Současné šifrovací algoritmy považujeme za bezpečné, řada z nich využívá matematické problémy, jejichž řešení bez znalosti klíče by i nejvýkonnějším superpočítačům zabralo tisíce let. Avšak nastupující technologie kvantových počítačů výrazně změní pravidla hry a bere nám onu pseudojistotu neprolomitelnosti. „Je v podstatě jen otázkou času, kdy budou kvantové počítače natolik výkonné, že dnes běžně používané šifrování prolomí ne v řádu let, ne v řádu měsíců, ale pouze během pár hodin. A to pak může být veliký problém,“ říká Miroslav Vozňák, vedoucí katedry telekomunikační techniky na Fakultě elektrotechniky a informatiky VŠB – Technické univerzity Ostrava.
Dnes máme k dispozici symetrické a asymetrické šifrování. K čemu se který typ používá? Běžně užívaný princip utajení přenášeného obsahu je postaven na tom, že šifrujeme symetrickým klíčem, což znamená, že na straně A i na straně B potřebujeme mít stejný klíč. Stěžejním problémem je způsob doručení či ustanovení symetrického klíče, protože jeho zasílání druhé straně by bez zašifrování bylo vysoce rizikové. Kdokoliv, kdo by se k nešifrovanému klíči dostal, by následně mohl dešifrovat naše další zprávy. Pro jeho ustanovení mezi komunikujícími stranami používáme tzv. asymetrickou kryptografii. Jedná se o metodu využívající dvojici klíčů, jeden klíč je privátní a druhý veřejný. Co zašifruji klíčem veřejným, mohu dešifrovat pouze klíčem privátním.
Pojďme se podívat na asymetrické šifrování. Jak funguje? Velmi zjednodušeně si můžete celý proces představit jako posílání zprávy v truhle. Vložím do ní obsah, zamknu ji visacím zámkem, vezmu si klíč a dám si jej do kapsy. Truhlu vám pošlu a vy na ni přidáte další zámek a klíč od něj si dáte také do kapsy. Truhlu mi opět pošlete zpět, já použiji svůj klíč z kapsy, odemknu a odstraním svůj zámek a pošlu vám ji zpět již pouze opatřenou jedním zámkem, ke kterému máte klíč. A vy pak odemknete tento zámek svým klíčem a dostanete se k obsahu. Tento princip umíme vyjádřit matematicky již od 70. let, kdy vznikl první šifrovací algoritmus, jenž se dosud používá. Využívá výpočetní složitosti diskrétního logaritmu. Existují však také algoritmy, které jsou např. postaveny na principu složitosti faktorizace součinu velkých prvočísel. To je i jeden z důvodů, proč se snažíme najít delší a delší prvočísla — mají využití v asymetrické kryptografii.
Takže použitím asymetrického šifrování se můžeme vyhnout nutnosti riskantní výměny klíčů. Má asymetrická kryptografie nějaká rizika? Asymetrická kryptografie je výpočetně poměrně náročná, a navíc máproblém s možným prolomením. Víme, že ze zachycené výměny lze klíč, který potřebujeme utajit, spočítat. Nicméně výpočetní náročnost je tak extrémní, že to pokládáme za nemožné. Další problém je v zajištění důvěryhodnosti klíčů. Potřebujeme mít jistotu, že veřejný klíč, kterým šifrujeme obsah, patří skutečně straně, které chceme zprávu zaslat, a párovým privátním klíčem, kterým lze obsah dešifrovat, nedisponuje někdo jiný. K tomuto slouží certifikační autority, přesněji celá infrastruktura hierarchicky uspořádaných autorit ověřujících identitu držitele unikátního páru klíčů a vydávajících certifikát, tedy veřejný klíč podepsaný certifikační autoritou. Odesílatel zasílá tento certifikát a příjemce si s jeho pomocí ověří, že je veřejný klíč validní, komu patří a kdo jej vydal. Certifikát má samozřejmě omezenou dobu platnosti a po vypršení je nutné vygenerovat nový. V případě kompromitace, kdy z nějakého důvodu se stane veřejný klíč nedůvěryhodným, lze provést revokaci a zrušit jeho platnost.
