Квантові обчислення становлять серйозну загрозу для сучасних методів шифрування, і критична точка може настати вже менше ніж через п’ять років. Хоча квантові комп’ютери, здатні зламати поточні криптографічні стандарти, ще не стали реальністю, експерти з кібербезпеки закликають готуватися до цієї загрози вже зараз.
- Що таке пост-квантове шифрування
- Розробка стандартів квантово-стійкого шифрування
- Актуальність загрози: атаки “збери зараз, розшифруй пізніше”
- Чому пост-квантове шифрування критично важливе для VPN
- Вразливість процесу “рукостискання”
- Часові рамки загрози
- VPN-сервіси з підтримкою пост-квантового шифрування
- Обмеження пост-квантового шифрування
- Перспективи впровадження
Наразі VPN, як і більшість сучасної інтернет-інфраструктури, покладаються на стандарти шифрування, розроблені десятиліття тому, зокрема AES (деякі сервіси також використовують новіші шифри на кшталт ChaCha20).
Проте з наближенням так званого Q-day — дня, коли квантові комп’ютери стануть достатньо потужними, щоб зламати сучасні алгоритми шифрування, — провідні VPN-сервіси почали впроваджувати пост-квантове шифрування (PQE) для захисту від майбутніх загроз.
Що таке пост-квантове шифрування
Пост-квантова криптографія (PQC) являє собою нове покоління криптографічних алгоритмів, спеціально розроблених для протидії атакам, які зможуть здійснювати потужні квантові комп’ютери майбутнього.
VPN зазвичай використовують два типи шифрування: AES або ChaCha20 для шифрування даних і RSA для початкового обміну криптографічним ключем. Поточні стандарти шифрування, включно з AES, ChaCha20 та RSA, цілком достатні для сучасних потреб, оскільки традиційним суперкомп’ютерам знадобилися б мільйони років для злому цих алгоритмів — адже вони використовують бінарні біти, які можуть бути або нулем, або одиницею в конкретний момент часу.
Квантові комп’ютери, натомість, спираються на квантові біти (кубіти), які можуть бути нулем, одиницею або обома станами одночасно. Простіше кажучи, квантові комп’ютери володіють настільки складною обчислювальною потужністю, що можуть зламати сучасні алгоритми шифрування за лічені хвилини.
Розробка стандартів квантово-стійкого шифрування
Національний інститут стандартів і технологій США (NIST) запустив проєкт пост-квантової криптографії у 2016 році, запросивши кандидатів з усього світу розробити складні алгоритми, здатні протистояти квантовим комп’ютерам. Після років досліджень NIST опублікував у 2022 році чотири такі стандарти: CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+ та FALCON.
Замість покладання на традиційні алгоритми, квантово-стійкі алгоритми використовують структуровані решітки та криптографічні проблеми на основі хеш-функцій для захисту даних. Ці квантово-стійкі алгоритми, що спираються на складну криптографію, представляють математичні завдання, які, як вважається, залишаться складними навіть для найпотужніших квантових комп’ютерів. Наприклад, алгоритм ML-KEM, який впровадили деякі VPN-провайдери, походить від стандарту CRYSTALS-Kyber, затвердженого NIST.
Актуальність загрози: атаки “збери зараз, розшифруй пізніше”
Помилково вважати, що пост-квантове шифрування — проблема віддаленого майбутнього. Зловмисники вже застосовують техніку “Harvest Now, Decrypt Later” (HNDL) — “збери зараз, розшифруй пізніше”, зберігаючи зашифровані чутливі дані сьогодні з розрахунком на їх розшифрування в майбутньому, коли квантові обчислення стануть достатньо потужними.
Це означає, що навіть якщо ваші дані надійно захищені сьогодні, вони можуть бути скомпрометовані в майбутньому. Особливо це стосується інформації, яка залишається конфіденційною протягом років: медичні записи, фінансові дані, комерційна таємниця, урядові комунікації.
Чому пост-квантове шифрування критично важливе для VPN
Q-day загрожує самому існуванню VPN-сервісів. Коли користувач підключається до VPN, його пристрій і VPN-сервер встановлюють захищений тунель — виділений канал зв’язку між двома системами. Може використовуватися два типи шифрування: одне для шифрування самих даних, інше для автентифікації або обміну ключами.
Для встановлення захищеного тунелю обидві системи спочатку повинні обмінятися секретним ключем (так зване “рукостискання”) — випадковим криптографічним ключем, згенерованим незалежно кожною системою. Після успішного “рукостискання” використовуються такі алгоритми, як AES-256 або ChaCha20 (золотий стандарт для сучасних VPN), для шифрування інформації, що передається через цей тунель. Саме так працюють майже всі сучасні VPN-протоколи тунелювання: OpenVPN, IKEv2/IPsec та WireGuard.
Вразливість процесу “рукостискання”
Початкове “рукостискання” — найкритичніша частина процесу, оскільки воно формує основу всього VPN-з’єднання. Нині ці механізми “рукостискання” вразливі до квантових атак.
