/
Автор: Петренко Алексей
Теги: информационные технологии вычислительная техника обработка данных качество систем и программ оргсвязь квантовые вычисления блокчейн
ISBN: 973-5-4461-2357-5
Год: 2023
Похожие
Текст
Алексей Петренко
КВАНТОВО-
УСТОЙЧИВЫЙ
БЛОКЧЕЙН
КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ
БЛОКЧЕЙН-ЭКОСИСТЕМ
И ПЛАТФОРМ В УСЛОВИЯХ АТАК
С ИСПОЛЬЗОВАНИЕМ
КВАНТОВОГО КОМПЬЮТЕРА и
Алексей Петренко
КВАНТОВО-
УСТОЙЧИВЫЙ
БЛОКЧЕЙН
КАК ОБЕСПЕЧИТЬ БЕЗОПАСНОСТЬ
БЛОКЧЕЙН-ЭКОСИСТЕМ
И ПЛАТФОРМ В УСЛОВИЯХ АТАК
С ИСПОЛЬЗОВАНИЕМ
КВАНТОВОГО КОМПЬЮТЕРА
Издание осуществлено при финансовой поддержке
Российского фонда фундаментальных исследований по проекту № 20-04-60080
Опорный образовательный центр по направлениям цифровой экономики на базе Университета Иннополис
С^ППТЕР
Санкт-Петербург • Москва • Минск
2И23
ББК 32.988.02-018.2-07
УДК 004 77+004.056.5
ПЗО
Петренко Алексей
ПЗО Квантово-устойчивый блокчейн. — СПб.: Питер, 2023. — 320 с : ил.
ISBN 973-5-4461-2357-5
Сегодня мы наблюдаем рост внимания к технологии блокчейн и распределенного реестра (англ. Distributed
Ledger Technology, DLT), которая является одной из ключевых сквозных технологий цифровой экономики
Российской Федерации. Однако большинство криптопримитивов, применяемых в блокчейн, в том числе
хеш-функции (ГОСТ Р 34.11-2018, SHA-2, SHA-3, SHA256, Ethash, SCrypt, Xll, Equihash, RIPEMD160
и др.), электронные подписи (ГОСТ 34.10-2018, ECDSA, EdDSA, Ring, One-Time, Borromean, Multi-signature
и др.), асимметричные криптографические алгоритмы (RSA, Диффи — Хеллмана и др.) и соответствующие
протоколы уже не являются квантово-устойчивыми. То есть устойчивыми к атакам с использованием так
называемого релевантного или значимого квантового компьютера (англ. Cryptographically Relevant Quantum
Computer, CRQC). Сегодня уже известны эффективные квантовые алгоритмы, в частности алгоритм Шора
для факторизации и дискретного логарифмирования, которые могут быть успешно применены для взлома
перечисленных криптопримитивов.
Предложена новая постановка задачи обеспечения киберустойчивости блокчейн-экосистем и платформ
цифровой экономики Российской Федерации в условиях квантовых кибератак злоумышленников на основе
авторских моделей и методов квантового криптоанализа и синтеза постквантовых криптопримитивов. В том
числе параметрического выбора постквантовых криптопримитивов на базе целочисленных решеток (lattice-
based cryptography); кодов, исправляющих ошибки (code-based cryptography); многочленов от многих пере-
менных (multivariate cryptography); криптографических хеш-функций (hash-based cryptography); изогений
суперсингулярных эллиптических кривых (supersingular isogeny-based cryptography) и пр. Эта монография
является первой работой по упомянутой проблеме и содержит результаты не только качественного, но и коли-
чественного изучения квантовой устойчивости блокчейн-экосистем и платформ государства и бизнеса. По этой
причине монография представляет несомненный теоретический и практический интерес для специалистов
в области компьютерных наук и информационных технологий для цифровой экономики.
16+ (В соответствии с Федеральным законом от 29 декабря 2010 г. № 436-ФЗ.)
ББК 32.988.02-018.2-07
УДК 004.77+004.056.5
Все права защищены. Никакая часть данной книги не может быть воспроизведена в какой бы то ни было форме
без письменного разрешения владельцев авторских прав.
ISBN 978-5-4461-2357-5
© ООО Издательство «Питер», 2022
© Алексей Петренко, 2022
Оглавление
Вводное слово ректора Университета Иннополис А. Г. Тормасова.....6
Введение..........................................................9
Глава 1. Актуальность создания квантово-устойчивых
блокчейн-экосистем и платформ цифровой экономики
Российской Федерации.............................................15
1.1. Общие сведения о технологии блокчейн....................16
Что понимается под блокчейном.............................18
Как развивался блокчейн...................................22
Какие типы блокчейна существуют...........................29
Каковы перспективы блокчейна..............................35
1.2. Структура и поведение типового блокчейна................39
Связный список............................................39
Цепочка хешей.............................................42
1.3. Проблема обеспечения киберустойчивости блокчейна....... 52
Сопроблемы обеспечения киберустойчивости блокчейна........55
1.4. Возможные представления киберустойчивого блокчейна......66
Глава 2. Модели угроз безопасности блокчейн-экосистемам
и платформам цифровой экономики Российской Федерации.............85
2.1. Модель угроз безопасности цифровой экономики Российской
Федерации на основе аналитики зарубежных национальных
квантовых программ...........................................86
Квантовая инициатива США................................. 89
Квантовые программы стран мира............................97
Общая модель квантовых угроз безопасности................102
2.2. Модель квантовых угроз безопасности блокчейн-экосистемам
и платформам цифровой экономики Российской Федерации........107
Криптопримитивы «Биткоина».............................. 111
Уязвимости «Биткоина»....................................117
Сценарии комбинированных атак.............................121
Возможные квантово-устойчивые решения.....................127
Промежуточные итоги.......................................128
2.3. Общая модель угроз безопасности блокчейн-экосистем
и платформ цифровой экономики Российской Федерации...........129
Алгоритмы консенсуса......................................132
Смарт-контракты...........................................134
Оракулы...................................................136
Узды сети.................................................139
Клиентские приложения.....................................140
Как обеспечить требуемую безопасность блокчейна...........141
2.4. Оценка последствий кибератак злоумышленников
на блокчейн-экосистемы и платформы цифровой экономики
ведущих стран мира...........................................143
2020 год..................................................143
2021 год..................................................147
2022 год..................................................148
Глава 3. Модели и методы анализа квантовой устойчивости
блокчейн-экосистем и платформ цифровой экономики
Российской Федерации.............................................151
3.1. Метод оценки квантовой устойчивости блокчейн-экосистем
и платформ цифровой экономики Российской Федерации ..........152
Вербальная и математическая задача исследования...........152
Предлагаемый метод оценки квантовой устойчивости
блокчейна.................................................156
Разработка платформы «Квант-К»............................162
3.2. Реализация квантового алгоритма Шора на квантовой схеме.172
Квантовый алгоритм факторизации Шора......................180
3.3. Реализация квантового алгоритма поиска Гровера
на квантовой схеме ..........................................187
Разработка алгоритма криптоанализа системы
асимметричного шифрования RSA.............................193
Разработка квантового алгоритма криптоанализа
системы Эль-Гамаля........................................198
3.4. Выработка требований к инструментальным средствам
квантового криптоанализа ..................................199
Математические пакеты Maple и Mathematica ..............202
Эмуляторы квантовых вычислений..........................205
Квантовые компьютеры....................................209
Глава 4. Модели и методы синтеза квантово-устойчивых
блокчейн-экосистем и платформ цифровой экономики
Российской Федерации...........................................217
4.1. Эталонная модель квантово-устойчивой блокчейн-экосистемы
иди платформы цифровой экономики Российской Федерации......218
Международный технический комитет ИСО/ТК 307
(ISO/TC 307)............................................219
Международный союз электросвязи (МСЭ-Т) ................222
Институт стандартов NIST США........................... 227
Европейское агентство ENISA.............................231
Возможная модель квантово-устойчивой блокчейн-платформы.... 234
4.2. Постквантовые криптопримитивы для квантово-устойчивых
блокчейн-экосистем и платформ...............................244
Постквантовые криптопримитивы............................254
4.3. Метод параметрического выбора постквантовых
криптопримитивов...........................................264
4.4. Примеры создания и пилотного внедрения квантово-устойчивых
блокчейнов.................................................275
Заключение.....................................................285
Список литературы .............................................289
Сведения об авторе ............................................319
Вводное слово ректора
Университета Иннополис
А. Г Тормасова
Дорогие читатели!
Предлагаемая вашему вниманию монография посвящена решению одной
из актуальных проблем цифровой экономики Российской Федерации —
обеспечению устойчивости современных блокчейн-экосистем и платформ
государства и бизнеса в условиях атак злоумышленников с использованием
квантовых компьютеров1. Дело в том, что, несмотря на широкое распростра-
нение технологии блокчейн и распределенного реестра (DLT), применяемые
криптопримитивы (хеш-функции, электронные подписи и схемы асим-
метричного шифрования) уже недостаточны для обеспечения требуемой
киберустойчивости блокчейна.
Достижения IBM, а также ряда других высокотехнологичных производите-
лей квантовых компьютеров убедительно свидетельствуют о реалистичности
так называемой квантовой угрозы к 2025 году. Поэтому в технологически
развитых странах мира, главным образом в США, Китае, России и государ-
ствах Евросоюза, запланирован переход к постквантовой криптографии2.
Актуальность тематики исследований подтверждается требованиями Пас-
порта национального проекта «Национальная программа “Цифровая эконо-
мика Российской Федерации” (утв. Президиумом Совета при Президенте
РФ по стратегическому развитию и национальным проектам, протокол от
4 июня 2019 года № 7). В котором «обеспечение устойчивости и безопасности
функционирования информационной инфраструктуры и сервисов передачи,
обработки и хранения больших объемов данных», в том числе национальных
блокчейн-экосистем и платформ, является одной из пяти ключевых целей
проекта «Информационная безопасность».
Вместе с тем в специализированной литературе вопросам устойчивости
блокчейна в условиях беспрецедентного роста угроз безопасности уделено
1 http://government.ru/info/15568/.
' https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-175b.pdf.
не так много внимания. Поэтому появление настоящей книги — значимое
событие в этой предметной области. Монография «Квантово-устойчивый
блокчейн» написана приглашенным доцентом Университета Иннополис
Алексеем Сергеевичем Петренко на основе его собственного весомого научно-
практического опыта в данной области. В том числе в рамках выполнения
научных грантов Университета Иннополис.
Грант РФФИ 20-04-60080/22. Отчет НИР «Математический аппарат для
создания квантово-устойчивых блокчейн-платформ на основе посткван-
товых криптопримитивов». Номер ЦИТиС АААА-А20-120081290051-5.
Грант РФФИ№ 18-47 160011/2021. Отчет НИР «Модельугроз безопасно-
сти эталонной блокчейн-платформы по аналитике зарубежных националь-
ных квантовых программ». Номер ЦИТиС АААА-А18-118101290047-8.
Грантовое соглашение с Академией наук Республики Татарстан (АН РТ).
Отчет НИР «Методика оценивания квантовой устойчивости блок-
чейн-платформ на основе квантовых алгоритмов Шора и Гровера».
№ 18-47-160011/2021. Номер ЦИТиС АААА-А18-118101290047-8 и др.
Автор впервые рассмотрел и предложил варианты решений ряда актуальных
задач квантового криптоанализа и синтеза постквантовых криптоприми-
тивов для квантово-устойчивых блокчейнов. В том числе новый метод
оценивания квантовой устойчивости блокчейн-платформ на основе резуль-
тативного решения задач криптоанализа схем асимметричного шифрования
(RSA, схема Эль-Гамаля) и цифровой подписи (DSA, ECDSA или RSA-PSS),
а также метод параметрического выбора постквантовых криптопримитивов
на основе целочисленных решеток (lattice-based cryptography); кодов, ис-
правляющих ошибки (code-based cryptography); многочленов от многих
переменных (multivariate cryptography); криптографических хеш-функций
(hash-based cryptography); изогений суперсингулярных эллиптических кри-
вых (supersingular isogeny-based cryprography) и др.
Практическая значимость исследований автора заключается в том, что были
разработаны программные платформы (SDK) «Квант-К» и «Постквант-К»
для квантового криптоанализа и параметрического выбора посткванто-
вых криптопримитивов соответственно. При этом полученные результаты
опробованы в гибридной вычислительной среде квантового компьютера
IBM Q (16, 20 и 100 кубит), суперЭВМ IBM BladeCenter (2021), РВС на
ПЛИС Virtex UltraScale (2021), ВС РФЯЦ-ВНИИЭФ (2021) и СКИФ
П-0.5 (2018).
Монография выделяется как методом изложения, так и набором рассма-
триваемых вопросов. Благодаря удачному методическому подходу автору
удалось выбрать ту форму изложения материала, которая без ущерба для по-
нимания существа дела позволила найти разумный баланс между постанов-
кой задач по созданию требуемых квантово-устойчивых блокчейнов, с одной
стороны, и описанием нетривиальных решений инженерных задач квантово-
го криптоанализа и синтеза постквантовых криптопримитивов — с другой.
Монография, безусловно, заинтересует специалистов, связанных с разработ-
кой и реализацией национальных блокчейн-экосистем и платформ. В том
числе разработчиков блокчейн-проектов InnoChain (Innopolis University),
Waves Enterprise (Waves, Vostok), Hyperledger Fabric (Linux, IBM), Corda
Enterprise, Bitfury Exonum, Blockchain Industrial Alliance, Exonum (Bitfury
CIS), Nodes Plus (Ь41), «Мастерчейн 1.0» и «Мастерчейн 2.0», Microsoft
Azure Blockchain, Enterprise Ethereum Alliance («Эфириум 1.0» и «Эфи-
риум 2.0») и др. Она может служить прекрасным базовым пособием для
студентов и аспирантов, обучающихся по направлениям подготовки «Инфор-
мационная безопасность» (10.03.01, 10.05.01, 10.05.03 и 10.06.01) и «Кибер-
безопасность», ориентированным на практические вопросы обеспечения
квантовой устойчивости блокчейн-экосистем и платформ. Также она будет
полезна преподавателям для подготовки лекционных и практических за-
нятий и научным сотрудникам, специализирующимся на квантовом крип-
тоанализе и синтезе постквантовых криптопримитивов.
Существенно, что монография содержит результаты не только качественно-
го, но и количественного изучения квантовой устойчивости национальных
блокчейн-экосистем и платформ. Это позволяет впервые открыть предель-
ный закон эффективности для защиты упомянутых компонентов критиче-
ской информационной инфраструктуры цифровой экономики Российской
Федерации.
Ректор Университета Иннополис,
доктор физико-математических наук, профессор
Александр Геннадьевич Тормасов
Введение
Следует констатировать, что большинство используемых криптоприми-
тивов в современных блокчейн-экосистемах и платформах, в том числе
хеш-функции(ГОСТ Р 34.11 2018, S НА-2, SHA-3, SHA256, Ethash, SCrypt,
ХИ, Equihash, RIPEMD1G0 и др.), электронные подписи (ГОСТ 34.10-2018,
ECDSA, EdDSA, Ring, One-Time, Borromean, Multi-signature и др.), асимме-
тричные криптографические алгоритмы (RSA, Диффи — Хеллмана и др.)
и соответствующие протоколы уже не являются квантово-устойчивыми.
То есть устойчивыми относительно атак злоумышленников с использова-
нием квантового компьютера. Сегодня известны эффективные квантовые
алгоритмы, в частности алгоритм Шора для факторизации и дискретного
логарифмирования, которые могут успешно применяться с целью взлома
перечисленных криптопримитивов.
В 1994 году математик Питер Шор (Peter Shor), в то время работавший
в компании AT&T Bell Laboratories, разработал алгоритм, который позволяет
решить задачу факторизации за полиномиальное время (стало быть, поли-
номиальное количество гейтов) и на полиномиальном количестве кубитов,
в то время как классические алгоритмы решают ее за суперполиномиальное
(субэкспоненциальное) время. Это значит, что, как только квантовый ком-
пьютер с достаточным количеством кубитов (до 20 млн физических кубитов)
будет создан, вся современная криптография окажется под угрозой ком-
прометации. Собственно, она будет сразу скомпрометирована, поскольку
любая информация, сокрытая с использованием этого подхода, может быть
получена любым лицом, имеющим доступ к такому квантовому компьютеру.
Алгоритм Шора отличается от других известных квантовых алгоритмов при-
кладной значимостью и является более сложным с точки зрения математики
и архитектуры. Для его реализации задействованы две вычислительные па-
радигмы: классическая часть готовит входные данные для алгоритма Шора,
а также управляет циклами и возвратами в целях нахождения требуемого
результата; квантовая часть исполняет линейную последовательность уни-
тарных преобразований над специально подготовленными состояниями
входных кубитов. Суть алгоритма факторизации Шора в сведении задачи
факторизации к поиску периода функции. Если известен период функции,
то упомянутая факторизация осуществляется с помощью алгоритма Евклида
за полиномиальное время. Квантовая часть алгоритма факторизации как
раз занимается поиском периода функции, а классическая сначала особым
образом готовит оную функцию, а затем проверяет найденный квантовой
частью период на достаточность для решения задачи. Если период найден
правильно, задача становится решенной. Если нет, квантовая часть алго-
ритма прогоняется еще раз. При этом проверка правильности решения для
задачи факторизации достаточна проста (умножение двух чисел и сравне-
ние с третьим), поэтому данную часть алгоритма обычно не учитывают при
подсчете сложности.
Среди всех квантовых алгоритмов (их более 40) алгоритм Шора наиболее
известен. Можно даже утверждать, что из-за упомянутого алгоритма но-
вая вычислительная модель, основанная на законах квантовой механики,
получила столь широкое развитие. Дело в том, что многочисленные совре-
менные алгоритмы и системы криптографии основаны именно на гипотезе
алгоритмической сложности задачи факторизации числа. При этом ученые,
работающие в области криптографии, полагают, что Агентство национальной
безопасности (АНБ) (National Security Agency, NSA)1 и другие разведыва-
тельные агентства мира накопили огромное количество зашифрованных
данных из Интернета, которые сегодня не поддаются расшифровке совре-
менными средствами. Эти данные сохраняются и пополняются, и резонно
предположить, что в АНБ смогут их расшифровать, когда получат в свое
распоряжение соответствующий квантовый компьютер. При таком сценарии
риску (квантовой угрозе) подвергнется не только личная переписка граждан
за минувшие десятилетия; под угрозой окажется текущая корреспонденция,
которую мы до этого считали надежно защищенной. Еще более категоричен
в высказываниях известный профессор информатики Монреальского уни-
верситета Жиль Брассар (Gilles Brassard)2: «Было бы абсолютным сумасше-
ствием полагать, что где-то там нет кого-нибудь, а может быть, и множества
тех, кто записывает весь сетевой трафик и просто ждет, когда появится тех-
ника, способная взломать все старые шифры. Поэтому, хотя достаточного
для этих целей квантового компьютера еще не существует, и даже если его
не разработают в течение следующих 5-10 лет, как только он появится, вся
ваша корреспонденция, которую вы отправили с первого дня, используя эти
классические методы шифрования, окажется скомпрометирована, то есть
доступна тому, кому она не предназначалась»3.
https://www.nsa.gcw/.
http://www.iro.umontfeal.ca/-brassarcl/web/eil/.
https://$pkurdyumov.ru/uploads/201f>/04/kvantovyj-vzlom.pdf.
Таким образом, квантовый алгоритм Шора позволяет решать задачи фак-
торизации и дискретного логарифмирования и может быть использован для
криптоанализа большинства практически применимых криптосистем (RSA,
DSA, ECDSA, ГОСТ Р 34.10 и др.). Ожидается, что в ближайшие пять лет
квантовые компьютеры превзойдут классические компьютеры архитектуры
фон Неймана в решении задачи криптоанализа. В том числе криптоанализа
криптосистемы RSA (одной и самых распространенных систем асимметрич-
ного шифрования, названной в честь ее авторов — Рона Ривеста (Ron Rivest),
Ада Шамира (Adi Shamir) и Леонарда Адлемана (Leonard Adleman)). К 2025
году квантовые компьютеры смогут эффективно взламывать RSA с длиной
ключа 2048 бит (минимум, рекомендуемый международными криптографи-
ческими стандартами).
На данный момент с помощью алгоритма Шора на квантовых компьютерах
успешно факторизованы числа1 15 = 3x5 и 21 = 3x7. Для решения задачи
факторизации также был адаптирован 4-кубитовый адиабатический кванто-
вый компьютер, факторизовавший число 143 = 11 х 131 2 и 56 153 = 233 х 2413.
Любопытно, что факторизацию большего числа исследователи сперва не за-
метили. Только через два года было показано, что в ходе эксперимента
факторизован целый класс чисел. Далее методом квантового отжига на
компьютере D-Wave 2Х факторизовали число 200 0994. Следующим интерес-
ным результатом стала факторизация числа 291 311 с помощью квантового
компьютера5 6, основанного на принципах ядерного магнитного резонанса.
А рекордным факторизованным числом на текущий момент времени явля-
ется 1 099 551 473 989 = 1 048 589 х 1 048 601s.
Заметим, что практические результаты применения алгоритмов Гровера
и Саймона к анализу даже модельных криптосистем еще слабо изучены, по-
скольку реализация таких систем требует большого количества квантовых
вентилей, недоступного на современном уровне развития Q-технологии.
Однако выборочные примеры имплементации применения метода Гровера
на модельных задачах и его реализации, в том числе на облачном квантовом
1 https://research-information.bris.ac.uk/en/publications/experimental-realization-of-shors-quantum-
factoring-algorithm-usi.
- https://arxiv.org/pdf/! И 1.3726vl.pdf.
3 https://arxiv.org/abs/1411.6758.
4 https://arxiv.org/ab^/1604.05796.
3 https://www.researchgate.net/scientific-contributions/Richard-Tanburn-2079794789.
6 https://4627su41pzrvhaad34118k3y-wpengine.netdna-ssl.com/wp-content/nploads/2020/12/
Analyzing-the-Performanceof-Variational-Quantum-Factoring-on-a-Superconducting-Quantum-
Processor.pdf.
компьютере IBM, представлены в научных работах1. Реализация алгоритма
Саймона описана в техническом пособии по квантовым алгоритмам1 2. Кроме
того, интересно отметить, что наиболее впечатляющие результаты по факто-
ризации были получены с помощью квантовых компьютеров, реализующих
модели, которые ранее считались не вполне подходящими для решения задач
криптоанализа, такие, например, как модель квантового отжига.
Таким образом, развитие алгоритмической базы может сократить сроки
появления эффективных квантовых вычислителей относительно нашей
оценки. Более того, перспективы появления «практического» квантового
компьютера, способного выполнять поставленные задачи криптоанализа,
становятся еще ближе, если учитывать результаты компании IBM по раз-
работке квантовых процессоров. Так, в ноябре 2021 года IBM представила
127-кубитовый процессор Eagle, а к 2023 году прогнозирует преодоление
1000-кубитового предела3. В свое время исследователи компании Google
показали, что для эффективного криптоанализа RSA достаточно порядка
20 млн физических (доступных на текущем уровне технологии) кубитов4.
С учетом возможности эффективного распараллеливания вычислений меж-
ду несколькими устройствами с существенно меньшим числом кубитов,
продемонстрированной в указанной работе, достижения IBM убедительно
свидетельствуют о реалистичности реализации квантовой угрозы. Поэтому
в ближайшее время в технологически развитых странах мира, главным
образом в США, Китае, России и государствах Евросоюза, запланирован
переход к постквантовой криптографии5.
Монография ориентирована на основные группы читателей.
1. Руководителей служб автоматизации (СЮ) и информационной без-
опасности (CISO), которые хотят получить ответы наследующие вопросы.
Является ли корпоративная блокчейн-платформа киберустойчивой к ата-
кам злоумышленников с применением квантового компьютера?
Какие методы и средства рекомендуется использовать для оценивания
квантовой устойчивости блокчейна?
Являются ли криптопримитивы корпоративной блокчейн-платформы
стойкими к квантовым криптоатакам?
1 https://cis.temple.edu/-boji/papers/REU2018.pdf и https://arxiv.org/pdf/1804.03719.pdf.
- https://qiskit.org/textbook/ch-algorithms/iimon.html.
3 https://newsroom.ibm.com/2021-ll-16-IBM-Unveils-Breakthrough-127-Qubit-Quantum-Processor.
4 https://arxiv.org/pdf/1905.09749.pdf.
3 https://nvlpubs.nist.goV/nistpubs/specialpublications/nist.sp.800- 175b.pdf.
Каковы последствия для компании в случае взлома криптопримитивов
корпоративной блокчейн-платформы?
Какие отечественные и международные криптографические стандарты
применимы для создания корпоративной квантово-устойчивой блок-
чейн-платформы?
Какие постквантовые криптопримитивы рекомендуется использовать
для обеспечения требуемой киберустойчивости блокчейна?
Ответы на эти вопросы даны в главах 1,2,3, 4.
2. Разработчиков, проектировщиков и внедренцев технологии блокчейн,
которые желают получить детальное представление о механизмах обеспе-
чения киберустойчивости корпоративных блокчейн-экосистем или плат-
форм, достаточное для того, чтобы грамотно разбираться в этих вопросах,
а возможно, и руководить работами, связанными с разработкой, проектиро-
ванием и внедрением технологии блокчейн. Данной категории читателей
адресованы главы 2, 3, 4.
3. Внутренних и внешних аудиторов, консультантов и тренеров по вопро-
сам безопасности и устойчивости блокчейн.
Данная категория читателей может получить ответы на интересующие во-
просы в главах 1, 2, 3, 4.
Монографию также могут использовать в качестве учебного пособия сту-
денты и аспиранты соответствующих специальностей по направлениям
«Информационная безопасность» и «Кибербезопасность», тем более что
материалы ее глав основаны в том числе на опыте преподавания автора
в Московском физико-техническом институте (МФТИ) и Университете
Иннополис.
Монография содержит четыре главы, которые посвящены:
проблемным вопросам обеспечения киберустойчивости современных
блокчейн-экосистем или платформ цифровой экономики Российской
Федерации и возможным путям их разрешения. В том числе авторским
моделям и методам обеспечения киберустойчивости блокчейна;
актуальным вопросам разработки моделей угроз безопасности и моде-
лей нарушителей для национальных блокчейн-проектов. В том числе
противодействию классическим и квантовым угрозам безопасности для
обеспечения требуемой киберустойчивости блокчейн-экосистем и плат-
форм цифровой экономики Российской Федерации;
перспективным методам оценивания квантовой устойчивости блокчейна,
позволяющим проводить не только качественные, но и количественные
измерения киберустойчивости блокчейн-экосистем или платформ циф-
ровой экономики Российской Федерации. Разработке и программно-тех-
нической реализации авторских квантовых алгоритмов криптоанализа
на квантовых схемах;
примерам разработки квантово-устойчивых блокчейнов, созданных
в ходе выполнения задач федерального проекта «Информационная без-
опасность» национальной программы «Цифровая экономика Российской
Федерации». В том числе перспективным методам синтеза и параметри-
ческого выбора постквантовых криптопримитивов блокчейна.
Автор заранее выражает признательность всем читателям, которые готовы
поделиться своим мнением о данной книге. Отправлять письма можно лично
автору по адресу A.Petrenkol999@rambler.ru.
Алексей Петренко.
Москва — Санкт-Петербург — Иннополис.
Июль 2022 года
Актуальность создания
квантово-устойчивых
блокчейн-экосистем
и платформ цифровой
экономики Российской
Федерации
В этой главе показано, что современные блокчейн-экосистемы и плат-
формы цифровой экономики Российской Федерации не обладают требуемой
киберустойчивостью (cyber resilience) для целевого функционирования
в условиях классических и квантовых атак злоумышленников. К основным
причинам этого относятся высокая структурная и функциональная слож-
ность названных систем, потенциальная опасность имеющихся уязвимо-
стей и «спящих» аппаратно-программных закладок, а также недостаточная
эффективность современных моделей, методов и средств обеспечения ки-
бербезопасности (cyber security), надежности (reliability) и отказоустой-
чивости (response and recovery). Предложено новое определение киберу-
стойчивости блокчейна, под которой понимается способность упомянутой
системы, функционирующей по определенному алгоритму, достигать цели
функционирования в условиях классических и квантовых кибератак зло-
умышленников .
Предложено и обосновано новое представление блокчейна в условиях
роста угроз кибербезопасности в виде динамической системы. Это позво-
лило разработать перспективный абстрактный преобразователь поведения
блокчейна с памятью на основе выявленных динамических взаимосвязей.
В том числе сформулировать и доказать ряд норм, подтверждающих прин-
ципиальное существование решения для обеспечения требуемой кибер-
устойчивости блокчейн-экосистем или платформ цифровой экономики
Российской Федерации в условиях классических и квантовых атак зло-
умышленников.
1.1. Общие сведения
о технологии блокчейн
Покажем актуальность технологии блокчейн на примере отечественных
производственно-сбытовых цепочек, для которых характерны три основных
потока движения активов: товаров, данных и финансовых средств. Товары
здесь поступают от одного участника рынка к другому в обмен на финан-
совые средства. При этом движение финансовых средств привязано к кон-
кретным событиям в производственно-сбытовой цепочке и осуществляется
в электронном виде.
Потоки товаров и финансовых средств сопровождаются потоком данных
в виде, в частности, счетов-фактур, извещений об отгрузке, сертификатов
происхождения товара и пр. При этом все три упомянутых потока опира-
ются на определенный уровень доверия. Например, доверия в отношении
участников торговых сделок; качества и соответствующей стоимости то-
варов; готовности к исполнению договорных обязательств; сохранности
товаров во время транспортировки; неизменяемости или целостности
данных и т. п.
Несмотря на то что уровень доверия между хозяйствующими субъектами
до сих пор в значительной степени поддерживается за счет использования
бумажных документов и рукописных подписей, депонирования средств
и иных услуг, оказываемых доверенными третьими лицами, технология
блокчейн тоже очень полезна. Она дает возможность обеспечить требуемый
уровень доверия с меньшими затратами и более высокой скоростью обмена
данными — в сравнении с другими, альтернативными вариантами.
По сути, блокчейн предлагает протокол взаимодействия заинтересован-
ных участников, который позволяет добиться высокого уровня доверия
к транзакциям благодаря тому, что записи в реестре не подвержены лег-
кой фальсификации (то есть после того, как данные записаны в реестр,
изменить их чрезвычайно трудно). Такая неизменяемость или целост-
ность достигается путем применения теоретически и практически стойких
криптографических примитивов (хеш-функций, электронных подписей,
криптосистем асимметричного шифрования), надежных механизмов кон-
сенсуса/валидации и распределенного характера обработки данных в целом
[1-6, 9-18, 143-173, 178-207, 283-302]. Благодаря этому блокчейн-плат-
формы способны играть роль независимых арбитров и заблаговременно
упреждать риски, когда одна из сторон делового взаимодействия не спо-
собна выполнить свои договорные обязательства (риск несостоятельности
контрагента), а гаранты в лице третьей стороны уклоняются от принятия
части этих рисков на себя.
Помимо высокого уровня доверия, к достоинствам технологии блокчейн
относятся:
обеспечение базового уровня безопасности, необходимого для предприя-
тий цифровой экономики Российской Федерации. Конечно, всегда есть
риск, что злоумышленники взломают периметр защиты блокчейн-эко-
системы или платформы и нанесут невосполнимый ущерб. Однако при-
менение теоретически и практически стойких криптопримитивов блок-
чейна, децентрализация архитектуры и алгоритм консенсуса (получения
согласия) обеспечивают базовую защиту;
операции (транзакции) между государственными и коммерческими
предприятиями могут быть достаточно трудоемкими и занимать много
времени, особенно в отношении соответствия требованиям при участии
третьей стороны. Прозрачность функционирования блокчейна и соот-
ветствующие смарт-контракты значительно ускоряют подобные деловые
операции и делают их более эффективными;
организации имеют возможность генерировать, обменивать, архивиро-
вать и восстанавливать электронные операции надежным, поддающимся
проверке способом. Записи хранятся в хронологически неизменном по-
рядке. Такая прозрачность данных ускоряет проведение аудита и прочих
операций.