Ale největší riziko asymetrické kryptografie tkví ještě v něčem jiném, že? Ano a je to i hlavní důvod, proč se mění dlouho zavedené paradigma v kryptografii. V roce 1994 přišel americký profesor matematiky Peter Shor s tím, že složitost matematických problémů, na kterých je postavena asymetrická kryptografie, se dá významně redukovat na kvantových počítačích. Pokud bude existovat kvantový počítač s cca 2 miliony qubitů (jednotek kvantové informace), dokáže prolomit RSA, což je celosvětově nejpoužívanější technika asymetrického šifrování, za pouhých osm hodin. V té době tomu nikdo nevěnoval příliš velkou pozornost, protože kvantové počítače byly zejména teoretickou a vysoce experimentální záležitostí. Peter Shor však naznačil, že kvantové počítače významně změní svět kryptografie a mnoha lidem postupně v čase došlo, že budeme mít jako společnost v relativně blízké budoucnosti problém. Obsah komunikace, který dnes šifrujeme a považujeme za bezpečný, bude možné v době výkonných kvantových počítačů dešifrovat bez znalosti klíče. Dnes už kvantové počítače máme, ale pro řešení těchto úloh dosud nedisponují patřičným výkonem. Evropa má svůj první kvantový počítač od IBM v Německu, zařízení se jmenuje Q Systems One a pracuje s 27 qubity. IBM aktuálně disponuje již univerzálním kvantovým procesorem s 64 qubity a připravuje dvojnásobek. V roce 2030 očekává, že jejich kvantové počítače budou zvládat 1 milion qubitů. K těm 2 milionům avizovaných qubitů dojdeme odhadem za 15 let.
A pak by se současné šifry daly bez problémů prolomit? Přesně tak. A dala by se zpětně přečíst veškerá dnešní šifrovaná komunikace, pokud ji budu ukládat včetně výměny při ustanovení klíče. Dalo by se říci, že dnešní komunikaci posíláme do budoucna v otevřené podobě. A řada horkých a citlivých témat, které se dnes řeší, budou za 15 let stále živými kauzami.
Co by se stalo, kdyby obsah dnes šifrované komunikace byl v budoucnu k dispozici v otevřené podobě? Utajení obsahu má svůj smysl, hospodářský, bezpečnostní a také je zde rozměr etický. Lidé šifrované komunikaci důvěřují a kryptografické nástroje chrání jejich soukromí. A i když nepáchají žádnou trestnou činnost, nedomlouvají kontrakty za miliardy dolarů a povídají si o naprosto běžných věcech života, věří, že je nikdo nemůže odposlouchávat. V době výkonných kvantových počítačů se však na aktuálně používané technologie v kryptografii nebudeme moci spoléhat.
Čímž se dostáváme k zásadní otázce. Jaké jsou alternativy standardního matematického kryptování? Můžeme se opět vydat cestou matematickou, cestou postkvantové kryptografie využívající nové algoritmy, které jsou odolné vůči redukci výpočetní složitosti na kvantových počítačích. Tyto techniky se vyvíjejí už zhruba 20 let a standardizovány by měly být v roce 2024. S postkvantovou kryptografií pracujeme na naší fakultě v Ostravě. Využili jsme kryptografickou knihovnu, která je veřejně dostupná a umíme sestavit šifrovaný TLS/SSL tunel schopný propojit libovolná dvě místa takovým způsobem, že přenášený obsah by měl být odolný i v kvantové éře. Naši studenti provedli řadu praktických experimentů s postkvantovou kryptografií a nedávno jsme publikovali článek na jedné IEEE konferenci, kde jsme srovnávali výkonnost konvenčních a nově nastupujících šifer. Tato kryptografie se dá poměrně snadno implementovat, a jakmile budou plně standardizovány kvantově bezpečné kryptosystémy, bude běžně užívána. Je to záležitost pouze několika let. Nemáme však jistotu, že se neobjeví další vizionář jako Peter Shore z MIT a nezpochybní využívané principy.
