Недавно мы совместно с компанией «Криптонит» провели встречу экспертного сообщества по криптографии и квантовым технологиям. В ней участвовали ведущие российские компании этой отрасли.

Мы собрали для вас мнения экспертов в этой статье. Ниже оставим её краткое содержание.

Какие бывают квантовые компьютеры?

В России ведётся разработка квантовых компьютеров всех основных типов: на ионах (ионных ловушках), на холодных атомах (в оптических ловушках), на сверхпроводниках и фотонных чипах. Как и во всём мире, пока это штучные экспериментальные установки, далёкие от практического применения.

Где актуальны квантовые алгоритмы?

Чисто квантовые алгоритмы эффективны в решении задач дискретной оптимизации (с квадратичными функциями) и смешанного программирования (MIP, где целевая функция состоит из вещественных и бинарных, либо целочисленных переменных).

Также квантовые алгоритмы дают существенный выигрыш по скорости в задачах квадратичной бинарной оптимизации (QUBO) и смешанного квадратичного программирования (MIQP).

Что такое CRQC?

Это универсальный (способный взламывать актуальные криптографические алгоритмы) и достаточно мощный компьютер с квантовым процессором. В нём будут (как минимум) тысячи логических кубитов и межкубитных соединений, но главное — он сможет стабильно работать. Для этого потребуется разработать и реализовать алгоритмы коррекции ошибок, учитывающие аппаратную специфику конкретной квантовой платформы. Пока CRQC не существует.

Какие угрозы есть уже сейчас?

В России отсутствуют стандартизированные постквантовые механизмы обмена ключами. При этом постквантовые алгоритмы целесообразно внедрять ещё до появления CRQC, поскольку срок секретности для коммерческой и государственной тайны исчисляется годами (даже десятками лет).

Новая атака Harvest and Decrypt (известная также как Harvest Now, Decrypt Later или Store Now, Decrypt Later) предполагает возможность перехвата зашифрованного сетевого трафика уже сейчас и сохранение его до момента появления CRQC, который даст возможность быстро его расшифровать. Чем раньше мы уйдём от квантово-уязвимых схем, тем больше сможем сохранить в секрете.

Мифы квантовой криптографии

Чтобы защищаться от квантовых угроз в криптографии, нужен квантовый компьютер.

Нет, не нужен. В качестве меры противодействия уже разрабатываются принципиально другие криптографические алгоритмы, взлом которых будет не по силам квантовым компьютерам.

Квантовые компьютеры и квантовые угрозы — никому не нужная абстракция.

Это не так. В реальности это уже технология уровня прототипа и угроза для целого ряда криптографических алгоритмов.

Квантовый компьютер появится со дня на день. Получается, постквантовые алгоритмы нужно было внедрять ещё вчера?

Для появления квантового компьютера нужно преодолеть целый ряд проблем: удержания когерентного состояния, устранения шумов и связанных с ними ошибок и других. При самом благоприятном сценарии это займёт годы.

Переход на постквантовые алгоритмы обойдётся в триллионы рублей.

Нет. Замена классических алгоритмов на постквантовые — наименее затратный путь предотвращения «квантовой угрозы». Он обойдётся гораздо дешевле создания «квантового интернета», поскольку не потребует ничего менять физически.