Актуальность технологии блокчейн подтверждается выходом новых до-
кументов. Так, осенью 2019 года Минцифры России представило «Дорожную
карту развития “сквозной” цифровой технологии “Системы распределен-
ного реестра”1. В этом стратегическом документе обозначены приоритеты
и перспективы развития технологии в России, поставлены соответствую-
щие цели и задачи. Документ содержит ожидаемые результаты внедрения
и распространения технологии, оценку ее влияния на социальный прогресс,
экономическое развитие и технологическое лидерство страны к 2024 году.
Также обозначены ключевые проекты и стимулирующие мероприятия
к реализации, потенциальные зоны международной кооперации и другие
комплексные инициативы развития технологии распределенного реестра.
А летом 2020 года был принят Федеральный закон от 31 июля 2020 года
https://digital.gov.ru/ru/documents/6670/.
№ 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о внесе-
нии изменений в отдельные законодательные акты Российской Федерации»-.
Он регулирует отношения, возникающие при выпуске, учете и обраще-
нии цифровых финансовых активов; особенности деятельности оператора
информационной системы, в которой осуществляется выпуск цифровых
финансовых активов, и оператора обмена цифровых финансовых активов,
а также отношения, возникающие при обороте цифровой валюты в Рос-
сийской Федерации1.
ЧТО ПОНИМАЕТСЯ ПОД БЛОКЧЕЙНОМ
В открытом докладе Банка России «Развитие технологии распределенных
реестров» (2017) дано следующее, достаточно общее определение. Под тех-
нологией распределенных реестров (DLT) понимается подход к обмену и хра-
нению информации, при котором:
каждый участник может обладать полноценной копией реестра;
синхронизация копий реестра происходит на основе протокола достиже-
ния распределенного консенсуса, то есть соглашения среди участников
на добавление новой информации;
каждый участник взаимодействия может иметь доступ к истории транз-
акций.
Таким образом, здесь под блокчейном понимается вариант реализации сети
распределенных реестров, в котором данные о совершенных транзакциях
структурируются в виде цепочки (последовательности) связанных блоков
транзакций2.
В методических рекомендациях (МР) 26.4.001-2018 «Термины и опреде-
ления в области технологий цепной записи данных (блокчейн) и распреде-
ленных реестров» национального технического комитета (ТК) по стандар-
тизации, ТК 26 «Криптографическая защита информации» под реестром
(ledger) понимается совокупность данных, в том числе в электронном виде,
структурированных и хранимых в целях их учета, поиска, обработки и кон-
троля. Под цепной записью данных, или блокчейном (blockchain), понимается
реестр, данные в который записываются блоками таким образом, что каждый
’ http: // www.consultant.ru / document /cons_doc_LAW_358753/е2 1 bf6629de 12458b6382a7c2310
cc359186da60/.
' https://cbr.ru/Content/Document/Fiie/50678/Consultation—Paper_171229(2).pdf.
новый блок включает информацию о предыдущем блоке1. Заметим, что
в этом документе на десяти страницах представлены определения 36 клю-
чевых терминов технологии распределенного реестра и блокчейна.
В международном стандарте 1SO/CD 22739 «Технологии блокчейн и рас-
пределенных реестров — Терминология» (Blockchain and distributed ledger
technologies — Terminology, 2020)2 понятие «блокчейн» раскрыто следующим
образом. Под блокчейном понимается способ создания и использования жур-
нала транзакций в цифровой среде, который организован особым образом.
Для фиксации фактов совершения операций производятся определенная
вычислительная работа, специальные процедуры хеширования, подписи,
шифрования, а также записи в распределенной сети. Всего в этом стандарте
на 20 страницах представлены определения 84 ключевых терминов техно-
логии блокчейн.
Также в литературе [5,6,29,44-48,53-58,71,78-81,85-90,94-101,110-117,
119-132, 152-167, 184-198, 202-213, 215, 249, 254-267] можно встретить
другие определения блокчейна, например:
блокчейн — совокупность баз данных, тождественность содержащейся
информации в которых обеспечивается на основе установленных алго-
ритмов (алгоритма);
блокчейн — сеть для обработки транзакций с набором правил («прото-
кол доверия»), с помощью которых участники могут прийти к общему
видению журнала транзакций и зафиксировать состояние сети в каждый
конкретный момент времени;
блокчейн — распределенная база данных, у которой устройства хранения
не подключены к общему серверу;
блокчейн — тип распределенной базы данных, где записи группируются
в блоки, каждый из которых связан с предыдущим посредством исполь-
зования хеш-ключа;
блокчейн технология ведения реплицируемых распределенных реестров
(баз данных), обеспечивающая осуществление транзакций равноправными
участниками в цифровом формате без привлечения посредников.
В настоящей монографии под блокчейном понимается разновидность рас-
пределенного реестра (DLT), использующая последовательность блоков для
1 https://tc26.rti/standarts/metodicheskie-rekomendat3ii/mr-26-4-001-2018-terminy-i-opredeleniya-
v-oblasti-tekhnologiy-tsepnoy-zapisi-dannykh-blokcheyn-i-raspredelennykh-reestrov.html.
' https://www.iso.org/standard/73771.html.
достижения достоверного консенсуса (согласия) в децентрализованной рас-
пределенной системе защищенным от злоупотреблений способом. Реестры —
это перечни записей, в которых транзакции регистрируются один раз, после
чего они не могут быть изменены, то есть любые изменения должны реги-
стрироваться как новые транзакции (записи в учетных реестрах). При этом
каждая запись может быть прочитана многократно.
Заметим, что слово «реестр» пришло из бухгалтерской отчетности, где
записи, внесенные в реестр (книгу) бухгалтерского учета, не могут быть
изменены. Реестры могут храниться в базе данных, которая в этом случае
называется базой данных реестра. Здесь использование хешей гарантирует
целостность сведений, содержащихся в базе данных блокчейна.
С технической точки зрения под блокчейном будем понимать усовершен-
ствованный механизм системы управления базами данных, позволяющий
организовать открытый обмен и обработку данных в рамках некоторой
распределенной сети или цифровой платформы (далее — блокчейн-плат-
формы). Здесь база данных блокчейна хранит данные в блоках, связанных
между собой в цепочку, и каждый блок содержит определенную техническую
информацию. В том числе метку времени, хеш предыдущего блока, хеш кор-
невого узла, хеш заголовка текущего блока и как минимум одну транзакцию.
При этом база данных блокчейна носит распределенный характер, поскольку
множество ее копий хранятся в разных узлах. С помощью алгоритма кон-
сенсуса (существует более 14 алгоритмов) происходит скоординированное
обновление многочисленных копий путем добавления к ним новых блоков
данных, благодаря чему обеспечивается идентичность всех копий. Таким
образом, содержимое блоков данных и их последовательность в блокчейне
определяются консенсусом участвующих узлов, а каждый блок содержит
«отпечаток» (хеш), который может быть использован для рекурсивной про-
верки содержимого всех предыдущих блоков.
Заметим, что для самостоятельного управления сделками без привлечения
третьей стороны используют так называемые смарт-контракты, под кото-
рыми понимаются программные приложения, автоматически запускающиеся
при соблюдении заданных условий. Транзакции записываются в реестр, если
соответствуют условиям проверки «Если... то...». Например, у логистической
компании может быть заключен смарт-контракт, по которому оплата произ-
водится автоматически после прибытия товара в порт. А термин «блокчейн-
протокол» относится к различным типам блокчейн-платформ для разработки
приложений. Каждый блокчейн-протокол адаптирует базовые принципы
блокчейна к конкретным отраслям или приложениям.
В технологии блокчейн также используются следующие понятия и опре-
деления [94-101, 110-117,119-132,152-167,184-198,202-213,215,249,
254-267].
Блок — данные, которые добавляются в реестр после их проверки. После
того как блок записывается в цепочку, его нельзя изменить или удалить
без замены всех последующих блоков.
Консенсус — его соблюдение является важной особенностью блокчейн-си-
стем, благодаря которой пользователи узнают о том, что транзакция имела
место, и могут оценить достоверность информации как внутри транзакции,
так и о ней (в частности, дату/время совершения и содержимое транзак-
ции). В открытых блокчейнах в качестве арбитра, принимающего решение
о наличии консенсуса, выступает группа всех узлов, которые решили при-
нимать участие в механизме консенсуса. В закрытых блокчейнах арбитром
является консорциум, в который входят узлы, получившие разрешение
на участие в механизме консенсуса. Далее в тексте содержится более по-
дробная информация о разных способах достижения консенсуса.
Фиаты, или фиатные деньги, — валюты, которые поддерживает Банк
России, например рубли, доллары, евро, иены и т. д.
Криптографическая хеш-функция — результат математических вычисле-
ний, произведенных с числовым представлением данных в битовый мас-
сив фиксированного размера. Результат, производимый хеш-функцией,
называется хеш-суммой или просто хешем (входные данные часто на-
зывают сообщением). Этот результат характеризуется фиксированным
размером и представляет собой уникальный цифровой «отпечаток» дан-
ных. Для идеальной хеш-функции выполняются следующие условия:
• хеш-функция является детерминированной, то есть одно и то же со-
общение приводит к одному и тому же хеш-значению;
• хеширование — односторонняя функция, то есть на основе одного хеша
практически невозможно воссоздать сообщение (совершить обратное
преобразование);
• значение хеш-функции быстро вычисляется для любого сообщения;
• невозможно найти сообщение, которое дает заданное хеш-значение;
• невозможно найтидва разных сообщения с одинаковым хеш-значением;
• небольшое изменение в сообщении меняет хеш настолько сильно, что
новое и старое значения не совпадают.
Узел — система, в которой хранится полная копия блокчейн-реестра. В од-
них блокчейнах, например в «Биткоине» и «Эфириуме», в осуществлении
алгоритма консенсуса могут участвовать все узлы, в других блокчейнах —
лишь некоторые из них.
Транзакция — автоматизированная процедура, в рамках которой в ре-
зультате добавления в реестр новых данных происходит создание в базе
данных блокчейна блокчейн-ресурса или обновление его статуса. При-
меры таких транзакций включают в себя обмен цифровыми активами
или выполнение автоматизированного бизнес-процесса.
Валидация — одновременно выполняемая узлами работа, в ходе кото-
рой осуществляется проверка транзакций с использованием алгоритма
консенсуса. В разных сетях могут использоваться разные алгоритмы
консенсуса. Если по итогам взаимной проверки достигается консенсус,
то все узлы регистрируют (записывают) в своей копии блокчейна про-
веренные транзакции в виде нового блока и пр.
КАК РАЗВИВАЛСЯ БЛОКЧЕЙН
В октябре 2008 года анонимным автором или группой авторов, скрыва-
ющихся под псевдонимом Сатоши Накамото, была опубликована статья на
девяти страницах под названием «Биткоин: система цифровой пиринговой
наличности» (Bitcoin: A Peer-to-Peer Electronic Cash System)1. В ней впервые
описана полностью децентрализованная система электронной наличности,
не требующая доверия третьей стороны [249]. Интересно отметить, что в этой
публикации ни разу не встречался термин «блокчейн» — вместо него ис-
пользовались понятия «цепочка» и «блоки» (которые составляют цепочку).
Понятие «блокчейн» было введено в обиход позднее, в ходе последующих
обсуждений упомянутой статьи Накамото. Девятого января 2009 года Са-
тоши Накамото разместил версию 0.1 программного обеспечения «Битко-
ина» на сайте программного обеспечения с открытыми исходными кодами
SourceForge2. Через несколько месяцев заработала первая биткоин-сеть, и На-
камото за первый год ее существования заработал 1 млн цифровых монет.
В первое время после запуска «Биткоина» никто не интересовался лично-
стью Накамото, поскольку «Биткоин» не имел значительной ценности (его
текущая рыночная капитализация — более 365 млрд долларов). Предпола-
https://eoinspot.io/technology/bitcoin/perevod-stati-satoshi-nakamoto/.
https://sourceforge.net/projects/bitcoin/.
гаемый создатель цифровой монеты активно участвовал в ее разработке на
протяжении двух лет, оставляя сообщения на специализированных ресур-
сах и переписываясь с разработчиками по электронной почте. При этом он
выходил в Интернет, используя сеть Тог и другие средства коммуникации,
которые обеспечивали анонимность. В середине 2010 года Сатоши Накамото
передал Гевину Андресену и другим ведущим разработчикам проекта кон-
троль над репозиторием исходных кодов и обновлениями, а также над рядом
соответствующих смежных интернет-доменов и покинул проект. Несмотря
на многочисленные спекуляции и поиски1, до сих пор никому не удалось
установить личность Сатоши Накамото.
Отметим, что первый блокчейн образца 2010 года представлял собой удоб-
ный транзакционный сервис платежей «из точки А в точку Б», но спектр
действий, производимых с деньгами, конечно, намного шире: деньги можно
одалживать, депонировать, инвестировать, давать в рост и т. д. Поэтому
функциональность упомянутого сервиса была существенно дополнена
и развита с помощью так называемых смарт-контрактов. Под смарт
контрактом обычно понимается самоисполняемый договор, запрограм-
мированный на некоем языке программирования (полном по Тьюрингу).
Для заключения таких договоров потребовались соответствующие плат-
формы. Они и преобразовали идею первого блокчейна в идею создания
«ландшафта разработки» децентрализованных приложений (DAPs) с от-
крытым исходным кодом. Первым таким блокчейном стал «Эфириум 1.0»
(Ethereum), созданный в 2013 году российско-канадским программистом
Виталиком Бутериным (Vitalik Buterin; род. 31 января 1994 года; Коломна,
Россия1 2). Название «Эфириум» разработчик дал в честь учения Аристотеля
об эфире — всеобъемлющем пятом элементе Ethereum3. К Бутерину при-
соединились другие известные эксперты в области компьютерных наук:
Гэвин Вуд, Чарльз Хоскинсон, Энтони Ди Иорио и Джозеф Любин. Так,
доктор Гэвин Вуд разработал новый язык программирования Solidity —
для программирования смарт-контрактов, а кроме того, «желтый доку-
мент» для протокола выполнения смарт-контрактов — Ethereum Virtual
Machine (EVM). Последнее оказало значительное влияние на обеспечение
целостности и совместимости приложений нового блокчейна, позволив
выявлять ошибки в программном коде, допущенные при разработке [177,
178, 184-186, 194, 195, 202-204, 215, 216].
1 https://rtvi.com/news/wsj -na-sude-v-ssha-mogut-raskryt-lichnost-sozdatelya-bitkoina/.
- https://pantheon.world/profile/person/Vitalik_Buterin.
3 http://rushist.com/index.php/philosophical-articles/2342-trudy-aristotelya.
Запуск «Эфириума 1.0» состоялся в 2015 году. При этом инфраструктура
его транзакций отличалась от «Биткоина»: «Биткоин» использовал модель
UTXO (вывод неизрасходованных транзакций), «Эфириум» — модель уче-
та. Это позволило увеличить среднюю скорость транзакций практически
вдвое — около 15 транзакций в секунду (TPS). Далее последовал этап ин-
тенсивного развития технологии «Эфириума», многие компании стали ис-
пользовать ее для выпуска новых денег и краудфандинга виртуальных денег
для своего бизнеса. Данный механизм финансирования получил название
ICO (initial coin offerings). Котировки «Биткоина» и «Эфириума» взлетели,
наступил бум ICO, но одновременно возник (и, к сожалению, потом частич-
но оправдался) страх повторения ситуации под названием «тюльпановая
лихорадка» (ажиотажный спрос на луковицы тюльпанов в Нидерландах
в 1637 году, который привел к разорению значительных слоев населения1).
Тем не менее, несмотря на имеющиеся колебания котировок, технология
«Эфириум» продолжает развиваться и привлекать к себе внимание потреби-
телей и разработчиков. Для нее созданы специальные инструменты, а также
комплекты обучающих материалов, облегчающие процессы разработки,
например OpenZePelin, Remix, Truffle Suite и др. Стало возможным также
использовать различные языки программирования и инструментальные
среды, в частности JavaScript и Vyper. Например, Vyper представляет собой
экспериментальный язык программирования, который позволяет написать
соответствующее приложение и затем скомпилировать его в байт-код вир-
туальной машины Ei liereum (EVM). Смарт-контракты на Vyper отличаются
простотой и компактностью, содержат меньше уязвимостей по сравнению
с другими языками программирования.
В декабре 2021 года стартовал обновленный блокчейн «Эфириум 2.0».
На данном этапе введена цепочка Beacon Chain, что ознаменовало начало
перехода от консенсуса на основе доказательства работы (PoW) к консен-
сусу на основе доказательства ставки (PoS). При этом большинство про-
токолов второго уровня представляют собой внешние усовершенствования
«Эфириума», выполненные сторонними командами разработчиков. Теку-
щие обновления «Эфириума 2.0» включают в себя шардинг и технологии
нулевого знания (например, zk-роллапы, zk-SNARKs) aaEthereum maincham.
Существенно, что пропускную способность «Эфириума 2.0» удалось повы-
сить до 100 тыс. транзакций в секунду (TPS). В целом «Эфириум» — самый
крупный блокчейн-проект по количеству транзакций, он входит в тройку
лидеров по объемам рыночной капитализации (более 125 млрд долларов)
[194, 195, 202-204,215,216].
http://www.florets.ru/statji/tyuljpannaya-lihoradka.html.
В настоящее время различают пять основных поколений блокчейна [44-48,
53-58, 71, 78-81, 85-90, 94-101, 110-117, 119-132, 254-267].
Первое поколение блокчейна — биткоин (Bitcoin) и другие виртуальные валю-
ты. Оно появилось в 2008 году и лежит в основе цифровых систем денежных
расчетов. Первым и наиболее популярным представителем этого поколения
является «Биткоин», предложенный Сатоши Накамото (неизвестный чело-
век или группа лиц под этим псевдонимом) [249].
Второе поколение блокчейна — на основе смарт-контрактов, которые под-
держивают выполнение функций регистрации, подтверждения и передачи
не только криптовалюты, но и других активов (всех видов контрактов и соб-
ственности). Например, разработчики «Эфириума» решили использовать
технологию блокчейн в сделках по передаче активов. Значительным вкладом
стала возможность использования смарт-контрактов. При этом протоколы
блокчейна второго поколения могут как использовать распределенный жур-
нал записей биткоина, так и создавать собственные распределенные журналы
записей [177, 178, 184-186, 194, 195, 202-204, 215, 216].
Выделяют следующие основные направления применения технологии блок-
чейн второго поколения:
умные активы;
умные контракты;
кошельки;
децентрализованные приложения (decentralized aplications, DAPs);
децентрализованные автономные организации и корпорации (decentra-
lized autonomous organization/corporation, DAO/DAC);
децентрализованные автономные общества (decentralized autonomous
society, DAS) и др.
Третье поколение блокчейна имеет в своей основе модели и методы при-
менения прямых ациклических графов (directed acyclic graph, DAG), под
которыми понимаются структуры обработки данных на основе топологи-
ческих деревьев. Расположение блоков в такой структуре не обязательно
последовательное (как в технологиях блокчейн 1.0 и 2.0) и может обеспе-
чивать прямые связи между транзакциями цепи. Цепь в такой структуре
выстраивается уже не из блоков, а из транзакций. Хеш при этом вычисляется
из родительской транзакции и передается в следующую связанную с ней
транзакцию. Основные преимущества применения прямых ациклических
графов — высокие показатели оперативности и безопасности обработки
данных. Если в биткоине для создания нового блока требуется порядка
10 мин, то в блокчейне второго поколения подобная задача решается за
20 с («Эфириум»), Кроме того, с применением прямых ациклических графов
отпадает необходимость собирать транзакции в блоки, что в теории обеспе-
чивает проведение сотен тысяч транзакций в секунду.
Блокчейн третьего поколения нашел применение для организации:
служб идентификации (систем безопасности электронной почты KeylD,
систем сопоставления 32-разрядных буквенно-цифровых идентификато-
ров с удобочитаемым именем OneName и BitID, систем идентификации
на базе адреса биткоин-кошелька типа Bithandle);
служб аттестации, обеспечивающих доказательство авторства (например,
веб-служба Proof of Existence) и целостность документов (применимо
для доказательства существования завещаний, договоров, доверенностей,
медицинских свидетельств, долговых расписок и т. п.) с указанием вре-
менных меток и без раскрытия содержащейся в них информации;
служб моментальных выплат и вычетов, например перевод средств по-
страдавшим в результате дорожно-транспортного происшествия с одно-
временным снятием средств со счета виновника происшествия;
служб, оказывающих часть государственных услуг, например заключение
браков с последующей привязкой договора опеки над ребенком, прав
владения недвижимостью и т. п.;
служб выдачи документов международного образца, например между-
народных паспортов без привязки к конкретному государству (проект
World Citizen);
служб редактирования и цензуры в Интернете, например, по децентрали-
зации DNS (Namecoin, обеспечивает функционирование доменных имен
верхнего уровня .bit), WikiLeaks (wikileaks.bit), записей Twitter (проект
Alexandria) и др.
Четвертое поколение блокчейна представляет собой решения с высокой мас-
штабируемостью и возможностью оптимизации нагрузки в целом. Это, на-
пример, блокчейн-проекты OPorty Plasma Cash, PolkaDot, Universa и EOS.
OPorty Plasma Cash — проект 2017 года под руководством В. Бутерина1.
В основе этого решения лежит утверждение о том, что пользователю нужно
обладать сведениями лишь о транзакциях, содержащих монеты, которые он
хочет отслеживать. Таким образом, у пользователя отсутствует необходи-
https://github.com/oPorty-com/Plasma-Cash.
мость загружать целые блоки цепочки. Решение позволяет достичь скорости
работы сети 5000 транзакций в секунду и более.
PolkaDot — проект 201G года под руководством Гэвина Вуда (управляется
швейцарской компанией Web3 Foundation1). К его основным компонентам
относятся:
связующая сеть (relay chain) — центр системы, обеспечивающий обмен
транзакциями между цепочками; достижение консенсуса, а также общая
безопасность экосистемы;
парачейны (parachains) — разнородные цепочки блоков, обеспечивающие
проведение транзакций;
мосты (bridges) — своеобразные ссылки на цепочки блоков, обладающие
собственными механизмами для достижения консенсуса.
Данное решение отличается высоким уровнем доверия и базовой безопас-
ностью, объединяет разнородные цепочки блоков. Используемый алгоритм
консенсуса — доказательство концепции (proof of conception).
Universa — проект 2017 года, ориентированный на обеспечение работы со
смарт-контрактами (прежде всего, в области оформления прав собственности
на объекты недвижимости1 2). Декларируется скорость работы блокчейн-про-
екта 20 тыс. транзакций в секунду.
EOS (Block.one) — проект 2017 года, который обеспечивает работу децен-
трализованных финансовых приложений3. Отношения между участниками
взаимодействия здесь регулируют смарт-контракты. Решение отличается
масштабируемостью и высокой производительностью — до нескольких мил-
лионов транзакций в секунду. В качестве алгоритма консенсуса используется
делегирование доказательства доли (delegated prof of stake).
В основе пятого поколения блокчейна лежат специальные методы хране-
ния данных и так называемого бесконечного разделения (infinite sharding
paradigm), которые направлены на решение двух задач — оптимизации
размера блокчейна и уменьшения сложности внесения изменений в архи-
тектуру блокчейна. Метод хранения данных позволяет хранить файлы вне
блокчейна, сохраняя в нем только хеш-файл и, возможно, смарт-контракт,
содержащий сведения об условиях хранения этого файла. Метод бесконеч-
ного разделения обеспечивает группирование цепочек аккаунтов в цепочки
1 https://polkadot.network/ru/.
' https://universablockchain.com/.
3 https://ru.wikipedia.org/wiki/EOS.IO.
«осколков» таким образом, что каждый блок цепочки осколков содержит
блоки цепочек аккаунтов. Известным примером является блокчейн-проект
Telegram Open Network (TON)1.
Проект стартовал в 2019 году под руководством братьев Дуровых и по-
зволил начать создание блокчейн-экосистем, обеспечивающих хранение
персональных данных («телеграм-паспорт») в облачном хранилище, а также
регистрацию в сервисах, требующих подтверждения личности.
Главными компонентами TON являются:
цепочка блоков (TON blockchain);
сеть (TON network);
службы и приложения (TON services and aplications);
система оплаты (TON payments).
При этом TON позволяет создавать следующие цепочки блоков:
главную цепочку (masterchain), которая содержит сведения о параметрах
системы, состоянии рабочих цепочек, хешей всех последних блоков, ко-
личестве выпущенных токенов GRAM и пр.;
рабочие цепочки (workchains), объединяющие цепочки «осколков».
Каждая рабочая цепочка обладает уникальным идентификатором и соб-
ственной логикой, может иметь свою виртуальную машину и форматы
адресов. Всего TON поддерживает до 232 рабочих цепочек, каждая из
которых может содержать до 260 цепочек «осколков»;
цепочки «осколков» (shardchains), которые обеспечивают масштабиро-
вание системы и могут обмениваться данными. Подчиняются правилам
своей рабочей цепочки;
цепочки аккаунтов (accaunt-chains), которые представляют собой вирту-
альные (логические) цепочки, содержащиеся внутри цепочек «осколков»,
и являются своеобразным реестром входящих и исходящих сообщений
для определенного аккаунта.
Двадцать девятого июня 2021 года Павел Дуров передал домен ton.org
и GitHub-репозиторий независимому сообществу разработчиков TON2.
1 https://ru.wikipedia.org/wiki/The^Open_Network.
' https://teletype.in/@dreamwalkers/ton.
КАКИЕ ТИПЫ БЛОКЧЕЙНА СУЩЕСТВУЮТ
В настоящее время выделяют следующие типы блокчейна:
публичные или открытые;
частные или закрытые (контролируемые);
гибридные;
консорциумы блокчейна [5, 6, 29, 44-48, 53-58, 71, 78-81, 215, 249,
254-267].
Публичные или открытые блокчейны сегодня составляют подавляющее боль-
шинство из числа известных. Они предполагают наличие высокодецентра-
лизованной, полносвязной сетевой топологии, созданной на базе общедо-
ступной цепочки. В основе их работы лежит принцип абсолютного доверия;
открытый блокчейн разрабатывается так, чтобы вообще не возникала необхо-
димость доверять контрагентам. Именно поэтому иногда говорят, что такой
блокчейн «не требует доверия». Работа открытых блокчейнов подчиняется
правилам, не предусматривающим вмешательства со стороны механизмов
управления или регулирования. Это делается для предотвращения несанк-
ционированных транзакций, так как механизмы управления могут быть
использованы со злым умыслом (например, если механизм управления
будет взломан третьей стороной или если доверенный орган регулирова-
ния злоупотребит им). В таких блокчейнах не нужно получать специаль-
ное разрешение для участия в работе механизмов консенсуса и блокчейна
в целом. Любой желающий может, не проходя полноценной идентификации,
свободно присоединиться к сети и получать вознаграждение за свою роль
в достижении консенсуса.
При отсутствии центрального органа, который в авторитарном порядке об-
новляет реестр и узлы, валидирующие информацию, достигается согласие
относительно общего состояния реестра. Процесс консенсуса, как правило,
имеет два основных этапа, таких как:
проверка, в процессе которой каждый валидатор идентифицирует и про-
веряет корректность изменений, вносимых в реестр;
достижение соглашения об обновлении информации в реестре и утвер-
ждение изменений (задействуются механизмы или алгоритмы, не позво-
ляющие приводить к возникновению конфликтов в реестре).
Все участники блокчейна изначально обладают равными правами на чтение,
редактирование и проверку данных. Одно из опасений, связанных с техно-
логией публичных или открытых блокчейнов, заключается в том, что если
большая часть узлов окажется под контролем злоумышленника (такая угро-
за получила название «атака Сивиллы»), то решение о наличии консенсуса
может быть принято вопреки интересам других участников. В случае успеш-
ной атаки Сивиллы она способна привести к перераспределению активов
и/или двойному расходованию денежных средств с катастрофическими по-
следствиями. Для нейтрализации такой угрозы и повышения устойчивости
открытых блокчейнов, как правило, приходится жертвовать некоторыми
аспектами эффективности. В целом открытый блокчейн характеризуется
высокой безопасностью, но предполагает принятие определенных компро-
миссов в отношении производительности. Наряду с низкой пропускной
способностью транзакций могут возникнуть другие проблемы. Например,
любые изменения в работе блокчейна способны привести к разногласиям
меязду участниками по поводу предлагаемых нововведений и расхождению
мнений сообщества в виде двух отдельных цепочек. Лучше всего этот вариант
подходит организациям, которым нужна большая безопасность расчетов
по торговым сделкам (или смарт-контрактам). Примерами таких блок-
чейн-платформ являются «Биткоин»1, «Эфириум»2 и Litecoin?, а также ряд
других известных блокчейнов, позволяющих совершать любые логически
корректные транзакции между всеми участниками сети, включая анонимных
и пользующихся псевдонимом.
В отличие от публичных частные или закрытые (контролируемые) блок-
чейны устанавливают свои правила, в соответствии с которыми участники
допускаются к управлению узлами и получают доступ к сервисам сети. Эти
критерии могут включать в себя финансовые (например, платежеспособ-
ность участника или возможность получения доступа к ликвидным ресур-
сам), а также юридические (способность участника выполнять договорные
обязательства перед системой или наличие соответствующих лицензий на
осуществление деятельности) требования. В такой сети участники иден-
тифицируемы, допуск ограничен и регламентирован согласно правилам
сети; статус участников, ответственных за валидацию, закреплен за опре-
деленными контрагентами, и в большинстве случаев существует некоторая
https://bitcoin.org/ru/.
https://ethereum.org/ еп/.
https://litecoin.com/en/.
инстанция, управляющая правилами сети. Такие блокчейны уже не децентра-
лизованные системы в чистом виде, поскольку существует четкая иерархия
в отношении контроля доступа. Однако они являются распределенными,
так как многие ноды по-прежнему поддерживают необходимость в копии
цепочки на своих устройствах.
Таким образом, частные блокчейны управляются одной организацией
и уполномоченный орган управления определяет, кто может быть участни-
ком такого взаимодействия и какими правами он обладает. Например, если
обрабатывается информация ограниченного доступа, то доступ участников
взаимодействия организуется соответствующим образом — с учетом их
ролей, функциональных обязанностей и матрицы доступа. Кроме того,
блокчейн может быть сконфигурирован таким образом, чтобы ознако-
миться с данными могли все желающие, а добавлять новые — только из-
бранные. Это может потребоваться для ведения закрытого учета конфи-
денциальных сделок по недвижимости или учета специальных разрешений
и лицензий и пр. В отличие от публичных частные блокчейны неизменяемы
(то есть содержащиеся в них данные не могут быть изменены), а для про-
верки транзакций здесь применяются специальные механизмы консенсуса,
определяемые органами управления блокчейном. Заметим, что механизм
консенсуса Proof of Work (PoW), получивший широкое распространение
в открытых блокчейнах, здесь не столь актуален, поскольку в частном
блокчейне угрозы безопасности, сдерживаемые PoW, менее пагубны —
личность каждого участника взаимодействия всем известна, а управле-
ние сетью находится в одних руках. В данном случае более эффективен
механизм консенсуса с заранее назначенными валидаторами, которые, по
сути, являются нодами, определенными для решения поставленных за-
дач в отношении валидации транзакций. Это подразумевает выделение
набора узлов, или нодов, которые должны подписывать каждый блок.
И если узлы начинают действовать злонамеренно, их легко оперативно
обнаружить и удалить из сети.
В целом модель угроз частного блокчейна отличается от открытого — в част-
ном на первое место выходят вопросы контроля именно за доверенными
участниками взаимодействия. Ведь в случае успешных атак злоумышленни-
ков даже пользующиеся доверием органы управления могут быть скомпро-
метированы. Кроме того, в случае перевода части компонентов критической
инфраструктуры частного блокчейна в катастрофическое состояние теряется
важное системное свойство — структурно-функциональная устойчивость.
Наконец, плохо протестированные смарт-контракты тоже могут привести
к определенным проблемам и нанести ущерб. Особенно если в условиях ро-
ста угроз используемые механизмы безопасности и устойчивости блокчейна
окажутся недостаточными.
