מחשבים קוואנטיים יהפכו את שיטות ההצפנה של ימינו לחסרות ערך. מה נעשה אז?
בקיצור
- מחשבים רגילים מתקשים לפצח את שיטות ההצפנה המבוססות על מספרים ראשוניים גדולים, ומשמשות בלב המסחר והתקשורת המקוונים שבהם אנו משתמשים בחיי היום־יום.
- מחשבים קוונטיים, לעומת זאת, יוכלו לפצח את ההצפנות האלה תוך ניצול החוקים המוזרים של העולם התת־אטומי: הם ינסו את כל הפתרונות האפשריים בבת אחת.
- איש עוד לא בנה מחשב קוונטי בקנה מידה מלא, אך חוקרים באקדמיה, בממשל ובארגונים פרטיים מנסים לעשות זאת, ויש מומחים שטוענים שזה יכול לקרות בעוד עשר שנים.
- לכן חוקרים ממהרים לשכלל ולפרוס טכנולוגיות להצפנה קוונטית, שנעזרות באי ודאות קוונטית כדי ליצור קודים שכמעט אי אפשר לפצח.
אחר־צהריים בהיר אחד, על חוף הים בסן חואן שבפוארטו ריקו, מצאו שני מדענים פתרון לבעיה שעדיין לא הייתה קיימת. זה קרה באוקטובר 1979. ז'יל ברסרד, דוקטור טרי מאוניברסיטת קורנל, טבל במים הקריביים החמימים, ומישהו שחה לקראתו. הזר כהה השיער החל להרצות לו על יצירת שטרות כסף שאי אפשר לזייף. הרעיון הזה, שהמציא כמה שנים לפני כן סטודנט מאוניברסיטת קולומביה ששמו סטיבן וייזנר, כלל הטמעה של פוטונים – חלקיקי אור – בשטרות. לפי חוקי מכניקת הקוונטים, כל ניסיון למדוד או להעתיק את הפוטונים ישנה מיד את תכונותיהם. לכל שטר תהיה מחרוזת פוטונים משלו, כעין מספר סידורי קוונטי, שאין שום דרך לשכפל.
"הופתעתי, כמובן," אומר ברסרד, כיום פרופסור למדעי המידע באוניברסיטת מונטריאול, "אבל המשכתי להקשיב בנימוס." לדבריו, שיחה זו הפכה בסופו של דבר לאירוע ששינה את חייו. הזר היה צ'רלס בנט, פיזיקאי מ-IBM, שזיהה את ברסרד מכנס שבו השתתפו. רעיון השטרות הקוונטיים סיקרן את שניהם, אך הם ידעו שהוא אינו מעשי מבחינה טכנית. אפילו כיום איש אינו יודע איך ללכוד, להקפיא ולאחסן פוטונים בתוך פיסת נייר: חלקיקי האור נוטים, כידוע, לנוע מהר.
"אנחנו במצב טוב יותר היום, אך עדיין לא קרובים לשום דבר שמזכיר שטרות קוונטיים מעשיים," אומר ברסרד. "זה היה ניסוי מחשבתי ששימש נקודת פתיחה. זו דוגמה נהדרת לרעיון מופרך לגמרי מבחינה מעשית, אך באותו זמן גם מכריע, מכיוון שממנו בנט ואני פיתחנו את הרעיון שמכונה כיום הפצת מפתחות קוונטיים."
הפצת מפתחות קוונטיים, ובקיצור QKD, היא טכניקה לקידוד ושידור של נתונים באמצעות פוטונים. בעיקרון, היא הצפנה בלתי ניתנת לפיצוח. אחרי אותו יום על החוף, החלו בנט וברסרד בשיתוף פעולה שנמשך חמש שנים, והביא לעולם את טכניקת ההצפנה הראשונה בהיסטוריה שאינה מסתמכת על מורכבות מתמטית, אלא על חוקי הפיזיקה. כשפרסמו בנט וברסרד את עבודתם, ב- 1984, רק חוקרים מעטים ייחדו תשומת לב לרעיון, ורבים לא שמו לב אליו כלל. "זה נחשב עיסוק שולי," אומר ברסרד, "אפילו בעיני מי שהסבו לו תשומת לב כלשהי. אני חושב שגם אנחנו לא התייחסנו אליו יותר מדי ברצינות."
מחשבים קוונטים יוכלו לפרוץ שידורים מוצפנים הנחשבים היום חסינים לפריצה, אבל סביר שהצפנה קוונטית תקדים אותם.
