Kwantowe rozwiązania kryptograficzne są już oferowane komercyjnie, jednak do spełnienia oczekiwań użytkowników jeszcze im daleko.

O kryptografii kwantowej mówiło się do niedawna w kategoriach science fiction lub co najwyżej eksperymentów. Na rynku są już jednak produkty komercyjne, których producenci proponują "normalne" wdrożenia. Szwajcarska firma Id Quantique oferuje dwa produkty - kwantowy generator liczb losowych oraz urządzenie do kwantowej wymiany danych. Amerykańska firma MagiQ poszła o krok dalej, proponuje bowiem hybrydę klasycznego firewalla lub szyfratora VPN z kwantową wymianą klucza. Pierwsza z nich została założona przez pracowników naukowych Uniwersytetu w Genewie, druga zaś jest związana z Uniwersytetem Berkeley, jedną z czołowych amerykańskich uczelni technicznych w Stanach Zjednoczonych.

Za krótki zasięg

Produkt szwajcarski działa na światłowodzie do 70 km długości, Amerykanie obiecują zasięg 120 km. Większych odległości nie da się uzyskać bez wzmacniania sygnału. W obu przypadkach do prawidłowego działania komunikujące się urządzenia muszą być połączone bezpośrednio jedną, ciągłą nitką światłowodu. Jakakolwiek "przerwa" na drodze między urządzeniami niweczy bowiem bezpieczeństwo zapewniane przez wymianę kwantową.

Problem ten można próbować rozwiązać na dwa sposoby. Pierwszy, możliwy do wykonania, lecz wadliwy z punktu widzenia zastosowań kryptograficznych, polegałby na wprowadzeniu stacji pośrednich, w których sygnał byłby rozkodowywany i ponownie kodowany, by przebyć kolejny 80-kilometrowy odcinek. Każda stacja pośrednia byłaby jednak idealnym miejscem do wpięcia się potencjalnego podsłuchiwacza. Taki scenariusz wymagałby wprowadzenia fizycznej ochrony takich stacji lub dodatkowych mechanizmów bezpieczeństwa w samej transmisji klucza.

Drugim sposobem na obejście ograniczeń światłowodowych byłyby repetery kwantowe, zdolne wzmacniać sygnał bez wprowadzania zaburzeń. Na razie nie jest to technicznie możliwe i nie wiadomo, czy kiedykolwiek będzie. Na dziś kryptografię kwantową można by więc stosować co najwyżej w sieciach metropolitalnych i to bez możliwości wykorzystania infrastruktury kilku operatorów.

Niewielka wydajność

Zasięg to nie jedyne ograniczenie systemów kwantowych. Kolejnym jest bardzo ograniczona wydajność transmisji. Urządzenia Id Quantique oraz MagiQ osiągają wydajność uwaga: ok. tysiąca bitów na sekundę, czyli ok. 1 Kb/s. Nie przymierzając, to 2,5 raza mniej niż wydajność modemów analogowych z początku lat 90. (2400 bodów) i ok. 50 razy mniej niż współczesne modemy V.90.

Na pierwszy rzut oka ograniczenie to wyklucza większość współczesnych aplikacji. Nie jest jednak tak poważne, jeśli za pomocą kwantowych technik będziemy wymieniać nie właściwe dane, a tylko klucze kryptograficzne. Podejście to zostało zaimplementowane w urządzeniu MagiQ Technologies - dwa odległe szyfratory pełniące rolę bram VPN są połączone za pomocą światłowodu. Równolegle łączem Ethernet przenoszonym przez dowolną warstwę transportową WAN - kanał PVC, Frame Relay, DSL itd. przesyłane są właściwe dane szyfrowane za pomocą np. IPsec.

Główne różnice między normalną transmisją szyfrowaną a działaniem rozwiązania MagiQ to sposób wymiany klucza dla IPsec oraz jej częstotliwość. W tradycyjnych instalacjach odbywa się za pomocą protokołu IKE (Internet Key Exchange) działającego na tym samym łączu co "roboczy" IPsec. Szyfratory MagiQ wymieniają te klucze po dedykowanym światłowodzie za pomocą kwantowej wymiany danych - technika ta nazywa się Quantum Key Distribution.