Частный блокчейн также отличается высокой скоростью работы, поскольку
здесь отпадает необходимость беспокоиться о центральных точках отказа, как
в случае с открытым блокчейном. Данный тип подходит для случаев, когда
участникам взаимодействия и организации приходится функционировать
в условиях жесткого контроля с целью обеспечить требуемую конфиден-
циальность обрабатываемых данных. Это лучше всего для предприятий,
которые заинтересованы в промышленном внедрении блокчейна и при этом
не стремятся сделать его доступным для окружающих. Пример частного
блокчейна — R i Pie, платформа для обмена цифровой валюты1.
Гибридные блокчейны сочетают свойства открытых и закрытых сетей. Это по-
зволяет создавать эффективные на практике блокчейн-платформы и инте-
грировать их в существующую информационную инфраструктуру пред-
приятия, предлагая надежную альтернативу ресурсоемким корпоративным
блокчейн-фреймворкам. Гибридный тип обеспечивает приватность дан-
ных, простоту развертывания, управления и интеграции со сторонними
ИТ-решениями, а также высокую производительность и скорость тран-
закций. Контейнеризированные смарт-контракты, исполняемые в Docker-
контейнере, позволяют реализовать сложную бизнес-логику, написанную
на языках программирования («полных», по Тьюрингу). Таким образом
предприятия могут создавать как частные, так и публичные системы раз-
решений, контролировать доступ к определенным данным в блокчейне,
одновременно под держивая общедоступность других сведений. Наконец, они
могут использовать смарт-контракты, позволяющие публичным участникам
удостовериться в проведении частных транзакций.
Отметим, что большинство отечественных цифровых предприятий ориен-
тированы на разработку закрытых и гибридных блокчейнов. Они имеют
более высокий потенциал применения на рынках в связи с возможностью
создавать механизмы управления блокчейном, ограничения допуска к его
данным, а также контроля и надзора за действиями участников взаимо-
действия.
https://riPle.com/.
Участникам системы могут быть предписаны разные роли, в том числе:
пользователь — юридическое (или физическое) лицо с разрешением
вносить изменения в реестр;
валидатор — узел, которому делегировано право обновлять реестр (уча-
стие в достижении консенсуса);
посредник — промежуточное технологическое звено между системой
и внешними участниками;
администратор — провайдер определенных услуг в системе, например
осуществляющий нотариальное заверение, урегулирование споров, опре-
деление стандартов.
При этом некоторые участники могут иметь доступ только к просмотру
реестра, а другие — право вносить записи в реестр. Реестры историй сделок
и статусов владения ценностями обычно ведутся в качестве общего реестра,
которому доверяют все участники. Например, гибридные блокчейны могут
предоставлять публичный доступ к цифровой валюте, сохраняя частный
доступ к банковской валюте и т. д. Пример гибридного блокчейна — Waves
Enterprise, блокчейн-платформа для бизнеса и государства1.
В основе деятельности блокчейн-консорциумов лежат основные концепции
открытых и закрытых блокчейнов. Наиболее заметное отличие от любого из
этих типов проявляется на уровне консенсуса: вместо открытого блокчейна,
в котором каждый может проверять блоки, или закрытого, где всего одно
ответственное лицо (уполномоченный орган) назначает валидатора, блок-
чейн-консорциум рассматривает в качестве валидаторов сразу несколько
равнозначных сторон. Это позволяет формировать достаточно гибкие пра-
вила работы, так как обзор цепочки может быть ограничен валидаторами,
то есть становится возможным предоставлять доступ к просмотру содер-
жимого в блоках только уполномоченным лицам либо всем без исключе-
ния. При условии, что валидаторы могут достичь консенсуса между собой,
процесс осуществления изменений становится достаточно простым. И если
правила функционирования сторон выполняются без злоупотреблений, то
блокчейн-консорциум продолжает функционировать корректно. Блокчейн-
консорциумом руководит уполномоченный сводный орган управления,
выделенный из группы организаций. При этом организации консорциума
https://wavesenterprise.com/we-whitepaper-rus.pdf.
разделяют ответственность за функционирование такого блокчейна и опре-
деление прав доступа к данным. Таким образом, блокчейн-консорциумы
снижают возможную вероятность рисков контрагента в приватной цепочке
(за счет устранения централизованного управления), а меньшее количе-
ство узлов позволяет им работать намного эффективнее публичной цепи.
Подобные консорциумы хороши для организаций, желающих упростить свое
взаимодействие. Больше всего они подходят тем из них, которые работают
в одной отрасли и им требуется общая основа для проведения транзакций
или обмена информацией. Присоединение к консорциуму такого рода может
быть полезным: это позволит предприятиям обмениваться взглядами на
отрасль с другими участниками и тем самым извлекать выгоду из взаимо-
действия. Пример блокчейн-консорциума — Global ShiPing Business Network,
некоммерческая блокчейн-платформа1, специализирующаяся на цифровиза-
ции судоходной отрасли и расширении сотрудничества операторов морских
перевозок.
По всей видимости, потребность в информационном обмене и осуществле-
нии транзакций между блокчейнами возрастет. Сегодня существует мно-
жество разных блокчейнов, а в будущем их станет еще больше. Уже сейчас
проведение одной транзакции от первого до последнего этапа производ-
ственно-сбытовой цепочки может быть сопряжено с записью или считыва-
нием данных в нескольких блокчейнах. Так, экспортер бывает вынужден
использовать блокчейны банка (по одному на каждый вид перевозок), блок-
чейн импортера, обеспечивающий отслеживаемость, и один или несколько
блокчейнов, которыми пользуются регулирующие органы. Здесь становятся
актуальными вопросы хранения вспомогательных данных либо в открытых/
общедоступных распределенных информационных системах, либо в за-
крытых базах данных, выборочно доступных пользователям контролируе-
мого реестра. Пользуясь внецепочечными или межцепочечными ссылками,
операторы сети могут узнавать о существовании определенных данных, но
доступ к ним может быть ограничен дополнительными механизмами кон-
троля. Это представляет интерес для обеспечения конфиденциальности.
Такие источники внешних данных, иногда называемые «оракулами», будут
подробно рассмотрены ниже.
В межреестровых (затрагивающих разные блокчейны) транзакциях приме-
няются межцепочечные ссылки и смарт-контракты, расположенные в обоих
https://www.gsbn. trade/.
блокчейнах и взаимодействующие скоординированным образом. Эта об-
ласть знаний только зарождается, однако некоторые механизмы уже соз-
даны и используются. Они предназначены в первую очередь для обмена
значениями (то есть цифровыми активами) меяеду реестрами (например,
межреестровый протокол RiPle Interledger Protocol, ILP)1 и платежным
протоколом Lightning Network1 2.
КАКОВЫ ПЕРСПЕКТИВЫ БЛОКЧЕЙНА
Большинство стран мира отмечают высокий потенциал технологии блок-
чейн и всячески поддерживают развитие национальных блокчейн-экоси-
стем и платформ, в том числе за счет отсрочки регуляторных мер. Однако
формирование полноценной регуляторной среды в сфере использования
блокчейна еще не наблюдается, поскольку внимания требуют сервисы, по-
строенные на основе блокчейна, а не сама технология [5, 6, 29,44-48, 53-58,
71, 78-81, 85-90, 94-101, 110-117, 119-132, 152-167, 184-198, 202-213,
215, 249, 254-267].
В деловой среде широко известны следующие крупные блокчейн-кон-
сорциумы.
1. R33.
Финансовый консорциум был создан в 2015 году девятью компаниями:
Barclays, BBVA, Commonwealth Bank of Australia, Credit Suisse, Goldman
Sachs, J.P.Morgan & Co., Королевский банк Шотландии, State Street
Corporation и UBS. Вскоре к организации присоединились еще 13 финан-
совых компаний-лидеров, в настоящее время участников более 80 В марте
2016 года R3 объявил о завершении испытаний блокчейн-решения для
облегчения торговли долговыми инструментами. В тестах принимали
участие 40 банков — членов консорциума, а техническую поддержку
обеспечивали IBM и Intel. В апреле того же года объявили о разработке
платформы Corda, представляющей собой блокчейн-проект с открытым
1 https://w'w-w.blockchain-council.org/blockchain/blockchain-interoperability-projects-overledger-
vs-riPle-interledger-proiocol/.
- https://vc.ru/u/1076926-business-shark-club/3760344’hto-takoe-lightning-network.
3 https://www.r3.com/.
исходным кодом для бизнеса. Она позволяет создавать совместимые
блокчейн-сети, гарантирующие строгую конфиденциальность тран-
закций. Компании могут использовать технологию смарт-контрактов
Corda для проведения быстрых и безопасных сделок. Платформа пред-
назначена для финансовых учреждений и предусматривает особую роль
регулятора.
2. Hyperledger1.
Проект The Linux Foundation (некоммерческий консорциум разви-
тия Linux). Цель — альтернатива «Битгзоину» и «Эфириуму». Основан
в 2015 году. В его состав входят: Cisco, Accenture, Facebook, Google, Microsoft,
Toyota, Panasonic и другие (более 100 участников). В октябре 2016 года
консорциум объявил об организации новой рабочей группы, которая
занялась созданием блокчейн-приложений для здравоохранения (де-
централизованные реестры, взаимодействующие сети, смарт-контракты
и процессы автоматизации). Все разработки ведутся на основе открытого
исходного кода и имеют большие перспективы (например, могут стать
частью будущих стандартов для технологии распределенных реестров).
3. Blockcliain Insurance Industry Initiative (B3i)1 2 3 4.
Создан европейскими страховыми компаниями Aegon, Allianz, Munich
Re, Swiss Re Group. Цель — предоставление клиентам более безопасных
и быстрых сервисов.
4. Fundchain".
В состав консорциума вошли Международный банк Люксембурга(В1Б), BNP
Paribas, CACEIS, Европейское управление фондов, HSBC, ING Luxembourg,
финансовая группа Pictet, RBC Investor & Treasury Services, Societe Generale
Bank & Trust, а также аудиторская фирма PricewaterhouseCoopers (PwC)
Luxembourg.
5. Financial Blockcliain Shenzhen Consortium*.
Объединяет 31 китайскую компанию. Создан для обмена опытом и иссле-
дований технологии блокчейн в области финансов. В планы консорциума
входит создание прототипа платформы для торговли ценными бумагами,
1 https://www.hyperledger.org/.
2 https://b3i.tech/.
3 http://www.fundchains.org/.
4 https://www.fisco.com.cn / еп/.
а также исследование решений в области кредитования и управления
регистрацией цифровых активов и инвойсов.
6. Blockchain Collaborative Consortium1.
Торговая блокчейн-ассоциация, в состав которой вошди 34 компании со
всего мира, включая Microsoft Japan и ConsenSys. Цель — привлечение
инвестиций в стартапы, работающих с блокчейн-технологией.
7. Japan Bank Consortium to Central Provide Domestic and Cross-border
Payment (Консорциум японских банков, предоставляющих услуги по
внутренним и трансграничным платежам)1 2.
Основан в ноябре 2016 года. В состав вошли SBI Holdings, Bank of
Yokohama, SBI Sumishin Net Bank и Mizuho. Цель — создание на основе
блокчейна платежной сети, объединяющей банки и способной осуще-
ствлять платежи круглосуточно в режиме реального времени.
8. Hyperledger3.
Создан голландскими финансовыми и научными организациями и сфо-
кусирован на вопросах логистики. Кроме порта Роттердама, инициа-
тива объединила банк ABN Amro, Делфтский технический универси-
тет, Нидерландскую организацию прикладных научных исследований,
Университет прикладных наук Виндесхейма и цветочный аукционный
дом Royal FloraHolland. Проект будет реализовываться одновременно
с другой блокчейн-инициативой, в рамках которой голландские банки
и финансовые компании займутся разработкой платежных приложений
на блокчейне.
9. Ассоциация «ФинТех», АФТ4.
Создана в декабре 2016 года Банком России вместе с крупнейшими
участниками финансового рынка, сосредоточена на реализации пилот-
ных проектов на основе блокчейна. В настоящее время ведутся работы
по развитию «Мастерчейн 2.0» — единой платформы обмена и хранения
финансовой информации на базе технологии распределенных реестров,
используя которую участники финансового рынка смогут создавать и вы-
водить на рынок инновационные финансовые сервисы.
1 https://isg-one.com/.
2 https://www.sbigroup.co.jp/english/news/pdf/2016/1025_a_en.pdf.
3 https://www.hyperledger.org/.
4 https://www.fintechru.org/.
Девятого апреля 2021 года Ассоциация «ФинТех» (АФТ) и входящие
в нее организации учредили национальный блокчейн-оператор «Системы
распределенного реестра» (СРР1). Среди учредителей — ВТБ, Газпром-
банк, Промсвязьбанк (ПСБ), Национальная система платежных карт,
Московская биржа и др.
В мае 2022 года блокчейн-оператор СРР представил дорожную карту раз-
вития платформы «Мастерчейн 2.0» и сосредоточился на повышении ее
функциональности для масштабирования уже работающих финансовых
сервисов и создания новых отраслевых решений. Одно из самых важных
технологических обновлений — переход на новую версию платформы
«Эфириум»/«Кворум» (Quorum). Ожидается, это значительно увеличит
производительность и отказоустойчивость прикладных сервисов блокчейна.
Так, его пропускная способность может увеличиваться до 2 тыс. транзакций
в секунду, в зависимости от топологии сети.
На базе новой версии платформы «Мастерчейн 2.07 уже запущена инфра-
структура тестирования TestNet. Подключение к ней предоставляется
безвозмездно и позволяет компаниям исследовать возможности тех-
нологии распределенного реестра, а также тестировать новые бизнес-
решения. Также появился интернет-портал технической поддержки
с инструкциями для начала самостоятельной работы на платформе, где
доступны описания практических примеров и связь с группой техни-
ческой поддержки.
В октябре 2022 года планируется запустить набор инструментов разра-
ботчика «Мастерчейн 2.0» (SDK, Software Development Kit). Это позво-
лит повысить удобство и скорость разработки новых бизнес-решений на
платформе. Набор инструментов будет включать в себя готовые шаблоны
смарт-контрактов для токенизации активов, организации полномочий
пользователей и передачи конфиденциальных файлов, а также библио-
теки для отправки транзакций в блокчейн с использованием электронной
подписи в формате ГОСТ и многое другое.
В декабре 2022 года компания «Системы распределенного реестра» рас-
считывает завершить этап исследований для сертификации средства
криптографической защиты информации «Мастерчейн 2.0» на соответ-
ствие требованиям информационной безопасности ФСБ России2.
https://www.dltru.org/.
https://www.dltru.org/platforma-mastercheyn.
1.2. Структура и поведение
типового блокчейна
В основе технологии блокчейн [53-58, 71, 78-81, 85-90, 94-101, 110-117,
119-132] лежат следующие базовые субтехнологии:
связный список;
цепочка хешей;
дерево Меркла (бинарное хеш-дерево);
электронная подпись (ЭП).
СВЯЗНЫЙ список
Под связным списком понимается некоторая динамическая структура дан-
ных, которая состоит из узлов, содержащих не только данные, но и ссылки
(одну или две) на предыдущий или следующий узел этого списка. Главное
отличие связного списка от традиционного массива данных заключается
в том, что элементы связного списка следуют в порядке, не совпадающем
с порядком их размещения в памяти компьютера. На практике это позволяет
разрешить проблему так называемого выравнивания данных, заполняя неза-
нятые (неиспользуемые) участки памяти, обусловленные ее гранулярностью,
элементами связного списка.
Различают следующие представления связного списка:
линейный связный список:
односвязный список (однонаправленный связный список);
двусвязный список (двунаправленный связный список);
XOR-связный список;
кольцевой связный список;
список с пропусками;
развернутый связный список.
В блокчейне блоки соединяются в единую цепь по принципу линейного одно-
связного списка. При этом все они являются однотипными и связываются
между собой с помощью указателей. Первый блок (genesis block) — голов-
ной, на него не указывает ни один другой блок, а последний блок имеет
указатель с нулевым значением (рис. 1.1). В односвязном списке можно
двигаться только слева направо, по направлению к концу списка. Опреде-
лить адрес предыдущего элемента списка по содержимому текущего узла
невозможно, поскольку он не содержит такую информацию.
Элемент 1 Элемент 2
Гэловной элемент
Конечный элемент
Рис. 1.1. Представление блокчейна по принципу линейного
одногосвязного списка
С линейным односвязным списком можно проводить следующие операции:
проверку списка на пустоту;
добавление элемента в начало списка;
добавление элемента внутрь списка (после любого элемента списка);
добавление элемента в конец списка;
вычисление первого (головного) элемента списка;
доступ к списку, состоящему из всех элементов исходного списка, кроме
первого.
Линейный односвязный список (см. рис. 1.1) может характеризоваться
такими параметрами, как:
длина списка (количество элементов);
типизированность (заданный типом данных, которые записываются
в блоки);
отсортированность (расстановка элементов в заданном порядке исходя
из их содержимого);
тип доступа (способ обращения к содержимому блоков: последователь-
ный или произвольный).
К основным достоинствам линейного односвязного списка относятся:
простота и эффективность добавления и удаления элементов;
ограничение размера списка только объемом памяти компьютера и раз-
рядностью указателей;
быстрое динамическое добавление и удаление элементов.
К недостаткам линейного односвязного списка можно отнести следующее:
высокую сложность процедуры прямого доступа к элементам списка,
то есть определения адресов памяти по значению указателей элементов
в списке;
расход дополнительной (по сравнению, например, с массивами) памяти
компьютера для размещения полей-указателей элементов списка;
существенно замедленную скорость большинства операций со списками
(например, выполнить прямой доступ к произвольному элементу списка
получится только путем прохождения всех предшествующих ему элемен-
тов), по сравнению с операциями, производимыми с массивами;
распределенное, а не локальное размещение элементов списка в памяти
компьютера, что снижает эффективность использования кэширования
данных;
большие трудности в организации параллельных вычислений с данны-
ми, представленными связными списками, по сравнению с массивами
(гораздо более трудоемко, но можно выполнять параллельно операции
с векторами, матричные операции, а также операции сортировки и пере-
бора).
Таким образом, блокчейн представляет собой линейный односвязный не-
отсортированный типизированный список с последовательным доступом
к его блокам со всеми присущими этой динамической структуре данных
недостатками и достоинствами.
Структура блокчейна на самом обобщенном уровне представлена на рис. 1.2.
Рис. 1.2. Обобщенная структура блокчейна
ЦЕПОЧКА ХЕШЕЙ
Для обеспечения целостности данных блокчейн-экосистем или платформ
используются криптографические хеш-функции [5, 6, 29, 44-48, 53-58, 71,
78-81, 85-90, 94-101, 110-117, 119-132, 152-167, 184-198, 202-213, 215,
249, 254-267]. Аргументом такой функции является произвольный набор
данных (строки, документы, сообщения, массивы данных, реестры и т. п.),
а результатом вычисления — битовая строка фиксированной длины (хеш).
Основные свойства хеш-функций:
аргумент хеш-функции может иметь любой размер, но ее значение (хеш)
всегда должно иметь фиксированный размер (обычно 256 или 512 бит);
хеш-функцию Н = F(S) легко и просто вычислить для любого сообще-
ния S, но выполнить обратное преобразование S = F~l(IF) практически
невозможно;
хеш-функция должна обладать чувствительностью к разным, даже самым
незначительным изменениям в содержании символьной строки S.
Цепочка хешей — это результат последовательного применения криптогра-
фической хеш-функции к некоторой строке. Например, если данные пред-
ставлены в виде символьной строки S, цепочка хешей будет представлять
собой результат последовательного применения криптографической хеш-
функции F(S) к строке 5, то есть Н= F(S). Так, Н. = Т(Т(Т(Т(Т(5))))) дает
цепочку хешей длиной 5, что обычно обозначается как 7^(5) [29].
Допустим, на каждом из пяти этапов хеширования символьная строка 5
принимает разное значение, определяемое множеством С, то есть С = {St,
59, Sv Sit Ss}. Представим, что нам хотелось бы сохранить историю значе-
ний строк из множества С в порядке 5 -> 5 -> S > S,t -> S5. На первом
этапе хеш-функция определяется в виде Н. = F(S(), где Н будем называть
«начальным (порождающим) значением цепочки хешей». Заметим, что
Н, также представляет собой символьную строку, при этом имеет фикси-
рованную длину, определяемую используемой функцией хеширования.
Так, для функции хеширования SHA-2(256) она всегда будет иметь длину
256 бит.
Для сохранения истории значений S (/’ = /... 5) из множества С в порядке
5 —> $2 > -> St -> S. будем на каждом этапе хеширования п вычислять
хеш-функцию Н от аргумента 5 | И t (конкатенация). Здесь под конкате-
нацией понимается операция склеивания объектов линейной структуры.
То есть на втором этапе вычислений Н2 = P(S2 | Ц.). Подставив значение
для получим II = F($2 | F(5j)). Осуществив полный цикл вычислений,
в итоге получаем следующую цепочку хешей [29]:
H2 = F\S2\FlSx)y,
H3 = F{S?>\FlS2\F\S^y,
Hi = F(Si\F(S3\F(S2\F(Si)))y,
H5 = F(S5\F(Si\F(S3\F(S2\F(Sl))))).
Теперь рассмотрим структуру типового блока в блокчейне, которая имеет
два поля — заголовок блока и запись транзакций (рис. 1.3).
Блок
Заголовок блока
Рис. 1.3. Структура блока в блокчейне
Заголовок блока состоит из трех основных подполей:
хеша предыдущего блока;
поля Nonce (используется майнерами для поиска нового блока, удовле-
творяющего заданным требованиям к трудоемкости поиска; с его помо-
щью можно менять хеш блока);
поля, содержащего корневой хеш дерева транзакций.
Поле заголовка блока также содержит несколько дополнительных полей,
а в совокупности все поля можно представить в виде символьной строки
переменной длины S. В ее состав входят все поля заголовка блока, опреде-
ляющие его параметры, кроме хеша предыдущего блока [29].
Заголовок первого блока блокчейна содержит только строку St (не содер-
жит хеш предыдущего блока, поскольку у него такого блока нет). В заго-
ловок второго блока, кроме строки S2 заносится дополнительная строка
с хеш-значением Н заголовка первого блока и вычисляется хеш-функция
заголовка второго блока (с помощью операции конкатенации поля 5 и Н
объединяются, то есть вычисляется Н., = F(S2 | Н) или с учетом II = F(Sj
можно записать так: Н2 = F(S2 | F(S)). Далее значение хеш-функции заго-
ловка второго блока II = F(S2 | F(Sl)) передается в заголовок третьего бло-
ка [29]. Для последующих блоков все действия выполняются аналогично.
В результате получаем следующую цепочку блоков, связанных через цепочку
хеш-функций (рис. 1.4).
H2=F(SZ\H,) H,= F(S3\HJ Ht = F(St\HJ Ht = F[Ss\HJ HN-F(S,,\HN,)
H, = F(S„\F(SN_, ... I F(S,| F(S. I F(S3| F(S, I F(S,)))))...))
Рис. 1.4. Структура цепочки хешей блокчейна
Главное преимущество такой структуры — злоумышленник не может по-
влиять на целостность содержимого любого блока: малейшее изменение
в каком-либо блоке легко обнаруживается путем пересчета цепочки хешей
[71, 78-81, 85-90, 94-101, 202-213, 215, 249, 254-267].
Дерево Меркла
В конце 1970-х годов американский ученый в области структур данных
Ральф К. Меркл1 предложил концепцию хеш-дерева, получившую название
«дерево Меркла». Оно представляло собой структуру данных, хранящихся
https://en.wikipedia.org/wiki/Ralph_Merkle.
в связанных с помощью хешей блоках. Далее, в начале 1990-х годов аме-
риканские ученые в области физики и информатики Скотт Сторнетта
и Стюарт Хабер1 использовали деревья Меркла для создания системы,
в которой невозможно подделать временные метки на цифровых докумен-
тах. Предложенное ими решение заключалось в применении односторонних
хеш-функций, приеме запросов на регистрацию документов (под которыми
подразумеваются хеш-значения документов), их группировании в «еди-
ницы» (блоки), построении дерева Меркла и формировании связанной
цепочки хеш-значений. Другими словами, эти ученые в 1991 году создали
первое описание блокчейна.
Рассмотрим подробно понятие «бинарная цепочка хешей», представленное
в виде дерева Меркла [5, 6, 29, 44-48, 53-58, 71, 78-81]. Обычно оно ис-
пользуется вместе с хеш-деревьями: на входе бинарная цепочка принимает
значения пары хешей, «склеивает» их и применяет к полученной строке
хеш-функцию, таким образом производя третий хеш.
На рис. 1.5 изображено хеш-дерево, состоящее из восьми узлов и цепочки
хешей для вычисления хеш-функции корневого узла Н[;о()Т. Для восстанов-
ления хеш-цепочки в дополнение к самим хеш-значениям требуется знать
порядок конкатенации (справа или слева соответственно 1 или 0) [29].
Рис. 1.5. Пример хсш-дсрова из восьми узлов
На рис. 1.6 дан пример проверки значений транзакции X , порядок кон-
катенации для которой — 110. Будем считать, что «листья» (узлы) дерева
(см. рис. 1.5) представляют собой упорядоченное множество транзакций
Т= {Xv Х2, Х3, X,, Х5, Х6, Х7, XJ, записанных в поле транзакций блока блок-
чейна. Тогда относительно этого множества транзакций может быть создана
совокупность двоичных цепочек хешей в виде трехъярусного хеш-дерева.
https://bitcoinassociation.net / ru /малоизвесгная-история-блокчейна-ns/.
Если больше транзакций не записывается в блок, то значение //ROOT заносится
в поле S заголовка соответствующего блока и там фиксируется.
Рис. 1.6. Пример проверки значений транзакции X
Само хеш-дерево сохраняется вместе с транзакциями в поле транзакций
соответствующего блока, а при проверке целостности любой транзак-
ции строится проверочная цепочка хешей, подобная представленной на
рис. 1.6. Так, для проверки целостности транзакции X. строится следу-
ющая цепочка:
вычисляется значение хеш-функции Н = F(X3 | X );
вычисляется значение хеш-функции Н14 = F(H 121Н3 ), при этом не вы-
числяется заново: используется значение, сохраненное при формирова-
нии хеш-дерева;
вычисляется значение хеш-функции для корневого узла хеш-дерева
Н = F(H., | Е/-8), при этом расчет 7758 тоже не производится, а его значение
извлекается из сохраненного хеш-дерева;
сравниваются значения вычисленного Н и сохраненного Н от.
Если Н= НЙООТ, делается вывод о том, что целостность транзакции не нару-
шена (в противном случае транзакция может быть восстановлена из любой
резервной копии главной цепи блокчейна; копии хранятся во всех узлах цепи).
Поиск оригинала (исходной строки) из хеш-значения для этой строки —
очень трудоемкая задача; для хороших алгоритмов хеширования она прак-
тически нерешаема. Решить ее можно только полным перебором всего мно-
жества вариантов строк. Например, для алгоритма хеширования SHA-2(256)
предельное значение таких вариантов составляет 2255. Это огромное количе-
ство, по некоторым оценкам сравнимое с количеством атомов во Вселенной,
оцениваемым в 1080 [29].
Хеш-функция заголовка блока в биткоин-реализации блокчейна должна
удовлетворять важным правилам безопасности, повышающим уровень за-
щищенности сети. Так, в биткоине хеш заголовков блоков, создаваемых
майнерами, должен начинаться с десяти нулей, то есть хеш-значение частич-
но задано. Таким образом, предельное количество операций перебора при
поиске такого блока значительно уменьшается и становится практически
достижимым. Это существенно снижает сложность решения обратной зада-
чи хеширования и устанавливает заданную степень трудоемкости создания
новых блоков.
Электронная подпись
ЭП — это технология асимметричных (двухключевых) криптографических
систем. В блокчейне каждая транзакция подтверждается электронной под-
писью отправителя и может шифроваться на открытом ключе получателя
[5, 6,29,44-48, 53-58, 71, 254-267]. Таким образом, ЭП представляет собой
еще один механизм обеспечения целостности транзакции и неотказуемости
ее отправителя, а шифрование — механизм, позволяющий обеспечивать кон-
фиденциальность. Борьба с высокой вероятностью компрометации данных
при их передаче по открытым каналам связи и ее последствиями привела
к тому, что в области шифрования, веками использующей симметричные
(одноключевые) криптографические системы (КС), произошла револю-
ция — благодаря изобретению асимметричных (двухключевых) систем [29].
Это случилось в 1970-х годах.
Асимметричные системы используют два ключа — ключ проверки ЭП (от-
крытый) и ключ ЭП (закрытый), комплиментарные по отношению друг
к другу. Двухключевые КС можно использовать не только для выработки
и проверки электронной подписи, но и для шифрования. В последнем случае
конфиденциальность информации достигается за счет применения ключа
проверки ЭП получателя к данным, а расшифровывается такая подпись
с помощью ключа ЭП, известного только получателю сообщения. Каждый
абонент имеет свою уникальную пару ключей, при этом все ключи про-
верки ЭП помещены в специальное хранилище (репозиторий), доступное
пользователям системы. Процесс шифрования в ассиметричных системах
представлен на рис. 1.7.
Рис. 1.7. Процесс шифрования в ассиметричных системах
Абонент 1 (А61), используя открытый канал связи, хочет передать исход-
ное сообщение (С) абоненту 2 (Аб2) и для исключения возможного нару-
шения конфиденциальности данных предварительно шифрует его (S) на
ключе проверки ЭП (КО.,) А62, получаемом в репозитории: S = F(C, КО,).
Генерация ключевой пары абонента выполняется однократно с помощью
криптоядра (КЯ), которое обеспечивает уникальность генерируемых данных.
На приемной стороне А62 расшифровывает S, то есть выполняет обратное
преобразование с использованием своего ключа ЭП (КЗ,), известного только
ему: C = F-l(S, К32) [29].
К достоинствам асимметричного шифрования относятся:
решение проблемы компрометации ключей (если потерялся ключ ЭП
какого-либо абонента, последний исключается из системы путем поме-
щения его ключа проверки ЭП в черный список и система продолжает
работать без этого абонента);
решение проблемы доставки секретных ключей, генерируемых в симме-
тричных системах.
К недостаткам асимметричного шифрования можно отнести:
высокую трудоемкость асимметричного шифрования;
проблемы с теоретическим обоснованием двухключевой схемы (никто
не доказал, что она в общем случае уязвима, но никто и не доказал об-
ратного, то есть ее неуязвимости).
Процедура создания и проверки ЭП в асимметричной системе представлена
на рис. 1.8.
А61
с + эп
Рис. 1.8. Процедура создания и проверки ЭП
в асимметричной системе шифрования
А62
Аб1 рассчитывает хеш-функцию Н = h(C) от сообщения С, а затем с ис-
пользованием своего ключа ЭП (K3t) вычисляет ЭП как функцию шиф-
рования от аргументов Ни К3{, то есть ЭП = F(H, K3t). Далее сообщение С
и присоединенная к нему ЭП передаются в общедоступный канал связи.
Аб2, получив сообщение (обозначим его через С , поскольку оно может от-
личаться от отправленного, например, из-за ошибок в канале), рассчитывает
хеш-функцию Я = h(C^ от полученного сообщения Сп и расшифровывает
значение отправленной Аб1 хеш-функции Н как обратной функции F 1 от
аргументов ЭП и КОГ то есть Н = F '(ЭП. КОД. Потом он сравнивает зна-
чения хешей Ни Я Если значения равны, можно сделать вывод о том, что
сообщение доставлено в целостном виде. Кроме того, поскольку значение II
было расшифровано с помощью ключа КО,, парного ключу КЗГ подтвержда-
ется факт отправки сообщения от Аб 1, так как только Аб 1 с помощью ключа
K3j мог сформировать данную ЭП [29, 49-60].