A druhou variantou je kvantová kryptografie? Přesnější název je kvantová distribuce klíčů, protože kvantově se nic nešifruje, pouze se distribuují klíče pomocí kvantových technologií. Klíč se zakóduje do kvantových stavů částic, jako je např. foton či elektron. Jde o metodu, která opouští matematické problémy výpočetní složitosti a staví na fyzikálních principech, konkrétně kvantové mechanice. Myšlenka tkví v tom, že klíč je přenášen v kvantových bitech — tzv. qubitech — a měřením jejich stavů dochází k nárůstu chybovosti. Jsme tedy schopni detekovat odposlech, bohužel mu však nejsme schopni zabránit. Důležité je, že dokážeme indikovat, kdy je kvantový kanál kompromitován a přenesenému klíči už nemůžeme věřit. Samozřejmě, i kvantový kanál má nějakou svou vlastní přirozenou chybovost danou podmínkami přenosu. Fotony nesoucí ve svých stavech klíč můžeme přenášet různým prostředím, např. optická atmosférická komunikace se musí potýkat s atmosférickými jevy, které významně ovlivní chybovost takovéhoto kanálu. Musel být tedy vyřešen problém, jak odlišit chybovost způsobenou přírodními jevy od chybovosti vzniklé případným nežádoucím měřením/odposlechem.
Můžeme se na metodu kvantové distribuce klíče podívat trochu podrobněji? Určitě. Tato technika využívá dva principy kvantové mechaniky. Prvním je neklonovací teorém, který nám říká, že nedokážeme dokonale zkopírovat neznámý kvantový stav. V dnešních elektronických komunikacích, pokud máte přístup k síťové infrastruktuře, si můžete v různých místech zkopírovat přenášený obsah. Kvantová distribuce klíče však kopírování qubitů neumožňuje. Druhým principem je Heisenbergova relace neurčitosti. Ta nám říká, že některé kombinace veličin nelze současně dostatečně přesně měřit. Čím přesněji se snažíme měřit jednu, tím nepřesněji pak určíme druhou. Tento princip se nám projeví tak, že získáváním informace z qubitů vytváříme chybu. Dokážeme ji určit a prověřit, zda reálně zjištěná chybovost je odpovídající, a tím vyloučit možný odposlech. To se provádí takovým způsobem, že si necháme poslat část dekódované informace/klíče, čímž zjistíme chybovost; tuto část musíme bohužel obětovat. Když se na problematiku podíváme trochu z jiného úhlu, je kvantová distribuce klíčů z pohledu vytěžitelnosti obsahu přenosu nesmírně neefektivní. Odešleme spoustu qubitů, ve kterých je zakódován nějaký binární stav, ale jen malou část (např. jen 20 %) můžeme použít pro klíč, protože o zbytek přijdeme jednak při určení jedniček a nul z qubitů, jednak v následných fázích zpracování. Naštěstí využívané klíče v symetrické kryptografii nejsou dlouhé, stačí nám 128 či 256 bitů pro jednu šifrovanou relaci.
Jakým způsobem se z fotonu tedy stane qubit, který nese určitou informaci? Princip je poměrně jednoduchý, nicméně realizace náročnější. Dnes, když posíláte nějaké informace, máte laserový vysílač a modulováním jeho výkonu odesíláte jedničky a nuly. Když ale chcete posílat informaci prostřednictvím kvantové distribuce klíčů, tak ji musíte kódovat do jednotlivých fotonů. Musíte mít tedy zdroj emisí jednotlivých fotonů a na straně přijímače, obvykle lavinové fotodiody, které umějí detekovat foton po fotonu. Zde jsou vysoké nároky na časovou synchronizaci přijímače a vysílače. Náhodně vytvořený klíč můžeme například zakódovat do polarizace fotonů. Foton přirozeného bílého světla je nepolarizovaný, tzn. z pohledu elektromagnetického vlnění jsou kmity neuspořádány. Kvanta, přestože jde o částice, se chovají rovněž jako vlny, které lze zesílit, zeslabit nebo vrstvit, případně můžeme kmity vlnění uspořádat do určitého směru a tím dosáhnout polarizace. Pokud fotonu postavíme do cesty polarizační filtr, kterým budeme nahodile otáčet s průchodem každého, získají fotony určitou polarizaci, kterou si uložím ke každému odeslanému qubitu. Polarizace bude např. nabývat čtyři stavy, a to vertikální, horizontální, nebo diagonální (+45° a −45°). Takto náhodně polarizované fotony nesou ve své polarizaci zakódovaný klíč. Odeslané fotony s polarizací vertikální anebo diagonální +45° budou představovat jedničky a na druhé straně s polarizací horizontální anebo diagonální −45° nuly (viz obr. 1). Popsali jsme si tím stavy v protokolu BB84, který byl prvním protokolem pro kvantovou distribuci klíče, je z roku 1984 a nese jména svých tvůrců (Charles Bennett a Gilles Brassard).
