До сих пор атаки на семейство алгоритмов шифрования AES и лежащие в его основе криптографические примитивы были безуспешны – поскольку проводились классическими вычислительными средствами. Однако исследователям из Шанхайского университета с помощью квантового компьютера D-Wave удалось за разумное время взломать ряд примитивов, определив ключи шифрования.
По сообщению гонконгского издания South China Morning Post, китайские исследователи взломали криптографические примитивы Present, Gift-64 и Rectangle, лежащие в основе широко применяемых сегодня в цифровых коммуникациях разновидностей блочных шифров – подстановочно-перестановочных сетей (substitution-permutation networks, SPN). Одна из наиболее распространенных реализаций SPN – семейство симметричных алгоритмов блочного шифрования AES, настолько популярное, что его поддержка реализована в современных центральных процессорах на аппаратном уровне. По оценке АНБ США, которая была сделана в 2003 г. и до сих пор подтверждается практикой, шифр AES достаточно надежен, чтобы использовать его для защиты сведений, составляющих государственную тайну, – особенно с наиболее длинными, 256-разрядными ключами.
При всех своих достоинствах, включая высокую криптостойкость, шифр AES давно беспокоит многих экспертов в области ИБ сравнительной простотой своего математического описания: как заметил еще в 2001 г. один из ведущих специалистов в этой области Нильс Фергюсон, «ни один другой блочный шифр не имеет столь простого алгебраического представления». По сути, гарантией криптостойкости AES выступает предположение о высокой вычислительной сложности решения определенных видов уравнений – именно предположение, до сих пор строго не доказанное.
Тем не менее до самого последнего времени атаки как на AES в целом, так и на лежащие в его основе криптографические примитивы оставались безуспешными – поскольку проводились классическими вычислительными средствами на серийном оборудовании. Однако упомянутые выше китайские криптографы из Шанхайского университета прибегли к помощи серийно выпускаемого в Канаде квантового компьютера D-Wave, отлично подходящего для решения задач квантовой нормализации (quantum annealing). Как раз по той причине, что в основе взломанных алгоритмов лежат алгебраически простые (хотя и трудновычисляемые обычными средствами) функции, методика квантовой нормализации позволила за вполне разумное время взломать криптографические примитивы – т. е. определить ключи, с которыми в каждом конкретном случае проводилось шифрование.
Пока о полном взломе AES, тем более с самым сильным, 256-разрядным ключом, говорить не приходится: упомянутые примитивы образуют лишь основу SPN, и их изощренное комбинирование и дальнейшее усложнение шифра иными средствами делает прямую атаку на алгоритм даже с использованием квантового компьютера неэффективной. Однако китайские исследователи продвинулись в этом направлении значительно дальше своих предшественников – и, что немаловажно, с использованием серийно выпускаемого квантового компьютера. По мере совершенствования такого рода систем угроз классическим способам шифрования данных станет все больше, так что переход к квантовой криптографии, заведомо стойкой к попыткам взлома с применением квантовых компьютеров, становится все более насущной задачей.