В блокчейне ключевая пара для ЭП генерируется при создании электрон-
ного кошелька. На основании ключа проверки ЭП создается уникальный
адрес кошелька, доступного всем пользователям. Ключ ЭП — единственный
атрибут доступа к электронному кошельку пользователя, который одновре-
менно используется для выработки ЭП под транзакциями. Ключ ЭП может
отчуждаться из личного кабинета в виде файла valet.dat на отчуждаемые
носители. Потеря носителя или уничтожение ключа на нем либо в памя-
ти компьютера приводит к невозможности получить доступ к кошельку.
Как следствие, вся криптовалюта в данном кошельке будет считаться поте-
рянной. Интересный факт: к настоящему моменту кошельки с потерянным
доступом («спящие») хранят суммарно около 3 млн биткоинов [29].
Как работает блокчейн
Сложный механизм блокчейна можно представить в упрощенном виде
и пошагово [85-90,94-101,110-117,119-132,152-167,184-198.202-213,
215, 249,254-267].
Шаг 1. Запись транзакции.
Блокчейн-транзакция отражает перемещение физических или цифровых
активов от одной стороны к другой в бдокчейн-сети. Она записывается
в виде блока данных и может включать следующие сведения:
когда проведена сделка;
где проведена сделка;
каковы причины проведения сделки;
сколько предварительных условий выполнено в ходе сделки;
кто участвовал в сделке;
что произошло во время сделки;
сколько активов передано.
Шаг 2. Достижение консенсуса.
Большинство участников распределенной блокчейн-сети должны под-
твердить, что записанная транзакция является действительной. В зависи-
мости от типа сети, правила соглашения могут отличаться, но обычно они
устанавливаются в начале процедуры. Известные алгоритмы консенсуса:
Proof of Work, PoW и Proof of Stake, PoS (подробно рассмотрены далее).
Шаг 3. Цепочка блоков.
Когда участники достигают консенсуса, транзакции в блокчейне записы-
ваются в блоки, эквивалентные страницам реестра. Вместе с транзакциями
в новый блок добавляется криптографический хеш. Он действует как
цепочка, связывающая блоки. Если содержимое блока намеренно или
случайно изменяется, меняется и значение хеша, что помогает выявить
подделку данных. Таким образом блоки и цепочки надежно связаны, а их
редактирование невозможно. Каждый дополнительный блок усиливает
проверку предыдущего блока и, следовательно, всего блокчейна. Данный
принцип построения напоминает принцип строительства многоэтажного
дома, который возводится поэтажно, снизу вверх. Каждый этаж форми-
руют отдельные конструкции или блоки, и если убрать один из них из
середины постройки, рухнет все здание.
Шаг 4. Открытый общий доступ к реестру.
Система распространяет среди всех участников последнюю копию цен-
трального реестра.
Запись транзакций в блокчейне
Каждый блок данных, записанный в блокчейн-реестр, содержит по крайней
мере одну запись о транзакции, хотя в большинстве случаев блоки содер-
жат множество записей о транзакциях. Одни блокчейны, например двой-
ная бухгалтерская запись, поддерживают ограниченный набор транзакций
(операций или алгоритмов). Другие — более широкий набор транзакций,
охватывающий все разрешимые алгоритмы, то есть «полные» языки про-
граммирования, по Тьюрингу. С помощью такого языка можно решить лю-
бую математическую задачу путем вычислений (при условии, что написана
нужная программа). Для обозначения типов транзакций используются раз-
ные названия: смарт-контракты, чейнкоды, семейства транзакций и другие
подобные термины. Отметим, что все известные блокчейны поддерживают
разнообразные операции с данными, но не все поддерживают полные языки
транзакций по Тьюрингу.
Проверка подписанного блока. Известны разные алгоритмы консенсу-
са, например, в открытом биткоине используются алгоритмы доказатель-
ства выполнения работы, позволяющие майнерам возмещать свои затраты
в виде комиссии, взимаемой за каждую транзакцию, записанную в блокчейн.
В контролируемых блокчейнах результат выработки консенсуса согласуется
консорциумом узлов, которые пользуются коллективным (не обязательно
индивидуальным) доверием. Как правило, это дешевле и быстрее, чем алго-
ритм доказательства выполнения работы, применяемый в биткоине. Для
любых процедур консенсуса необходим механизм урегулирования споров
(или снятия неопределенности) относительно вопроса, какой блок будет
зарегистрирован следующим. Обычно выбирают блок, согласованный более
чем в 50 % узлов.
На практике выяснилось, что биткоин непригоден для большинства кор-
поративных приложений — из-за существенных ограничений по скорости
обработки данных и их объему. Его пропускная способность оказалась не-
высокой по причине издержек на создание блоков, обусловленных тем, что
на подтверждение транзакций в среднем уходит 10 мин. А хранение данных
в биткоине не только дорогостоящее, но и неэффективное, поскольку много
узлов, значительное количество пользователей, генерирующих большие
объемы данных, и есть ограничения по размеру блоков. Кроме того, из-за
дублирования информации в каждом узле биткоина хранение больших объ-
емов сведений тоже неэффективное.
В контролируемых блокчейнах, как правило, используются другие меха-
низмы консенсуса, отличные от используемых в открытых блокчейнах.
Например, такие, в основе которых лежит объем вклада узлов в работу
сети (так называемое доказательство доли владения), или механизмы, где
консенсус подгруппы узлов проверяет более крупная группа. Заметим, что
поисковые исследования альтернативных механизмов консенсуса продол-
жаются. Так, уже созданы механизмы консенсуса, позволяющие совершать
блокчейн сотен и даже тысяч транзакций в секунду. Кроме того, ведутся
исследования по части обслуживания баз данных объемом в десятки и сотни
петабайт(2* байт) [94-101, 110-117, 202-213, 215, 249, 254-267].
1.3. Проблема обеспечения
киберустойчивости блокчейна
Свойство киберустойчивости является фундаментальным свойством любой
блокчейн-экосистемы или платформы цифровой экономики Российской
Федерации (рис. 1.9). Интуитивно оно может быть определено как некое
постоянство, неизменность определенной структуры (статическая устой-
чивость) и поведения (динамическая устойчивость) блокчейна в условиях
классических и квантовых кибератак злоумышленников. Применительно
к техническим системам определение устойчивости дал выдающийся рус-
ский математик, академик Петербургской академии наук А. М. Ляпунов
(1857-1918): «Устойчивость — это способность системы функционировать
в состояниях, близких к равновесному, в условиях постоянных внешних
и внутренних возмущающих воздействий» [2-4, 21, 24, 26, 37, 60-62, 66,
67, 69,305-308].
В этой монографии предлагается уточнить данное определение, поскольку
киберустойчивость блокчейна не всегда означает способность поддерживать
равновесное состояние. Первоначально устойчивость трактовали именно так,
поскольку как реальное явление оно было замечено при изучении гомеоста -
зиса (возврат в равновесное состояние при выходе из него) биологических
систем. Использование аппарата системного анализа предполагает опреде-
ленную адаптацию термина «устойчивость» к характерным особенностям
блокчейна в условиях информационно-технических воздействий, одним из
которых является существование цели функционирования [60-62,305-308].
Поэтому предлагается следующее определение устойчивости: «Киберустой-
чивость — это способность блокчейн-экосистемы или платформы, функцио-
нирующей по определенному алгоритму, достигать цели функционирования
в условиях классических и квантовых кибератак злоумышленников».
Ku берустойчивость
Управление
информационными рисками
Устойчивость
I
Упразление информационной
безопасностью
Компоютерная
безопасность
(безопасность систем
и сетей)
Управление
непрерывностью бизнеса
Отказоустойчивость,
надежность и N-кратное
резервирование
Направления работы
Организационно-штатная структура Внедрение сквозных технологий цифровой экономики
Защита данных Защита информации в целом
Управление информационными рисками Мониторинг угроз безопасности
Управление непрерывностью бизнеса Разработка и внедрение политик, стандартов и регламентов
Коопоративная программа киберустойчивссти Инвентаризация активов
Контроль доступа Контроль изменений и обновлений ПО
Реагирование на инциденты безопасности Обеспечение отказоустойчивости инфраструктуры
Коммуникации и связь с общественностью Аварийное восстановление инфрас'1 руктуры
Партнерские прог раммы с производителями и разработчиками ПО Программы осведомленности, подготовки и переподготовки специалистов
1 3. Проблема обеспечения киберустойчивости блокчейна
Рис. 1.9. Киборустойчивость как мультидисциплина
Действительно, по Б. С. Флейшману [60-62, 305-308], следует различать
активную и пассивную формы устойчивости. Активная форма (надеж-
ность (reliability), отказоустойчивость (response and recovery), живучесть
(survivability) и пр.) присуща сложным системам, поведение которых осно-
вано на акте решения. Здесь он определяется как выбор альтернатив, стрем-
ление системы достигнуть предпочтительного для нее состояния, что есть
целенаправленное поведение, а само состояние — ее цель. Пассивная форма
(прочность, сбалансированность, гомеостазис) присуща простым системам,
не способным к акту решения [60-62, 66, 67, 69, 305-308].
Кроме того, в отличие от классического равновесного подхода, централь-
ным элементом в данном случае является понятие структурно-функ-
циональной устойчивости. Дело в том, что штатный режим функцио-
нирования блокчейна в условиях классических и квантовых кибератак
злоумышленников, как правило, далек от равновесного [60-62, 305-308].
При этом внешние и внутренние информационно-технические воздей-
ствия злоумышленников постоянно изменяют равновесное состояние
системы [60-62, 66, 67, 69, 305-308]. Соответственно, мерой близости,
позволяющей решать, существенно ли меняется поведение блокчейна
под действием возмущений, здесь является множество выполняемых
функций.
После академика В. М. Глушкова (1923-1982) развитием теории устой-
чивости занимались В. В Липаев (1928-2015), А. Г. Додонов, Д. В. Ландэ,
М. Г. Кузнецова, Е. С. Горбачик, М. Б. Игнатьев, Т. С. Катермина и ряд дру-
гих ученых [60-62, 66, 67, 69, 305-308]. Однако теория устойчивости в их
работах исследовалась только с позиции уязвимости структуры вычисли-
тельных систем, без явного учета уязвимости поведения системы в условиях
априорной неопределенности информационно-технических воздействий
злоумышленников. В результате такая система в большинстве случаев яв-
ляет собой пример предопределенного изменения и сохранения отношений
и связей, призванное сохранить целостность системы в течение некоторого
интервала времени в штатных условиях функционирования [60-62, 66, 67,
69, 305-308]. Такая предопределенность имеет двойственный характер.
С одной стороны, обеспечивается лучшая реакция системы на штатные усло-
вия функционирования неблагоприятных воздействий, с другой — система
не способна противостоять иным, априорно неизвестным информацион-
но-техническим воздействиям злоумышленника, меняющим ее структуру
и поведение (рис. 1.10) [60-62, 305-308].
Ранее неизвестные
информационно-технические
воздействия
Разнородно-массовые
кибератаки (APT, DDOS,
сочетанные кибератаки)
Типовые
кибератаки
(более 2500 типов)
Классическая
защита информации
Кибербезопасность цифровой экономики
Киберустойчивость цифровых платформ
Рис. 1.10. Акцент на обнаружении и нейтрализации
ранее неизвестных кибератак
СОПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ
КИБЕРУСТОЙЧИВОСТИ БЛОКЧЕЙНА
К основным сопроблемам обеспечения киберустойчивости современных
блокчейн-экосистем или платформ цифровой экономики Российской Феде-
рации в условиях беспрецедентного роста киберугроз относятся:
недостаточная киберустойчивость функционирования блокчейна в усло-
виях роста классических и квантовых кибератак злоумышленников;
рост сложности структуры и поведения блокчейна;
трудность выявления количественных закономерностей, позволяющих
исследовать устойчивость блокчейна в условиях классических и кванто-
вых кибератак злоумышленников.
Дадим к этим сопроблемам развернутый комментарий.
Первая и наиболее важная сопроблема — недостаточные безопасность
и устойчивость блокчейн-экосистем или платформ цифровой экономики
Российской Федерации в условиях классических и квантовых кибератак
злоумышленников. Она часто оказывается ниже требуемой. Аппаратно-
программные компоненты упомянутых систем во многих случаях не в со-
стоянии полностью выполнять свои функции — по разным причинам.
Среди них:
несогласованность реальных параметров поведения блокчейн-экосистем
или платформ в спецификациях программного и аппаратного обеспе-
чения;
переоценка современного уровня развития технологии программирова-
ния и вычислительной техники;
деструктивное информационно-техническое воздействие факторов внеш-
ней и внутренней среды на блокчейн-экосистемы или платформы, особен-
но в условиях классических и квантовых кибератак злоумышленников;
переоценка возможностей современных методов и средств защиты ин-
формации блокчейн-экосистем или платформ, отказоустойчивости
инфраструктуры и надежности программного обеспечения.
Незнание или игнорирование вышеназванных причин приводит к снижению
эффективности функционирования блокчейн-экосистем или платформ.
Более того, указанная проблема значительно обостряется в условиях клас-
сических и квантовых кибератак злоумышленников.
К типовым кибератакам (табл. 1.1), характерным для технологии блокчейн,
относятся [5, 40, 47, 49, 59, 60, 61, 76, 87-100, 102-115, 147-157, 165-183,
187-193, 217-240, 244-248, 250-266, 270-294]:
кибератаки, выполняемые с помощью квантовых компьютеров (кванто-
вые атаки);
кибератаки «51 %» и «двойная трата» (double-spending);
кибератака Сивиллы;
кибератаки типа «отказ в обслуживании», DDoS-атаки и др.
Например, в случае кибератак «51 %» злоумышленник получает боль-
шую часть «голосов», что позволяет ему контролировать консенсусы
и формировать цепочки блоков с сфальсифицированной» информацией
о «совершаемых» транзакциях1. При «двойной трате» — возможность
вывести значительные объемы цифровых денег. Так, в августе 2016 года
платформы «Эфириум». «Криптон» (Crypton) и «Шифт» (Shift) стали
жертвами подобных кибератак. Заметим, что упомянутые кибератаки тео-
ретически можно осуществить и при меньших вычислительных мощностях
(< 50 %). В случае атаки Сивиллы злоумышленник способен заполнить
сеть блокчейна подконтрольными клиентами и даже отказаться от приема
и передачи определенных блоков, перлюстрировать транзакции, используя
специальные программы, а затем «отключить» участников транзакции от
контролируемой сети.
Таблица 1.1. Типовые кибератаки на блокчейн-экосистемы или платформы
Кибератака Цель Нарушитель Объект воздействия Последствия
«51 %» и double spending («двойная трата»] Фальси- фикация цепочки блоков ин формации Внешний нарушитель высокой квалифи кации. Внутренний нарушитель средней квалификации Формируе- мая цепочка блоков Нарушение кон- фиденциальности, целостности и до ступности инфор мации
«Разрыв и подмена цепочки блоков» Подмена цепочки блоков Внешний нарушитель высокой квалифи кации. Внутренний нарушитель высокой квалификации Формируе мая цепочка блоков Нарушение целост- ности и доступности информации
DDoS Отказ в об- служивании узлов сети Внешний нарушитель средней квалифи кации. Внутренний нарушитель средней квалификации Узлы блок- чейн-сети Нарушение целост- ности и доступности информации
Взлом крип- тографии квантовыми алгоритмами Расшифров- ка элек- тронных подписей блокчейна Внешний нарушитель высокой квалифи кации. Внутренний нарушитель высокой квалификации Формируе- мая цепочка блоков Нарушение кон- фиденциальности, целостности и до ступности инфор- мации
Атака Сивиллы Подмена цепочки блоков Внешний нарушитель средней квалифи кации. Внутренний нарушитель средней квалификации Формируе мая цепочка блоков Нарушение кон- фиденциальности, целостности и до ступности инфор мации
https://ru.bitcoinwiki.org/wiki / Атака_51 %25.
Вторая сопроблема — рост сложности структуры и поведения блокчейн-
экосистем или платформ цифровой экономики Российской Федерации
[44-48, 53-58, 71, 78-81, 85-90, 184-198, 202-213, 215, 249, 254-267].
К особенностям структуры упомянутых систем относится следующее.
Как правило, современные блокчейны представляют собой децентрализован-
ные и распределенные сети, а также системы, состоящие из множества компо-
нентов различной архитектуры. По нашим данным, в их состав входят более:
64 криптопримитивов, в том числе хеш-функции (ГОСТ Р 34.11-2018,
SHA-2, SHA-3, SHA256, Ethash, SCrypt, ХИ, Equihash, RIPEMD160),
электронные подписи (ГОСТ 34.10 2018, ECDSA, EdDSA, Ring, One-Time,
Borromean, Multi-signature) и схемы асимметричного шифрования (алго-
ритм RSA, протокол Диффи — Хеллмана);
14 типов алгоритмов или механизмов консенсуса: Proof of Work, Proof of
Stake, Proof of Activity, Proof of Bum, Proof of Valuation, Proof of Impor-
tance, Proof of Capacity, Proof of Authority, RiPle Consensus, Delegsted
Proof of Stake, Proof of Space, Stellar Consensus, Proof of Elapsed Time,
Proof of Storage;
12 языков программирования, смарт-контрактов и других блокчейн-при-
ложений (C++, JavaScript, Java, Python, Solidity, Ruby, Simplicity, Go,
Rust, Rholang);
16 типов SQL- и NoSOL-систем управления базами данных;
8 типов программно-определяемых хранилищ данных;
12 типов систем контейнерной обработки данных;
12 типов организации универсальной шины;
12 типов систем интеллектуальной оркестрации;
8 разновидностей семейств операционных систем;
10 трансляторов и интерпретаторов;
1200 сетевых протоколов;
20 типов сетевого оборудования;
18 типов средств защиты информации (SOC, SIEM, IDS/IPV, DPI и МЭ,
SDN/FPV, VPN, PKI, антивирусное ПО, средства контроля политик
безопасности, специализированное ПО для тестирования на проникно-
вение, средства защиты от несанкционированного доступа, криптогра-
фические средства защиты информации и пр.).
Например, для разработки блокчейна:
ARK1 — использовался язык программирования JavaScript; поддержи-
ваются языки JavaScript, Go, Python, С#, TypeScript, Kotlin, Ruby, Swift,
PHP, а также применяется алгоритм консенсуса DpoS;
«Эфириум»-- — использовались языки программирования Go, C++, Rust,
Solidity и алгоритмы консенсуса PoW/PoS;
EOS?' — использовался язык программирования C++; поддерживаются
языки WebAssembly, С и C++, а также применяется алгоритм консенсуса
DpoS;
Hyperledger Fabric* — использовались языки программирования Go, Java,
JavaScript, Python; поддерживаются языки Go, Java, Kotlin; алгоритм
консенсуса отсутствует;
FISKS — применялись языки и среды программирования JavaScript, Node,
js; поддерживается язык JavaScript; использовался алгоритм консенсуса
DpoS;
QTUM1 * 3 4 * 6 — использовались языки программирования C++, Python, Type-
Script; поддерживаются языки C++, Python, Rust, Go, Lua; применялся
алгоритм консенсуса PoS;
STRATIS7 — использовались языки программирования C++ и С#; под-
держивается С#; применялся алгоритм консенсуса -PoS.
Конечно, блокчейн как любая инновационная технология не свободен от
уязвимостей, угрожающих безопасности обрабатываемых и хранимых дан-
ных. Эти недостатки определяются архитектурой технологии [5, 40, 47, 49,
59,60,61,76,87-100,102 115,147-157,165-183,187-193,217-240,244-248,
250-266, 270-294].
1. Уровень блокчейн-сети. В силу открытости блокчейна возникают угрозы
конфиденциальности данных. Также большая опасность может исходить
от майнеров — участников сети блокчейн, которые при обработке транз-
акций могут менять их порядок.
1 https://ark.io/.
- https://pntethalliance.org/.
3 https://eoB.io/eos-public-blockchain/.
4 https://www.hyperledger.org/use/fabric.
3 https://lisk.com/.
6 https://qtum.org/ru.
7 https://www.stratisplatform.com/.
2. Уровень виртуальной машины. Все транзакции, проводимые в блокчейн-
сети, обрабатываются виртуальной машиной, программная реализация
которой тоже бывает уязвима к атакам хакеров.
3. Уровень языка для написания смарт-контрактов, например Solidity. Уязви-
мости в коде смарт-контрактов — самый широкий класс уязвимостей [11].
При этом применительно к новым технологиям не теряют актуальности
традиционные атаки на основе старых тактик и техник1:
вирусные атаки (особенно шифровальщики и уничтожители данных);
таргетированные атаки (APT);
фишинговые атаки;
дефейс сайта;
хищение паролей;
XSS-уязвимость;
взлом инфраструктуры, связанной с ICO-проектом (initial coin offe-
ring) и др.
В главе 2 дан развернутый анализ новых и традиционных атак злоумыш-
ленников на блокчейн-экосистемы и проекты.
К особенностям функционирования блокчейн-экосистем иди платформ от-
носится следующее:
малейший простой в работе блокчейна способен привести к остановке
сложного процесса функционирования блокчейн-экосистемы или плат-
формы; высокие затраты на аварийное восстановление;
последствия отказа блокчейна могут быть катастрофическими;
использование проприетарных технологических протоколов произво-
дителей оборудования, которые таят в себе труднообнаруживаемые
уязвимости;
ложные срабатывания, влекущие перебои в обеспечении штатного функ-
ционирования блокчейна, недопустимы;
необходимость предоставления удаленного доступа и управления си-
стемой со стороны поставщиков программного и аппаратного обеспече-
ния и пр.
https://attack.mitre.org/tactics / enterprise/.
Перечисленные особенности блокчейн-экосистем или платформ приводят
к расширению спектра угроз кибербезопасности и определяют высокую уяз-
вимость названных систем [147-157, 165-183, 187-193, 217-240, 244-248,
250-266, 270-294].
Третья сопроблема заключается в трудности выявления количественных
закономерностей, позволяющих исследовать киберустойчивость блокчейн-
экосистем иди платформ цифровой экономики Российской Федерации
в условиях групповых и массовых кибератак [215,249,254-267]. Делов том,
что на процессы функционирования упомянутых систем сильно влияют
факторы внешней и внутренней среды. Этими факторами в рамках рассма-
триваемой структуры либо принципиально невозможно управлять, либо
управление происходит с недопустимым запаздыванием. Кроме того, внеш-
няя и внутренняя среды имеют свойство неполной определенности своих
возможных состояний в будущих периодах. То есть факторы, влияющие на
поведение блокчейн-экосистемы или платформы, претерпевают такие из-
менения во времени, которые могут коренным образом менять алгоритмы
их функционирования или делают поставленные цели недостижимыми.
Изменения, претерпеваемые факторами внешней и внутренней среды, про-
исходят как закономерно, так и случайно, поэтому в общем случае они не могут
быть предсказаны точно, вследствие чего наблюдается неопределенность их
значений. С другой стороны, блокчейн-экосистемы или платформы, перед
которыми стоит конкретная цель, обладают «запасом прочности» — особен-
ностями, позволяющими достигать поставленных целей при определенных
отклонениях влияющих факторов внешней и внутренней среды [190 209,236].
До недавнего времени для выявления указанных закономерностей функ-
ционирования блокчейн-экосистем или платформ использовали главным
образом два основных подхода: экспериментальный (например, методы
математической статистики и планирования эксперимента) и аналити-
ческий (например, методы аналитической верификации алгоритмов ПО).
В противоположность экспериментальным методам, дающим возможность
изучать единичное поведение блокчейна, методы аналитической верифика-
ции позволяют рассматривать наиболее общие свойства поведения блокчей-
на, характерные для класса процессов функционирования в целом. Данные
подходы обладают существенными недостатками. У экспериментальных
методов это невозможность распространить результаты, полученные в ходе
эксперимента, на другое поведение блокчейна, отличающееся от изучен-
ного, а у методов аналитической верификации — трудность перехода от
класса процессов функционирования блокчейна, характеризуемых выводом
общезначимых свойств, к единичному процессу, которому свойственны
доп о л ните л ело соответствующие условия функционирования (в частности,
конкретные значения параметров поведения блокчейна в условиях класси-
ческих и квантовых кибератак злоумышленников).
Следовательно, каждый из названных подходов в отдельности недостаточен
для эффективного исследования устойчивости функционирования блок-
чейн-экосистем или платформ цифровой экономики Российской Федерации
в условиях классических и квантовых кибератак злоумышленников. Пред-
ставляется, что, только используя сильные стороны обоих подходов и объ-
единив их в единое целое, можно получить необходимый математический
аппарат для выявления требуемых количественных закономерностей.
Замысел разрешения проблемы
Практика создания и развития современных блокчейн-экосистем и плат-
форм государства и бизнеса свидетельствует о следующем. Условия со-
временного противостояния в киберпространстве придают упомянутым
системам черты, исключающие возможность создания киберустойчивых
блокчейнов традиционными способами (рис. 1.11) [85-90,94-101,254-267].
Возникающие при этом факторы сложности и порождаемые трудности при-
ведены в табл. 1.2.
Таблица 1.2. Факторы сложности обеспечения киберустойчивости блокчейна
П'п Фактор сложности Порождаемые труднссти
1 Сложная структура и поведение блок- чейн-экосистем Громоздкость и многомерность решае- мых задач
2 Стохастичность поведения блокчейн- экосистем Неопределенность описания поведения системы, сложность в постановке задач
3 Активность блокчейн-экосистем Сложность определения предельных законов погенциальной эффективности системы
4 Взаимное влияние структур данных блокчейн-экосистем друг на друга Не может быть учтено моделями извест- ных типов
5 Влияние сбоев и отказов аппаратуры на поведение блокчейн-экосистем Неопределенность параметров поведе- ния системы, сложность в постановке задач
6 Отклонения от штатных условий эксплуатации блокчейн-экосистем Не могут быть учтены моделями извест- ных типов
7 Информационно технические воздей ствия злоумышленника на блокчейн- экосистемы Неопределенность параметров поведе- ния системы, сложность в постановке задач
Здесь определяющими являются факторы 1,4 и 7. Они исключают возмож-
ность ограничиться учетом общезначимых свойств блокчейна в условиях
квантовых и традиционных кибератак злоумышленников. Однако тради-
ционные способы обеспечения кибербезопасности и отказоустойчивости
блокчейна основаны на таких подходах, как:
упрощение поведения блокчейна до вывода общезначимых алгоритми-
ческих свойств;
обобщение эмпирически установленных частных закономерностей по-
ведения блокчейна.
Использование указанных подходов приводит не только к значительной
погрешности результатов, но имеет принципиальные недостатки. У ана-
литического моделирования поведения блокчейна в условиях квантовых
и традиционных кибератак злоумышленников это трудность перехода
от класса поведения блокчейна, характеризуемого выводом общих алго-
ритмических свойств, к единичному поведению, которому свойственны
дополнительные условия функционирования в случае роста угроз безопас-
ности. У эмпирического — невозможность распространить результаты на
другое поведение блокчейна, отличающееся от изученного параметрами
функционирования.
Поэтому на практике традиционные подходы обеспечения кибербезопасно-
сти и отказоустойчивости блокчейна могут быть использованы только для
разработки систем приближенного прогнозирования киберустойчивости
блокчейн-экосистем или платформ цифровой экономики Российской Феде-
рации в условиях квантовых и традиционных кибератак злоумышленников.
Для разрешения указанных противоречий предлагается подход на основе
методов квантового анализа и синтеза постквантовых криптопримитивов
блокчейна (хеш-функции, электронные подписи, схемы асимметричного
шифрования), который лишен вышеназванных недостатков и позволяет
реализовать так называемый принцип декомпозиции поведения блокчейна
в условиях квантовых и традиционных кибератак злоумышленников по
структурно-функциональным признакам.
Важно отметить, что предложенный подход дополняет известные подходы
NIST (рис. 1.11) и MITRE (www.mitre.org) (рис. 1.12) и позволяет разра-
ботать метрики и меры киберустойчивости блокчейна. В том числе инже-
нерные методики для моделирования, измерения и обеспечения требуемой
киберустойчивости блокчейна в условиях квантовых и традиционных ки-
бератак злоумышленников.
c^GiNEERINq
Рис. 1.11. Жизненный цикл обеспечения киберустойчивости блокчейна, NIST SP 800-160
Г лава 1. Актуальность создания устойчивых блокчейн -экосистем
Цели обеспечения киберустойчивости
Рис. 1.12. Рекомендации MI'I’Rb для создания киберустойчивых блокчейнов
1.4. Возможные представления
киберустойчивого блокчейна
Введем в оборот следующие понятия:
блокчейн-экосистема или платформа;
поведение блокчейн-экосистемы или платформы;
целевое назначение блокчейн-экосистемы или платформы;
возмущение поведения блокчейн-экосистемы или платформы;
состояние блокчейн-экосистемы или платформы.
Перечисленные понятия относятся к первичным [60-62, 306-308], неопре-
деляемым понятиям и используются в следующем смысловом контексте.
Первичные понятия
Под блокчейн-экосистемой или платформой понимается некоторая совокуп-
ность аппаратно-программных компонент критической информационной
инфраструктуры цифровой экономики Российской Федерации со связями
по управлению и по данным между ними, предназначенная для выполнения
требуемых функций.
Под поведением блокчейн-экосистемы или платформы понимается некото-
рая реализация и выполнение алгоритмов функционирования блокчейна во
времени. При этом допускается проведение целенаправленных корректиру-
ющих действий для обеспечения киберустойчивости поведения блокчейна.
Функциональная предназначенность блокчейн-экосистемы или платфор-
мы называется целевым назначением, корректирующие мероприятия — об-
наружением и нейтрализацией возмущений блокчейна. Другими словами,
блокчейн-экосистема или платформа создается для определенного целевого
назначения и может обладать некоторым защитным механизмом, настра-
иваемым или регулируемым средствами обеспечения киберустойчивости
[306-308].
Возмущение поведения блокчейн-экосистемы или платформы — единичный
или множественный акт внешнего либо внутреннего деструктивного воз-
действия внутренней и/или внешней среды на блокчейн. Оно приводит
к изменению параметров функционирования системы, препятствует или
затрудняет выполнение целевого назначения блокчейна. Совокупность
возмущений образует множество возмущений.
Состояние блокчейн-экосистемы или платформы есть некоторый набор
числовых характеристик параметров функционирования названной системы
в пространстве. Числовые характеристики этих процессов зависят от условий
функционирования блокчейна, возмущений, корректирующих действий по
их обнаружению и нейтрализации, и в общем случае от времени.
Совокупность всех корректирующих действий по обнаружению и нейтрали-
зации возмущений называется множеством корректирующих, мероприятий,
совокупность всех состояний блокчейн-экосистемы или платформы — мно-
жеством состояний.
Таким образом, будем считать, что при отсутствии возмущений, а также
корректирующих мероприятий по их обнаружению и нейтрализации система
находится в работоспособном состоянии и отвечает некоторому целевому
назначению.
В результате возмущения блокчейн-экосистема или платформа переходит
в новое состояние, которое может не отвечать целевому назначению. В по-
добных случаях встают две основные задачи:
обнаружение факта возмущения и, возможно, внесенных изменений
в штатный процесс функционирования блокчейна;
задание оптимальной (киберустойчивой) в определенном смысле (ис-
ходя из заданного функционала приоритетов) организации поведения
блокчейна с целью приведения системы в работоспособное состояние
(вплоть до перестроения и/или рестарта системы, если данное решение
будет сочтено лучшим).
На основе введенных понятий раскроем содержание элементарного, слож-
ного и возмущенного вычислений в терминах динамических взаимосвязей
Р. Е. Калмана [60-62, 306-308].
Возмущенные вычисления
Под элементарным поведением блокчейн-экосистемы или платформы будем
понимать структуру, на вход которой в определенные моменты времени
поступает некая входная величина, из которой в определенные моменты
времени выводится некая выходная величина. Приведенное понятие эле-
ментарного поведения блокчейна как системы X включает в себя вспо-
могательное множество моментов времени Т. В каждый момент времени
t е Тсистема X получает некую входную величину «(/') и порождает некую
выходную величину z/(t). При этом значения входных величин выбираются
из некоторого фиксированного множества U, то есть в любой момент вре-
мени t символ u(t) принадлежит U. Отрезок входной величины системы
представляет собой функцию вида t2) —> U и принадлежит некоторо-
му классу Q, определяемому математическими потребностями поведения
блокчейна. Значение выходной величины z/(t) принадлежит некоторому
фиксированному множеству Y. Отрезок выходных величин представляет
функцию вида у: (t2, t3) -a Y.