(איור: קן בראון, מונדוליתיק סטודיוס)
פני הדברים השתנו מאז. לפני שלושים שנה, כמעט איש – חוץ מסוכנויות ביון ממשלתיות – לא השתמש בטכנולוגיית הצפנה. כיום היא נעשתה חיונית לעסקאות יום־יומיות באינטרנט. בכל פעם שמישהו מקליד סיסמה או מספר של כרטיס אשראי ברשת, תוכנות משוכללות המובנות בתוך הדפדפנים עובדות מאחורי הקלעים כדי להבטיח שהמידע מוגן מפני גנֵבה מקוונת. "זו טכנולוגיה שכולם צריכים, אך איש אינו מודע לה," אומר ואדים מקרוב, חוקר במכון למחשוב קוונטי באוניברסיטת ווטרלו שבאונטריו. "היא פשוט עובדת."
אבל ייתכן שימיה ספורים. כמעט כל שיטת הצפנה קיימת תהפוך לחסרת תועלת עם הופעתם של מחשבים קוונטיים: מכונות שמסוגלות לפצח את הקודים המורכבים המגנים על כל דבר, מקניות באמזון ועד רשת החשמל. אמנם איש עוד לא בנה מחשב קוונטי שלם, אבל חוקרים במעבדות אקדמיות, בתעשייה ובממשל בכל רחבי העולם מנסים לעשות זאת. בין המסמכים שחשף המדליף אדוארד סנודן נמצא תיאור של פרויקט סודי של הסוכנות האמריקנית לביטחון לאומי (NSA), ששמו "חדירה למטרות קשות" – ניסיון בעלות של 79.7 מיליוני דולרים לבנות מחשב קוונטי. "קשה לומר בוודאות שלא יהיה מחשב כזה בעוד עשר או חמש־עשרה שנים," אומר ריי ניואל, פיזיקאי במעבדה הלאומית האמריקנית לוס אלמוס.
אם, או כאשר, המחשב הקוונטי הראשון ייכנס לפעולה, ההגנה הטובה ביותר בפני יכולות פיצוח הצפנים שלו תהיה אולי סוג אחר של קסם קוונטי: טכנולוגיית רשתות מוצפנות המבוססת על התיאוריה שפיתחו בנט וברסרד לפני 32 שנים. מתברר שההצפנה הקוונטית – שיטה לקידוד תשדורות שמנצלת את התכונות המוזרות של חלקיקי אור יחידים – היא בעיה קלה יותר לפתרון מאשר בנייה של מחשב קוונטי, ולמעשה כבר יש כמה פרויקטים פעילים קטנים של הצפנה קוונטית. יש רק בעיה אחת: החלפה של מערכות ההצפנה בכל העולם במערכות קוונטיות תדרוש יותר זמן מאשר ידרוש הפיתוח של מחשבים קוונטיים. "אם חושבים שנהיה בבעיה בעוד 10 או 15 שנים, צריך להתחיל לפתור אותה כבר אתמול," אומר ניואל. "סביר להניח שכבר איחרנו את המועד."
מספרים גדולים מאוד
מאחורי הלחיצות והקליקים הפשוטים של המסחר באינטרנט עומדים פיגומים מתמטיים מורכבים ואלגנטיים של שני אופני הצפנה: הצפנה סימטרית, שבה אותו מַפתח משמש להצפנה של הנתונים ולפענוחם, והצפנה אסימטרית, שבה מַפתח אחד מצפין את המסר ומפתח אחר מפענח אותו. כל העברה של מידע מאובטח באינטרנט מחייבת שימוש בשתי השיטות.
הִתקשרות טיפוסית בין המחשב הביתי לבין שרתים של חנות באינטרנט מתחילה ביצירה של מפתח סימטרי, שהלקוח והמוכר חולקים דרך הרשת כדי להצפין מספרים של כרטיסי אשראי ומידע פרטי אחר. המפתח הוא ביסודו אוסף של הוראות לקידוד המידע. לדוגמה, מפתח פשוט עד כדי גיחוך יכול לציין שכל ספרה במספר כרטיס האשראי תוכפל פי שלושה. כמובן, בעולם האמיתי המפתחות מורכבים הרבה יותר מבחינה מתמטית. בכל פעם שמישהו קונה משהו באינטרנט, הדפדפן שלו משתף מפתח עם השרתים של החנות המקוונת. אך מה מאבטח את המפתח עצמו בתחילת התהליך ושומר על פרטיותו? שכבה שנייה של אבטחה, הפעם אסימטרית, היא שמצפינה את המפתח הסימטרי.