Při přípravě na náš rozhovor jsem se setkala se dvěma jmény: s Alicí a s Bobem. Jakou roli v kvantové kryptografii hrají? Jde o dva koncové účastníky komunikace, jedná se o běžně užívanou konvenci v kryptografii. K pochopení ustanovení klíče mezi Alicí a Bobem v kvantové kryptografii je nutné pochopit následující experiment: Co se stane, pokud vertikálně polarizovaným fotonům vložím do cesty další polarizační filtr, který bude pootočen o úhel x k rovině vertikální? S nějakou pravděpodobností fotony tímto filtrem projdou a změní tak svou polarizaci. Pokud je úhel x nulový, a filtr je tedy ve stejné rovině s vertikálně polarizovanými fotony, tak projdou všechny a polarizaci nezmění. Pokud úhel bude 90° a polarizační filtr tedy horizontálně natočený, tak neprojde žádný vertikálně polarizovaný foton. V případě natočení o +45° anebo −45° projde polovina fotonů a svou polarizaci změní. Vraťme se ale k protokolu BB84, jednička jsou dva stavy polarizace V a +45°, nula jsou rovněž dva stavy H a −45°. A teď si představte, že já jsem Alice a odesílám sekvenci qubitů Bobovi. Mám tedy vygenerovanou posloupnost náhodně polarizovaných fotonů a stavy jsem si uložil. Fotony jsou odeslány kvantovým kanálem, Bob použije při detekci polarizační bázi obsahující dvě navzájem kolmé roviny a detekuje pomocí fotodiody polarizaci v každé rovině zvlášť. Vtip je v tom, že polarizační báze se může natočit do dvou stavů (viz obr. 2), a pokud Bob natočení trefí tak, že jedna z rovin bude odpovídat polarizaci fotonu, tak správně tuto polarizaci zaznamená a správně si uloží 1, nebo 0. Pokud se netrefí, tak detekovaný stav 1, nebo 0 je čistě dílem náhody. Bob nezná, jakou polarizaci fotony nesou, a nezbývá mu nic jiného než natáčet bázi náhodně. Pro velké množství qubitů tak bude platit, že pravděpodobnost správné detekce je 50 %. Ve zbylé polovině pak bude se štěstím (opět s pravděpodobností 50 %) detekovat správně 1, anebo 0. Nicméně spolehnout se na to nemůže. Nyní Bob zašle polohy nastavené polarizační báze pro jednotlivé fotony Alici přes veřejný kanál čili klidně internet. Veškeré další informace se přenášejí přes obousměrný veřejný kanál, zatímco kvantový je pouze jednosměrný. Alice tak získá informaci, ve kterých pozicích byl Bob schopen správně detekovat jednotlivé bity. Prozrazením báze Bob neprozrazuje, co detekoval v konkrétních pozicích. Náhodným natáčením báze jsme ale ztratili polovinu informace z původně odeslaných qubitů. Dále se spočítá odhad chyby a Alice požádá Boba, aby jí zaslal část klíče, vyžádá si náhodně vybrané pozice správně detekovaných bitů. Bob zašle požadovanou sekvenci Alici, ta ověří chybovost, a pokud je v normě, tak bity využité pro ověření obětuje. Zbylé správně detekované pak prohlásí za důvěryhodně doručený klíč.