Под сложным поведением блокчейн-экосистемы или платформы понимается
обобщенная структура, компонентами которой являются элементарные по-
ведения названной системы со связями по управлению и по данным между
собой [170, 217, 235, 236].
Теперь определимся с понятием предыстория (память) поведения блокчей-
на к деструктивным воздействиям. Будем считать, что в условиях групповых
и массовых кибератак значение выходной величины системы X зависит как
от исходных данных и алгоритма поведения системы, так и от предыстории
(памяти) блокчейна к деструктивным воздействиям. Другими словами,
возмущенное поведение блокчейн-экосистемы или платформы — структура,
где текущее значение выходной величины системы X зависит от состояния
системы X с накопленной предысторией (памятью) к деструктивным воз-
мущениям. При этом будем предполагать, что множество внутренних со-
стояний данной системы позволяет вместить информацию о ее предыстории
(памяти).
Отметим, что рассмотренное содержание возмущенного поведения блок-
чейн-экосистемы или платформы позволяет описать некоторую «дина-
мическую» систему самовосстанавливающегося поведения упомянутой
системы в условиях возмущений, если знание состояния и отРезка вос-
становленного вычисления © = <т>^ t, является необходимым и достаточным
условием для определения состояния x(t^) = p(t9; tp x(t(), Q), когда ti < t
Здесь множество моментов времени Тупорядочено, то есть в нем определено
направление времени.
Характерные особенности возмущений
Раскроем характерные особенности единичных, групповых и массовых воз-
мущений блокчейн-экосистем или платформ с помощью следующих опре-
делений.
Определение 1.1, Динамическая система самовосстанавливающегося по-
ведения блокчейн-экосистемы иди платформы в условиях групповых и мас-
совых кибератак £ называется стационарной (постоянной) тогда и лишь
тогда, когда:
а) Т есть аддитивная группа (относительно обычной операции сложения
вещественных чисел);
б) Q замкнуто относительно оператора сдвига гт: Q —> Q', определяемого
соотношением. Q '(£) = + т) ПРИ всех т, t е Т;
в) ф(г; т, т, Q) = ф(£ + 5; т + s, х, при всех s е Т;
г) отображение r|(t, <р): —> Уне зависит от t.
Определение 1.2. Динамическая система самовосстанавливающегося пове-
дения блокчейн-экосистемы или платформы в условиях групповых и массо-
вых кибератак X называется системой с непрерывным временем тогда и лишь
тогда, когда Т совпадает с множеством вещественных чисел и называется
системой с дискретным временем тогда и лишь тогда, когда Тесть множество
целых чисел.
Здесь различие между системами с непрерывным и дискретным временем
несущественно, а выбор между ними диктуется в основном соображе-
ниями математического удобства разработки соответствующих моделей
поведения блокчейна в условиях квантовых и традиционных кибера-
так злоумышленников. Системы самовосстанавливающегося поведения
блокчейн-экосистемы или платформы в условиях упомянутых кибера-
так с непрерывным временем соответствуют классическим непрерывным
моделям, а названные системы с дискретным временем — дискретным
моделям поведения.
Важной мерой сложности блокчейн-экосистемы или платформы в условиях
квантовых и традиционных атак злоумышленников является структура ее
пространства состояния.
Определение 1.3. Динамическая система поведения блокчейн-экосистемы
или платформы в условиях квантовых и традиционных кибератак X назы-
вается конечномерной тогда и лишь тогда, когда X является конечномерным
линейным пространством. При этом dim X = dim XL. Система X называется
конечной тогда и лишь тогда, когда множество Xконечно. Наконец, система X
называется конечным автоматом тогда и лишь тогда, когда все множествах,
U и У конечны, а кроме того, система стационарная и с дискретным временем.
Предположение о конечномерности названной системы существенно с точки
зрения получения конкретных численных результатов.
Определение 1.4. Динамическая система поведения блокчейн-экосистемы
или платформы в условиях квантовых и традиционных кибератак X назы-
вается линейной тогда и лишь тогда, когда:
а) пространствах, U, Q, У и Г — суть векторные пространства (над заданным
произвольным полем К);
б) отображение ф(?; т, .г, Q): ,Yx Q а X является К-линейным при всех t и т;
в) отображение р(t, ф): X —> У является К-линейным при любых t.
При необходимости использовать математический аппарат дифференциаль-
ного и интегрального исчислений нужно, чтобы в определение системы X
были включены некоторые допущения о непрерывности. Для этого следует
предположить, что различные множества (Т, X, U, Q, У, Г) являются тополо-
гическими пространствами, а отображения ф и р непрерывны относительно
соответствующей (Тихоновской) топологии.
Определение 1.5. Динамическая система поведения блокчейн-экосистемы
или платформы в условиях групповых и массовых кибератак X называется
гладкой тогда и лишь тогда, когда:
а) Т = R есть множество вещественных чисел (с обычной топологией);
б) X и Q суть топологические пространства;
в) переходное отображение ф обладает тем свойством, что (т, .г, Q) ф(£; т, х, й)
определяет непрерывное отображение Тх Xz х Q —> С1(Т —* X).
Для любого заданного начального состояния (т, .г) и отрезка входного
воздействия системы X задается реакция системы у^^то есть ото-
бражение: /т v: ®(t fi] -a y(Vi].
Здесь значение выходной величины в момент времени t е (т, tj определяется
из соотношения /т Y ,])(£)= п(^ср(£; т,х, со)).
Определение 1.6. Динамической системой поведения блокчейн-экосистемы
или платформы в условиях квантовых и традиционных кибератак 2 (с точ-
ки зрения ее внешнего поведения) называется следующее математическое
понятие:
а) заданы множества Т, U, Q, Yи Г, удовлетворяющие рассмотренным выше
свойствам;
б) задано множество А, индексирующее семейство функций: F = {/а: Т х
х О ч Y, а е Л}, где каждый элемент семейства F записывается в явном
виде как/с/.(/:, Q) = z/(t), то есть является выходной величиной для вход-
ного воздействия £1, полученной в эксперименте а. Каждое/cz называется
отображением «вход — выход» и обладает такими свойствами:
• (направление времени) существует такое отображение i: Л —» Г, что
fa(t, О) определено при всех t > t(ot);
• (причинность) пусть т, t е Т и т < t. Если Q, Q ’ е Q и (В(т = ш'_ f], то
fa(t, Q) = fa(t, Q ) при всех а, для которых т = 1 (сх).
Модель гипервизора киберустойчивости блокчейна
Определим модель гипервизора (абстрактного преобразователя) поведения
блокчейн-экосистемы или платформы в условиях квантовых и традицион-
ных кибератак злоумышленников.
Определение 1.7. Абстрактным преобразователем поведения блокчейн-
экосистемы или платформы в условиях квантовых и традиционных ки-
бератак X называется сложное математическое понятие, определяемое
аксиомами:
а) заданы множество моментов времени Т, множество состояний вычисле-
ний X, множество мгновенных значений входных величин U, множество
допустимых входных величин О = {Q: Т —> £7}, множество мгновенных
значений выходных величин Y и множество допустимых выходных ве-
личин Г = {у: Г—> У};
б) (направление времени) множество У есть некоторое упорядоченное под-
множество множества вещественных чисел;
в) множество входных величин Q удовлетворяет следующим условиям:
• (нетривиальность) множество £2 не пусто;
• (сочленение входных величин) назовем отрезком входного воздей-
ствия ® 6-дляЙе Q сужение£2на(tp А]р Т. Тогда, если£2, £2 е £2
и < t2 < t3, то найдется такое £2 " е £2, что f f j и «)'f r ] =
г) существует переходная функция состояния ф.ТхТхХхЫ^Х, значения-
ми которой служат состояния х(£) = ф(£; т, х, £2) е X, в которых оказывается
система в момент времени te Т, если в начальный момент времени, т е Т
она была в начальном состоянии х = х(т) е X и если на ее вход поступила
входная величина £2 е £2.
Функция ф обладает следующими свойствами.
• (направление времени) функция ф определена для всех t > т и необя-
зательно определена для всех t < т;
• (согласованность) равенство ф(£; t, х, £2) = х выполняется при любых
t е Т, любых х е X и любых £2 е £2;
• (полугрупповое свойство) для любых t1<t2< t и любых х е X и £2 е £2
имеем ф(£3; tv х, £2) = ф(С3; t.„ ф(£2; х, £2), £2);
• (причинность) если £2, £2 "е £2 и £2(т = £2 '(т , то ф(£; т, х, £2) = ф(£; т, х, £2 ');
д) задано выходное отображение гр Тх X Y, определяющее выходные ве-
личины y(t) = к] (Z, х(£)). Отображение (т, t] -а У, задаваемое соотношением
2 -a i'](S, ф(2; т, х, £2)), X е (т, £]), называется отрезком входной величины,
то есть сужением у(т t] некоторого у е Г на (т, t].
Дополнительно пару (т, х), где те Г и х е X, назовем событием (или
фазой) системы 2, а множество Т е X — ее пространством событий
(или фазовым пространством). Переходную функцию состояний ф (или
ее график в пространстве событий) назовем траекторией или кривой
решения и т. д. Здесь входное воздействие или управление £2 перено-
сит, переводит, изменяет, преобразует состояние х (или событие (т, х))
в состояние ф(г; т, х, Q) (или в событие (t, ф(г; т, х, £2))). Под движением
системы поведения блокчейна понимается функция состояний ф.
Определение 1.8. В более общем виде модель абстрактного преобразователя
поведения блокчейн-экосистемы или платформы в условиях возмущений R
с дискретным временем, m-входами и /^-выходами над полем целых чи-
сед К представляется сложным объектом (К, р, 0), где отображения X: / I,
р: К'" I, 0: / К1’ суть абстрактные К-гомоморфизмы, / — некоторое аб-
страктное векторное пространство над К. Размерность пространства /(dim /)
определяет размерность системы R(dim R).
Существенно, что выбранное представление позволяет сформулировать
и доказать утверждения, подтверждающие принципиальное существование
искомого решения.
Управление киберусгойчивостью блокчейна
На основе приведенных определений раскроем сущность управления кибе-
рустойчивостью некоторой блокчейн-экосистемы или платформы.
Определение 1.9. Поведением блокчейн-экосистемы или платформы с па-
мятью называется сложное математическое понятие динамической систе-
мы X, определяемое аксиомами:
а) заданы множество моментов времени Т, множество состояний вычисле-
ний X в условиях кибератак злоумышленников, множество мгновенных
значений штатных и деструктивных входных воздействий U, множество
допустимых входных воздействий Q = {Q: Т^Ц}, множество мгновенных
значений выходных величин Y и множество выходных величин восста-
новленных вычислений Г = {у: ТУ};
б) (направление времени) множество У есть некоторое упорядоченное под-
множество множества вещественных чисел;
в) множество допустимых входных воздействий Q удовлетворяет следую-
щим условиям;
• (нетривиальность) множество Q не пусто;
• (сочленение входных величин) назовем отрезком входного воздей-
ствия со = со^ л j для Q t Q сужение Q на (р, t2] n Т. Тогда если £2, Q'е Q
и tL<t2< t3, то найдется такое Q''е Q, что f ] = со^ f j иr ] =
г) существует переходная функция состояния ф: TxI’xXxQ—>Х, зна-
чениями которой служат состояния ,r(t) = ф(р т, х, Q) е X, в которых
оказывается система в момент времени t е Т, если в начальный момент
времени те Т она была в начальном состоянии х = х(т) е Хи если на нее
действовало входное воздействие Q е Q.
Функция ф обладает следующими свойствами:
• (направление времени) функция ф определена для всех t > т и необя-
зательно определена для всех t < т4;
• (согласованность) равенство ф(£ t, х, Q) — х выполняется при любых
t е Т, любых х е X и любых Q е Q;
• (полугрупповое свойство) для любых < t2 < t3 и любых,г е Хи Q е Q
имеем ф(£3; tv х, Q) = ф(£3; £,, ф(Д; tt, х, Q), Q);
• (причинность) если Q, Q ”& Q и Q(t ',т , то ф(£ т,х, Q) = ф(Л Т,х, Q ');
д) задано выходное отображение тр Тх X—> У, определяющее выходные ве-
личины z/(t) = r|(t, ХО) как результат самовосстановления. Отображение
(т, (]—» У задаваемое соотношениемX т|(S, ф(Х; т, х, Q)), X е (т, t]), на-
зывается отрезком входной величины, то есть сужением у(, t] некоторого
у е Г на (т, t];
Дополнительно введем следующие термины. Пару (т, х), где те Ти х е X,
назовем событием (или фазой) системы X, а множество Те X — ее про-
странством событий (или фазовым пространством). Переходную функ-
цию состояний ф (или ее график в пространстве событий) назовем
траекторией самовосстановления поведения киберсистемы. Будем счи-
тать, что входное воздействие или управление самовосстановлением Q
преобразует состояние х (или событие (т, х)) в состояние ф(£; т, х, Q)
или в событие.
Данное определение понятия «самовосстановление блокчейн-экосистемы
или платформы» является достаточно общим и вызвано необходимостью
выработать общую терминологию, исследовать и уточнить основные по-
нятия. Конкретизация этого определения представлена ниже.
Моделирование поведения блокчейна
в условиях возмущений
Представим поведение блокчейн-экосистемы или платформы в условиях
возмущений векторным полем в фазовом пространстве. Здесь точка фазо-
вого пространства задает состояние упомянутой системы. Приложенный
в данной точке вектор указывает скорость изменения состояния системы.
Точки, в которых он равен нулю, отражают равновесные состояния, то есть
в этих точках состояние системы не меняется во времени. Установившиеся
режимы изображаются замкнутой кривой, так называемым предельным
циклом на фазовой плоскости (рис. 1.13).
Рис. 1.13. Фазовая плоскость поведения блокчейн-платформы
Ранее В. И. Арнольд показал [60-62, 306-308], что возможны только два
основных варианта перестройки фазового портрета на плоскости (рис. 1.14).
При изменении параметра из положения равновесия рождается предель-
ный цикл. Устойчивость равновесия переходит к циклу, а само равновесие
становится неустойчивым.
В положении равновесия умирает неустойчивый предельный цикл;
область притяжения положения равновесия уменьшается с ним до нудя,
после чего цикл исчезает, а его неустойчивость передается равновесному
состоянию.
Теория катастроф ведет начало от работ Р. Тома Р. и В. И. Арнольда [60-62,
306-308] и позволяет исследовать скачкообразные переходы, разрывы,
внезапные качественные изменения в поведении блокчейн-экосистемы или
платформы в ответ на плавное преобразование внешних условий, имеющих
некоторые общие черты. При этом используется понятие «бифуркация»,
определяемое как раздвоение и употребляемое в широком смысле для обо-
значения возможных изменений в функционировании системы при изме-
нении параметров, от которых они зависят. Бифуркационным множеством
называется граница, разделяющая области пространства управляющих па-
раметров с качественно разным поведением изучаемой системы.
Рис. 1.14. Бифуркация рождения цикла
Для исследования скачкообразных переходов в поведении киберсистемы из-
учаются критические точки и е Rn гладких вещественных функций/: R" R,
в которых производная обращается в ноль: Э// Э | = 0, i = 1, п. Важность
подобного изучения объясняется следующим утверждением: если некоторые
свойства системы описываются функцией/, имеющей смысл потенциальной
энергии, то из всех возможных перемещений действительными будут те, при
которых/имеет минимум (фундаментальная теорема Лагранжа о том, что
минимум полной потенциальной энергии системы является достаточным
для устойчивости).
К наиболее распространенным типам критических точек для гладкой
функции относятся локальные максимумы, минимумы и точки перегиба
(рис. 1.15, 1.16).
?ис. 1.16. Вид критических точек при п = 2 а — минимум, 6 — максимум,
в — седло, г — обезьянье седло, д — желоб, е — скрещенные желоба
В общем случае в теории катастроф для исследования свойств блокчейн-
экосистемы или платформы используется такой прием: сначала функция/
раскладывается в ряд Тейлора; затем требуется найти отрезок этого ряда,
адекватно описывающий свойства системы вблизи критической точки
для данного количества управляющих параметров. Вычисления при этом
проводятся за счет правильного отбрасывания одних членов ряда Тейлора
и оставления других — «наиболее важных» [306-308].
В своих работах Рене Том указал на важность требований структурной
устойчивости, или нечувствительности к малым возмущениям. При этом
понятие «структурная устойчивость» в 1937 году ввели в теории дифферен-
циальных уравнений А. А. Андронов и Л. С. Понтрягин — под названием
«грубость системы» [60-62].
Функция/считается структурно устойчивой, если для всех достаточно ма-
лых гладких функций р критические точки/и (J + р) имеют один и тот же
тип. Например, для функции /(.г) = х2 и р = 2е.г, где г — малая константа,
возмущенная функция примет вид /(.г) = х1 + 2е.г = (х + с)2 - £2, то есть
критическая точка сдвинулась (величина смещения зависит от г), но не из-
менила свой тип.
В работе В. А. Острейковского [306-308] показано, что чем выше степень «,
тем хуже ведет себя .г": возмущение /(.г) = .г5 может привести к четырем
критическим точкам (двум максимумам и двум минимумам), независимо
от того, насколько мало возмущение (рис. 1.17).
1. Поведение функции/ (.г) = х3 при возмущении.
2. Поведение функции/(.г) = ж* при возмущении.
3. Поведение функции / (.г) = х* при возмущении.
В результате теория катастроф позволяет исследовать динамику поведения
блокчейн-экосистемы или платформы в условиях возмущений по аналогии
с моделированием возмущений в живой природе [306-308], в частности
выдвинуть и обосновать гипотезу о том, что в условиях возмущений блок-
чейн находится в устойчивом равновесии, если функция потенциала имеет
строгий локальный минимум.
В случае превышения определенных значений этих факторов блокчейн
будет плавно менять свое состояние, если критическая точка не вырождена.
При некотором увеличении нагрузки критическая точка сначала выродится,
а затем, как структурно неустойчивая, распадется на не вырожденные точки
или исчезнет. При этом программа поведения киберсистемы скачкообразно
перейдет в новое состояние (потеря устойчивости, разрушение, критические
изменения в структуре и поведении).
Рис. 1.17. Поведение функции пои возмуш.ении
Облик системы обеспечения
киберустойчивости блокчейна
Для проектирования системы управления киберустойчивостью блокчейна
воспользуемся теорией многоуровневых иерархических систем (М. Месаро-
вич, Д. Мако, И. Такахара) [37,60-62]. При этом будем различать следующие
типы иерархии: эшелон, слой, страта (рис. 1.18 и 1.19).
Объекты
Рис. 1.18. Блок управления устойчивостью
Г лава 1. Актуальность создания устойчивых блокчейн -экосистем
Здесь к основным стратам относятся следующие.
Страта 1 — мониторинг квантовых и традиционных кибератак зло-
умышленников и накопление иммунитета блокчейна: моделирование
злоумышленников в типах воздействий; моделирование представления
динамики возмущений и определение сценариев возврата поведения
киберсистемы в равновесное (устойчивое) состояние; разработка ма-
кромодели (программы) самовосстановления системы в условиях воз-
мущений (Е).
Страта 2 — разработка и верификация программы самовосстановле-
ния блокчейна на микроуровне: разработка микромодели (программы)
самовосстановления системы в условиях возмущений; моделирование
средствами денотационной, аксиоматической и операционной семанти-
ки для доказательства частичной корректности планов восстановления
системы (Д),
Страта 3 — самовосстановление возмущенного поведения блокчейна при
решении целевых задач на микроуровне: вывод операционных эталонов
для восстановления и разработка модели их представления; выработка
и исполнение плана восстановления. Здесь (Р) соответствуют уровням
иерархии блокчейн-экосистемы или платформы.
Заметим, что в данном случае последовательно реализуется определенный
шаг некоторого самоприменимого транслятора (или интеллектуального
диспетчера, или гипервизора), микро- и микропрограммы восстановления
поведения блокчейна в условиях возмущений.
Здесь Sk = (5*, Sk... Slp, — вектор состояния поведения блокчейна; Z(t) =
= (z, z,„. z ; t) — параметры воздействий злоумышленников; X(t) =
= (.Гр ,r2... аг; t) — управляемые параметры; V(R, С) — управляющие воздей-
ствия, где R — множество накопленных иммунитетов к воздействиям, а С —
множество целей поведения блокчейна.
Решение по самовосстановлению блокчейна в условиях возмущений при-
нимается на основании информации (S) о состоянии системы, наличии
иммунитета к возмущениям (R) и с учетом целей функционирования
системы (G). Показатели S формируются на основе параметров X, кото-
рые являются входными, промежуточными и выходными данными. Под
параметрами воздействия злоумышленника Z понимаются значения, слабо
зависящие (не зависящие) от системы обеспечения требуемой киберустой-
чивости блокчейна.
Подсистема оценивания сил и средств киберпротивника
Подсистема администрирования системы предупреждения
э компьютерном нападении
Когнитивный
компонент
Компонент поддержки
принятия решений
Компонент
администрирования
Распределенная подсистема хранения данных и знаний
информационного противоборства
Онтологии
(метаонтологии)
SQL.NewSQL,
и NeSQL СУДЕ
Пространственно-
временные ряды
Хранилище
знаний
Аналитическое
хранилище данных
Адми нистративные
данные
Подсистема построения онлайн-ал горитм зв детектирования
значимых событий (ан змалий) кибербезопасности
Нас।ройка
алгоритмов обучения
Таксономия
информационно! о
пространства
Тестовые корпуса
документов
Рис. 1.19. Фрагмент перспективной системы обеспечения требуемой
киберустойчивости блокчейн экосистемы или платформы
Краткие итоги
Проведенный анализ уровней и иерархий системы управления киберустойчи-
востью блокчейна с памятью позволил выделить следующие страты: монито-
ринг групповых и массовых кибератак и накопление иммунитета; выработка
и верификация программы самовосстановления возмущенного поведения
системы; восстановление, в ходе которого достигается самовосстановление
киберсистемы при решении целевых задач.
Анализ поведения блокчейн-экосистем или платформ в условиях роста
угроз кибербезопасности позволяет представить упомянутые системы в виде
динамической системы — при условии, что знание предыдущего состояния
системы и отрезка восстановленного процесса ее функционирования явля-
ется необходимым и достаточным условием для определения следующего
наблюдаемого состояния. Также подразумевается, что множество моментов
времени упорядочено, то есть в нем определено направление.
Выбранное представление абстрактного преобразователя поведения блок-
чейн-экосистемы или платформы с памятью на основе выявленных дина-
мических взаимосвязей позволяет сформулировать и доказать положения,
подтверждающие принципиальное существование решения для самовос-
становления программ поведения блокчейна в условиях квантовых и тра-
диционных атак злоумышленников.
Проведенный анализ свидетельствует о возможности применения теории
катастроф для анализа динамики поведения блокчейна в условиях возмуще-
ний по аналогии с моделированием возмущений в живой природе. Показано,
что в условиях массовых возмущений блокчейн-экосистема или платформа
находится в устойчивом равновесии, если функция потенциала имеет строгий
локальный минимум. В случае превышения определенных значений этих
факторов система будет плавно менять свое состояние, если критическая точка
не вырождена. При некотором увеличении нагрузки она сначала выродится,
а затем, как структурно неустойчивая, распадется на невырожденные точки
или исчезнет. При этом наблюдаемая система скачкообразно перейдет в новое
состояние (потеря киберустойчивости, разрушение, критические изменения
в структуре и поведении, необратимое критическое состояние).
2 Модели угроз безопасности
блокчейн-экосистемам
и платформам цифровой
экономики Российской
Федерации
В этой главе показано, что постоянно развивающаяся технология блокчейн,
как и любая другая инновационная технология, заключает в себе не только
большой потенциал для реализации масштабных инициатив цифровизации
в рамках национальной программы «Цифровая экономика Российской
Федерации», но и множество угроз информационной безопасности. При этом
важно заниматься вопросами обеспечения требуемой безопасности и устой-
чивости блокчейна на самых ранних стадиях пилотирования и апробации
технологии на практике. Только в этом случае становится возможным из-
бежать негативных последствий кибератак злоумышленников на корпора-
тивные блокчейн-экосистемы или платформы.
Проведен анализ типовых атак злоумышленников на известные блокчейн-
экосистемы или платформы, повсеместно использующие асимметричные
криптографические алгоритмы для создания пары «открытый — закрытый
ключ» и адреса, который получается с использованием операций хеширова-
ния и контрольной суммы открытого ключа. Показано, что с точки зрения
квантовых вычислений вся криптография, которая нашла применение в тех-
нологии блокчейн, может быть условно разделена на квантово-безопасную
и квантово-небезопасную. К квантово-безопасной можно отнести алгоритмы
и криптосистемы симметричного шифрования (в том числе AES или ГОСТ
Р 34.12-2015), но с увеличенной как минимум вдвое длиной ключа (какой
именно длины будет достаточно, пока сказать трудно). К квантово-небезопас-
ной причисляют алгоритмы и криптосистемы асимметричного шифрования,
базирующиеся на сложности факторизации целых чисел (например, RSA)
или дискретного логарифмирования (например, схема Эль-Гамаля или
эллиптические кривые). Обоснован переход к использованию постквантовых
криптопримитивов для блокчейна.
Предложена новая постановка задачи обеспечения киберустойчивости блок-
чейн-экосистем и платформ цифровой экономики Российской Федерации
в условиях традиционных и квантовых атак злоумышленников, в которой
замысел обеспечения киберустойчивости базируется на решении нетриви-
альных задач квантового анализа и синтеза постквантовых криптоприми-
тивов для блокчейна.
2.1. Модель угроз безопасности
цифровой экономики Российской
Федерации на основе аналитики
зарубежных национальных
квантовых программ
В настоящее время национальные квантовые программы для поддержки
поисковых исследований в области квантовых технологий реализуются
в 17 технологически развитых странах [314]. В 12 странах такие программы
финансируются государством, а для их реализации привлекают ведущие
научные институты и фонды перспективных исследований, а также лиди-
рующие государственные и частные университеты в области компьютер-
ных наук. Другие страны принимают активное участие в международных
проектах по развитию квантовых технологий. При этом все национальные
квантовые программы определены правительствами как критически важные
для национальной безопасности и экономической конкурентоспособности
государства [311-314].
По мнению ведущих отечественных политологов [60-62], современный
мир переживает эпоху глубоких перемен1, сущность которых заключается
в формировании полицентричной международной системы:
происходит рассредоточение мирового потенциала силы и развития, его
смещение в Азиатско-Тихоокеанский регион, соответственно сокраща-
ются возможности исторического Запада доминировать в мировой эко-
номике и политике;
http://www.kremlin.ru/acts/bank/4t451/.
обостряются противоречия, связанные с неравномерностью развития, уве-
личением разрыва между благосостоянием населения в разных странах,
а также усилением борьбы за ресурсы, доступ к рынкам сбыта и контроль
над транспортными артериями, что приводит к нарастанию нестабиль-
ности в международных отношениях, усилению турбулентности на гло-
бальном и региональном уровнях;
в условиях обострения политических, социальных, экономических проти-
воречий и роста нестабильности мировой политической и экономической
системы повышается роль фактора силы в отношениях: наращивание
и модернизация силового потенциала;
создание и развертывание новых видов вооружения подрывают страте-
гическую стабильность, создают угрозу глобальной безопасности, обе-
спечиваемой системой договоров и соглашений в области контроля над
вооружениями;
наряду с военной мощью на первый план выдвигаются такие важные
факторы влияния государств на международную политику, как эконо-
мические, правовые, технологические и информационные;
неотъемлемой составляющей современной международной политики
становится использование для решения внешнеполитических задач ин-
струментов «мягкой силы», в первую очередь возможностей граждан-
ского общества, гуманитарных и информационно-коммуникационных
технологий [62].
Западные государства, прежде всего США и другие страны — участницы
НАТО, стремятся использовать технологическое превосходство в области
искусственного интеллекта (AI), квантовых технологий (Q), сбора и обра-
ботки больших данных (Big Data + ETL), машинных вычислений высокой
и сверхвысокой производительности (до 10 эксафлопс) для доминирования
в информационном пространстве1. При этом вызывает обеспокоенность
учащающееся использование названными странами информационных тех-
нологий в военно-политических целях, в том числе для осуществления дей-
ствий, направленных на подрыв суверенитета, политической и социальной
стабильности, территориальной целостности Российской Федерации2.
1 https://trumpwhitehouse.archives.gev/wp-content/uploads/2018/09/National-Cyber-Strategy.pdf;
https://media.defense.gov/2018/Sep/18/2002041658/-l/-l/l/cytierstrategysummaryfinal.pdf.
' https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp3_12.pdf.
Так, в национальной квантовой инициативе США (National Quantum
Initiative, 2018)1 поставлена задача удерживать технологическое лидерство
США в области квантовых технологий в среднесрочной и долгосрочной
перспективе. Для этого начиная с 2019 года развернута серия (более 80)
НИОКР двойного назначения под управлением Агентства национальной
безопасности США1 2, Агентства передовых исследований в области военной
разведки США3, Агентства перспективных исследовательских проектов
Министерства обороны США (DARPA)4 *, Национального научного фонда
США (NFS)3, Министерства энергетики США6 и др. При этом бюджет
США на развитие квантовых технологий в 2021 году превысид 2,5 млрд
долларов (для сравнения, аналогичный бюджет России — 691 млн долла-
ров) (рис. 2.1). Рассмотрим подробно структуру и содержание квантовой
инициативы США.
Рис. 2.1. Открытые бюджеты высокотехнологичных стран мира
на развитие квантовых технологий
1 https://www.congress.gov/bill/tl5th-congrees/house-bill/6227/t2xt/.
' https://www.nsa.gov/what-we-do/cybersecurity/post-quantum-cybersecurity-resources/.
3 httpe://www.iarpa.gov/index.php/research-programs/quantum-programs-at-iarpa?highlight=
WyJxdWFudHVtI10=/.
4 https://search.darpa.mil/? query=quantum&page=l&pagesize=10&f.FileType.size=10&f.Offices.
size=tO&f.Topic.size-10&f.TypeOfContent.size-.
3 https://www.nsf.gov/mps/quantum/quantum_research_at_nsf.jsp.
6 https://www.energy.gov/science/initiatives/qiiantum-information-science/.
КВАНТОВАЯ ИНИЦИАТИВА США
Появлению упомянутой инициативы предшествовал целый ряд шагов во-
енно-политического руководства США.
В конце 2017 года вопрос стал особенно злободневным в связи с тем, что
у политической элиты Соединенных Штатов появились серьезные опасения
отстать, главным образом от Китая, в глобальной гонке квантовых вычис-
лений. По заданию конгресса США Агентство национальной безопасности
(National Security Agency, NS А)1 подготовило несколько докладов с оценками
военно-технического потенциала США и их оппонентов в области кванто-
вых технологий. В этих документах в развернутом виде были представлены:
структура и сопоставление затрат на национальные квантовые программы
в технологически развитых странах мира;
количество и качество ранее проведенных научно-технических иссле-
дований;
оценка практической значимости полученных научных результатов;
оценка потенциальных возможностей соответствующей эксперименталь-
ной базы;
оценка уровня качества подготовки специалистов по направлению «кван-
товые технологии» и пр.
Затем в 2018 году разработали Меморандум о бюджетных приоритетах,
президентской администрации США в области НИОКР двойного назначения.
При этом выделены следующие направления поисковых исследований:
квантовые технологии (Q), искусственный интеллект (AI), автономная
робототехника, машинные вычисления высокой и сверхвысокой произво-
дительности (до 10 и более эксафлопс). В части квантовых технологий была
поставлена задача удержать технологическое лидерство США в среднесроч-
ной и долгосрочной перспективе1 2.
В том же году подготовили проект закона «О национальной квантовой
инициативе» (National Quantum Initiative Act)3, где было запланировано
выделение значимых финансовых средств:
1 https://www.nsa.gor/.