המצב היום
איך הצפנה פועלת, בינתיים
בכל פעם כשקונים משהו ברשת, הדפדפן של הקונה והאתר של המוכר מעבירים ביניהם קוד סודי: מפתח להצפנת המידע שהם עומדים להעביר. מכיוון ששני הצדדים משתמשים באותו מפתח, התהליך הזה נקרא בשם "הצפנה סימטרית." כדי להעביר את המפתח עצמו בדרך מאובטחת, הצדדים מסתמכים על אופן הצפנה אחר: הצפנה אסימטרית. מערכת דו־שלבית זו פועלת היטב, אך אם יופיעו מחשבים קוונטיים הם יהפכו אותה כהרף עין לחסרת ערך. (איורים: ג'ן כריסטיאנסן)
ההצפנה האסימטרית, שהומצאה בשנות ה-70 במקביל על ידי השירות החשאי הבריטי ועל ידי חוקרים אקדמיים, משתמשת בשני מפתחות נפרדים: מפתח ציבורי ומפתח פרטי. שניהם חיוניים לכל העברת מידע מוצפן. במהלך הרכישה המקוונת, השרתים של המוכר שולחים את המפתח הציבורי שלהם למחשב הלקוח. מחשב הלקוח משתמש במפתח הציבורי הזה, שזמין ופתוח לכל הלקוחות, כדי להצפין את המפתח הסימטרי המשותף. כשהשרתים מקבלים את המפתח הסימטרי המוצפן, הם מפענחים אותו בעזרת המפתח הפרטי, שאין לאף אחד אחר. כעת המפתח הסימטרי משותף ובטוח לשימוש, והוא שמשמש להצפנת שאר העסקה.
המפתח הציבורי והמפתח הפרטי המשמשים בהצפנה אסימטרית נגזרים מן הגורמים של מספרים גדולים מאוד: ליתר דיוק, מספרים ראשוניים, שהם מספרים שלמים המתחלקים ללא שארית רק ב-1 ובעצמם. המפתח הציבורי הוא מכפלה של שני מספרים ראשוניים גדולים, ואילו המפתח הפרטי הוא שני המספרים שהוכפלו. אפילו ילד יכול להכפיל שני מספרים ראשוניים, אך הפעולה ההפוכה, של פירוק מספר גדול לשני גורמים ראשוניים, היא משימה קשה אפילו למחשבים החזקים ביותר.
המספרים שבהם נעשה שימוש להצפנה אסימטרית הם לרוב באורך של מאות ספרות כל אחד. ניואל אומר שמציאת הגורמים הראשוניים של מספרים כאלה היא כמו ניסיון להפריד בין צבעים שעורבבו במֵכל: "כל אחד יכול לערבב צבעים, אבל לא להפריד ביניהם."
שיטת ההצפנה האסימטרית הנפוצה ביותר מוכרת בשם RSA, על שם ממציאיה: רון ריבסט, עדי שמיר [כעת במכון ויצמן] ולאונרד אדלמן, שפיתחו את הרעיון בשלהי שנות ה-70 במכון הטכנולוגי של מסצ'וסטס. מאז, המפתחות הלכו והתארכו כדי להגן עליהם מפני האקרים המצוידים במחשבים מהירים ובכישורים משופרים: פיצוח של מפתח ארוך יותר מחייב כוח מחשוב רב יותר. כיום אורכם של המפתחות האסימטריים הטיפוסיים הוא 1024 ביטים, אך אפילו אם נניח רגע את שאלת המחשבים הקוונטיים, ייתכן שאין בזה די כדי לעצור מתקפות סייבר עתידיות. "מכון התקנים האמריקני (NIST) ממליץ לשדרג את גודל מפתחות ה-RSA ל-2048 ביטים," אומר ריצ'רד יוז, פיזיקאי בלוס אלמוס. "אלא שלהגדלת המפתח יהיה מחיר מבחינת ביצועים. העיכוב המרגיז לאחר שלוחצים על לחצן הקנייה, כשהמחשב כאילו נתקע רגע: זו ההצפנה של המפתח הציבורי בפעולה. ככל שהמפתח יהיה ארוך יותר, ההמתנה הזאת תתארך." לרוע המזל, המעבדים במחשבים שלנו אינם משתפרים מהר די הצורך כדי לעמוד בקצב של האלגוריתמים להצפנה, הדרושים להתמודדות עם מפתחות ארוכים יותר ויותר. "הדבר בעייתי מהרבה בחינות," אומר יוז. "אם מפעילים שירות ענן, עם הרבה מפתחות שפועלים בו־זמנית, או מנהלים מערכת כמו רשת החשמל, אי אפשר להרשות עיכובים כאלה."
