческой деградации кубитов в процессе вычислений и прове- дения точных измерений их состояния. Существующие коммерче- ские прототипы квантовых ком- пьютеров, в том числе разра- батываемые фирмами IBM и D-Wave, в основном предна- значены для решения оптими- зационных задач и не подходят для целей криптоанализа. Отме- тим, что в январе текущего года фирма IBM представила "пер- сональный" 20-кубитовый кван- товый вычислитель, смонтированный в кор- пусе объемом около 9 м 3 . Квантовые вычисли- тели фирмы D-Wave, исполь- зуемые в том числе Google и NASA, имеют, по утверждениям фирмы-производителя, до 1152 кубитов, сгруппированных в несколько кластеров, однако характер их внутренних топо- логических связей позволяет утверждать о наличии значи- тельных ограничений в реали- зованной в данных устройствах модели квантовых вычислений. Направления синтеза крип- тографических схем, стойких относительно анализа как с использованием классических, так и квантовых вычислений, с легкой руки известного крипто- графа Д. Бернштейна получили общее название “постквантовая криптография”. Первая между- народная конференция PQCryp- to, посвященная этим направ- лениям, состоялась в 2006 г. и с тех пор проводится каждые 1–2 года. В последнее время проводи- мые международным крипто- графическим сообществом исследования в области синтеза постквантовых криптоалгорит- мов интенсифицировались бла- годаря усилиям Национального института стандартов и техно- О некоторых тенденциях развития постквантовой криптографии итателю предлагается обзор основных направлений и перспектив стандартизации криптографических механизмов защиты информации, стойких как относительно классических, так и квантовых методов анализа (так называемых постквантовых криптографических алгоритмов), прежде всего на основе материалов мероприятий, проводимых американским Национальным институтом стандартов и технологий (NIST). Обозначен ряд проблем, возникающих перед отечественным криптографическим сообществом ввиду перспективы создания квантового вычислителя. Ч Сергей Гребнев, эксперт ТК 26 I уровень Эквивалентно определению ключа 128-битового блочного шифра II уровень Эквивалентно поиску коллизии 256-битовой хэш-функции III уровень Эквивалентно определению ключа 256-битового блочного шифра IV уровень Эквивалентно поиску коллизии 384-битовой хэш-функции V уровень Эквивалентно определению ключа 256-битового блочного шифра Таблица 1. Пять уровней практической стойкости