' https://www.quantum.gov/wp-content/uploads/2022/02/QIST-Natl-Workforce-Plan.pdf.
3 https://www.congress.gOv/l 15/plaws/publ368/PLAW-l 15publ368.pdf.
Национальному институту стандартов и технологий (NIST) в размере
400 млн долларов (по 80 млн в год) — на организацию и проведение на-
учных мероприятий по заданным темам1;
Национальному научному фонду (NSF) в размере 250 млн долларов
(по 50 млн в год) — на создание и развитие междисциплинарных научных
центров для проведения поисковых исследований и обучения1 2;
Координационному бюро (Coordination Office) в размере 200 млн долла-
ров (по 40 млн в год) — на управление проектами в области квантовых
технологий.
Таблица 2.1. Оценка криптостойкости известных
алгоритмов шифрования
Безопасная длина ключа, бит Симметричные алгоритмы FFC (DSA, D-H, MQV) IFC (RSA) EEC (ECD5A)
80 (до 2010 года] 2TDEA, SKIPJACK L = 1024 N = 160 k 1024 f= 160-223
112 (до 2030 года) 3TDEA L = 2048 N = 224 k = 2048 f = 224-255
128 (после 2030 года) AES-128 L = 3072 N =256 k = 3072 f = 256-383
192 AES' 192 L = 7680 N = 384 k = 7680 f 384-511
256 AES-256 L = 15 360 N = 512 k = 15 360 f = 512+
Далее в ходе обсуждения статей бюджета в палате представителей конгресса
США Министерству энергетики США дополнительно выделили G25 млн
долларов (по 125 млн в год) на создание пяти лидирующих научно-ис-
следовательских центров (National Quantum Information Science Research
Centers3). В результате общий объем финансирования на реализацию на-
циональной квантовой инициативы США составил 1,275 млрд американ-
ских долларов. Двадцать первого декабря 2018 года этот бюджет утвердил
президент США Д. Трамп.
1 https://csrc.nist.gov/projecte/post-quantum-cryptography/post-quantum-cryptography-
standardization.
2 https://www.nsf.gov/mps/quantum/quantum_research_at_nsf.jsp.
3 https://www.energy.gov/articles/doe-announces-30-million-quantum-information-science-tackle-
emerging-21 st-century.
Национальный научный фонд США (NSF) запланировал два стратегических
проекта на 2019-2025 годы.
Первый — по созданию «практического» квантового компьютера (Software-
Tailored Architecture for Quantum со-design, STAQ1). Основными целями
этого проекта стали:
разработка перспективной архитектуры квантового компьютера с 64 и бо-
лее кубитами;
обеспечение требуемой устойчивости и помехоустойчивости функцио-
нирования квантовых компьютеров в реальных условиях эксплуатации;
разработка квантовых алгоритмов, системного и прикладного программ-
ного обеспечения для решения научно-технических задач двойного на-
значения (табл. 2.1-2.4).
Таблица 2.2. Ресурсы, необходимые для квантового решения
задач факторизации
Факторизация ECDLP Классическое время
Число кубитов Квантовсе время п Число кубитсв Квантовое время
1024 0,54 • 10’ 110 700 0,5 • 10’ 6,4 • 1016
2948 4,3 • 10’ 163 1000 1,6 • 10’ 3,0 • 1024
4096 34 • 10’ 224 1300 4,0 • 10’ 9,2 • 1033
6114 120 • 10’ 256 1500 6,0 • 10’ 6,0 • 1038
30 720 1,5 • 1013 512 2800 50 • 10’ 2,1 • 10”
Таблица 2.3. Ресурсы, необходимые для квантового решения задач поиска
ключа известных криптосистем симметричного шифоования
к Числи кубитов Квантовое время Классическое время
56 56 2,1 • 108 7,2 • 1016
80 80 8,6 • 101' 1,2 • 1024
112 112 5,7 • 1016 5,2 • 1033
128 128 1,4 • 10” 3,4 • 1038
168 168 1,5 • 1025 3,7 • 1050
256 256 2,7 • 1038 1,2 • 10”
https://www.nsf.g<w/crwardsearch/showAward?AWD_ID=1818914#:~:text=The%20Software
%2DTailored%20Architecture%20for,advantage%20over%20current%20computer%20technolog.
Второй проект — «Содействие квантовому скачку» (Enabling Quantum Leap:
Convergent Accelerated Discovery Foundries for Quantum Materials Science,
Engineering and Information, Q-AMASE-i)1. Он направлен на создание новых
образцов квантовых материалов.
Общая сумма финансирования обоих проектов — 25 млн долларов США.
Министерство энергетики США запланировало на 2019-2024 годы финан-
сирование 85 перспективных проектов в области квантовых технологий на
общую сумму 218 млн американских долларов. В том числе проект нацио-
нальной лаборатории им. Лоуренса в Беркли (Lawrence Berkeley National
Laboratory, LBNL/Berkeley Lab) по созданию специальной тестовой лабо-
ратории (Advanced Quantum Testbed, AQT)1 2. Для разработки программы
и методики испытаний различных архитектур квантовых компьютеров
привлекли Лабораторию Линкольна из Массачусетского технологического
института (MIT-Lincoln Laboratory, MIT-LL)3 4.
США приняли и другой важный документ — «Закон об исследованиях
в области квантовых вычислений 2018 года» (Quantum Computing Research
Act of 2018)4, который был направлен на поддержку научно-технических
исследований в интересах министерства обороны страны.
В 2019 году заместитель министра обороны США по научной работе (Under
Secretary of Defense for Research and Engineering)5 подготовил План перспек-
тивных НИОКР (на период 2019-2025 гг.) по направлениям:
создание новых образов вооружения и техники на основе квантовых
технологий (Q);
разработка перспективных моделей и методов для сбора и обработки
больших данных (Big Data) на основе квантовых технологий (Q), методов
искусственного интеллекта (А1) и машинного обучения (ML) (national
security data sets);
разработка квантовых алгоритмов для решения военно-технических задач
анализа и синтеза (в том числе задач криптоанализа);
создание доверенных квантовых систем связи, включая разработку соот-
ветствующей компонентной базы и протоколов связи;
1 https://www.nsf. gov/pubs/2018/nsfl8578/nsfl8578.htm#:~:text=The%20new%20program
%20of%20Enabling,of%20quantum%20materials%20and%20devices.
2 https://aqt.lbl.gov/.
3 https://www.ll.mit.edu/.
4 https://www.congres6.gcrv/l 15/bills/s2998/BILLS-115s2998is.pdf.
3 https://www.cto.mil/.
разработка квантовых компьютеров на 100 и более логических кубитов;
разработка математического и программного обеспечения для квантовых
компьютеров;
разработка перспективных архитектур квантовых систем и сетей для
выполнения квантовых вычислений;
разработка моделей и методов квантовой криптографии и др.
Таблица 2.4. Оценка криптостойкости известных криптоалгоритмов,
используемых США и их партнерами по НАТО
Криптссхема Размер ключа, Зит Эффективная стойкость, Зит Требуемое количество логических кубитов Требуемое количество физических кубитов Оценка времени
AES 128 128 2953 4,61 • 106 2,61 • 1012 лег
192 192 4449 1,68 • 107 1,97 • 10 22 лет
256 256 6681 3,36 • 107 2,29 • 1032 лет
RSA 1024 80 2290 2,56 • 106 3,58 ч
2048 112 4338 6,2 • 106 28,63 ч
4096 128 8434 1,47 • 107 229 ч
ECDLP (NIST Р-256, 256 128 2330 3,21 • 106 10,5 ч
NIST Р-386, 356 192 3484 5,01 • 106 37,67 ч
NIST Р-521] 512 256 4719 7,81 • 106 35 ч
SHA 256 N/A 72 2403 2,23 • 106 1,8 • 104 лет
Начиная с 2019 года в оборонном бюджете США, в разделе НИОКР, пред-
усмотрено ежегодное финансирование фундаментальных и прикладных
исследований в области квантовых технологий. Так, сухопутные войска
(программный элемент 0601102А) и военно-морские силы (программный
элемент 0601153N) ежегодно получают по 5 млн долларов США на соответ-
ствующие исследования. Интересно отметить, что в рамках оборонного бюд-
жета по статье «Перспективное моделирование и вычисления» (Advanced
Simulation and Computing1) для министерства энергетики зарезервировано
более 700 млн долларов ежегодно, что значительно превышает «квантовый»
бюджет Пентагона. Это объясняется фундаментальным характером предпо-
лагаемых поисковых исследований в области квантовых технологий.
https://www.lanl.gov/projects/advanced-simulation-computing/.
Отметим, что количество междисциплинарных университетских исследова-
ний (Multidisciplinary University Research Initiative, MURI) для нужд Ми-
нистерства обороны США выросло с 12 проектов в 2016 году до 60 в 2021-м.
Один из них — проект по созданию прототипа масштабируемой квантовой
сети и квантовой памяти (Tri-Service Quantum Science and Engineering
Program, QSEP1).
В дополнение к этому ведущие американские агентства перспективных ис-
следований для разведсообщества (IARPA1 2) и оборонных структур США
(DARPA3) поставили ряд НИОКР двойного назначения, которые пресле-
дуют такие цели, как:
преодоление ограничений известных квантовых систем (Logical Qubits
Program) (2020-2023);
эффективное решение задач оптимизации (Quantum Enhanced Opti-
mization Program) (2020-2023);
разработка эффективных квантовых алгоритмов криптоанализа ( Quan-
tum Cryptanalysis) (2021-2024) и пр.
Для выполнения этих НИОКР привлекли лидирующие государственные
и частные университеты. Например, Университет Южной Калифорнии
(University of Southern California) занял головную позицию в консорциуме
университетов и частных компаний по пятилетней НИОКР (2017-2022)
IARPA с бюджетом 45 млн долларов США для разработки первого в мире
100-кубитного квантового компьютера4. Кроме Университета Южной Ка-
лифорнии, в этот консорциум вошли:
Лаборатория Линкольна (MIT LL);
Калифорнийский технологический институт (Caltech, США);
Гарвардский университет (Harvard, США);
Калифорнийский университет в Беркли (UC Berkeley, США);
Университетский колледж Лондона (University College London, Велико-
британия);
1 https://research.uga.edu/team-pre-seeds/projects/quantum-science-and-engineering-prograni/.
Э https://www.iarpa.gov/.
3 https://www.darpa.mil/.
4 https://Viterbischool.usc.edu/news/2017/06/usc.-lead-iarpa-quantum-computing-project/.
Университет Уотерлу (University of Waterloo, Канада);
Саарский университет (Saarland University, Германия);
Токийский технологический институт (Tokyo Institute of Technology,
Япония);
компании Lockheed Martin и Northrop Grumman (США).
А для приемки результатов НИОКР привлекли Исследовательский центр
Эймса (NASA’s Ames Research Center) и Техасский университет А&М
(Texas А&М)1.
В 2021 году бюджет Национальной квантовой инициативы США был пере-
смотрен в сторону увеличения (National Quantum Initiative SuPlement to the
President’s FY 2021 Budget2) и, как говоридось ранее, он превысил 2,5 млрд
долларов США. При этом 50 млн долларов направили на разработку новых
квантовых алгоритмов (в том числе для криптоанализа) в интересах развед-
сообщества и оборонных структур США и НАТО (рис. 2.2 и табл. 2.5) [1].
QCOMP
ф Текущие —И—Планируемые ©Млн долл.
Рис. 2.2. Приоритет разработки квантовых алгоритмов
в интересах оборонных структур США
https://Viterbischool.usc.edu/news/2017/06/usc-lead-iarpa-quantum-computing-project/.
https://www.quantum.gov/wp-content/uploads/2021/01/NQI-Annual-Report-FY2021.pdf.
В 2022 году бюджет Национальной квантовой инициативы США снова
увеличили1.
Таблица 2.5. Основные квантовые алгоритмы, используемые для решения
задач криптоанализа
Полный перебор ключей алгоритмов шиф- рования Алгоритм Гровера
Слайд агака, метод различения для ое- жимов СВС MAC, РМАС, GMAC, GCM, ОСВ, сетей Фейстеля Ал-оритм Саймона
Определение ключа схемы Эвана — Ман- сура, FX-конструкции, обобщенных сетей Фейстеля Комбинация алгоритмов Гровера и Саймона
Метод согласования, атака Meet-in-the- Micdle Случайные блуждания, комбинация алгоритмов Гровера и Саймона
Факторизация и дискретное логарифмиро- вание Ал_оритм Шора, алгоритм Экера
Поиск линейных и разностных соотноше- ний, восстановление ключа по разностному соотношению Алгоритмы Бернштейна — Вазирани, Гровера и Саймона
Специальные методы Алгоритм Гровера
Поиск коллизий, мультиколлизий Случайные блуждания, алгоритм Гровера и др.
Решение СЛУ, алгебраическая атака AES, Trivium, SHA 3, МРКС Harrow, Hassidim, Lloyd
Таким образом, начиная с 2018 года, в США исследования и разработки
в области квантовых технологий находятся под пристальным вниманием
государственных и военных структур. Крупные госинвестиции в развитие
данных технологий в Соединенных Штатах (более 2,5 млрд долларов США)
объясняются их стратегической важностью для обеспечения национальной
безопасности, в том числе для доминирования в информационной сфере.
Выполнению поставленной задачи также способствуют частные инвести-
ции крупнейших американских производителей и поставщиков услуг в об-
ласти информационных технологий, в том числе Amazon1 2, Google3, IBM4,
1 https://www.quantum.gOv/wp-content/uploads/2021/12/N QI-Annual-Report-FY2022.pdf.
- https://aws.amazon.com/ru/quantum-solutions-iab/.
3 https://www. theverge.com/2021/5/19/22443453/google-quantum-computer-2029-decade-
commercial-useful-qubits-quantum-transistor.
4 https://tiuantum-computing.ibm.com/lab.
Intel1 и Microsoft1 2. Другие компании, например SpaceX3, Lockheed Martin4
и Boeing5, уже применяют квантовые технологии на практике для решения
конкретных технологических задач. В сумме инвестиции частных американ-
ских компаний на квантовые технологии приблизились к 1 млрд долларов
США ежегодно и продолжают расти, причем не только в Соединенных Шта-
тах, но и в других странах, например в Китае, Германии, Великобритании,
Франции, Японии и Сингапуре6.
КВАНТОВЫЕ ПРОГРАММЫ СТРАН МИРА
Перечень известных национальных квантовых программ в технологически
развитых странах мира приведен в табл. 2.6.
Основными целями национальных квантовых программ являются кооперация
заинтересованных сторон в академических кругах и промышленности для про-
ведения перспективных НИОКР двойного назначения в области квантовых
технологий, а также содействие переводу поисковых исследований в практиче-
скую плоскость. Дополнительная цель — развитие человеческого капитала (или
ресурса). В ряде программ поставлены четкие среднесрочные цели, например,
к 2030 году (или раньше) разработать действующий промышленный прототип
«практического» квантового компьютера, а также выработать сценарии его
использования для создания экосистемы квантовых вычислений [314].
К основным задачам национальных квантовых программ относятся:
создание научно-технических центров передового опыта в области кван-
товых технологий;
организация и проведение перспективных НИОКР двойного назначения
по заданной теме;
1 https://www.intel.com/content/www/us/en/research/quantum-computing.html.
' https;//azure.microsoft.com/en-us/eolutions/quantum-computing/.
3 https://seekingalpha.com/news/3645454-spacex-aiming-for-quantum-computing-breakthrough-
morgan-stanley.
4 https://www.lockheedmartin.com/en-us/news/features/2017/quantum-computing-spot-checking-
millions-lines-cpde.html.
3 https://boeing.mediaroom.eom/2018-10-17-Boeing-Launches-New-Organization-to-Unleash-the-
Power-of-Advanced-Computing-and-Networks-in-Aerospace.
6 https://finance.yahoo.com/news/10-biggest-quant-funds-world-233332516.html7guccounter”
1&gucereferrer=a H R0cHM6Ly93d3cuZ29vZ2xl LmNvbS8&guce_referrer^sig=AQAAA FrEQR9
02AUnjtjqeUzywqouflwv01o_MmSEX7iq4zVu5YZYHcvQZHMAsaUEjAIrSxt9VNh9B7WrlfW
CXihGDnMzQ5EWr3mL3yHklLKbS89i92PNlydesNGqSm0UZaIUPtF41nCG34J16dIRO8oG
NIr00cgEHQ._YbwpoR6qA81Sy; https://www.reuters.com/markets/deals/saudi-telecom-sets-up-
new-entity-data-centres-cable-aseets-2022-02-02/.
обеспечение прямого финансирования специальных проектов двойного
назначения;
предоставление государственных инвестиций или стартового капитала
предприятиям — производителям новых квантовых технологий.
Таблица 2.6. Перечень известных национальных квантовых программ
в технологически развитых странах мира
Страна Название национальной квантовой программы Бюджет и сроки выполнения
США National Quantum Initiative (2018) Более 2,5 млрд долларов, 2018-2023 годы
Китай Quantum technology R&D as strategic industry in Five Year Plans и Made in China 2025 15,3 млрд долларов (на создание опытного центра), 2020 -2025 годы
Г ермания Quantum Technologies — From Basic Research to Market (2018) 2,4 млрд долларов, 2018-2023 годы
Великобоитания National Quantum Technologies Programme (2013) 1,23 млод долларов, 2013 2022 годы
Франция National Strategy for Quantum Technologies (2021) 1,2 млрд долларов. 2021 2024 годы
Индия National Mission on Quantum Technologies & APlications (2020) 1,08 млрд долларов, 2020 -2025 годы
Нидерланды National Agenda for Quantum Technology: Quantum Delta NL (2019) 850 млн долларов, 2019-2024 годы
Россия Дорожная карта развития кванто- вых технологий (2019) 691 млн долларов (51,1 млрд руб.), 2019 -2024 годы
Израиль National Program for Quantum Science and Technology (2019) 380 млн долларов, 2019 2025 годы
Япония Quantum Technology Innovation Strategy (2020) 206 млн долларов, 2020 -2025 годы
Другие страны Евросоюза Quantum Technologies Flagship (2018) 181 млн долларов, 2018 -2021 годы
Канада Quantum Canada Strategy (в раз- работке с 2016 года) 149,7 млн долларов. 2017 2022 годы
Австралия Growing Australia's Quantum Technology Industry (2020) 98,6 млн долларов, 2020 -2024 годы
Сингапур Quantum Engineering Program (2018) 90,9 млн долларов, 2018-2025 годы
Южная Корея Quantum Computing Technology Development Project (2019) 40,9 млч долларов, 2019-2024 годы
В большинстве национальных квантовых программ выделены четыре основ-
ных направления поисковых исследований (рис. 2.3) [314]:
квантовые компьютеры и вычисления;
квантовые коммуникации (ближайшая перспектива).
квантовый криптоанализ (ближайшая перспектива);
квантовая и постквантовая криптография.
Так, в квантовой криптографии [49-60] определены следующие ключевые
технологии:
квантового распределения ключа (КРК) и квантового шифрования в оп-
товолоконных каналах связи и в открытом пространстве;
квантового хеширования и квантовой цифровой подписи;
квантового криптоанализа;
квантового сверхплотного кодирования информации с использованием
«запутанных» и «гиперзапутанных» частиц (один квантовый бит (кубит)
может переносить до двух обычных бит), что позволяет увеличить про-
пускную способность канала квантовой связи;
кодирования в системах квантовой передачи информации и др.
Отметим: в задачах квантового криптоанализа учитывается, что алгоритм
Шора обеспечивает экспоненциальное ускорение при решении задач факто-
ризации, дискретного логарифма (DLP) и дискретного логарифма с эллипти-
ческой кривой (ECDLP) (рис. 2.4 и табл. 2.7), которые широко используются
в криптографических приложениях в киберпространстве. Например, извест-
ные протоколы TLS, SSH, IPSec и другие полагаются на соглашения о ключах
Диффи — Хеллмана, зависящие от стойкости DLP или ECDLP; на цифровые
подписи (DSA, ECDSA или RSA-PSS) либо на шифрование с открытым
ключом (схема Эль-Гамаля, RSA ОАЕР). В результате квантовый алгоритм
Шора потенциально может взломать большинство протоколов и схем асим-
метричного шифрования (криптография с открытым ключом) [26-39].
Таблица 2.7. Оценка сложности разложения большого целого числа
на простые множители
Классический компьютер эксафгопсногс диапазона (1018 оп./с) против квантового компьютера мегагерцевого диапазона (1 млн оп./с)
Количество десятичных знаков, к к = 250 к = 500 к = 1000
Трудоемкость классического алгоритма 200 ч 5 млн лет 4 • 10” лет
Трудоемкость квантового алгоритма, с 4 с 18 с 84 с
Кван говая теория сложности
Теория квантовых вычислений
Квантовые алгоритмы
Архитеркутрно-ориентированная
реализация алгоритмов
Теория QEC
Квантовое программирование
Архитектура квантового компьютера
Реализация QEC и отказоустойчивости
Микроархитектура квантового
компьютера
Классический
контроль
Топология связанности
и планировки этажности
Технология квантовой связанности
Технология квантовой памяти и гейтов
Технологии построения
вычислительных блоков
Рис. 2.3. Основные направления развития квантовых технологий в национальных квантовых программах
о
о
Г лава 2 Модели угроз безопасности блокчейн-экосистемам
Время,
необходимое
для факторизации
Рекомендованная
NIST разрядность
Разрядность факторизуемого числа, бит
Рис. 2.4. Обзор программно-технических реализаций квантового алгоритма Шора для вскрытия схем
асимметричного шифрования
2.1 Модель на основе аналитики зарубежных квантовых программ
о
В целом все известные квантовые алгоритмы можно условно разделить
на две группы — предоставляющие экспоненциальный выигрыш (напри-
мер, алгоритм Шора) и предоставляющие квадратичный выигрыш (на-
пример, алгоритм Гровера) [302]. Особенно большое внимание уделяет-
ся квантовому алгоритму Шора и другим полиномиальным алгоритмам,
способным решать задачи криптоанализа с требуемыми достоверностью
и трудоемкостью за полиномиальное время [26-39]. Также достаточно ин-
тересен квантовый алгоритм поиска Гровера, который позволяет ускорить
алгоритмы для решения некоторых задач класса NР, для которых неизвестен
лучший алгоритм, чем прямой перебор: например, для ускорения поиска
ключа к таким криптосистемам, как широко известный алгоритм DES. Пред-
ставляет интерес и квантовое преобразование Фурье, позволяющее решать
задачи вычисления дискретного логарифма и факторизации и взламывать
с помощью квантового компьютера многие криптосистемы, например RSA.
Согласно отчетам американского национального института стандартов
(NIST), из применяемых в США и странах — участницах НАТО криптоал-
горитмов квантовой угрозе подвержены AES, SHA 2, SHA-3, RSA, ECDSA,
ECDH и DSA. Отмечается, что квантовые компьютеры позволяют проводить
вычисления на совершенно иных скоростях, чем современные суперЭВМ
пятого поколения. Это делает задачу чтения зашифрованных текстов вполне
реальной угрозой.
Также квантовые компьютеры представляют реальную угрозу для безопас-
ности большинства известных блокчейн-платформ, повсеместно использу-
ющих асимметричные криптографические алгоритмы для создания пары
«открытый — закрытый ключ» и адреса, получаемые с использованием
операций хеширования и контрольной суммы открытого ключа.
Как следствие, в ряде стран, главным образом в США и Евросоюзе, пла-
нируется переход к использованию устойчивой квантовой криптографии.
Например, упоминавшийся ранее N1ST находится в процессе подготовки
стандартов постквантовой криптографии, а АНБ рекомендует своим по-
ставщикам внедрить SHA-384 вместо SHA-256.
ОБЩАЯ МОДЕЛЬ КВАНТОВЫХ УГ ВОЗ
БЕЗОПАСНОСТИ
Учитывая вышеизложенное, предложим следующую общую модель кван-
товых угроз информационной безопасности критически важной информа-
ционной инфраструктуры (КИИ) Российской Федерации.
Наращивание рядом зарубежных стран потенциала возможностей кван-
товых технологий для проведения информационно-технических воз-
действий на КИИ Российской Федерации в военно-политических
целях. Одновременно с этим усиление деятельности иностранных тех-
нических разведок, использующих возможности квантового крипто-
анализа асимметричных и симметричных схем шифрования на основе
квантовых алгоритмов Шора, Гровера, Саймона и других для проведе-
ния технической разведки в отношении российских государственных
органов, научных организаций и предприятий оборонно-промышлен-
ного комплекса.
Применение квантовых технологий в военно-политических целях, в том
числе для осуществления действий, противоречащих международному
праву, направленных на подрыв суверенитета, политической и социаль-
ной стабильности, территориальной целостности Российской Федера-
ции и ее союзников и представляющих угрозу международному миру,
глобальной и региональной безопасности.
Рост квантовых криптоатак на объекты КИИ, усиление разведывательной
деятельности иностранных государств в отношении Российской Феде-
рации, а также нарастание угроз применения квантовых технологий для
нанесения ущерба суверенитету, территориальной целостности, полити-
ческой и социальной стабильности Российской Федерации.
Рост числа криптоатак на блокчейн-экосистемы и платформы цифровой
экономики Российской Федерации, использующих криптографические
алгоритмы для создания пары «открытый — закрытый ключ» и адреса,
получаемого с использованием операций хеширования и контрольной
суммы открытого ключа. Если раскрытие одного адреса не является
большим риском, то раскрытие адреса и открытого ключа, применяемого
при транзакции, несет потенциальную опасность, поскольку в случае до-
стижения достаточного прогресса в области квантовых вычислений это
даст возможность получить закрытый ключ.
Недостаточный уровень развития конкурентоспособных отечественных
квантовых технологий и их использования для производства продукции
и оказания услуг. Высокая степень зависимости отечественной про-
мышленности от зарубежных информационных технологий в части, ка-
сающейся электронной компонентной базы, программного обеспечения,
вычислительной техники и средств связи, что обусловливает зависимость
социально-экономического развития Российской Федерации от гео-
политических интересов зарубежных стран.
Недостаточная эффективность научных исследований в области кван-
товых технологий, направленных на создание перспективных квантовых
компьютеров; низкий уровень внедрения отечественных разработок и не-
достаточное кадровое обеспечение в области информационной безопас-
ности, а также низкая осведомленность граждан в вопросах обеспечения
личной информационной безопасности. Мероприятия по обеспечению
безопасности информационной инфраструктуры, включая ее целост-
ность, доступность и устойчивое функционирование, с использованием
отечественных информационных технологий и отечественной продукции
зачастую не имеют комплексной основы.
Стремление отдельных государств использовать технологическое превос-
ходство в квантовых технологиях для доминирования в информационном
пространстве.
Для своевременного предупреждения вышеназванных угроз безопасности
в 2019 году в России утвердили «Дорожную карту по развитию квантовых
технологий» (далее — Дорожная карта1). В качестве ее основной цели заяв-
лено достижение в среднесрочной и долгосрочной перспективе практически
значимых научно-технических и практических результатов мирового уровня
по ряду направлений.
Квантовые компьютеры и вычисления. Квантовые компьютеры и симу-
ляторы — это вычислительные системы, использующие для решения
задач квантовые явления. Устройства, созданные на основе квантовых
вычислений, могут многократно превосходить возможности классических
компьютеров при решении задач криптоанализа, моделирования слож-
ных систем, а также машинного обучения и искусственного интеллекта.
По мере развития существующих квантовых компьютеров появления пер-
вых прикладных результатов можно ждать в направлении ускорения задач
машинного обучения и моделирования новых перспективных материалов.
Наиболее перспективными платформами в мире считаются сверхпрово-
дящие цепочки, нейтральные атомы и ионы в ловушках. Согласно клас-
сификации QTRL, разработки ведущих компаний мира на данный момент
соответствуют уровням QTRL 4-5, то есть в данных вычислительных
системах пока не решена задача реализации квантовых кодов коррекции
ошибок и, соответственно, на них не могут быть в полном объеме реали-
зованы практически значимые алгоритмы (в том числе алгоритм Шора).
Здесь шкала QTRL служит для определения уровня готовности кванто-
вых технологий: первый уровень означает наличие лишь теоретических
https://digital.gov.ru/ru/documents/6650/.
разработок, а максимально высокий девятый — возможность квантового
компьютера превосходить классический компьютер. В Российской Феде-
рации на сегодняшний день реализованы прототипы квантовых компью-
теров с 2 кубитами (по данным ДК ФПИ, 2-10 кубитами) и квантовые
симуляторы с 10-20 кубитами. Это соответствует уровню QTRL 3-4.
Квантовые коммуникации. Технологии, направленные на устранение
угрозы информационной безопасности, в том числе со стороны кванто-
вых компьютеров, предусматривают использование свойств квантовых
систем для передачи ключей. Основная технология в данном случае —
квантовое распределение ключей (КРК). Главное преимущество КРК —
защищенность информации, гарантированная законами физики. Уровень
готовности в мире составляет TRL 9 как в решениях «точка — точка», так
и в сетях с доверенным узлом. Здесь TRL — шкала уровней технологи-
ческой готовности, включающая в себя девять уровней. Оборудование
КРК для сетей с недоверенными узлами находится на уровне лаборатор-
ного тестирования. Сегодня степень готовности отечественных решений
«точка — точка» можно оценить как TRL 8, а по части квантовых сетей
на основе доверенных узлов отечественные разработки сильно отстают
от разработок Китая и ЕС, имеющих TRL 6 и TRL 9 соответственно.
Квантовые сенсоры и метрология. Квантовые сенсоры — высокоточные
измерительные приборы, основанные на квантовых эффектах. Ожи-
дается, что они будут иметь высокое пространственное и временное
разрешение. Это позволит увеличить точность измерений в сравнении
с существующими классическими сенсорами. А использование свойств
суперпозиции, запутанности, сжатия квантовых состояний, в свою оче-
редь, обеспечит в перспективе максимально возможную чувствитель-
ность измерения за счет преодоления стандартного квантового предела.
Высокая степень контроля за состоянием отдельных микроскопических
систем, обеспечиваемая квантовыми технологиями, позволяет создавать
квантовые сенсоры с высокой чувствительностью. Развитие технологий
разнообразных датчиков нового поколения может дать мощный импульс
сразу в нескольких областях: оборона и безопасность, навигация (кос-
мос, беспилотный транспорт), строительство, добыча полезных ископа-
емых и геологоразведочные работы, медицинская диагностика/терапия,
«Индустрия 4.0». Общая оценка уровня готовности технологий квантовой
сенсорики в мире — TRL 3-9, в Российской Федерации — TRL 1-5.
Необходимым условием для прорыва в области квантовых технологий явля-
ется поддержка исследований и запуск инфраструктурных проектов нацио-
нального масштаба. Общий бюджет на реализацию упомянутой Дорожной
карты в 2019-2024 годах составил 51,1 млрд рублей, включая внебюджетное
финансирование в размере 8,7 млрд.
К основным задачам этой Дорожной карты относятся:
всесторонняя поддержка прорывных научно-технологических проектов,
направленных на развитие КТ;
консолидация научного и технологического сообщества в рамках создания
проектов национального и глобального масштаба;
создание в России инновационной экосистемы и условий для перехода
квантовых разработок из лабораторий в промышленный сектор, а также
формирование соответствующего бизнес-сообщества;
организация сотрудничества между научно-исследовательскими подраз-
делениями и потенциальными потребителями квантовых технологий из
ключевых сфер промышленности;
развитие кадрового потенциала в области квантовых технологий путем
внедрения новых типов образовательных программ всех уровней;
проведение комплекса организационных мероприятий, направленных на
снижение бюрократического трения.
Отметим, что Дорожная карта полностью соответствует «Стратегии научно-
технологического развития Российской Федерации (СНТР)»1, атакже «Стра-
тегии развития информационного общества Российской Федерации (СРИО)»2.
Существенно, что поддержка всех трех основных субтехнологий квантовых
технологий критически важна для национальной безопасности и обеспечения
цифрового суверенитета Российской Федерации. Особенно высока роль
субтехнологии квантовых вычислений для государственной безопасности —
эффекты от ее применения достаточно велики. Также есть риск ограничения
доступа к продуктам зарубежных производителей в данной области.