אם המחשבים הקוונטיים יופיעו בשטח, גם ההמלצות של NIST יהיו בלתי רלוונטיות. "אני חושב שעד 2030, יש סיכוי של 50% שמחשב קוונטי יוכל לפצח הצפנת RSA-2048," אומר מישל מוֹסְקָה, ממייסדי המכון למחשוב קוונטי. דונה דודסון, יועצת אבטחת סייבר בכירה ל-NIST, אומרת ש"בחמש השנים האחרונות ראינו הרבה התפתחויות הגורמות לנו להאמין שכדאי להיות מוכנים למקרה שהמחשבים הקוונטיים אכן יופיעו. הנחת העבודה שלנו היא שהסיכויים לכך גבוהים."
על קודים וקיוביטים
מה עושה את המחשבים הקוונטיים לחזקים כל כך? במחשב רגיל, כל ביט של מידע יכול להיות באחד משני מצבים: 0 או 1. מחשב קוונטי, לעומת זאת, מנצל את התכונות המוזרות של העולם התת־אטומי, שבו חלקיקים נפרדים יכולים להתקיים במצבים רבים בו־זמנית. בדומה לחתול בניסוי המחשבתי של ארווין שרדינגר, שחי ומת גם יחד בקופסה עד שמישהו פותח אותה כדי לבדוק, ביט המידע הקוונטי ("קיוביט") יכול להיות 0 ו-1 בו־זמנית (מבחינה פיזיקלית, הקיוביט יכול להיות אלקטרון יחיד המוחזק בשני מצבי ספין בעת ובעונה אחת). מחשב קוונטי עם אלף קיוביטים יכיל שתיים־בחזקת־אלף מצבים קוונטיים אפשריים שונים, מספר גדול בהרבה ממספר החלקיקים ביקום. אין זה אומר שהוא יוכל לאחסן כמות אינסופית של מידע: כל ניסיון לצפות בביטים יגרום להם לקבל מיד ערך אחד ספציפי של אלף ביטים. אבל בעזרת תכנות חכם אפשר לתפעל את אינספור מצבי הקיוביטים כשהם עדיין לא ידועים, וכך לבצע חישובים שאי אפשר לעשות עם מחשבים רגילים.
ב-1994, פיטר שור, מתמטיקאי שעבד אז במעבדות AT&T Bell, הוכיח שמחשב קוונטי יוכל למצוא את הגורמים הראשוניים של מספרים גדולים מן הסוג שמשמש בהצפנת RSA, שיטת ההצפנה האסימטרית המגנה על העברת המפתח הסימטרי בעסקאות ברשת. למעשה, שור כתב את התוכנה הראשונה למחשב קוונטי. בשונה ממחשבים רגילים, שבהם החישובים מתבצעים בזה אחר זה, במחשב הקוונטי כל הפעולות מתבצעות בבת אחת, ושור ניצל תכונה זו. "האלגוריתם שלו ירסק את RSA," אומר מוֹסְקָה. עם זאת, שיטות הצפנה סימטריות, שהנפוצה ביותר בהן היא AES (ראשי תיבות של "תקן הצפנה מתקדם") שאושרה על ידי NIST ב-2001, יישארו בטוחות מפני המחשבים הקוונטיים. הסיבה לכך היא שתוכנות הצפנה סימטרית כגון AES אינן משתמשות במספרים ראשוניים לקידוד המידע. במקום זאת, המפתחות הסימטריים הם מחרוזות אקראיות של 0 ו-1, בדרך כלל באורך 128 ביטים. פירוש הדבר הוא 2128 מפתחות אפשריים, מה שיחייב האקר לעבור על מיליארד מיליארדי מיליארדי מיליארדי צירופים כדי לפצח את הקוד. המחשב המהיר ביותר בעולם, טיאנהי-2 הסיני, שיכול לבצע 33.8 קוודריליוני פעולות בשנייה, יזדקק ליותר מטריליון שנים כדי לבדוק את כל המפתחות האפשריים. אפילו מחשב קוונטי לא יעזור להאקרים לפצח מספרים גדולים כאלה. מצד אחר, המפתחות הסימטריים העצומים מוצפנים במהלך העסקאות ברשת על ידי תוכנות אסימטריות כגון RSA, שפגיעות לפירוק לגורמים שהמציא שור.
המצב מחר
העתיד הקוונטי של ההצפנה
הפצת מפתחות קוונטיים היא דרך בטוחה להעביר מפתחות הצפנה באמצעות סדרה של חלקיקי אור, או פוטונים, מקוטבים. אם מישהו מנסה לצותת לפוטונים האלה ולמדוד אותם בזמן שהם בתנועה, המדידה עצמה תשנה את הקיטוב שלהם, ואז השולח והנמען יֵדעו שמישהו "נגע" בהודעה.
