Czy w kwantowej kryptografii chodzi o coś w rodzaju najnowocześniejszych gadżetów Jamesa Bonda?
Dokładnie! W naszej grupie zrobiliśmy sobie nawet bluzy z napisem „Special Quantum Cybersecurity Unit”. Kiedyś byliśmy na wyjeździe, na który przyjechali także nasi współpracownicy z uniwersytetu w Turku. Tak się składa, że oni półprofesjonalnie zajmują się podnoszeniem ciężarów, więc kiedy wchodziliśmy gdziekolwiek w tych bluzach, ludzie myśleli, że naprawdę jesteśmy jakąś jednostką specjalną.
O ile komputery kwantowe są na razie rodzajem jednorożca, o którym każdy słyszał, ale nikt go jeszcze nie widział, to w kwestiach bezpieczeństwa zastosowania kwantowe w zasadzie już są.
To prawda, ale nawet z komputerami kwantowymi wiąże się ciekawa kwestia. Choć wciąż ich nie ma, już wywierają wielki wpływ na rozwój technologii. Bierze się to z tego, że wszyscy doskonale zdają sobie sprawę, że gdy już zostaną zbudowane, istniejąca dotąd kryptografia będzie musiała trafić do kosza. To niezwykle istotne, bo kryptografia to nasze bezpieczeństwo. Nawet rozmowa, którą w tej chwili prowadzimy przez internet, jest zabezpieczona kryptograficznie. Każdy, kto będzie miał komputer kwantowy, będzie mógł ją podsłuchać.
Trzeba więc zmienić systemy kryptograficzne w dziesiątkach miliardów urządzeń. Jednym z możliwych rozwiązań tego problemu jest zastosowanie kryptografii kwantowej. To sprawia, że ludzie się nią interesują, bo istnieje straszak w postaci komputerów kwantowych. Nikt na dziś nie może mieć stuprocentowej gwarancji, że one faktycznie kiedykolwiek się pojawią, ale nikt nie chce też ryzykować, że gdy już do tego dojdzie, nie będziemy na to przygotowani.
Musimy więc przygotować się na ewentualność, że ktoś będzie w stanie złamać wszystkie nasze zabezpieczenia w ciągu jednej przerwy na lunch…
Właśnie tak! W dodatku ten ktoś może złamać naszą komunikację później, czyli dziś ją przechwyci i nagra, a następnie poczeka, aż będzie mieć dostęp do komputera kwantowego i dopiero wtedy dowie się, czego dotyczyła komunikacja.
Amerykanie zbudowali Utah Data Center. Nie mówią do końca, co to właściwie jest, ale istnieją przypuszczenia, że to coś w rodzaju twardego dysku wielkości małego miasteczka. Jego pojemność szacujemy na podstawie ilości wody z rzeki zużywanej do jego chłodzenia. Zakłada się, że jest tam nagrywana cała komunikacja internetowa, do której mają dostęp amerykańskie służby. Jeśli więc na przykład francuski prezydent rozmawia z Władimirem Putinem, to Amerykanie za kilka lat, kiedy już będą mieli komputery kwantowe, będą w stanie odszyfrować i odsłuchać tę rozmowę.
To w takim razie, w jaki sposób można się przed tym zabezpieczyć?
Można to zrobić na dwa sposoby. Pierwszy z nich można porównać do zalepienia cieknącej rury taśmą klejącą. To proste i pomaga. To tak zwana kryptografia postkwantowa, czyli zmiana algorytmów szyfrujących w naszych komputerach i wszystkich innych urządzeniach w taki sposób, by złamanie zabezpieczeń było trudniejsze lub zupełnie niemożliwe. Założenie jest proste: wiemy już, jak zaatakować obecną kryptografię przy pomocy komputerów kwantowych, ale mamy też pomysł na to, jak ją zmienić, by taki atak się nie powiódł. Problem w tym, że nie wiadomo, czy nie dojdzie do innych ataków, na które takie zabezpieczenie już nie pomoże. Rozwiązanie jest na tyle atrakcyjne, że pracuje nad nim wielu ludzi. To nie jest jednak moja działka.