Wąski zakres zastosowań

Uważany za obecnie najsilniejszy cywilny algorytm szyfrowania AES ma maksymalną długość klucza 256 bitów. Skoro przepustowość "kanału kwantowego" wynosi ok. tysiąca bitów na sekundę, w tym czasie klucz może zostać zmieniony cztery razy w ciągu sekundy. Taka częstotliwość jest nieosiągalna przy użyciu klasycznych technik bezpiecznej wymiany klucza. Powszechnie stosowany tu algorytm Diffiego-Hellmana jest po prostu zbyt wolny - wymiana klucza tą techniką na obecnych procesorach zajmuje ok. pół sekundy i z tego powodu w cywilnych sieciach VPN stosuje się zwykle wymianę klucza raz na godzinę, a w niektórych przypadkach raz na dobę.

Taka częstotliwość zmiany klucza sesyjnego jest w zupełności wystarczająca wg dzisiejszych standardów bezpieczeństwa, aczkolwiek nie ma pewności, że za kilka lat używane dziś moduły MOD-P o długości 1024-1536 bitów nadal będą wystarczająco silne. Dla użytkowników sieci VPN możliwość kilkakrotnej zmiany klucza na sekundę może być za kilka lat bardzo atrakcyjna. Z drugiej strony, należy zakładać, że rosnąca moc obliczeniowa i upowszechnianie się sprzętowych szyfratorów pozwolą obsłużyć klucze i ciągi pomocnicze algorytmów kryptograficznych o większych długościach.

Pewności nadal brak

W swoich materiałach marketingowych MagiQ i Id Quantique starają się zasiać w potencjalnych klientach niepewność wobec stosowanych obecnie rozwiązań kryptograficznych. W ich ulotkach jest mowa o tym, że przyszłość klasycznych szyfrów jest niepewna. No cóż, skoro tak, to równie niepewna jest przyszłość rozwiązań obu firm. Do czegóż bowiem służą ich urządzenia? Ano, do wymiany kluczy wykorzystywanych w tradycyjnych algorytmach szyfrujących 3DES i AES. Jeśli więc przyszłość 3DES lub AES jest niepewna, producenci rozwiązań do bezpiecznego klucza jakimkolwiek sposobem nie mają czego szukać na rynku.

Co więcej, nie ma wcale pewności, że protokoły wymiany klucza zastosowane w dostępnych na rynku urządzeniach kwantowych są odporne na wszystkie ataki kryptograficzne, których w ostatnich latach opracowano bez liku. Co z tego, że urządzeń kwantowych nie da się podsłuchać klasycznymi metodami, jeśli będzie można przeciąć światłowód i wstawić w środek własne urządzenie udające Alicję przed Bobem i Boba przed Alicją? Podatność niektórych protokołów kwantowej wymiany klucza na takie ataki man-in-the-middle wykazał w ubiegłym roku dr Richard Kuhn z amerykańskiego NIST (National Institute of Standards and Technology) i dokument ten nie został publicznie skomentowany przez żadną z zainteresowanych firm.

To dopiero początek

Kwantowa wymiana klucza doskonale sprawdzi się zatem jako kolejne zabezpieczenie przed przechwyceniem klucza na etapie jego uzgadniania. Nie jest jednak panaceum na podstawowe problemy kryptografii w ogóle. Nie jest też wolna od "niekwantowych" metod ataków.

W ciągu nadchodzących lat zobaczymy zapewne jeszcze wiele fascynujących odkryć w tej dziedzinie. Powstaną też kolejne firmy, które będą prześcigać się w metodach wplecenia litery "Q" w nazwę. Fascynująca technologia musi zwykle przejść bardzo długą drogę, zanim stanie się rzeczywiście użytecznym narzędziem, i kryptografia kwantowa nie jest pod tym względem wyjątkiem.