Важливо розуміти, що “рукостискання” є критичною точкою вразливості. На відміну від симетричних алгоритмів, таких як AES-256, які квантові комп’ютери можуть лише послабити (тобто зламати їх стане легше, але все одно потребуватиме нереалістично багато часу), алгоритми з відкритим ключем на кшталт RSA та Diffie-Hellman, що використовуються під час VPN-“рукостискання”, можуть бути повністю зламані. Іншими словами, квантовий комп’ютер може розв’язати математичні завдання, що лежать в їх основі, настільки швидко, що “рукостискання” не надаватиме жодного захисту.
Загалом, потужні квантові комп’ютери зроблять практично неможливим встановлення початкового “рукостискання” для VPN, а отже, VPN більше не зможуть приховувати IP-адресу користувача або шифрувати дані, що нівелює їхнє призначення.
Часові рамки загрози
Коли Q-day нарешті настане — експерти вважають, що це може статися до 2030 року — буде скомпрометовано приватність сотень мільйонів людей, фактично всіх користувачів інтернету, майже миттєво. Ще гірше, якщо VPN-сервіси, якими нині користуються 47% американців для захисту приватності, не зможуть пом’якшити загрозу, наслідки можуть бути катастрофічними.
VPN-сервіси з підтримкою пост-квантового шифрування
На щастя, деякі VPN-провайдери визнали загрозу з боку квантових комп’ютерів і вже почали впроваджувати протоколи з підтримкою PQE.
ExpressVPN став одним із перших VPN-сервісів, що запровадив пост-квантове шифрування. Компанія пропонує PQE (увімкнене за замовчуванням) через власний протокол Lightway, а також пост-квантовий WireGuard. Протоколи Lightway та WireGuard від ExpressVPN підтримують ML-KEM, тобто VPN тепер використовує поєднання традиційних і пост-квантових стандартів шифрування. Квантово-стійка технологія ExpressVPN доступна всім користувачам на Android, iOS, Linux, Windows та Mac.
NordVPN пропонує пост-квантове шифрування через власний протокол NordLynx. Він використовує схвалений NIST алгоритм ML-KEM і доступний на Linux, Windows, macOS, Android, iOS, Apple TV та Android TV. Користувачі не зможуть скористатися квантово-стійким шифруванням провайдера при використанні будь-якого іншого протоколу, крім NordLynx, або при використанні виділеної IP-адреси, Meshnet, обфускованих серверів та протоколу NordWhisper, орієнтованого на обфускацію.
Mullvad VPN пропонує квантово-стійкі тунелі, увімкнені за замовчуванням на всіх з’єднаннях WireGuard у додатках для Windows, Mac, Linux, Android та iPhone. Подібно до NordVPN та ExpressVPN, Mullvad перейшов на стандарт NIST ML-KEM.
Обмеження пост-квантового шифрування
Хоча PQE, безперечно, необхідне для довгострокової безпеки, варто обговорити, чому VPN-сервіси все ще залишають його опціональним, а не роблять постійно увімкненим і непомітним для користувача.
По-перше, PQE може призвести до дещо нижчої швидкості з’єднання та трохи більшої затримки, особливо на менш потужних пристроях, оскільки його “рукостискання” використовує більші розміри ключів і важчі криптографічні операції порівняно зі стандартним шифруванням. Оскільки VPN уповільнюють інтернет-з’єднання навіть без пост-квантового захисту, увімкнення PQE може знизити швидкість ще більше, що може вплинути на ресурсомісткі дії, такі як стримінг відео 4K або участь у відеодзвінках Zoom.
Більш значним обмеженням є сумісність. Такі провайдери, як NordVPN, прямо зазначають, що PQE не можна використовувати разом із певними функціями: виділеними IP-адресами, обфускованими серверами, старішими пристроями або Meshnet. Це саме по собі є основною причиною, чому PQE ще не став стандартом, увімкненим за замовчуванням.
Навіть коли PQE увімкнене за замовчуванням, воно може бути недоступним у всіх ситуаціях. Наприклад, користувач може втратити переваги PQE при підключенні до старіших VPN-серверів або використанні протоколів, які наразі не підтримують пост-квантове шифрування.
Перспективи впровадження
Наразі PQE перебуває в тій самій категорії, що й інші розширені функції захисту, які пропонують VPN-сервіси, — як-от сервери Secure Core від Proton VPN або мульти-хоп сервери від NordVPN та Surfshark, — які забезпечують додатковий рівень приватності, але є опціональними і не потрібні щохвилини.
Пост-квантове шифрування, однак, відрізнятиметься в цьому аспекті. Коли квантові загрози стануть реальністю, PQE більше не залишиться опціональним і, ймовірно, буде інтегровано в кожен VPN-протокол за замовчуванням.
Варто зазначити, що наявність постквантового шифрування не повинна бути єдиним критерієм вибору VPN. Інші важливі фактори включають політику конфіденційності, швидкість з’єднання, розташування серверів, підтримку різних платформ та загальну репутацію провайдера.
Постквантове шифрування — це інвестиція в майбутню безпеку. Навіть якщо квантова загроза здається віддаленою, проактивний підхід до кібербезпеки завжди кращий за реактивний. У світі, де технології розвиваються експоненційно, підготовка до майбутніх викликів є не параноєю, а розумною обережністю.
