Квантовые компьютеры помогли хакерам обойти шифрование. Вот как защитить свои данные

Шифрование сохраняет конфиденциальность информации при ее передаче через интернет. Такие приложения, как iMessage от Apple, используют его для защиты содержимого ваших сообщений, как и другие сервисы. Многие алгоритмы шифрования, используемые сегодня, основаны на методах, разработанных почти 50 лет назад. Они позволяют людям и компаниям безопасно отправлять электронную почту по всему миру, совершать покупки онлайн и хранить данные компании в облаке. Но все может измениться, поскольку, по мнению исследователей, квантовые компьютеры, способные взломать современное шифрование, могут появиться уже через десять лет.

В общих чертах, распространенная форма шифрования основана на цифровых «ключах», созданных путем перемножения двух чрезвычайно больших простых чисел. Чтобы взломать шифр, злоумышленнику нужно вычислить эти два коэффициента. Если число достаточно велико, то для современных компьютеров это непосильная задача.

Но проблема заключается в том, что квантовые компьютеры обладают уникальными возможностями для выполнения определенных задач, и одна из них — факторизация огромных простых чисел. По словам Рэя Харишанкара, руководителя инициативы IBM «Квантовая безопасность», число, на которое классическому компьютеру потребовались бы миллионы лет, квантовый компьютер может вычислить за «считанные часы».

В 2016 году Национальный институт стандартов и технологий, входящий в состав Министерства торговли США, обратился к исследователям из академических институтов и технологических компаний по всему миру с просьбой разработать новые алгоритмы шифрования. Лучшие варианты были протестированы как собственными силами NIST, так и сторонними экспертами и прошли многолетнюю процедуру доработки и стандартизации.

Недавно NIST выпустил первые три утвержденных стандарта для постквантового шифрования. По словам Дастина Муди, математика из отдела компьютерной безопасности института, цель состоит в том, чтобы правительство США внедрило эти стандарты к 2035 году. И хотя стандарты были разработаны для правительства, ожидается, что их будут использовать многие частные компании и другие организации.

«Каждое предприятие, использующее цифровые средства коммуникации, должно обратить на это внимание уже сейчас», — говорит Харишанкар. Это, по сути, означает, что практически каждый бизнес должен провести оценку своих систем.

Даже если квантовые компьютеры, способные взломать современное шифрование, не появятся еще в течение ближайших десяти лет, на повсеместное внедрение обновлений могут уйти годы, а подключенные устройства, например, автомобили, промышленные системы управления и «умные» приборы, вероятно, будут использоваться и через десять лет. Десятилетний срок — это всего лишь прогноз, и технологический прорыв может ускорить этот процесс, добавляет Муди.

Некоторые специалисты по кибербезопасности также предупреждают о практике, известной как «собери сейчас, расшифруй потом». Хакеры и иностранные правительства, возможно, уже собирают зашифрованную конфиденциальную информацию — от медицинских данных до военных планов — в надежде на то, что смогут расшифровать ее с помощью будущих технологий. Компаниям любого размера следует проанализировать, что из имеющейся у них информации защищено шифрованием, и особенно те сведения, которые будут представлять ценность и через десять лет.

Одна из главных проблем внедрения стандартов квантовой безопасности заключается в том, чтобы найти место, где шифрование находится в различных системах. Оно может быть встроено как в программное, так и в аппаратное обеспечение, например, в подключенные устройства и терминалы в точках продаж.

«Если подумать, то это огромная проблема», — говорит Харишанкар. Никто не может с легкостью перечислить все места в своем технологическом стеке, в которые встроено шифрование, и какой протокол используется в каждом случае.

Возьмем, к примеру, программное обеспечение базы данных Db2 компании IBM. По словам Харишанкара, это программное обеспечение содержит около 28 млн строк кода. Исследователи IBM обнаружили более 160 случаев использования криптографии в коде. И это меньше, чем в программном обеспечении многих других компаний, говорит он.

Для собственного программного обеспечения IBM и другие компании разработали инструменты для обнаружения мест шифрования. Дело в том, что это слишком большая задача, чтобы выполнять ее вручную. Компании, которые используют программное обеспечение сторонних производителей, должны выяснить у своих поставщиков, являются ли их продукты «квантово безопасными».

Многие крупнейшие технологические компании уже приступили к этому процессу, и ожидается, что после выхода стандартов NIST это сделают и другие. За последние несколько месяцев постквантовое шифрование было внедрено в новые версии iMessage от Apple, Zoom и браузер Chrome от Google.

«Это долгий путь. На преобразование и тестирование уйдет несколько лет, — предупреждает Харишанкар. — Это не просто взять А и заменить его на Б. Хотелось бы, чтобы все было так просто».

Ранее компания ADT подтвердила, что подверглась хакерской атаке, в результате которой были скомпрометированы некоторые данные клиентов. Компания по обеспечению безопасности дома не сообщила, когда произошла кибератака и утечка данных, но заявила, что злоумышленники получили доступ к базам данных компании, содержащим домашние адреса клиентов, адреса электронной почты и номера телефонов.