Moim głównym obszarem zainteresowania jest kryptografia kwantowa, która w odróżnieniu od dostępnych dziś form kryptografii ma matematyczny dowód, że jest absolutnie bezpieczna. Można już kupić na rynku urządzenia do takiej kryptografii kwantowej, ale to urządzenia dość uproszczone. Są absolutnie bezpieczne, pod warunkiem że działają idealnie. Tyle że to nigdy się nie zdarza, więc wszystkie dostępne na rynku rozwiązania stworzone w toku eksperymentów zostały zhakowane lub mogą zostać zhakowane w bardzo prosty sposób, czasami prostszy niż urządzenia klasyczne. My chcemy pójść dalej. Chcemy stworzyć urządzenia, które – nawet jeśli zostały zbudowane przez wrogie nam siły i będą podsłuchiwane przez najbardziej zaawansowane technologicznie organizacje – pozostaną na to odporne. Możemy sobie wyobrazić, że rozmawiamy przez chiński telefon za pośrednictwem amerykańskiej sieci, ale wiemy, że ani Chińczycy, ani Amerykanie nie będą w stanie nas podsłuchać. I to jest właśnie to, nad czym pracujemy.
Dzięki badaniom, które prowadziliśmy w ramach programu FIRST TEAM Fundacji na rzecz Nauki Polskiej, doprowadziliśmy do opatentowania rozwiązania, które przeszło już fazę prototypów i zaczynamy je sprzedawać. To element kluczowy dla kryptografii, czyli tak zwany generator liczb losowych. Cała kryptografia składa się z bardzo wielu elementów. Trzeba między innymi wybrać klucz kryptograficzny i musi on być całkowicie losowy tak, by nikt nie mógł go odgadnąć. Następnie trzeba go przesłać. W ramach dalszych prac zaczęliśmy zajmować się także tym elementem, czyli dystrybucją klucza kryptograficznego. To sprawa znacznie bardziej skomplikowana, ale nasze rozwiązania pozwalają na przesłanie go w sposób bardziej bezpieczny niż oferowany dotąd i też mamy już na to patenty. Nasze badania cały czas się więc rozwijają.
Problem z klasycznymi generatorami liczb losowych polegał na tym, że nigdy nie były tak naprawdę losowe. Czy to prawda?
Tak i dotyczy to również większości dostępnych na rynku generatorów kwantowych. Problem polega na tym, że w przypadku serii liczb nie ma żadnego sposobu, by sprawdzić, czy rzeczywiście są wybrane losowo, czy może na przykład są rozwinięciem liczby π na milionowym miejscu po przecinku. Jedyne, co da się zrobić, to upewnić się, że generator, który tworzy takie liczby, działa dobrze. A to da się zrobić tylko w zaawansowanych generatorach kwantowych, które potrafią się samotestować. Obecnie używane generatory, nawet te kwantowe, nie potrafią tego, mimo że niektóre ze sprzedających je firm twierdzą, że jest inaczej.
Jak daleko jesteśmy od czasów, w których w smartfonach pojawią się zabezpieczające kwantowe chipy albo kwantowe urządzenia szyfrujące podpinane do routera?
Kwantowo szyfrujące urządzenia, które można podpiąć pod router, już są, a nasze pierwsze urządzenie w zasadzie można już kupić. Jeśli jednak idzie o umieszczenie kwantowych chipów w smartfonach, trzeba będzie na nie jeszcze trochę poczekać. Można już kupić pierwsze urządzenia o odpowiednich rozmiarach, ale to nie są urządzenia samotestujące się. Na takie można liczyć dopiero za około pięć lat, bo miniaturyzacja wymaga naprawdę dużo pracy. Część umożliwiająca samotestowanie jest względnie duża w porównaniu z samą częścią generacji liczb losowych, więc stworzenie odpowiednio małego, w pełni bezpiecznego urządzenia do komunikacji kwantowej, które mogłoby się zmieścić w smartfonie, niewątpliwie jeszcze trochę czasu zajmie.