Pojďme se z roviny teorie přesunout do praxe. VŠB-TUO spolupracuje na několika velkých projektech, které se kvantovou distribucí klíčů zabývají. Je to tak, přičemž naše role je v projektech různá. Naší silnou stránkou jsou simulace. Máme k dispozici superpočítačové centrum a víme, že v řadě případů jsou simulace nenahraditelné. Pokud budete vytvářet rozsáhlou kvantovou síť, nelze investovat miliardy korun do výstavby s rizikem, že se ex post zjistí jiné vlastnosti, než se očekávaly. Vyvíjíme dlouhodobě open-source simulátor, v němž se dnes dají simulovat dvoubodové spoje pro kvantovou distribuci klíčů, a máme do budoucna ambice, že v něm bude možné simulovat celé sítě a určité části dokonce i emulovat. Spolupracujeme s řadou institucí a v polovině roku 2021 jsme spustili 76 km dlouhou trasu mezi Ostravou a Polským Těšínem, na které nám běží kvantová distribuce klíčů. Tyto klíče užívá šifrátor, kde využíváme obvykle standardní AES, aktuálně tedy šifrujeme provoz s využitím kvantové kryptografie a dosahujeme propustnosti 7,5 Gb/s. Významnou měrou se na zprovoznění trasy podílelo sdružení CESNET a superpočítačové centrum PSNC v Poznani. CESNET zajistil trasu mezi univerzitním kampusem v Ostravě-Porubě a kampusem Slezské univerzity v Polském Těšíně, kde práce zajišťovali kolegové z PSNC. Jednalo se o první produkční nasazení kvantové kryptografie v ČR a informace o experimentu byly prezentovány na různých akcích ve světě konsorciem evropského výzkumného projektu OpenQKD. Vysoce ceněn byl způsob propojení z hlediska síťové architektury na vyšších vrstvách, jelikož šlo o mezinárodní propojení dvou autonomních systémů a netriviální bylo především propojení z pohledu veřejného kanálu, síťové správy a správy klíčů. Co se týče délky trasy, blíží se česko- -polský experiment limitům použité technologie, kde pro kvantový kanál byla garantována provozuschopnost do 80 km. Je jisté, že tyto limity se budou posouvat. V roce 2021 vyšlo několik článků oznamujících rekordy v dosahu na testovacích polygonech, které slibují vzdálenosti až 600 km, to je budoucnost. Na trhu by se v roce 2022 mělo vyskytnout zařízení, které umožní dosahovat kvantovou distribuci klíčů na cca 200 km. Od roku 2019 pracujeme na projektu OpenQKD, který financuje Evropská komise, tam spadá i experiment Ostrava— Těšín, který je součástí jednoho z případů užití kvantové kryptografie, v něm realizujeme propojení dvou superpočítačových center. Celkový rozpočet OpenQKD je 18 milionů eur. Jedná se v této době o nejrozsáhlejší běžící výzkumný projekt EU v oblasti kvantové kryptografie, do kterého je zapojeno 38 partnerů z 13 států Evropy. Jednou z úloh, kterou v rámci projektu řešíme, je interoperabilita výrobců alespoň na úrovni správy klíčů. Výrobci nemají standardizovaná řešení a jejich zařízení jsou navzájem zcela nekompatibilní. V rámci projektu OpenQKD jsou obrazně u jednoho stolu a s pomocí partnerů konsorcia vytvářejí řešení, které by umožnilo propojit sady výrobců v důvěryhodných uzlech tak, aby správa klíčů byla řešena přes standardizované rozhraní. Další projekt v oblasti kvantové kryptografie, který v Ostravě máme, je financován z NATO a věnuje se zabezpečení kampusových sítí pomocí kvantových technologií. Zde jsme koordinátory. Nakonec nemohu opomenout národní projekt Kybernetická bezpečnost sítí v postkvantové éře financovaný MV ČR v rámci bezpečnostního výzkumu, který řešíme společně se sdružením CESNET, kde máme kolegy s excelentní znalostí sítí, a s VUT v Brně, kde jsou zase špičkoví kryptografové. Aplikačním garantem zmíněného projektu je Národní úřad pro kybernetickou a informační bezpečnost. V letošním roce je velkým tématem příprava projektu národní kvantové komunikační infrastruktury, což běží v řadě států EU pod iniciativou EuroQCI. Důležité je, že ČR se této aktivity účastní a zapojí se do nově vznikající kvantové sítě. Máme tedy naději, že technologie výše popisovaná se v ČR nasadí a ve střednědobém horizontu cca pěti let budeme mít funkční páteřní síť včetně propojení do EuroQCI. /Kristina Kadlas Blümelová/