С точки зрения технологической зрелости наиболее близка к выходу на
рынок технология квантовых коммуникаций. В Дорожной карте подчерки-
вается, что в данной области России необходимо иметь собственные техни-
ческие решения с максимальной степенью локализации производства (как
конечных устройств, так и компонентов) для исключения риска внедрения
деструктивных аппаратно-программных закладок в оборудование и про-
граммное обеспечение и, как следствие, доступа к защищаемой информации.
1 http://www.kremlin.ru / acts/bank/41449/.
' http://pravo.gov.ru/proxy/ips/?docbody=&nd = 102431687/.
2.2. Модель квантовых угроз
безопасности блокчейн-экосистемам
и платформам цифровой экономики
Российской Федерации
Технологии блокчейн и распределенного реестра (DLT) получили широ-
кое распространение в ключевых областях цифровой экономики во всем
мире [85-90, 94-101, 110-117, 119-132, 152-167, 184-198, 254-267]. При
этом ряд крупных национальных и международных компаний интегриро-
вали эту технологию в свои базовые программно-технические решения.
Ключевой особенностью блокчейна является возможность построения
решений, устраняющих необходимость в доверенной третьей стороне для
обеспечения безопасной передачи данных. При этом управление блокчейн-
платформами осуществляют независимые узлы, которые перед каждым
обновлением распределенного реестра новыми проверенными транзак-
циями достигают так называемого консенсуса. Сегодня существует ряд
механизмов консенсуса, среди которых наиболее известен Proof-of-Work
(PoW). Однако лежащие в их основе криптографические схемы и алгоритмы
делают блокчейн-технологии уязвимыми к атакам с использованием кван-
товых компьютеров. Далее рассмотрены типовые уязвимости современных
блокчейн-платформ, а также предложен и обоснован ряд возможных орга-
низационных и технических мер, позволяющих обеспечить их требуемую
квантовую устойчивость к криптоатакам на основе использования разных
квантовых алгоритмов.
В основе работы типовой блокчейн-сети лежит принцип образования специ-
альных блоков в хронологическом порядке [5,6,29,44-48,53-58,71,78-81].
Каждый такой блок содержит группу транзакций и информацию, которая
была объявлена в сети. Обычно это осуществляется путем передачи токенов
(криптовалюты). При этом токены обладают внутренней стоимостью, а не
просто содержат информацию о ней, как, например, баланс банковского
счета. Однако, в отличие от традиционных валют, их не контролирует
какой-либо центральный орган финансового управления. Токены распре-
деляются среди майнеров; они являются узлами, формируют групповой
консенсус и выполняют работу в сети. Эта работа в основном состоит из
создания блоков в цепочке, а также проверки, что транзакции правильно
сформированы и математически корректны (чтобы не позволять пользо-
вателям тратить больше, чем они могут себе позволить). Благодаря этому
групповому консенсусу сеть функционирует без центрального финансового
управления (рис. 2.5).
Рис. 2.5. Типовая схема функционирования блокчейн-сети
Технологии блокчейна [119-132, 152-167, 184-198, 202-213, 215, 249,
254-267] можно упростить до двух составных частей — протокола консен-
суса и механизма транзакций. Механизм транзакции раскрывает процесс
передачи токенов и сопутствующей информацией между пользователями.
Механизм консенсуса определяет, как верификаторы или узлы майнинга
в сети согласовывают следующее обновление блокчейна, какие транзакции
добавляются и являются ли они и блок криптографически и структурно
действительными.
Proof-of-Work (PoW) — наиболее часто используемый механизм консен-
суса в блокчейн-технологиях. Он требует от майнера доказать, что тот
приложил определенные усилия, затрачивая вычислительные ресурсы
для создания нового блока. Данный механизм был принят «Биткоином»
и вынудил майнеров при компиляции транзакций в блок выполнять не-
которую работу, то есть тратить вычислительные и финансовые ресурсы на
решение проблемы. Это побуждает майнеров генерировать действительный
блок, содержащий только действительные транзакции. Такая работа легко
проверяется любым узлом, подключенным к сети. При этом затраченная
энергия направлена на создание корректного блока. Небрежных или зло-
намеренных майнеров, потративших энергию на завершение алгоритма
PoW, но создавшие плохой блок (включающий хотя бы одну транзакцию,
которая при включении в цепочку создаст неправильное состояние, на-
пример расходы сверх баланса пользователя), обнаружат другие узлы
сети. Такой блок будет недействительным, и другие майнеры не станут
рассматривать его как часть основной цепочки. В результате нарушитель
окажется в худшем финансовом положении, поскольку не получит возна-
граждение за майнинг. Все вместе это гарантирует достоверность информа-
ции, содержащейся в текущем блоке, к которому майнеры будут пытаться
добавить следующий блок в цепочке.
Сложность такого PoW определяет, насколько быстро каждый блок добав-
ляется в цепочку: если сложность проблемы увеличивается, то майнерам
понадобится больше времени, чтобы ее разрешить, поскольку необходимо
выполнить больше работы, предписанной узлам майнинга. Определение
права собственности на активы в сети блокчейна сложнее по сравнению
с централизованно контролируемыми сетями и финансовыми биржами.
Владелец токенов должен быть в состоянии продемонстрировать, что у него
есть возможность и полномочия тратить токены. В централизованной си-
стеме это контролируется некоторым центральным органом управления.
В децентрализованных системах для демонстрации права собственности
нужно использовать криптографические методы, например схемы электрон-
ной подписи.
Тридцать первого октября 2008 года под псевдонимом Сатоши Накамото была
опубликована статья Bitcoin: A Peer-to Peer Electronic Cash System [112, 249].
Эта публикация открыла путь для развития технологического пространства
распределенного реестра (рис. 2.6). «Биткоин» основан на криптографических
схемах, которые позволяют одноранговым узлам в сети проверять транзакции
в среде, не требующей доверия, и сохранять их в криптографически защищен-
ном и неизменном реестре. Эти криптосхемы достаточно хорошо защищены от
атак, реализуемых с помощью классических суперЭВМ архитектуры фон Ней-
мана, но уязвимы к атакам, проводимым с помощью современных кванто-
вых компьютеров. «Биткоин» использует механизм (систему доказательств)
Hashcash, предложенный в мае 1997 года Адамом Бэком в качестве механизма
PoW. Изначально Hashcash был разработан как мера противодействия от-
казу в обслуживании для систем электронной почты — путем требования
от потенциального отправителя потратить время на решение вычислитель-
но сложной задачи, прежде чем он сможет отправить электронное письмо.
Электронный кошелек
(Wallet)
Пользователь А
Адрес 1:10 ВТС
Адрес 2:100 ВТС
Адрес 3:27,3 ВТС
Адрес
Секретный Открытый
ключ
ключ
Транзакция: 10 ВТС
пользователю В
Транзакция (Т1)
Сумма: 10 ВТС
Адрес получателя1
пользователь В
Подпись: пользователь А
Публикация транзакции
Список транзакций
Т2
тз
Т4
Т5
Блок(В1)
Содержит около 300 транзакций
Узлы сети с помощью открытого ключа
проверяют подлинность транзакции
Майнер
Вб
В5
В4
В2 ◄
Цепочка блоков: распределенная
база данных всех осуществленных
транзакций. Каждый блок содержит
информацию о предыдущем
МАЙНИНГ
Майнеры высчитывают определенное значение хеша
заголовка блока. Если оно найдено, блок формируется
и транзакция подтверждается.
В1
Блок
Хеш
предыдущего блока
Целевое
значение хеша
= Хеш заголовка 5е0113875ххххх...
= Хеш заголовка 003g5da712ххххх...
= Хеш заголовка 00000000ас735...
Награда майнеру: 25 ВТС комиссия
В1 Одобренный блок
Выполнение всех транзакций
блока
10ВТС Электронный кошелек
Пользователь В
Рис. 2.6. Схема функционирования блокчейна «Биткоин»
Hashcash требует, чтобы потенциальный майнер вычислил хеш-значение
SHA-256 для заголовка плюс некоторое случайное число: хеш-значение
должно быть меньше заранее определенного числа. Это число — регулиру-
емый параметр в биткоин-сети, и чем оно меньше, тем выше вычислительная
сложность задачи.
Использование механизма Hashcash в качестве PoW позволило получить
ряд эффектов. Так, с текущим параметром высокой сложности майнеры за-
интересованы в применении специализированного оборудования, такого как
устройства ASIC, или в присоединении к пулам майнинга, где работа и воз-
награждение распределяются между пользователями. Что еще важнее, PoW
дестимулирует попытки добавить плохие блоки в сети. Эти блоки имеют
очень высокую вероятность быть отклоненными сетью из-за исправления
ошибок, то есть для потенциального майнера крайне высока вероятность
впустую потраченных ресурсов.
КРИПТОПРИМИТИВЫ «БИТКОИНА»
Фундаментальной частью «Биткоина» являются криптографические алго-
ритмы. В частности, Elliptic Curve Digital Signature Algorithm (ECDSА), ко-
торый использует эллиптические кривые и конечные поля для подписи
данных, чтобы третья сторона могла подтвердить аутентичность подписи,
исключив возможность ее подделки. В ECDSA для подписи и верификации
используются разные процедуры, состоящие из нескольких арифметических
операций. Эллиптическая кривая над полем К — это кубическая кривая над
алгебраическим замыканием поля К, задаваемая уравнением третьей степени
с коэффициентами из поля К и точкой на бесконечности. Одной из форм
эллиптических кривых являются кривые Вейерштрасса [35]:
z/2 = д3 + ах + b
Для коэффициентов а = 0 и b = 7, используемых в «Биткоине», график
функции принимает следующий вид (рис. 2.7).
Эллиптические кривые имеют несколько интересных свойств. Например,
не вертикальная линия, пересекающая две некасательные точки на кривой,
пересечет третью точку на кривой. Суммой двух точек на кривой Р + Q
называется точка R, которая является отражением точки R' (построенной
путем продолжения прямой (Р; Q) до пересечения с кривой) относительно
оси X (рис. 2.8).
Рис. 2.8. Сумма двух точек на кривой
Если же провести прямую через две точки, имеющие координаты вида Р(а,Ь)
и Q (й, -Ь), то она будет параллельна оси ординат. В этом случае третья точка
пересечения отсутствует. Чтобы решить эту проблему, вводится так называ-
емая точка на бесконечности (point of infinity), обозначаемая О [35, 49-60].
Поэтому, если пересечения нет, уравнение принимает следующий вид:
P+Q=O.
Если мы хотим сложить точку с самой собой, иначе говоря, удвоить ее, то
просто проводим касательную к точке Q. Полученная точка пересечения
отражается симметрично относительно оси X (рис. 2.9).
Эти операции позволяют провести скалярное умножение точки R = k • Р,
складывая точку Р с самой собой k раз. Однако отметим, что для работы
с большими числами на вооружение берутся более быстрые методы.
В эллиптической криптографии (ЕСС) используется такая же кривая, но
рассматриваемая над некоторым конечным полем. Конечное поле в контек-
сте ЕСС можно представить как предопределенный набор положительных
чисел, в котором должен оказываться результат каждого вычисления:
у2 = .г3 + ах + &(mod р).
Например, 9 mod 7 = 2. Здесь мы имеем конечное поле от 0 до 6, и все опе-
рации по модулю 7, над каким бы числом они ни осуществлялись, дадут
результат, попадающий в этот диапазон. Все названные выше свойства
(сложение, умножение, точка в бесконечности) для такой функции остают-
ся в силе, хотя график этой кривой не будет походить на эллиптическую
кривую. Эллиптическая кривая «Биткоина» у2 = .г3 + 7, определенная на
конечном поле по модулю 67, выглядит следующим образом (рис. 2.10).
Рис. 2.10. Элиптическая кривая «Биткоина», определенная
на конечном поле по модулю 67
Это множество точек, в которых все значения х и у представляют собой
целые числа между 0 и 66. Прямые линии, нарисованные на данном гра-
фике, теперь будут как бы «оборачиваться» вокруг поля, когда достигнут
барьера 67, и продолжатся с другого его конца, сохраняя прежний наклон,
но со сдвигом. Например, сложение точек (2; 22) и (6; 25) в этом конкретном
случае выглядит так, как показано на рис. 2.11.
Рис. 2.11. Сложение точек 12;22) и (6,25)
В протоколе «Биткоина» зафиксирован набор параметров для эллипти-
ческой кривой и ее конечного поля, чтобы каждый пользователь опери-
ровал строго определенным набором уравнений. Среди зафиксированных
параметров выделяют уравнение кривой (equation), значение модуля поля
(primemodulo), базовую точку на кривой (basepoint) и порядок базовой точки
(order). О вычислении порядка базовой точки можно почитать здесь [49-60].
Этот параметр подбирается специально и представляет собой очень большое
простое число.
В случае «Биткоина» используются следующие значения (см. врезку 1).
Врезка 1
Уравнение эллиптической кривой:
z/2 = х3 + 7.
Простой модуль:
2256 _ 232 _ 29 - 26 - 27 - 26 - 24 - 1 = FFFFFFFF FFFFFFFF FFFFFFFF
FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE FFFFFC2F
Базовая точка:
04 79ВЕ667Е F9DCBBAC 55А06295 СЕ870В07 029BFCDB 2DCE28D9
59F2815B 16F81798 483ADA77 26АЗС465 5DA4FBFC
0Е1108А8 FD17B448 А6855419 9C47D08F FB10D4B81
Порядок:
FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFE BAAEDCE6 AF48A03B
BFD25E8C D0364141
Такой набор параметров для эллиптической кривой известен как secp256k1.
Он является частью семейства стандартов SEC (StandardsforEfficient Crypto-
graphy), предлагаемых для использования в криптографии. В «Биткоине»
кривая secp256k1 применяется вместе с упомянутым выше алгоритмом
цифровой подписи ECDSA, где секретный ключ — случайное число между
единицей и значением порядка. Открытый ключ формируется на основании
Здесь жирным шрифтом выделена координата х в шестнадцатеричной записи. За ней сразу
следует координата у.
секретного: последний умножается на значение базовой точки. Уравнение
имеет следующий вид (см. врезку 2).
Врезка 2
Открытый ключ = секретный ключ • G.
Таким образом, максимальное количество секретных ключей (а следова-
тельно, и биткоин-адресов) конечно и равняется порядку. Однако порядок
является невероятно большим числом, так что случайно или намеренно
подобрать секретный ключ другого пользователя нереально. Вычисление
открытого ключа выполняется с помощью тех же операций удвоения и сло-
жения точек. Это тривиальная задача, которую обычный персональный
компьютер или смартфон решает за миллисекунды. А вот обратная задача
(получение секретного ключа по публичному) — проблема дискретного
логарифмирования, считающегося вычислительно сложной, хотя строгого
доказательства данного факта нет. Лучшие известные алгоритмы ее решения
вроде алгоритма Полларда имеют экспоненциальную сложность. Примени-
тельно к secp256k1, чтобы решить задачу, требуется порядка 2138 операций,
что на обычном компьютере займет время, сопоставимое с периодом, про-
шедшим с момента возникновения Вселенной. Когда пара «секретный/
публичный ключ» получена, ее можно использовать для подписи данных.
Эти данные могут быть любой длины. Обычно первым шагом становится
хеширование данных с целью получить уникальное значение с числом би-
тов, равным битности порядка кривой (256). После хеширования алгоритм
подписи данных z выглядит следующим образом (здесь G — базовая точка,
п — порядок, a d — секретный ключ):
выбирается некоторое целое k в пределах от 1 до п - 1;
рассчитывается точка (.г, у) = k • G с использованием скалярного умно-
жения;
находится г = .imod п (если г = 0, то возврат к шагу 1);
находится s = (z + г • d) / k mod n (если 5 = 0, возврат к шагу 1);
полученная пара (г, 5) является нашей подписью.
После получения данных и подписи к ним третья сторона, зная публичный
ключ, может их верифицировать. Приведем шаги для проверки подписи
(Q — открытый ключ):
проверяется, находятся ли и г, и 5 в диапазоне от 1 до п - 1;
рассчитывается w = s - Imod п;
рассчитывается и = z • zcmod и;
рассчитывается v = г • ®mod «;
рассчитывается точка (.г, z/) = uG + vQ;
если г = х mod п, подпись верна, иначе — недействительна.
Следовательно, указанные шаги можно описать следующим образом
(см. врезку 3).
Врезка 3
uG + vQ = и + vdG = (и + vd)G = (zs - 1 + rds - 1) С = (z + rd)s - 1G = kG.
Последнее равенство использует определение 5 на этапе создания подписи.
Безопасность ECDS А связана со сложностью задачи поиска секретного клю-
ча, описанной выше. Помимо этого, безопасность исходной схемы зависит от
«случайности» выбора k при создании подписи. Если одно и то же значение k
использовать более одного раза, то из подписей можно извлечь секретный
ключ. Поэтому современные реализации ECDSA, в том числе используемые
в большинстве биткоин-кошельков, генерируют k детерминирование, на
основе секретного ключа и подписываемого сообщения.
УЯЗВИМОСТИ «БИТКОИНА»
«Биткоин» и лежащие в его основе криптографические схемы уязвимы для
возможных квантовых атак [217-240, 244-248, 250-266, 270-294]. Одна из
них использует алгоритм поиска Гровера для выполнения PoW значительно
быстрее, чем классические майнеры. Злоумышленник будет стремиться
сгенерировать столько же PoW, сколько остальные части сети, вместе взя-
тые, эффективно навязывая консенсус по любому блоку, который для него
желателен (такую атаку можно отнести к атакам «51 %»). Текущие майнеры
ASIC способны выполнять примерно 18 TH/s, что в сочетании с нынешними
размерами биткоин-сетей на данный момент делает квантовую атаку «51 %»
неосуществимой. Здесь скорость вычислительных операций при майнин-
ге измеряется в хешах (И). Соответственно, 18 TH/s (терахеш/секунда)
означает, что оборудование может перебрать 18 млн комбинаций в секунду
для поиска и формирования нового блока, который будет соответствовать
конфигурациям определенного блокчейна.
Однако самая разрушительная атака на «Биткоин» связана с его схемой
ECDSA, а именно с транзакциями, объявленными в сети, но еще не до-
бавленными в блокчейн. Сложность ECDSA зависит от сложности задачи
дискретного логарифмирования эллиптической кривой. Эту задачу можно
решить за полиномиальное время. Также следует учитывать, что биткоин-
кошельки, как правило, не используют повторно одни и те же пары ключей.
Биткоин-транзакции отправляют весь UTXO (вывод неизрасходованных
транзакций). В самой простой их форме на входе будет потрачен один
UTXO, на выходе — два. Создается новый UTXO суммы, переводимой на
соответствующий счет. Если UTXO на входе больше, чем UTXO на выходе,
в качестве изменения создается второй UTXO, возвращаемый исходному
пользователю. Эта учетная запись, на которую отправляется изменение,
обычно контролируется вновь сгенерированной парой открытого и закры-
того ключей. Таким образом, атака, направленная на получение доступа ко
всему кошельку пользователя, хоть и возможна в сети «Биткоина», но менее
вероятна из-за общего механизма безопасности изменения пары «открытый/
закрытый ключ» после каждой транзакции.
Эффективная квантовая атака будет заключаться в поиске закрытого ключа,
когда открытый ключ раскрывается после трансляции подписанной транзак-
ции в сеть. Это позволяет злоумышленнику подписать новую транзакцию,
используя закрытый ключ и выдавая себя за владельца последнего. Пока
«квантовый» злоумышленник может гарантировать, что его транзакция
будет помещена в блокчейн до подлинной транзакции, он способен, по сути,
украсть транзакцию и направить недавно созданный UTXO в любую учетную
запись, которую выберет [250-2G6, 270-294].
Можно подсчитать, что квантовый компьютер с 485 550 кубитами и такто-
вой частотой 10 ГГц способен решить такую задачу с помощью алгоритма
Шора за 30 мин. Вместе с тем среднее время пребывания транзакций в пуле
транзакций, ожидающих интеграции в блок в «Биткоине», часто превышает
получасовой интервал, что делает данный тип атаки вполне осуществимым.
В начале реализации биткоин-технологии ее пользователи могли получать
платежи непосредственно на свой открытый ключ (технология Р2РК — Рау
to Public Key), а не на хеш открытого ключа (технология Р2РКН — Pay to
Public Key Hash), который известен как платежный адрес пользователя.
Это может иметь последствия для старых биткоин-аккаунтов. Приме-
ром тому является первая в истории биткоин-транзакция между Хэлом
Фини и Сатоши Накамото в 170-м блоке биткоин-блокчейна. Такая форма
транзакции распространена в ранних транзакциях Coinbase (известная
платформа, позволяющая покупать, продавать и хранить криптовалюту),
используемых для вознаграждения майнеров «Биткоина». Это значит, что
некоторые из первоначальных учетных записей могли раскрыть свой от-
крытый ключ на ранних стадиях развития технологии. То есть эти аккаунты
крайне уязвимы для квантовых атак с использованием алгоритма Шора
[ 118, 133-146, 295-304]. В отличие от атаки на схему подписи ECDSA, для
выполнения данного типа атаки нет ограничения по времени. Как только
появится криптографически значимый квантовый компьютер, злоумыш-
ленник легко вычислит закрытые ключи подобных учетных записей, под-
пишет новые транзакции от имени их пользователей и полностью очистит
эти записи от средств.
Атаки на «Биткоин» [5, 40, 47, 49, 59, 60, 61, 76, 87-100, 102-115, 147-157,
165-183, 187-193, 217-240, 244-248, 250-266, 270-294] можно классифи-
цировать следующим образом.
1. Повторное использование адресов. Чтобы потратить биткоины с электрон-
ного кошелька, нужно раскрыть открытый ключ, связанный с адресом.
Как только он определен с помощью квантового компьютера, элек-
тронный кошелек перестает быть безопасным, а следовательно, никогда
не должен использоваться снова. Хотя постоянное использование свежих
адресов — уже рекомендуемая практика в биткоинах, в реальности это
правило чаще всего не соблюдается.
2. Обработанные транзакции. Если транзакция выполняется с адреса, ко-
торый ранее не использовался, и помещается в блокчейн с несколькими
последующими блоками, то она достаточно защищена от квантовых атак.
Закрытый ключ может быть получен из опубликованного открытого ключа,
но, поскольку конечный адрес уже использовался, данную операцию следует
объединить в пару с хешированием блокчейн-сети для выполнения атаки
двойного расходования. Даже с квантовым компьютером такая атака мало-
вероятна, если за транзакцией следует достаточно много блоков.
3. Необработанные транзакции. После того как транзакция передана в сеть,
и до размещения в блокчейне она подвергается риску квантовой атаки.
Если секретный ключ может быть получен из открытого ключа обширного
распространения прежде, чем транзакция окажется в блокчейне, зло-
умышленник способен использовать этот секретный ключ для трансля-
ции новой транзакции с того же адреса на собственный адрес. Если далее
он гарантирует, что новая транзакция будет размещена в блокчейне, то
сможет украсть все биткоины по исходному адресу. Существуют и другие
схемы атаки на биткоин-блокчейн.
Отметим, что защита от атак, проводимых с помощью повторного исполь-
зования адреса, несложная. Но на практике она должна быть достигнута
либо с помощью программных правил кошелька, либо с помощью дис-
циплинарных изменений в поведении пользователей. Это делает каждый
адрес адресом одноразового использования — как для получения крипто-
валюты, так и для ее отправки. По состоянию на июль 2022 года данный
показатель для биткоин-адресов составлял около 49,2 %. Анализ адресов
биткоин-кошельков показывает, что в настоящее время существует более
чем 2500 адресов электронных кошельков с биткоин-средствами на сумму
более 10 млн долларов. Однако, несмотря на рекомендации использовать
адрес только один раз, чтобы предотвратить запись открытого ключа мошен-
ническим майнером или перехват по сети, лишь около 80 из этих адресов
имеют всего одну транзакцию. Остальные — по несколько транзакций, а это
значит, что открытый ключ может быть записан для последующего взлома
секретного ключа с помощью квантового компьютера, что, в свою очередь,
несет риски создания вредоносных транзакций.
На рис. 2.12 показано, что практика отказа от повторного использования
адреса по-прежнему является стандартной для большинства пользователей.
Итак, в самой ранней версии «Биткоина» адреса открытого ключа исполь-
зовались напрямую с помощью технологии Р2РК. Как мы выяснили, эти
ранние транзакции уязвимы для атаки квантового компьютера, поскольку
их открытый ключ уже раскрыт. В 2010 году была разработана технология
Р2РКН, быстро ставшая доминирующей среди аналогов. В ней хеш-функция
открытого ключа обеспечивает защиту от его потенциального вскрытия.
Алгоритм, используемый биткоинами на данный момент, заключается
в двойном хешировании открытого ключа с помощью SHA256, за которым
следует хеш-функция RIPEMD160. В апреле 2012 года в «Биткоин» добави-
ли функцию P2SII (Pay to Script Hash), позволяющую выполнять сценарии,
которые требуют нескольких подписей ECDS А для разблокирования и пере-
мещения валюты. P2SH, как и Р2РКН, использует алгоритм хеширования
открытого ключа и, таким образом, защищает пользователя от раскрытия
открытого ключа, пока транзакция не отправлена. В 2015 году «Биткоин»
расширил данную функцию с помощью хеша открытого ключа P2WPKH
(Pay to Witness Public Key Hash), который решил проблему пластичности
транзакции, включив в таковую хеш подписи ECDSA. Как правило, все
названные способы оплаты требуют предоставления открытого ключа или
нескольких открытых ключей для разблокирования и оплаты биткоинов.
За исключением исходного метода Р2РК, все они используют двойное
хеширование для защиты открытого ключа до момента осуществления
транзакции. Атаки, основанные на необработанных транзакциях, — наи-
более серьезные, если время, необходимое квантовому компьютеру для
вычисления закрытого ключа ECDSA, близко ко времени блокирования
транзакции. Однако атаку можно предотвратить, перейдя на квантово-
устойчивую схему цифровой подписи. Чтобы получить и разблокировать
биткоины, открытый ключ долдсрн быть известен узлам. Пока блок не добыт,
раскрытый открытый ключ может позволить злоумышленнику вычислить
закрытый ключ, чтобы затем подписать им замененную или дублирующую
транзакцию.
Рис. 2.12. Повторное использование биткоин-адресов в процентах
СЦЕНАРИИ КО МБИ НИРО ВАННЫХ АТАК
Первая фаза атаки заключается в определении того, является ли атака на
необработанной транзакции стоящей для атакующего [5, 40, 47, 49, 59, 60,
61, 76, 87-100, 102-115, 147-157, 165-183, 187-193, 217-240, 244-248,
250-266, 270-294]. Учитывая предполагаемую стоимость проведения
атаки, надо выявить подходящую цель. Когда транзакция отправляется
в сеть майнеров, она содержит исходящий адрес и сумму. Адреса с вы-
соким балансом электронного кошелька могут быть идентифицированы
в автономном режиме, и если исходящий адрес был идентифицирован
или сумма превысила пороговое значение, то атака более предпочтительна.
Криптовалюты наподобие Zcash предоставляют экранированные адреса,
которые не видны остальным участникам сети, а транзакции между такими
адресами не раскрывают ни сам адрес, ни сумму транзакции, ни содержимое
зашифрованного поля памятки. Все это с большой вероятностью делает
атаку на криптовалюту излишне дорогой для условного злоумышленника.
Необработанные транзакции хранятся в биткоинах в пуле памяти для каж-
дого узла майнинга. Последний обеспечивает их проверку и защищает как от
некорректных транзакций, так и от потенциальных DDoS-атак транзакций.
Это достигается путем выполнения следующих проверок перед добавлением
транзакции в пул памяти:
проверка того, что указаны исходный и исходящий адреса;
проверка того, что размер меньше максимального размера блока;
проверка того, что значение и общая сумма находятся в пределах нор
мальных диапазонов;
проверка того, что п не равно -1 и значение хеша не равно нулю;
проверка наличия дублирующихся транзакций в пуле памяти;
проверка размера и значения времени блокирования п;
проверка на необычное поведение переменных scriptSig и scriptPubkey;
отслеживание потерянных транзакций;
отслеживание отклонения входных сумм, которые неправильно соот-
ветствуют выходным суммам;
проверка соответствия комиссии минимальной комиссии за транзакцию.
В биткоин-сети каждый узел поддерживает собственный локальный пул
памяти, и из-за проблем со временем и связью пулы памяти не гарантиру-
ют идентичность. Майнинг-узел, решивший последнюю задачу PoW, вы-
бирает, какие транзакции включить в следующий блок из локального пула
памяти, оценивая максимальное количество транзакций, которые могут
быть включены в блок, дающий наибольшее вознаграждение (комиссию) за
транзакцию. Чтобы квантовая атака стала успешной с одноразовым адресом
открытого ключа, злоумышленнику необходимо получить закрытый ключ
из открытого вне обработанной транзакции, прежде чем ее добавят в блок.
Поскольку закрытый ключ позволяет злоумышленнику подписать любую
новую транзакцию, исходную транзакцию просто следует отложить, чтобы
новая поддельная транзакция могла быть добавлена в пул памяти и вы-
полнена из него. Это можно сделать, либо заменив транзакцию в пуле па-
мяти майнера-победителя, либо создав новую транзакцию с более высокой
комиссией — ради гарантии, что она будет обработана раньше исходной
транзакции. Чтобы сгенерировать действительную транзакцию, злоумыш-
леннику необходимо получить закрытый ключ из раскрытого открытого
ключа в первоначально предоставленной транзакции. В настоящее время
«Биткоин» поддерживает протокол Replace by Fee, позволяющий «застряв-
шим» транзакциям добавлять дополнительную комиссию с целью повысить
их коммерческую привлекательность для майнера, чтобы он мог выбирать,
когда «добывать» следующий блок.
При получении транзакции злоумышленник проверяет либо количество
биткоинов в адресе отправителя, либо соответствие адреса определенно-
му количеству биткоинов в учетной записи. Если количество биткоинов
достаточное, открытый ключ, соответствующий этой транзакции, может
быть выбран как подходящий для попытки подбора закрытого ключа. Далее
злоумышленник может предотвратить обработку выбранной транзакции,
заполнив сеть и пул памяти транзакциями с более высокой, по сравнению
с целевой транзакцией, комиссией. В атаке с отказом от обработки действи-
тельных транзакций это делается с помощью учетных записей Сивиллы
(атака Сивиллы — вид атаки в одноранговой сети, в результате которой
жертва подключается только к узлам, контролируемым злоумышленни-
ком; термин в 2002 году предложил Брайан Зил — сотрудник Microsoft
Research), но эффект от данной атаки определить трудно, поскольку уве-
личение объема и корректировка комиссии за транзакцию будут иметь
всплеск, не воспринимающийся в сети как что-то необычное. Результатом
является отказ в обработке исходной транзакции, что, вероятно, распро-
странится на несколько этапов блоков перед обнаружением. Атака может
быть организована в автономном режиме с набором транзакций учетных
записей Сивиллы, созданных и готовых к внедрению в сеть, когда это не-
обходимо [244-248, 250-266, 270-294].
Таким образом, учитывая максимальный размер блока биткоинов 2 Мбайт,
можно рассчитать максимальное количество транзакций. Поскольку май-
неры будут выбирать транзакции, исходя из их наивысшей доходности,
в первую очередь, выбор падет на более мелкие транзакции с высокой ко-
миссией. Типичный размер транзакции — 250 байт, минимальный - 63 байта
в биткоинах. Таким образом, если мы предположим, что размер транзакций
составляет 240 байт, это сделает их более привлекательными, чем обычные
транзакции, а также потребует определения максимума транзакций на один
блок, составляющий 8333 транзакций.
Злоумышленник может продолжать атаку, не обнаруживая себя, в тече-
ние нескольких интервалов блокировки. При этом стоимость атаки растет
с каждым отложенным интервалом блока, что, в свою очередь, приводит
к увеличению времени, доступного для взлома закрытого ключа транзакции
жертвы. Один из способов повысить стоимость атаки для злоумышленни-
ка — платить за транзакцию со значительной стоимостью гораздо большую
комиссию. Например, если сделка размещается с комиссией 250 долларов,
это увеличивает коэффициент стоимости атаки злоумышленника на вели-
чину роста комиссии за транзакцию.