לפני שהתוכנה של שור תוכל לפרק לגורמים את RSA, צריך למצוא מחשב קוונטי חזק דיו כדי להריץ אותה. מוֹסְקָה מעריך שכבר ב-2017, לכמה מעבדות בעולם יהיו מערכות ראשוניות של כמה עשרות קיוביטים. לדבריו, "כדי למצוא את הגורמים הראשוניים של מפתח RSA עם 2,048 ביטים צריך, ככל הנראה, לפחות אלפיים קיוביטים." הקפיצה מעשרות קיוביטים לאלפים עשויה להימשך עוד עשור, אך הוא אינו רואה מכשולים בלתי עבירים בדרך. "כבר עכשיו אנחנו עומדים ברוב הקריטריונים של הביצועים הדרושים לבניית מחשב קוונטי בקנה מידה גדול," הוא אומר, "רק לא באותו מקום ובאותו זמן, במערכת שאפשר להגדיל אותה."
רשת קוונטית
החדשות הטובות הן שעד כה ההתקדמות בטכנולוגיית ההצפנה הקוונטית הייתה גדולה יותר מאשר בבניית מחשב קוונטי. ההצפנה הקוונטית החלה לתפוס תאוצה ב-1991, כשארתור אקרט, פיזיקאי מאוניברסיטת אוקספורד, פרסם מאמר על קריפטוגרפיה קוונטית בכתב העת היוקרתי Physical Review Letters. אקרט, שבאותו זמן לא היה מודע לעבודתם של בנט וברסרד, תיאר שיטה חלופית לשימוש במכניקת הקוונטים כדי להצפין מידע. בסופו של דבר, המאמר שלו החזיר לתודעה את הרעיון של בנט וברסרד, שהתגלה כמעשי יותר מן הפתרון של אקרט עצמו.
עם זאת, רק בתחילת שנות האלפיים החלה טכנולוגיית ההצפנה הקוונטית לצאת מגבולות המעבדה אל העולם המסחרי, כשפיזיקאים מצאו דרכים לקרר גלאי פוטונים – שהם הרכיבים החיוניים והיקרים ביותר בכל התקן של הצפנה קוונטית – באמצעות זרמים חשמליים במקום חנקן נוזלי. "כשהתחלתי ללמוד לתואר דוקטור, ב-1997, היינו מקררים אותם על ידי טבילתם בתרמוס של חנקן נוזלי, שזה בסדר במעבדה, אבל לא מעשי אם רוצים להשתמש בהם במרכז נתונים," אומר גרגואר ריבורדי, מנכ"ל החברה השוויצרית ID Quantique. חברה זו פיתחה ב-2007 את אחת ממערכות ההצפנה הקוונטית המסחריות הראשונות, וממשלת שווייץ קנתה את המערכת כדי להגן על מרכזי נתונים. מאז מכרה החברה מערכות גם לבנקים שווייצריים, וכעת היא עובדת עם חברת Battelle Memorial Institute בקולומבוס שבאוהיו על הקמה של רשת שתקשר בסופו של דבר את משרדי החברה באוהיו עם סניף בעיר וושינגטון.
נינו ולנטה, פיזיקאי ב-Battelle, מראה לי ביום קיץ מעונן את אחד מהתקני ההצפנה. "כל מה שאנחנו צריכים מצוי על המדף הזה," הוא אומר. "כל האופטיקה הקוונטית, כל מה שדרוש ליצירת מפתחות והפצתם – הכול כאן." ולנטה עומד על יד ארון שגובהו שני מטרים, במעבדה השוכנת במרתף של משרדי החברה בקולומבוס. על אחד המדפים בארון יש קופסת מתכת שגודלה כגודל מזוודה גדולה. בתוכה מצוי המימוש הפיזי של שיטת ההצפנה הקוונטית, שהוצעה לראשונה על ידי בנט וברסרד לפני יותר משלושים שנים.
החומרה כוללת דיודת לייזר קטנה, דומה לאלה שבנגני DVD ובסורקי ברקוד, המכוונת פולסים של אור דרך מסנן עשוי זכוכית. המסנן בולע כמעט את כל הפוטונים ומתיר, בממוצע, רק לאחד מהם לעבור בכל פולס. הפוטונים היחידים האלה עוברים קיטוב באחד משני כיוונים, שכל אחד מהם מייצג ערך של ביט: 0 או 1. אחרי הסינון והקיטוב, הפוטונים משמשים בסיס למפתח סודי המשודר בכבל אופטי אל הנמען. חומרה בצד השני מפענחת את המפתח באמצעות מדידה של קיטוב הפוטונים.
