За последние несколько лет было опубликовано множество исследовательских работ по квантовым компьютерам — вычислительным машинам, которые, используя явления квантовой механики, способны решить некоторые математические задачи, нерешаемые эффективно на традиционных вычислительных устройствах — классических компьютерах. Пока что полноценный квантовый компьютер существует только в теории, но если его когда-либо и смогут создать, то большинство криптографических систем, используемых на текущий момент повсеместно, будут взломаны (включая RSA, DSA и криптосистемы на эллиптических кривых) или их стойкость будет понижена (AES), что приведет к компрометации большинства информационных технологий и данных.
Для решения проблемы существуют два подхода: квантовая и пост-квантовая криптография. Квантовая криптография, опираясь на явления квантовой механики, строит такие каналы передачи данных, в которых участники могут обнаружить факт прослушивания/изменения передаваемой информации. Такие каналы можно было бы использовать, например, для обмена общим секретом, на основе которого можно было бы шифровать коммуникации в обычной сети. Такие схемы является реализованы и могут быть использованы на практике, но технология еще далека от полномасштабного развертывания. Задача пост-квантовой криптографии — разработать криптографические системы, основанные на трудности решения некоторого класса математических задач, устойчивые к атакам как с квантовых, так и с обычных классических компьютеров, которые могут быть внедрены в существующие коммуникационные протоколы и сети.
Трудно сказать, когда будет построен полноценный квантовый компьютер. Ещё не так давно было не ясно, возможно ли физически его спроектировать, сейчас же многие учёные сходятся во мнении, что вопрос его разработки — во многом трудная инженерная задача. Некоторые инженеры даже уверены, что такое устройство будет построено в течение следующих 20 лет.
Одной из важных проблем безопасности уже несколько лет является то, что весь трафик, который защищен с помощью классической симметричной криптографией, может быть записан и дешифрован в дальнейшем, когда квантовый компьютер будет построен. Понимая актуальность проблемы, в 2017 году Национальный институт стандартов и технологии США (NIST) объявил конкурс [1] с целью стандартизации пост-квантовых криптографических систем с открытым ключом. С момента начала конкурса уже прошел первый раунд приёма заявок, в течение которого было представлено множество пост-квантовых алгоритмов.
...
В результате работы были реализованы прототипы протокола nQUIC HFS на двух языках: Rust и Golang, были произведены многократные замеры длительности хендшейка в различных конфигурациях.
На основе проведённых измерений, обоснована возможность применения пост-квантового криптографического протокола nQUIC в транспортном протоколе QUIC: всего сравнительно небольшими дополнительными трудозатратами можно достигнуть теоретической устойчивости к атакам с квантовых компьютеров.
Как показали тесты, на примере Kyber512, добавление пост-квантовой криптографии лишь немного нагружает участников (на 0.6 миллисекунды — сервер, и на 1.27 миллисекунды — клиента) и увеличивает количество передаваемых по сети данных, за счёт чего время хендшейка увеличивается с 0.8 до 3.2 миллисекунд.
Наибольшая проблема состоит в том, что существующие реализации протокола nQUIC находятся в состоянии прототипа: не поддерживаются и не актуализируются, это значительно препятствует внедрению пост-квантовой гибридной защиты от чтения назад ввиду ограниченного набора KEM алгоритмов, которые мы могли испытать на практике.
