Хоронить RSA-шифрование с помощью квантовых компьютеров ещё рано, выяснили российские учёные

Год назад заявление китайских ученых о возможности взлома RSA-шифрования с помощью квантового компьютера вызвало волну тревоги в мировом сообществе. Однако детальный анализ, проведенный российскими специалистами, показал, что угроза, хоть и реальна в перспективе, пока далека от немедленной реализации. Речь идет не об опровержении квантовой угрозы, а о критически важном уточнении сроков и методов ее наступления.

Квантовая атака на RSA: Реальность или математический мираж?

Сенсационное заявление китайской группы исследователей, продемонстрировавшей факторизацию 48-битового ключа на 10-кубитном процессоре, ставило под сомнение безопасность всей современной криптографии. Утверждалось, что для взлома ключа RSA-2048 достаточно всего 372 кубитов — цифра, кардинально отличающаяся от прежних оценок в 20 миллионов. Это создало впечатление, что коллапс защиты данных может произойти в любой момент, особенно на фоне появления 433-кубитового процессора IBM Osprey.

Метод Шнорра: Элегантная теория и суровая практика

В основе китайского эксперимента лежал метод факторизации Шнорра, адаптированный для квантового ускорения. Ученые использовали квантовый компьютер для решения задачи поиска короткого вектора в решётке (SVP) малой размерности. Именно это, по их мнению, позволило радикально сократить требуемое число кубитов.

Однако группа исследователей из НИТУ МИСИС, Российского квантового центра (РКЦ) и Сбера провела тщательную верификацию результатов. Вывод оказался однозначным: предложенный алгоритм неработоспособен для ключей, используемых в реальной криптографии.

«Метод Шнорра не имеет точной оценки сложности. Основная трудность заключается не в решении одной кратчайшей векторной задачи, а в правильном подборе и решении множества таких задач. Из этого следует, что этот способ, вероятно, не подходит для чисел RSA таких размеров, которые используются в современной криптографии», — пояснил Алексей Федоров, директор Института физики и квантовой инженерии НИТУ МИСИС.

Иными словами, китайский метод дает лишь приближенное решение, которое эффективно для крошечных чисел и маленьких решёток, но становится практически нереализуемым при переходе к длинным ключам. Российские ученые подробно изложили свои аргументы и математическое обоснование в статье, опубликованной в авторитетном журнале IEEE Access.

Несмотря на то, что немедленная угроза RSA-2048 оказалась ложной тревогой, расслабляться преждевременно. Появление новых квантовых платформ и алгоритмов — лишь вопрос времени. В один не самый прекрасный день защита, которая казалась незыблемой, может рухнуть. Именно поэтому мировое научное и инженерное сообщество ускоренными темпами разрабатывает и внедряет стандарты постквантовой криптографии, которые должны прийти на смену уязвимым алгоритмам.