בניגוד למפתח סודי רגיל, המפתח הפוטוני כמעט בלתי ניתן לפריצה (עוד על ה"כמעט" הזה בהמשך). כל מרגל שינסה לקרוא את הפוטונים ישפיע עליהם וישנה את ערכיהם. השולח והנמען הלגיטימיים יכולים להשוות חלקים של המפתח ועל ידי כך לוודא שהפוטונים שהגיעו תואמים למקור. אם התגלה שיבוש שמעיד על ניסיון ציתות, אפשר לנטוש את המפתח ולהתחיל מחדש. "יש כיום מפתחות שלא השתנו כבר שנים," אומר ולנטה. "עם QKD אפשר לשנות את המפתח כל שנייה או דקה, וזה מה שעושה את התהליך לבטוח כל כך."
חברת Battelle כבר החלה להתקין רשת קוונטית להעברה של דוחות כספיים וחומרים רגישים אחרים מן המשרדים הראשיים שלה בקולומבוס לאחד ממתקני הייצור בדבלין שבאוהיו, עם לולאת סיבים שאורכה 110 קילומטרים בין שני האתרים. מתברר שהמרחק הזה מתקרב לגבול העליון של העברת מסרים מוצפנים בהצפנה קוונטית. במרחקים גדולים יותר, האות מידרדר מכיוון שפוטונים נבלעים בכבל הסיב האופטי.
כדי לעקוף את המגבלה הזאת ולהרחיב את הרשת ברחבי קולומבוס, ובעתיד הקרוב, גם אל העיר וושינגטון, החוקרים ב-Battelle עובדים עם ID Quantique על פריסה של "צמתים מהימנים", קופסאות ממסר שמקבלות ושולחות מחדש שדרים קוונטיים. הצמתים יותקנו ביחידות מבודדות ואטומות שיגנו על גלאי הפוטונים הרגישים שבפנים המקוררים לטמפרטורה של -40ºC. אם מישהו ינסה לפרוץ לצומת, ההתקן בפנים ייכבה וימחק את עצמו. "הפקת המפתחות תיפסק," אומר דון הייפורד, פיזיקאי המנהל את מחקר ההצפנה הקוונטית ב-Battelle.
לדבריו, אם רשת הצמתים המהימנים תפעל כשורה, יהיה אפשר לפרוס את הטכנולוגיה בקנה מידה גדול עוד יותר. הוא נותן לי עלון עם מפה שמציגה רשת קוונטית עתידית המשתרעת על פני רוב ארה"ב. "זה החזון שלנו לרשת קוונטית שתגן על המערכות של הבנקאות הפדרלית," הוא אומר. "אם נגיע לכל הבנקים הפדרליים, זו תהיה הצלחה. כדי להגיע מצד אחד של המדינה לצד השני נזדקק
לכ-75 צמתים. זה נשמע הרבה, אבל גם ברשת סיבים אופטיים רגילה יש ממסרים במרחקים דומים."
הממשלה הסינית מאמצת טכנולוגיה דומה והחלה לבנות רשת קוונטית באורך 2,000 קילומטרים בין שנגחאי לבייג'ין לשימוש הממשל והמוסדות הפיננסיים. הפרויקטים של הייפורד ושל סין יכולים להגן על בנקים ועל ארגונים אחרים עם רשתות פרטיות, אך הם אינם מעשיים לשימוש באינטרנט. הצמתים המהימנים מחברים מחשב אחד למשנהו בשרשרת, לא ברשת מסתעפת שבה כל מחשב יכול לתקשר באופן ישיר עם כל מחשב אחר. לדעתה של בת' נורדהולט, פיזיקאית שפרשה לאחרונה מלוס אלמוס, חיבורים מסוג נקודה-לנקודה מזכירים את האנדרלמוסיה בימים הראשונים של תעשיית הטלפון, בשלהי המאה ה-19, כשסבכים עבים של כבלים היו תלויים מעל רחובות הערים. "באותם ימים," היא אומרת, "היית צריך כבל נפרד לכל אדם שרצית לדבר אִתו. קשה לבנות מערכות כאלה בקנה מידה רחב."
נורדהולט, בעלה ריצ'רד יוז ועמיתיהם ניואל וגלן פטרסון מלוס אלמוס עובדים על הצפנה קוונטית בקנה מידה נרחב. לשם כך הם יצרו התקן, בערך בגודל של זיכרון נייד, שיאפשר להתקנים מרושתים מרובים – טלפונים סלולריים, מחשבים ביתיים ואפילו טלוויזיות – להחליף מפתחות קוונטיים בהתחברות לשרת מאובטח מרכזי. ההמצאה הזאת קרויה בפיהם QKarD, משחק לשוני עם ראשי התיבות באנגלית של המונח QKD, הפצת מפתחות קוונטיים.
