Mam wrażenie, że w opowieściach o komputerach kwantowych za często skupiamy się na wizji maszyn zdolnych rozwiązywać problemy, które dla klasycznych superkomputerów są dziś praktycznie nie do ruszenia. Łatwo wtedy przegapić znacznie ważniejszą stronę tej samej rewolucji, a ten chip, który produkuje przypadek i podejrzewa własny sprzęt, jest tego świetnym przypomnieniem. Tak bowiem wygląda bezpieczeństwo po kwantowej stronie
Przyszłość informatyki nie będzie wyłącznie pytaniem o to, kto pierwszy zbuduje większy procesor kwantowy. Równie ważne stanie się pytanie, komu i czemu w ogóle można jeszcze ufać. Czasem przełomem jest więc sprzęt, który potrafi powiedzieć “stop, nie wypuszczam wyniku, bo warunki przestały się zgadzać”. W świecie, w którym szyfrowanie, podpisy cyfrowe, bankowość, medycyna, sztuczna inteligencja i infrastruktura państwowa opierają się na liczbach, których nikt nie powinien przewidzieć, taka odmowa może być cenniejsza niż wyższa surowa wydajność.
Losowość jest cichym fundamentem cyfrowej cywilizacji
Losowość brzmi jak coś prozaicznego w świecie komputerów. Musimy jednak pamiętać, że cały cyfrowy porządek wisi na liczbach, których druga strona nie jest w stanie odgadnąć. Klucze szyfrujące, podpisy cyfrowe, bezpieczne połączenia, generowanie tokenów, uwierzytelnianie, część procedur w sztucznej inteligencji, symulacje i systemy finansowe – wszędzie tam losowość jest warunkiem bezpieczeństwa. Źle wygenerowana liczba losowa potrafi bowiem zmienić solidny algorytm kryptograficzny w zamek z dobrego metalu, ale z kluczem zostawionym pod wycieraczką.
Problem polega na tym, że generatory liczb losowych zawsze wymagały zaufania. Klasyczne generatory pseudolosowe są deterministyczne i potrzebują dobrego ziarna startowego. Sprzętowe generatory losowości korzystają z fizycznego szumu, ale trzeba wierzyć, że czujniki, detektory, elektronika i procedury walidacyjne zachowują się zgodnie z założeniami. Kwantowe generatory liczb losowych miały wydawać się odpowiedzią idealną, bo korzystają z fundamentalnej nieprzewidywalności zjawisk kwantowych. Tyle że nawet tam zostaje ten sam niewygodny element – sprzęt.
Tutaj zaczyna się najciekawsza część najnowszego osiągnięcia zespołu z National University of Singapore. Nie chodzi bowiem wyłącznie o kolejny kwantowy generator liczb losowych. Chodzi o procesor, który produkuje certyfikowane losowe bity, ale jednocześnie sprawdza, czy jego część pomiarowa nadal zachowuje się tak, jak powinna. Brzmi to jak drobna zmiana w architekturze, lecz w praktyce dotyka jednego z najbardziej drażliwych pytań przyszłego cyberbezpieczeństwa, bo co tu zrobić, jeśli urządzenie zabezpieczające samo może stać się słabym punktem?
Kwantowy generator, który nie ufa własnemu detektorowi
Naukowcy opracowali krzemowy chip fotoniczny, będący kwantowym generatorem liczb losowych typu QRNG, które zwykle pracują w modelu “zaufanego urządzenia”. Zakłada się w nim, że laser, modulator, detektor i pozostałe elementy odpowiadają opisowi teoretycznemu. Jeśli detektor zaczyna się starzeć, rozstrajać albo zostanie celowo zmodyfikowany, to system może nadal wyrzucać liczby wyglądające poprawnie statystycznie, ale wtedy ich bezpieczeństwo zaczyna się sypać.
Czytaj też: To może być najważniejsze 20 sekund w historii komputerów. Microsoft pokazał Majorana 2
Singapurski chip próbuje wyciąć ten problem w konkretnym miejscu i na dodatek nie wymaga kriogenicznego chłodzenia ani wyspecjalizowanych detektorów pojedynczych fotonów. Pracuje w temperaturze pokojowej, a jego enkoder sygnału oraz optyczny detektor mieszczą się na jednej krzemowej platformie fotonicznej. Podczas pracy wykorzystuje protokół measurement-device-independent, czyli w skrócie MDI. Najprościej mówiąc, użytkownik musi ufać przygotowywanym stanom światła, ale nie musi już bezwarunkowo ufać detektorowi, który je odczytuje. W każdym cyklu chip przygotowuje znane kwantowe stany świetlne, a następnie mierzy je za pomocą optycznego detektora zintegrowanego w układzie. Wyniki są porównywane z tym, czego wymaga teoria kwantowa. Jeśli test wypada poprawnie, to surowe dane można oczyścić i zamienić w certyfikowane bity losowe. Jeśli nie, protokół zatrzymuje pracę i żadna losowość nie zostaje wypuszczona na zewnątrz.
