Цифровые фиатные деньги, гомоморфное шифрование и другие перспективные направления криптографии
28 апреля 2022
«Там, где есть коммуникация – там место криптографии», – Василий Шишкин, руководитель лаборатории криптографии компании «Криптонит».

Криптография проделала большой путь от искусства тайнописи и шпионской технологии до неотъемлемого атрибута повседневной жизни. Сейчас она продолжает развиваться, и в ней намечаются новые концепции, способные изменить привычные нам средства коммуникаций, онлайн-сервисы и сами подходы к обработке данных. Мы выделили четыре направления, которые считаем наиболее перспективными, и которые развиваем в нашей компании.


Гомоморфное шифрование


Это новый криптографический подход, позволяющий выполнять некоторые технические операции с зашифрованными данными, не раскрывая их содержания. Впервые он был реализован в 2009 году. Сегодня использование гомоморфного шифрования открывает множество перспектив при обработке конфиденциальных данных в недоверенной среде. Оно позволяет осуществлять индексацию, фильтрацию спама, обработку платежей и другие действия без расшифровки самих сообщений.

Полностью гомоморфное шифрование (FHE) является обобщением классического шифрования, позволяя не только защищать конфиденциальные данные, но и выполнять их обработку, оперируя только соответствующими шифртекстами (без использования ключа расшифрования). Указанные свойства гомоморфного шифрования открывают широкие возможности по его практическому применению, ярким примером которых являются удаленные вычисления: пользователь загружает данные на удаленный сервер в зашифрованном виде, выполняет вычисления над ними, а полученный результат расшифровывает уже локально.

Применение FHE в задачах, не требующих больших вычислительных затрат, таких как прогнозирование с использованием предварительно обученной модели, возможно уже сейчас. Кроме того, программные библиотеки, предоставляющие возможности полностью гомоморфного шифрования, активно развиваются и оптимизируются, что постоянно расширяет область их применения.

В «Криптоните» ведутся работы по исследованию алгоритмов частично-гомоморфного шифрования (позволяет выполнять лишь отдельные операции над зашифрованными данными), а также анализу перспектив практического применения криптографических алгоритмов полностью гомоморфного шифрования. Подробнее об этом читайте в научной статье «Об использовании библиотек полностью гомоморфного шифрования».


Доказательства с нулевым разглашением

Понятие «нулевое разглашение» появилось в Массачусетском технологическом институте (MIT) в 1980-х. Оно относится к интерактивным системам взаимодействия, в которых один собеседник (Prover, доказывающий), обменивается сообщениями с другим (Verifier, проверяющий). Протокол нулевого разглашения позволяет первому собеседнику убедить второго в том, что он обладает какими-то данными (например, ключом), не раскрывая ни их содержимого, ни источника. Для этого применяется ряд косвенных доказательств, основанных на случайных числах и теории вероятностей. В целом доказательства с нулевым разглашением называются так потому, что не раскрывают проверяющему никакой информации, кроме того, что заявленное утверждение истинно.

Рассмотрим следующий хрестоматийный пример. Пользователь выбирает пароль W и, используя криптографическую хеш-функцию H, публикует на сервере соответствующий хеш-код h=H(W). В дальнейшем для аутентификации пользователя сервер должен убедиться, что взаимодействует с тем же субъектом, который опубликовал значение h. Тривиальным решением такой указанной является отправка пользователем пароля W' и последующая проверка сервером, что H(W')=h. Однако в этом случае сервер, обладая паролем пользователя, получает возможность выполнять аутентификацию за него самостоятельно. В подобных задачах ключевым является возможность доказать знание некоторого секретного значения, не разглашая никакой информации о нем.

Частные случаи доказательств с нулевым разглашением известны уже много десятилетий. Однако конструкции общего назначения, которые могут применяться к произвольным вычислениям, только недавно стали достаточно эффективны для использования в высокоуровневых криптографических протоколах.

В «Криптоните» ведутся работы по исследованию систем доказательств с нулевым разглашением, построенных на сигма-протоколах.


Постквантовая криптография

Стойкость всех классических криптосистем, получивших широкое распространение на практике, основана на сложности решения некоторых теоретико-числовых задач. Примером могут служить задачи-претенденты на односторонние функции: факторизации целого числа или дискретного логарифмирования в конечной группе. Сложность решения этих задач на обычных (неквантовых) компьютерах определяет криптостойкость как минимум двух важных механизмов защиты информации в интернете: протоколов электронной подписи и схем обмена секретными ключами.

Электронные подписи необходимы для установления авторства документов и сообщений, а также невозможности отказаться от него. То есть они позволяют убедиться, что полученное вами сообщение действительно пришло от указанного собеседника, а не от злоумышленника, одновременно играя роль аналога собственноручной подписи в юридически значимых документах

Схемы обмена секретными ключами нужны для того, чтобы участники коммуникации смогли договориться об общем ключе, на котором в дальнейшем будет осуществляться шифрование данных в процессе коммуникации.