נתב קוונטי: QKarD, שפיתחו חוקרים במעבדה הלאומית האמריקנית לוס אלמוס, יאפשר למחשבים, לטלפונים סלולריים ולגאדג'טים (חפיצים) אחרים להעביר מפתחות קוונטיים דרך שרת מרכזי מאובטח.
(הצילום באדיבות המעבדה הלאומית לוס אלמוס)
נורדהולט מסבירה ש"החלקים היקרים בהצפנה קוונטית הם גלאי הפוטונים היחידים, וכן הציוד שנדרש כדי לקרר את הגלאים האלה ולדאוג לשלומם." היא ועמיתיה הציבו את הרכיבים היקרים והמורכבים במחשב אחד המוצב במרכז הרשת. ההתקנים ה'לקוחות', שכל אחד מהם מצויד ב-QKarD, יתחברו היישר למחשב המרכזי – אבל לא זה לזה – בסיבים אופטיים. ה-QKarD עצמו הוא משדר, עם לייזר קטן המאפשר לו לשלוח פוטונים למחשב המרכזי.
אופן הפעולה של QKarD מזכיר מרכזת טלפונים. כל מחשב ברשת מעלה למחשב המרכזי מפתחות סימטריים משלו, מקודדים כרצפים של פוטונים. הצפנה קוונטית זו מחליפה את הצפנת RSA, שבה משתמשים בדרך כלל כיום כדי להגן על שידור של מפתחות סימטריים. ברגע שהמפתחות מוחלפים, המחשב המרכזי משתמש בהם ובהצפנת AES כדי להעביר הודעות רגילות (לא קוונטיות) בין הלקוחות השונים ברשת, שצריכים לשתף ביניהם מידע רגיש.
הצוות של נורדהולט הריץ דגם של QKarD, בדגם הזה המערכת כולה מצויה אמנם בתוך מעבדה קטנה בלוס אלמוס, אבל כדי לדמות מרחקים בעולם האמיתי, ההתקנים מחוברים ביניהם בכבל אופטי שאורכו 50 קילומטרים, – מגולגל בתוך דלי מתחת לשולחן עבודה. רישיון לפיתוח מסחרי של טכנולוגיית QKarD נמכר לחברת Whitewood Encryption Systems. לדברי יוז, אם המוצר יגיע לשוק, מחירו יהיה כ-10,000 דולר למחשב מרכזי המקשר 1,000 התקנים מצוידים ב-QKarD. בייצור המוני, ה-QKarD עצמם יעלו כ-50 דולר ליחידה.
"הייתי רוצה לראות QKarD בתוך סמארטפונים או טאבלטים, כדי שיהיה אפשר ליצור חיבור מאובטח לשרת," אומרת נורדהולט. "אפשר גם לשים אחד בתוך תחנת הבסיס במשרד, ולהעלות משם מפתחות [לשרת]. ככה נוכל ליצור רשתות באופן אורגני."
עתיד קוונטי?
להחלפת תשתית ההצפנה של העולם נדרשות יותר מעשר שנים. "ככל שמשהו פרוס בצורה נרחבת יותר, כן קשה יותר לתקן אותו," אומר מוֹסְקָה. "אפילו אם היינו יכולים לבצע את התיקון ברמה הטכנולוגית, צריך שכולם יסכימו על אופן הביצוע, ושכל המרכיבים יפעלו יחד במסגרת מערכת תקשורת גלובלית אחת. כיום אין לנו אפילו מערכת חשמלית משותפת ובכל פעם שאנחנו נוסעים לארץ אחרת אנחנו צריכים להצטייד במתאמים לשקע."
הקושי שבאתגר מוסיף לדחיפות שלו. לדברי נורדהולט, "זו לא רק הגנה על מספרים של כרטיסי אשראי. העסק נעשה רציני מאוד." היא מספרת שלפני כמה שנים, המעבדה הלאומית של אידהו ערכה מחקר שהראה כי האקרים יכולים לגרום לפיצוץ של גנרטורים על ידי הזנה של נתונים שגויים לרשתות המחשבים השולטות ברשת החשמל. "אני לא רוצה להשמיע תחזיות אפוקליפטיות, אבל הדבר יכול להשפיע על חיי היום־יום של אנשים."
עם זאת, סביר להניח שהמטרה הראשונה של המחשב הקוונטי לא תהיה רשת החשמל. חוקרים רבים בתחום ההצפנה סבורים שהסוכנות האמריקנית לביטחון לאומי (NSA) וסוכנויות ביון אחרות בעולם מאחסנות כמויות אדירות של נתונים מוצפנים מן האינטרנט, שאי אפשר לפענח בטכנולוגיה הקיימת. הנתונים האלה נשמרים, כך משערים, בתקווה שהסוכנות תוכל לפצח את ההצפנה שלהם כשתשיג מחשב קוונטי. פירוש הדבר שהסוכנות תניח את ידה לא רק על עסקאות פרטיות של אזרחים בעוד עשרות שנים, אלא גם על התקשורת שלנו כיום, שאנחנו מניחים בתמימות שהיא מאובטחת.
