Заготовки для квантов: зачем хакеры «консервируют» украденные данные

Представьте: кто-то записывает все ваши зашифрованные переговоры прямо сейчас и просто складывает их на полку. Не взламывает, не читает. Ждёт. Эта стратегия называется «собери сейчас, расшифруй потом» (SNDL — Store Now, Decrypt Later).

Через несколько лет, когда появится достаточно мощный квантовый компьютер, всё накопленное станет читаемым за минуты: классические криптографические алгоритмы с открытым ключом, которые сейчас широко применяются, сразу же окажутся уязвимыми — алгоритм Шора для квантового компьютера способен взломать любой из них.

Ответ на эту угрозу очевиден — нужно переходить на новые алгоритмы. Но здесь есть ловушка: сам переход создаёт новую уязвимость.

Переходный период как окно для атаки

Ни одна крупная организация не может сменить криптографию сразу. Тысячи устройств, сотни филиалов, подрядчики с устаревшим оборудованием. Всё это означает, что какое-то время сеть вынуждена поддерживать и старые, и новые алгоритмы одновременно. Именно эту двойственность может использовать злоумышленник.

Атака называется downgrade (понижение уровня защиты). Злоумышленник, находясь между двумя участниками соединения, перехватывает первое сообщение, в котором инициатор перечисляет поддерживаемые алгоритмы, вырезает из списка все постквантовые варианты и отправляет дальше усечённую версию. Получатель видит только классические алгоритмы и соглашается на них. Постквантовая защита обходится, не будучи взломанной.

Корень проблемы — в архитектуре протокола IKEv2. Именно он отвечает за согласование ключей в наборе протоколов IPsec, который лежит в основе защищённых корпоративных каналов связи. При аутентификации каждая сторона подписывает только то, что отправила сама, но не подтверждает, что именно получила от партнёра. Это всё равно что расписываться только за исходящую почту, игнорируя входящую. То есть посредник может подменить письмо, а адресат ничего не заметит.

Эта уязвимость была описана ещё в 2016 году, но тогда казалась теоретической: без квантового компьютера классический алгоритм всё равно не взломать. Когда же в протокол начали добавлять постквантовые алгоритмы, картина изменилась: у злоумышленника с квантовым компьютером появился реальный инструмент для атаки прямо в процессе переходного периода.

Как закрыть брешь

В процессе обсуждения в IETF было предложено минимальное, но эффективное изменение. При формировании подписи включать в подписываемые данные не только собственные параметры, но и те, что получены от партнёра. Если кто-то подменил список алгоритмов по «дороге», то подписи не совпадут, и соединение не установится. Решение зафиксировано в черновике стандарта IETF (Downgrade Prevention for IKEv2), в создании которого я принимал участие, а сама проблема была детально описана совместно с исследователем CloudFlare Кристофером Паттоном.

В «ЭЛВИС-ПЛЮС» (входит в ГК «Солар») этот подход реализовали в линейке VPN-решений «ЗАСТАВА», причём заранее, ещё на этапе проектирования архитектуры. В отличие от продуктов на базе открытых реализаций IPsec/IKEv2, «ЗАСТАВА» написана с нуля на C++, что даёт полный контроль над кодовой базой без зависимости от сторонних проектов. Защита от downgrade-атак предусмотрена в девятой версии этой линейки, которая доступна уже для пилотирования клиентам.

Что это означает на практике

По данным Cloudflare, около 70% мирового веб-трафика уже защищено постквантовыми алгоритмами — но это западные стандарты. В России работа над отечественными постквантовыми алгоритмами ведётся в рамках ТК-26, и архитектура, способная подключить их сразу после утверждения, важна уже сейчас.

Угроза накопления зашифрованных данных существует вне зависимости от того, когда именно появится достаточно мощный квантовый компьютер — через пять лет или через двадцать. Перехваченные сегодня данные останутся уязвимыми на весь этот срок. В постквантовой гонке выигрывает не тот, кто ждёт финальных стандартов, а тот, кто закрывает архитектурные уязвимости заранее.