Оба механизма сейчас прекрасно работают, однако нет гарантий, что так будет всегда. Ещё в 1994 году был разработан квантовый алгоритм Шора, позволяющий восстановить аргументы односторонних функций за приемлемое время, тем самым давая возможность взламывать некоторые классические криптосистемы в случае появления полноценного квантового компьютера.

С каждым годом мы становимся все ближе к созданию универсального квантового компьютера. Уже в 2000-х появились первые 5-кубитные квантовые вычислительные системы. Затем росло как число кубитов, так и длительность удержания их в связанном (запутанном) состоянии. В 2021 году IBM запустила квантовый компьютер Q System One с 27 кубитами, а пару месяцев спустя в Университете науки и технологий Китая представили Zuchongzhi — систему из 56 связанных кубитов. Правда, она ещё не проходила оценку независимыми экспертами.

Пока непонятно, когда именно будут созданы полноценные квантовые вычислительные системы. Однако некоторые из разработчиков предсказывают создание квантового компьютера, способного взломать 2000-битный RSA, до 2030 года. В случае появления подобного монстра все современные криптографические механизмы с открытым ключом станут нестойкими.

Постквантовая криптография позволяет найти им альтернативу — алгоритмы, доказуемо стойкие даже для квантового компьютера. Также исследования альтернативных криптосистем, подогреваются тем, что особое распространение в последние годы получила технология «Блокчейн». Для её работы как раз используются упомянутые выше схемы коллективной подписи на основе асимметричного шифрования и протоколы обмена ключами. Появление стабильно работающего квантового компьютера с достаточным количеством связанных кубитов также будет означать конец большинства существующих криптовалют.

Национальный институт стандартов и технологий США (NIST) уже официально объявил о необходимости перехода к криптографии, устойчивой к атакам с использованием квантового компьютера. В России Техническим комитетом 26 по стандартизации «Криптографическая защита информации» создана отдельная группа «Постквантовые криптографические механизмы», занимающаяся соответствующими исследованиями. Сотрудники компании «Криптонит» Иван Чижов и Василий Шишкин являются соруководителями этой группы. Вместе с другими специалистами компании «Криптонит» они предложили для стандартизации схему электронной подписи, основанную на системе линейных уравнений с ограничением на число ненулевых координат в решении. В настоящее время ими ведётся работа над схемой передачи секретного ключа.

Цифровые фиатные деньги

Цифровые фиатные деньги (ЦФД) — одно из перспективных направлений, по которому работает компания «Криптонит». Сейчас оно стало ещё актуальнее в связи с блокировкой российских банковских карт в международных платёжных системах Visa и MasterCard.

На первый взгляд, ЦФД похожи на криптовалюты в том плане, что записи об их перемещении хранятся в распределённой базе данных (блокчейне). Однако у ЦФД есть ряд важных отличий:

  • в системе цифровых фиатных денег нет майнеров. ЦФД выпускает и выводит из обращения только один участник;
  • отсутствуют риски, связанные с ненадёжностью коммерческих банков и бирж. Сохранность ЦФД граждан гарантирует государство;
  • технически ЦФД могут использоваться как для онлайн-платежей, так и в режиме оффлайн. То есть, они будут сочетать свойства электронных и наличных денег.
  • ЦФД позволят более эффективно противодействовать отмыванию доходов, полученных преступным путем;
  • ЦФД обеспечат большую приватность, поскольку транзакции с их участием смогут отслеживать только уполномоченные организации;
  • введение цифровых валют в других странах позволит упростить трансграничные платежи.

С юридической точки зрения криптовалюты являются не деньгами, а денежным суррогатом. В частности, нет надежного гаранта, обеспечивающего легитимность их создания и надёжность использования. Из-за отсутствия финансовых регуляторных механизмов стоимость криптовалют в официальных денежных единицах всегда нестабильная. Поэтому они не могут быть использованы в качестве меры стоимости или для повсеместной оплаты товаров и услуг.

В отличие от криптовалют, цифровые фиатные деньги – абсолютно легальное платёжное средство, курс которого привязан к национальной валюте. Их правовой статус может быть аналогичен обычным деньгам.

Создание ЦФД без проведения соответствующих криптографических исследований невозможно.

Заключение

Сегодня криптография играет роль фундамента при обеспечении безопасности современных технологий. Сама по себе она не порождает новые индустрии, но создаёт условия для развития интернет-торговли, онлайн-банкинга, дистанционного предоставления гос. услуг, приватных коммуникаций и других направлений, немыслимых без надёжной защиты данных.

Криптография уже проникла практически во все сферы ИТ. Она продолжает развиваться сразу по нескольким векторам, делая наши повседневные взаимодействия через интернет удобнее и безопаснее. Согласно прогнозам аналитического агентства Inside Quantum Technology, доходность только от постквантовых криптографических продуктов составит $3,8 млрд к 2028 году. Другие перспективные направления криптографии пока не поддаются даже приблизительной экономической оценке, но уже очевидно, что они изменят нашу жизнь в ближайшие годы.