"זה טירוף לחשוב שאין מי שמתעדים את כל התקשורת ורק מחכים לטכנולוגיה שתגיע כדי לפענח את הכול בדיעבד," אומר ברסרד. "כך שאפילו אם המחשב הקוונטי עדיין לא זמין, ואפילו אם לא יפתחו מחשב כזה בעשרים השנים הבאות, ברגע שהוא יגיע כל מה שנשלח החל מהיום הראשון של הטכניקות הקלאסיות [להצפנה] יהיה בסיכון."
גם כשההצפנה הקוונטית תיושם בקנה מידה רחב, משחקי החתול ועכבר של הקריפטוגרפיה יימשכו. אם להסתמך על ההיסטוריה של ההצפנה הקונבנציונלית, תמיד יש פער בין השלמות התיאורטית ובין היישום בעולם האמיתי. זולפיקר רמזן, ראש תחום הטכנולוגיה ב-RSA (החברה שריבסט, שמיר ואדלמן הקימו כדי להפוך את המצאתם למסחרית), מספר שכשהצפנת RSA הופיעה בפעם הראשונה, היא נחשבה בטוחה לגמרי. ב-1995, הסטודנט פול קוכר מאוניברסיטת סטנפורד גילה שהוא מסוגל לפצח את ההצפנה של RSA פשוט על ידי מדידת הזמן שנדרש למחשב להצפין כמות קטנה של נתונים.
"מתברר שאם יש במפתח יותר ביטים עם ערך 1 מאשר 0, למחשב נדרש קצת יותר זמן לחשב את ההצפנה," אומר רמזן. "אם חוזרים על המדידה פעמים רבות, אפשר למעשה לשחזר את המפתח כולו – פשוט על סמך זמן החישוב." סגירת הפִּרצה הזאת הייתה פשוטה למדי: המהנדסים הסוו את זמן החישוב באמצעות הוספה של מעט אקראיות לתהליך. "אבל שוב, זו הייתה התקפה מסוג שאיש לא צפה מראש, וייתכנו התקפות דומות בהקשר של המחשוב הקוונטי."
למעשה, ההתקפה הקוונטית הראשונה כבר התרחשה. לפני חמש שנים, צוות בראשות ואדים מקרוב, שהיה אז באוניברסיטה הנורבגית למדע וטכנולוגיה, חיבר מזוודה עם ציוד אופטי לסיב אופטי ששימש כקו תקשורת במערכת הצפנה שנבנתה על ידי ID Quantique. המזוודה סִנוורה באופן זמני את גלאי הפוטונים של התקן ההצפנה בעזרת פולסים של לייזר, וכך הצליח הצוות לפענח תשדורת קוונטית בטוחה לכאורה.
האקר רגיל לא יוכל לבצע התקפה כזאת אומר מקרוב. "היא אינה מתאימה לבני עשרה, וצריך גישה למעבדת אופטיקה. זו טכנולוגיה שאינה קיימת במרתפים – עדיין." חברת ID Quantique שיפרה אמנם מאז את ההתקן שלה, כך שלא יהיה פגיע להתקפות מסוג זה, אבל הפריצה של מקרוב פוצצה את בועת השלמות שהקיפה את ההצפנה הקוונטית. "תמיד קל יותר לשבור מאשר לבנות," אומר מקרוב.
מבחינת ברסרד, אין ספק שהרעיון המופרך שהוא ובנט פיתחו לפני שנים רבות על חוף הים – גם אם אינו מושלם – יהיה חיוני לאבטחה העתידית של רשתות רבות בעולם. "זה יצריך הרבה כוח רצון וזה יהיה יקר, בדיוק כמו המלחמה נגד שינוי האקלים," אומר ברסרד, "אבל ההשקעה היא אפסית ביחס למה שנאבד אם לא נעשה זאת… בשני המקרים."
לקריאה נוספת
- The Cost of the "S" in HTTPS. David Naylor et al. in Proceedings of the 10th ACM International on Conference on Emerging Networking Experiments and Technologies, pages 133-140; 2014
- NSA Seeks to Build Quantum Computer That Could Crack Most Types of Encryption. Steven Rich and Barton Gellman in Washington Post; January 2, 2014
- Quantum Cryptography. Charles H. Bennett, Gilles Brassard and Artur K. Ekert; October 1992
- סודות שמורים היטב. גארי סטיקס, סיינטיפיק אמריקן ישראל, אפריל-מאי 2005