W cyberbezpieczeństwie takie podejście jest arcyważne. Zwłaszcza że mowa o świecie, w którym przeciwnik wyposażony w technologie kwantowe nie musi atakować algorytmu wprost. Może polować na niedoskonałości implementacji, dryf parametrów, podatności detektora, źle skalibrowany modulator albo fizyczne zachowanie układu, którego klasyczne testy nie potrafią wychwycić.
Najciekawsza jest nie prędkość, tylko nieufność
Najłatwiej byłoby wyśmiać ten chip za tempo pracy, bo eksperymentalny wynik wynosi 64 bity na sekundę. W świecie, w którym tradycyjne generatory QRNG potrafią przekraczać 100 Gb/s, taka liczba wygląda skrajnie skromnie. Uważam jednak, że byłby to zły sposób czytania tego osiągnięcia. Ten układ nie walczy bowiem dziś o tytuł najszybszego generatora losowości. Pokazuje raczej mniej ślepego zaufania do elementów pomiarowych, a więcej matematycznie kontrolowanej pewności.
Czytaj też: NVIDIA chce zrobić z Windowsa komputer nowej ery. RTX Spark ma być początkiem
Cena jest oczywista. Im mniej komponentów traktujemy jako “z definicji poprawne”, tym większy ciężar spada na protokół, testy i odrzucanie niepewnych danych. Przepustowość spada, ale rośnie jakość gwarancji. W przypadku zwykłego laptopa albo domowego routera brzmi to przesadnie. Jednak w przypadku systemów bankowych, infrastruktury krytycznej, komunikacji państwowej, medycyny, urządzeń IoT albo centrów AI sprawa wygląda inaczej. Tam gorsza przepustowość może być akceptowalna, jeśli w zamian dostajemy generator, który nie udaje, że wszystko jest w porządku, gdy jego pomiarowa część zaczyna zachowywać się podejrzanie.
Podobny lęk o stabilność technologii kwantowej widać przy procesorze Majorana 2, gdzie najważniejsza nie była sama liczba kubitów, ale czas życia informacji i odporność na błędy. W innym wariancie ten sam problem wraca przy superatomach złota analizowanych jako droga do komputerów kwantowych oraz przy elektronach nad ciekłym helem. Branża powoli dojrzewa do wniosku, że przyszłości nie zbuduje się samą liczbą elementów. Trzeba jeszcze umieć utrzymać, kontrolować i zweryfikować ich stan.
Komputery kwantowe wymuszają kwantową ostrożność
NIST już w 2024 roku sfinalizował pierwsze standardy kryptografii postkwantowej, bo nawet jeśli uniwersalne komputery kwantowe zdolne do łamania dzisiejszej kryptografii nie stoją jeszcze w serwerowniach, to proces migracji musi zacząć się znacznie wcześniej. Nie da się wymienić fundamentów cyfrowego świata w jeden weekend. Algorytmy, certyfikaty, urządzenia, biblioteki, systemy bankowe, sieci firmowe i infrastruktura publiczna mają bardzo długi ogon zależności.
Czytaj też: Światło nauczyło się udawać pamięć. Neuromorficzne komputery robią się coraz mniej normalne
QRNG z samokontrolą nie zastępuje kryptografii postkwantowej. Pełni inną rolę. Postkwantowe algorytmy mają sprawić, że przyszły komputer kwantowy nie złamie matematycznego problemu stojącego za szyfrowaniem. Certyfikowana losowość ma z kolei zadbać o to, aby klucze, podpisy i procedury startowały z czegoś, czego przeciwnik nie umie przewidzieć ani odtworzyć. Nawet najlepszy algorytm może przegrać z kiepskim źródłem losowości.
Dla mnie jest to szczególnie ciekawy fragment przyszłości, bo mniej przypomina wielką wizję “maszyny nowej ery”, a bardziej naprawianie niewidzialnych śrubek, od których zależy cały system. Przy kwantowych sensorach opartych na atomach Rydberga podobnie fascynujące było nie samo użycie słowa “kwantowy”, ale fakt, że materia może stać się niezwykle czułym narzędziem pomiarowym. W przypadku generatora z NUS materia staje się czymś jeszcze innym, bo narzędziem kontrolowanej nieufności.
Źródła: NUS CDE, Tech Xplore, PRX Quantum