Co w takim razie jest największym wyzwaniem w budowaniu systemów szyfrowania?
W kryptografii największym problemem zawsze są ludzie, bo ich można zhakować najprościej, natomiast w przypadku proponowanych przez nas rozwiązań największym problemem są… klasyczni kryptografowie. Są bardzo zachowawczy i korzystają z systemów, które od 50 lat świetnie działały. Choć wiadomo, że komputery kwantowe wszystkie te systemy uczynią bezużytecznymi, klasyczni kryptografowie wciąż często są przekonani, że komputery kwantowe ostatecznie nigdy nie powstaną. W związku z czym nie chcą wykorzystać technologii, która nie została jeszcze przetestowana. Zresztą doskonale ich rozumiem, bo bezpieczeństwo danych jest bardzo ważne. Rozwiązania kwantowe są superbezpieczne, ale dość drogie, więc pierwszym miejscem, gdzie znajdą zastosowanie, będzie ochrona infrastruktury krytycznej – tam bezpieczeństwo jest kluczowe. Jednocześnie właśnie w tym obszarze nie powinno się stosować systemów wcześniej nieprzetestowanych. Najpierw więc systemy kwantowe trzeba testować przez wiele lat i to nie w laboratorium, a w warunkach polowych. Musimy nakłonić ludzi do takich testów i to największe wyzwanie. Technologię mamy już opracowaną, ale ważne jest przekonanie do niej ludzi.
Rozumiem, że nagłe podpięcie zupełnie nowych systemów kryptograficznych na przykład do systemu kontroli ruchu lotniczego w sytuacji, w której możemy nie znać jeszcze wszystkich ich kruczków, może budzić obawy.
Właśnie dlatego my staramy się zbudować nasz system tak, by cała łączność była szyfrowana najpierw kwantowo, a następnie klasycznie, czyli tak, jak teraz. Jeśli klasyczna kryptografia zawiedzie, zawsze będzie działała kwantowa. Jeśli zawiedzie kwantowa, zawsze będzie zabezpieczenie w postaci kryptografii klasycznej. W przypadku takiego rozwiązania, nasze bezpieczeństwo nigdy nie będzie gorsze, niż przewidują to dzisiejsze standardy. Wymaga to jednak sporej pracy z zakresu inżynierii. Potrzebujemy informatyków, którzy zintegrują systemy kwantowe z klasycznymi, co również jest problematyczne, bo format danych wejściowych i wyjściowych w obu tych systemach jest zdecydowanie inny, a to zmienia istotnie architekturę systemu. Nie ma jednak istotnych problemów natury naukowej, które uniemożliwiałyby zbudowanie takiego urządzenia.
***
Więcej o najnowszych wynikach badań z polskich laboratoriów w publikacji pt. „Nauka w czasach przemian. Jak badania finansowane z Funduszy Europejskich pomagają chronić nas przed globalnymi zagrożeniami i wykorzystywać historyczne szanse”: www.fnp.org.pl.
***
Dr hab. Marcin Pawłowski, prof. UG, zajmuje się praktycznymi zastosowaniami informatyki kwantowej. Jest liderem Grupy Kwantowego Cyberbezpieczeństwa i Komunikacji Międzynarodowego Centrum Teorii Technologii Kwantowych Uniwersytetu Gdańskiego (centrum MAB).
***
Badania dra hab. Marcina Pawłowskiego są współfinansowane z programów FIRST TEAM i Międzynarodowe Agendy Badawcze realizowanych przez Fundację na rzecz Nauki Polskiej ze środków UE pochodzących z Europejskiego Funduszu Rozwoju Regionalnego w ramach Programu Operacyjnego Inteligentny Rozwój, oś IV: zwiększenie potencjału naukowo-badawczego, Działanie 4.3 Międzynarodowe Agendy Badawcze, Działanie 4.4 Zwiększanie potencjału kadrowego sektora B+R.