Приведенные риски требуют изменить поведение пользователя, размеща-
ющего транзакцию с высокой стоимостью, путем принятия более высокой
комиссии за транзакцию, чем требуется в современной «неквантовой»
компьютерной среде. Учитывая ограниченное хранилище для большинства
биткоин-узлов (обычно 300 Мбайт для пула памяти), оно может пере-
полниться, и тогда исходная транзакция будет вытеснена из пула памяти.
Это предоставляет квантовому злоумышленнику бесконечное количество
времени для выполнения атаки. Однако это хорошо заметно в сети, поэтому
считается, что злоумышленник, применяющий квантовый компьютер, ско-
рее всего, воспользуется возможностью отложить транзакцию на столько
интервалов блоков, сколько необходимо для решения вычисления закры-
того ключа на основе открытого. Интервал блока будет варьироваться
в зависимости от уровня сложности, влияющего на время добычи нового
блока с использованием доказательства работы в качестве алгоритма кон-
сенсуса. Для биткоина средний исторический интервал между блоками
приблизительно равен 10 мин. Однако есть статистические выбросы, кото-
рые, например, могут составлять 26 мин. Они связаны с тем, что алгоритм
криптографического доказательства работы не детерминирован, а поиск
подходящего одноразового номера для создания приемлемого хеша — слу-
чайный процесс, который занимает среднее количество времени. Другим
фактором, влияющим на скорость интервала между блоками, является пул
доступной мощности хеша, обеспечиваемой за счет майнеров «Биткоина».
Майнеры в биткоин-сети получают вознаграждение за каждый новый блок.
Изначально награда была установлена на уровне 50 биткоинов за добытый
блок, затем каждые 210 тыс. добытых блоков получают половину вознагра-
ждения. Сегодня вознаграждение за добытый блок составляет 6,25 биткоина.
В то же время значение биткоина увеличивается, и это компенсирует потери
от сокращения вознаграждения за майнинг. На сегодняшний день существует
множество криптовалют, являющихся форками оригинального биткоина.
Форк — изменение правил работы сети, по которым блок в блокчейне при-
знается подлинным. Он бывает двух видов: софт и хард. Софт — мягкая
форма, когда узлы старой версии могут взаимодействовать с узлами новой.
Хард — серьезные нововведения, делящие цепь на две, не способные взаимо-
действовать друг с другом, что приводит к появлению новой критовалюты.
Именно так появились Bitcoin Cash, Bitcoin Gold, Ethereum Classic. Все они
используют эллиптические цифровые подписи (ECDSA) и тот же алгоритм
доказательства работы, что и у биткоина, поэтому несут в себе его уязвимо-
сти. Список таких криптовалют представлен в табл. 2.8.
Таблица 2.3. Анализ криптовалют с механизмом консенсуса Proof of Work
Крипто в ал юта Электронная подпись Параметры Регулировка сложности Целевой интервал времени блокировки
Bitcoin ECDSA Secp256k1 Отсутствует 10 мин
Litecoin ECDSA Secp256kl Отсутствует 2,5 мин
Namecoin ECDSA Secp256k1 Детерминированное обязательство 10 мин
Dogecoin ECDSA Secp256k1 Отсутствует 1 мин
Primecoin ECDSA Secp256k1 Сложность регулируется в каждом блоке 1 мин
Auroracoin ECDSA Secp256k1 Каждые восемь блоков 1 мин
Dash ECDSA Secp256k1 Механизм DGW 2,5 мин
Vertcoin ECDSA Secp256k1 В каждом блоке 2,5 мин
Ethereum ECDSA Secp256k1 Отсутствует 15 с
Zcash ECDSA, EDDSA Secp256k1 (по умолчанию), Ed255'l9 (защи- щенный вариант] Отсутствует 75 с
Bitcoin Cash ECDSA Secp256k1 Экстренная регулировка сложности 10 мин
Среднее время блокировки выборочных блоков для разных криптовалют
на основе алгоритма консенсуса Proof of Work с использованием подпи-
сей ECDSA существенно разнится. Для других систем блокчейна также
используется алгоритм консенсуса PoW. Например, в Ethereum («Эфири-
ум 1.0») средний исторический интервал меязду блоками равен 14 с; в Zcash,
Litecoin и Dash — 2,5 мин. Чтобы злоумышленник мог успешно взломать
сеть блокчейнов, использующую подписи ECDSA и механизм консенсуса
PoW, ему необходима возможность вычислить закрытый ключ ECDSA из
открытого ключа в течение названного временного окна.
Учитывая, что вышеназванные криптовалюты позволяют злоумышленнику
настроить полноценный узел-участник, он получает доступ к транзакци-
ям, включающим открытые нехешируемые ключи, передаваемые по сети.
На сегодняшний день злоумышленнику не требуется перехватывать такие
сообщения с целью собрать нужную информацию. Однако если количество
узлов сети ограничено, противник, как правило, имеет возможность пере-
хватить трафик между узлами, а также транзакции пользователя на узел.
Трафик при этом защищен с помощью протокола TLS, который на данный
момент не является квантово-безопасным, но разработка нового посткван-
тового TLS, в частности, для предотвращения подобных атак, ожидается
в ближайшем будущем [270-294].
Решение вопроса о том, насколько уязвим биткоин или производная крип-
товалюта Litecoin для атаки квантового компьютера, зависит прежде всего
от возможности последнего выполнять алгоритм Шора в рамках бюджета
времени, обусловленного архитектурой криптовалюты, и временем, необ-
ходимым для обработки вновь созданной транзакции.
Общая проблема, характерная для всех криптовалют, заключается в необ-
ходимости раскрыть открытый ключ и цифровую подпись для выполнения
сценария разблокировки, чтобы подтвердить право собственности и пере-
вести средства. Хотя в качестве примера мы рассмотрели алгоритм консен-
суса PoW из-за наибольшего времени интервала между блоками, большая
часть известных алгоритмов консенсуса подвержена атакам с использова-
нием практически тех же ресурсов. При этом следует отметить, что далеко
не все криптовалюты имеют сопоставимые уязвимости к атаке по времени
и, соответственно, разную привлекательность для злоумышленника, ис-
пользующего квантовый компьютер. Кроме того, применяя множественные
подписи, пользователи блокчейн-сети могут увеличить количество кубитов,
необходимых злоумышленнику для успешной атаки, а значит, и ее стои-
мость. Также, диверсифицировав свои средства, они могут сделать атаку на
отдельный электронный кошелек невыгодной.
Несмотря на все вышесказанное, для некоторых криптовалют миграция
с ECDSA на квантовые безопасные подписи может откладываться до тех пор,
пока квантовый компьютер не приблизится к производительности, необхо-
димой для создания непосредственной угрозы взлома. При этом переход на
альтернативную квантово-безопасную схему цифровой подписи потребует
хардфорка, то есть миграции средств из одной криптовалюты в новую, раз-
работанную с использованием постквантовой подписи. В будущем ожидаются
исследования по замене схемы подписи ECDSA постквантовой схемой одной
из подписей — кандидатов конкурса Национального института стандартов
и технологий (NIST), а также по внедрению новых алгоритмов консенсуса.
ВОЗМОЖНЫЕ КВАНТОВО-УСТОЙЧИВЫЕ РЕШЕНИЯ
У гроза квантовой атаки породила множество решений, одно из которых —
проект Bitcoin Post-Quantum (2018-2022 годы). Он является хардфорком
биткоин-сети с высотой блока 555 000 (добыт 22 декабря 2018 года). Проект
использует квантово-безопасную схему цифровой подписи и реализует ме-
ханизм PoW на основе парадокса дня рождения. Однако реальных преиму-
ществ в плане безопасности, по сравнению с исходной версией «Биткоина»,
названный проект не предоставил.
Более успешным в этом направлении оказался проект компания Quantum-
Resistant Ledger (QRL) (2016-2022 годы). Чтобы усложнить определение
взаимосвязи между публичным и закрытым ключами пользователей, было
предложено задействовать алгоритм одноразовой подписи Винтерница
и расширить его с помощью структуры дерева Меркла (extended Merkle
Signature Scheme, XMSS).
Еще одним успешным квантовоустойчивым проектом является ЮТА
(2020-2022 годы). Разработчики декларируют его способность противо-
стоять атакам «51%» с задействованием квантовых компьютеров благодаря
использованию тернарных вычислений вместо бинарных, с которыми сегод-
ня работают практически все компьютеры. В настоящее время устраняются
уязвимости, обнаруженные в Curl (хеш-функции ЮТА).
Таким образом, реализации квантовых атак на блокчейн-технологии весьма
актуальна. Наиболее распространенной уязвимостью, открытой для атаки,
являются транзакции, объявленные в сети, но еще не добавленные в блок.
Самые уязвимые — учетные записи, раскрывшие свой открытый ключ в пер-
вые дни существования биткоин-сети. Наконец, механизм консенсуса «Бит-
коина» демонстрирует уязвимость к атакам на основе алгоритма Гровера.
Но поскольку он обеспечивает только квадратичное преимущество, достиже-
ния в классической компьютерной технологии, вероятно, обеспечат защиту
«Биткоина» от данного типа атак гораздо раньше, чем от атак, основанных
на алгоритме Шора. Следует также отметить, что поскольку доказуемо без-
опасный механизм достижения консенсуса еще не создан и большинство
блочейн-валют — форки «Биткоина», они, за редким исключением, имеют
практически те же уязвимости.
ПРОМЕЖУТОЧНЫЕ ИТОГИ
В настоящее время широкое распространение получили следующие блок-
чейн-платформы: InnoChain (Innopolis University), Waves Enterprise (Waves,
Vostok), Hyperledger Fabric (Linux, IBM), Corda Enterprise, Bitfury Exonum,
Blockchain Industrial Alliance, Exonum (Bitfury CIS), Nodes Plus (b41),
«Мастерчейн» (Сбербанк), Microsoft Azure Blockchain, Enterprise Ethereum
Alliance и др. Для их защиты используются соответствующие криптосистемы
и алгоритмы. Так, схемы асимметричного шифрования RSA применяются
для создания пар «закрытый/открытый ключ» с целью защиты данных в уз-
лах блокчейн-сети. В данном случае защищенность блокчейн-технологии
зависит от сложности решения проблемы факторизации при использовании
RSA или от решения проблемы дискретного логарифмирования с эллипти-
ческих кривых.
В традиционной банковской системе криптосистемы с открытым и закрытым
ключами применяются для обеспечения конфиденциальности и целостности
данных и правил доступа. Однако сами данные отделены от пары ключей.
Например, если криптографический ключ утерян или скомпрометирован,
его действительность легко аннулирует центральный орган. В случае утеч-
ки данных серверы могут отключить или использовать резервные копии.
При компрометации учетной записи почти всегда есть механизмы, позво-
ляющие законному владельцу ее восстановить.
В системе блокчейна нет центрального органа для управления ключами до-
ступа пользователей. Владелец ресурса — по определению тот, у кого есть
закрытые ключи шифрования; автономные резервные копии отсутствуют.
Объект блокчейна — постоянно находящаяся в сети криптографическая
система — считается ресурсом или по крайней мере его авторитетным опи-
санием. Если ключ утерян, это значит, что защищенный актив данных без-
возвратно утерян. Если ключ или устройство, на котором он хранится,
скомпрометированы или содержат уязвимость, актив данных может быть
безвозвратно украден. Таким образом, в блокчейн-технологиях защищенные
ресурсы нелегко отделить от используемой системы шифрования, что делает
их особенно уязвимыми для атак с применением квантового компьютера
[217-240, 244-248, 250-266, 270-294].
Экстраполяция полученных результатов в квантовых технологиях, включая
количество кубитов, точность вентилей, возможность исправления ошибок
и пр., позволяет сделать вывод о том, что к 2025 году следует ждать появле-
ния квантовых компьютеров, способных эффективно взламывать RSA2048.
По этой причине в 2018 году NIST инициировал процесс стандартизации
и развертывания квантово-безопасной криптографии с открытым клю-
чом. Аналогичные поисковые исследования инициированы в Российской
Федерации (см., например, проекты документов Технического комитета
по стандартизации «Криптографическая защита информации», ТК 261)
и Дорожную карту развития «сквозной» цифровой технологии «Квантовые
технологии»2.
2.3. Общая модель угроз безопасности
блокчейн-экосистем и платформ
цифровой экономики Российской
Федерации
Постоянно развивающаяся технология блокчейн, как любая другая инно-
вационная технология, заключает в себе не только большой потенциал для
реализации масштабных инициатив цифровизации в рамках национальной
программы «Цифровая экономика Российской Федерации», но и множество
угроз информационной безопасности [5, 40, 47, 49, 59, 60, 61, 76, 87-100].
При этом важно заниматься вопросам обеспечения требуемой безопасно-
сти и устойчивости блокчейна на самых ранних стадиях пилотирования
и апробации технологии на практике. Только в этом случае можно избежать
негативных последствий кибератак злоумышленников на корпоративные
блокчейн-экосистемы или платформы.
Напомним, что под блокчейном обычно понимается некоторый вариант
реализации сети распределенных реестров, в котором данные о совершен-
ных транзакциях структурируются в виде цепочки (последовательности)
связанных блоков транзакций. В случае использования блокчейна каждый
1 https://tc26.ru/.
- http://www.consultant.ru/document/cons_doc_LAW_335563/.
новый блок транзакций подтверждается участниками сети как валидный,
после чего присоединяется (встраивается в цепочку) к предыдущим опера-
циям в распределенном реестре. Общая архитектура блокчейна приведена на
рис. 2.13. Практически каждый его компонент подвержен угрозам безопас-
ности [87-100, 102-115, 147-157, 165-183, 187-193].
Рис. 2.13. Обобщенная архитектура блокчейн-платформы
Описания типовых угроз безопасности блокчейна можно найти в литературе,
например в исследовательском отчете Evan Sultanik и др. Are Blockchains
Decentralized? Unintended Centralities in Distributed Ledgers (2022)1, подготов-
ленном по заказу DARPA. Также неплохие технические обзоры возможных
угроз безопасности представлены в статьях: Huashan Chen и др. A Survey
on Ethereum Systems Security: Vulnerabilities, Attacks and Defenses (2020)1 2;
Xiaoqi Lia, A Survey on the Security of Blockchain Systems (2020)3; Мелехин И.
Безопасность блокчейна: шесть векторов атак и как от них защититься4.
Рассмотрим некоторые из них подробно.
Криптопримитивы блокчейна. В технологии блокчейн применяются разные
криптографические примитивы, в том числе хеш-функции (ГОСТ Р 34.11 2018,
SHA-2, SHA-3, SHA256, Ethash, SCrypt, ХИ, Equihash, RIPEMD160 и др.),
электронные подписи (ГОСТ 34.10-2018, ECDSA, EdDSA, Ring, One-Time,
1 https://assets-global.website-files.com/5fd 11235b3950c2c1 a3b6df4 /62af6c641a672b3329b9a480
Unintended—Centralities—in_Distributed_Ledgers.pdf.
' https://4il.acm.oi'g/doi/pdf/10.1145/3391195.
3 https://www.academia.edu/39371536/A_survey_on_thesecurity—of_blockchain_ systems.
4 http://www.inside-zi.ru/pagM/2_2019/05.html.
Borromean, Multi-signature и др.), схемы асимметричного шифрования (RSA,
Диффи — Хеллмана и др.). Так, формирование цепей блоков происходит
с использованием механизмов хеширования: распределенная база данных
представляет собой цепочку последовательных специальных блоков, каждый
из которых среди прочего содержит хеш предыдущего блока и свой поряд-
ковый номер. Новый блок подтверждает содержащиеся в нем транзакции
и дополнительно — транзакции во всех предыдущих блоках цепочки. Таким
образом достигается неизменность хранимой информации, скорректировать
ее внутри цепи без нарушения целостности становится невозможно. Кроме
того, с целью обеспечить неизменность и подлинность транзакции подписы-
ваются электронной цифровой подписью, для проверки которой использует-
ся открытый ключ отправителя транзакции. При этом значение хеш-функции
от открытого ключа отправителя используется в качестве идентификатора
отправителя, что служит механизмом идентификации участников сети. На-
пример, право собственности на актив, включая возможность его передачи
другим лицам (достаточность средств на балансе), определяется наличием
криптографических ключей. Наконец, для достижения консенсуса может
применяться криптография: большинство алгоритмов консенсуса в той или
иной степени используют хеширование.
Наиболее важный вопрос безопасности заключается в эффективном управ-
лении криптографическими ключами и данными доступа, поскольку в слу-
чае утери или раскрытия ключей или данных доступа существует риск
понести невосполнимые потери. Так, раскрытие ключей может привести
к экономическим убыткам, связанным с мошенническим использованием
счета, а утерянные ключи — стать причиной невозможности использования
или доступа к информации, что, в свою очередь, приведет к безвозвратной
потере актива. Также необходимо сохранять конфиденциальность закры-
тых ключей, что на практике является сложной задачей, успешное реше-
ние которой зависит от ряда факторов, включая надежность и стойкость
(теоретическую и практическую) алгоритмов и протоколов, используемых
для создания, хранения, распространения, отзыва и уничтожения ключей.
Несоблюдение перечисленных мер безопасности приводит к серьезным
инцидентам безопасности блокчейна. Так, в августе 2016 года в результате
компрометации ключей с криптовалютной биржи Bitfinex было выведено
почти 120 000 биткоинов (более 72 млн долларов США по курсу на момент
остановки торгов).
Кроме того, следует определить, какая информация будет вноситься в блок-
чейн и становиться доступной для других контрагентов. В случае обмена дан-
ными с конкурентами, которые, например, содержат сведения ограниченного
доступа о клиентах, поиск решения становится нетривиальной задачей.
Также необходимо обеспечить соблюдение требований нормативно-распо-
рядительных актов в части защиты информации ограниченного доступа,
не содержащей государственную тайну. Помимо прочего, распределенное
хранение информации предполагает наличие копии распределенного реестра
на каждом узле — участнике сети. Это тоже затрудняет обеспечение требуемой
конфиденциальности хранимых данных и решение вопросов о разграничении
доступа для участников блокчейн-экосистемы или платформы.
Фактография угроз безопасности свидетельствует об уязвимости большин-
ства известных криптопримитивов блокчейна [5, 40, 47, 49, 59, 60, 61, 76,
87-100]. Например, исследования уязвимостей инженерных реализаций
механизмов электронной подписи ECDSA и хеш-функций SHA-256 и SHA-3,
используемых в известных блокчейнах «Биткоин» и «Эфириум», показали
следующее. В 2014 году исследователь Филипс Валсорда (Filipo Valsorda)
обнаружил, что в случае некорректной реализации генератора случайных
чисел в ходе наблюдения за транзакциями можно восстановить закрытый
ключ, использованный для подписания транзакции1. В докладе 2016 года
Stealing bitcoin with math Райан Кастеллуччи (Ryan Castellucci) и Филипс
Валсорда сообщили, что в ходе анализа открытых транзакций в блокчейне
«Биткоин» было восстановлено 719 закрытых ключей1 2 3. В 2017 году ученые
из MIT Media Lab (Ethan Heilman, NehaNarula Thaddeus Dryja Madars Virza)
исследовали уязвимости в проприетарной хеш-функции Curl блокчейна
ЮТА. В соответствующем отчете ЮТА Vulnerability Report:. Cryptanalysis of
the Curl Hash Function Enabling Practical Signature Forgery Attacks on the IOTA
Cryptocurrency (2017)! они показали, что существует возможность искус-
ственно создавать коллизии — ситуации, когда на разных наборах исходных
данных получается одно и то же значение хеша.
АЛГОРИТМЫ КОНСЕНСУСА
Под алгоритмом консенсуса блокчейна обычно понимается некий способ
достижения согласия, которое децентрализованные ноды сети достигают
в части текущего состояния данных во всех блоках. Здесь под подом по-
нимается любой компьютер, подключенный к блокчейну, проверяющий
1 https://eonference.hitb.org/hitbsecconf2014kul/materials/DlTt%20-%20FiliPo%20Valsorda
%20-?(20Exploiting%20ECDSA%20Failures%20in%20the%20Bitcoin% 20Blockchain.pdf.
' https://news.webamooz.com/wp-content/uploads/bot/offsecmag/151.pdf.
3 https://github.com/mit-dci/tangled-curl/blob/master/vuln-iota.md.
и подтверждающий транзакции, хранящий копию блокчейна. Алгоритм
консенсуса гарантирует соблюдение правил протокола и достоверность
всех транзакций, тем самым поддерживая целостность и безопасность сети.
Другими словами, алгоритм консенсуса отвечает за то, чтобы все ноды сети
были согласны с добавлением в нее нового блока.
К известным алгоритмам консенсуса относятся:
PoW (Proof-of-Work) — право удостоверения блока дается участнику
на основании выполнения им некоторой достаточно сложной работы,
удовлетворяющей заранее определенным критериям;
PoS (Proof-of-Stake) — право удостоверения блока дается держателю
счета, когда количество его средств и срок владения ими соответствуют
заданным критериям. Формулы расчета критериев могут незначительно
отличаться;
PoS + PoW (гибрид PoW и PoS) — когда блоки могут удостоверяться как
через вычисляемые критерии PoS, так и PoW-перебором. Цель такого
подхода — усложнить пересчет всей цепочки (с первого блока), возмож-
ный в случае использования PoS в чистом виде;
PBFT (PracticalByzantine Fault Tolerance), Paxos, RAFT — алгоритмы много-
этапного установления консенсуса сети, устойчивые к «византийскому
поведению». Здесь под «византийским поведением» понимается решение
«задачи византийских генералов», заключающейся в синхронизации
узлов распределенной системы, когда некоторые узлы могут предостав-
лять ненадежную или недостоверную информацию. Алгоритмы данной
группы позволяют сетям РР функционировать с небольшими затратами
и имеют значительную пропускную способность, но слабоустойчивы
к увеличению количества участников;
Non-BFT (Non Byzantine Fault Tolerance) — алгоритмы консенсуса, неустой-
чивые к поведению, при котором часть участников начинает работать
против сети. Такие алгоритмы применимы в закрытых сетях с полной
идентификацией.
Здесь присутствуют и злободневные вопросы безопасности. Например,
при использовании Proof of Work сеть подвержена атаке «51 %» [244-248,
250-26G, 270-294]. Она возможна, когда более 50 % вычислительной мощ-
ности сети попадают под контроль одного субъекта. В этом случае он спосо-
бен проводить транзакции с двойным расходованием, отменять транзакции,
делать копии распределенного реестра. Так, в ходе трех атак на криптовалюту
Virge был нанесен экономический ущерб в несколько миллионов долларов.
В ходе атаки на валюту BitcoinGold была совершена двойная трата в раз-
мере 18,6 млн долларов, а во время атаки на валюту ZenCash — похищено
около 700 тыс. долларов с помощью реализации трех двойных трат.
В мае 2018 года исследователь Евангелос Дейрмендзоглу в статье Rewriting
History. ABrief Introduction to Long Range Attacks' описал сценарий возможной
атаки на консенсус Proof of Stake (так называемой атаки дальнего действия —
long-range attacks). В ходе упомянутого сценария атаки киберпреступник
сначала создает альтернативную версию блокчейна, начиная с нулевого
блока, а затем подменяет оригинальную версию блокчейна альтернативной
версией. При этом альтернативная версия уже содержит двойные траты,
а также измененные транзакции и пр.
СМАРТ-КОНТРАКТЫ
В 1996 году Ник Сабо (Nick Szabo) определил смарт-контракт как цифро-
вое представление набора обязательств между сторонами, также включа-
ющее в себя протокол исполнения этих обязательств2. До 2014 года данный
термин имел больше теоретическое значение, а с появлением и развитием
«Эфириума» получил широкое практическое применение. Таким образом,
под смарт-контрактом понимается договор в электронной форме, исполне-
ние прав и обязательств по которому осуществляется путем совершения
в автоматическом порядке цифровых транзакций в распределенном реестре
в строго определенной им последовательности и при наступлении опре-
деленных им обстоятельств. В «Эфириуме» и других блокчейнах термин
«смарт-контракты» скорее понимается как самоисполняющиеся компью-
терные программы (программный код), в которых закодирована логика
деловых процессов, а не как механизм для исполнения обязательств сторон.
Выполнение смарт-контрактов запускается при соблюдении заранее опре-
деленных условий. Иными словами, вмешательство человека (по крайней
мере напрямую) не приводит к началу их выполнения. В основе смарт-
контрактов лежит условная модель типа «Если —- то», согласно которой
соблюдение определенных условий приводит к выполнению некоторых
действий. К таким условиям могут относиться определенные отрезки
времени, заданные значения (например, стоимость каких-либо активов,
1 https//securityboulevard.com/2018/05/rewriting-history-a-brief-introduction-to-long-range-
attacks/.
' https://www.fmtechru.org/publications/kontrakty-dolzhny-byt-umnymi-bankovskoe-obozrenie/.
в частности ценных бумаг) или конкретные события, такие как доставка
клиенту заказанных товаров.
В российской практике блокчейна термин «смарт-контракт» только начи-
нает находить применение. Так, Федеральный закон от 31 июля 2020 года
№ 259-ФЗ «О цифровых финансовых активах, цифровой валюте и о вне-
сении изменений в отдельные законодательные акты Российской Федера-
ции» (действующая редакция) ввел ряд смежных понятий и определений
из области технологии блокчейн и распределенного реестра (DLT), но по-
нятие «смарт-контракт» должным образом не раскрыл, обойдя его сторо-
ной1. Однако, согласно Гражданскому кодексу РФ, в России договорные
отношения между сторонами фиксируются в документе, который может
существовать в бумажном или электронном виде1 2. А Федеральный закон от
27 июля 2006 года№ 149-ФЗ «Об информации, информационных технологи-
ях и о защите информации» (действующая редакция) закрепляет положение
о том, что электронные документы могут обрабатываться в информационных
системах3. Наконец, Федеральный закон от 6 апреля 2011 года № 63-ФЗ
«Об электронной подписи» (действующая редакция) определяет условия
обеспечения таких электронных документов-договоров4, в том числе возмож-
ность участников сделки подтвердить свои намерения в части исполнения
принятых обязательств с помощью электронной подписи, сформированной
согласно ГОСТ 34.10-2018 (полное название: ГОСТ 34.10-2018 «Информа-
ционная технология. Криптографическая защита информации. Процессы
формирования и проверки электронной цифровой подписи»)5.
К достоинствам смарт-контрактов относятся:
повышение уровня безопасности и предсказуемости благодаря исключе-
нию человеческого фактора и возможности умышленного или неумыш-
ленного нарушения договорных обязательств в результате действий
человека;
транспарентность, обусловленная тем, что код смарт-контракта может
быть общедоступным и открытым, и тем, что любой желающий может
проанализировать его и предсказать, каким образом будут осуществляться
транзакции в рамках конкретного контракта;
1 http://www.consultant.ru/document/cons_doc_LAW_358753/.
2 http://www.consultant.ru/document/cBns_doc_LAW_5142/.
3 http://www.consultant.ru/document/cons_doc_LAW_61798/.
4 http://www.consultant.ru/document/cens_doc_LAW_l 12701/.
5 https://protect.gost.ru/v.aspx?control=7&id=232149.
более простое программирование систем, которые должны принимать,
сопоставлять и использовать в своих операциях данные от широкого
круга участников, многие из которых могут быть неизвестны.
Однако смарт-контракты подвержены угрозам безопасности [147-157,
165-183,187-193, 217-240,244-248,250-266,270-294]. Согласно исследо-
ванию Positive Technologies1, наиболее часто у них встречаются следующие
недостатки:
несоответствие стандарту ERC20, который описывает интерфейс токена
для электронных кошельков и криптобирж;
некорректная генерация случайных чисел;
неверное определение области видимости;
некорректная верификация отправителя транзакции;
целочисленное переполнение (integer overflow);
«состояние гонки» (race condition), в частности, возможность проведения
атак типа Reentrancy;
ошибки в бизнес-логике.
Уязвимости смарт-контрактов уже привели к ряду «громких» взломов. Так,
в июне 2016 года инвестиционный проект The DAO, построенный на базе
«Эфириум», за несколько часов потерял десятки миллионов долларов из-за
ошибки, допущенной разработчиками при описании одной из функций2.
ОРАКУЛЫ
Смарт-контракты используют данные из внешней по отношению к блокчей-
ну среды не напрямую, а с помощью специализированных посредников —
программных приложений и протоколов, получивших название «оракулы».
Именно они ответственны за сбор и доставку данных в блокчейн-платфор
му. Заметим, что название не в полной мере отражает их особенности: они
не обладают способностью предсказывать значения некоторых параметров
из внешней среды. Однако название прижилось и стало повсеместно исполь-
зоваться на практике. Главная задача оракулов — доставка и верификация
https://www.ptsecurity.com/upload/rorporate/ru-ru/analytics/ICO-Threats-rus.pdf.
https://forklog.com/zahvatyvayushhaya-istoriya-the-dao-rabota-nad-oshibkami/.
внешних данных смарт-контрактам для проверки условий соответствия
и запуска исполнения. Ранее доставка безопасных и достоверных внешних
данных (офчейн-данных), а также их верификация для исполнения умного
контракта, осуществлялась централизованными оракулами, но они оказались
ненадежными и небезопасными. Так, в 2020 году централизация данных
(цен на криптоактивы) привела к возможности эксплойта смарт-контракта.
В результате злоумышленник похитил из протокола bZx, который исполь-
зовал только один оракул — Kyber Network, криптовалюты на сумму почти
1 млн долларов. Поэтому на смену централизованным оракулам пришли
децентрализованные.
Таким образом, основная функция оракулов — доставлять безопасные и до-
стоверные внешние данные соответствующим смарт-контрактам. Такими
данными могут быть: стоимость цифровой монеты, факт проведения платежа
иди текущее состояние блокчейн-сети. После этого смарт-контракты про-
веряют полученные сведения на предмет соответствия условиям, заданным
в коде, и в случае соответствия автоматически запускается выполнение
смарт-контракта. Если данные оракула недостоверны, смарт-контракт будет
работать некорректно и может пострадать вся блокчейн-система.
Ключевыми являются слова «безопасные и достоверные данные». Блок-
чейны не могут и не должны хранить большие объемы данных, поэтому
информация должна поступать в них через приложение-оракул. В итоге
оракул (как и пользовательский интерфейс) является слабым звеном при
обеспечении безопасности и устойчивости блокчейна. Кроме того, в случае
оракулов действует известный принцип, согласно которому использование
некорректных данных приводит к получению некорректных результатов
(хотя здесь использование некорректных данных может привести и к необра-
тимому нарушению работы блокчейна). Поэтому для обеспечения качества
и целостности данных и связанных с ними процессов крайне важно, чтобы
в приложениях на базе блокчейна была тщательно продумана процедура
сбора информации для оракулов, равно как их интерфейс для взаимодей-
ствия с блокчейном.
Сегодня оракулы классифицируют следующим образом.
По степени централизации — централизованные и децентрализованные.
Централизованные оракулы используют всего один источник данных, их
контролирует единый центр. Децентрализованные запрашивают внешние
данные от нескольких источников и сравнивают их.
По направлению передачи информации — входящие и исходящие. Входящие
оракулы доставляют в смарт-контракт данные из внешнего мира, исходя-
щие — передают сведения из смарт-контрактов во внешний мир. Например,
смарт-контракт может быть запрограммирован на разблокировку умного
замка в квартире на Airbnb: он откроется, если владелец подтвердит посту-
пление платежа за аренду.
По источникам данных — программные, аппаратные и консенсусные. Про-
граммные оракулы доставляют и верифицируют внешние данные от разных
интернет-источников, например сайтов, в режиме реального времени. Чаще
всего это данные о котировках и обменных курсах криптовалют. Аппарат-
ные оракулы доставляют и верифицируют внешние данные из окружающей
среды, например от датчиков движения или считывателей штрихкодов.
На практике большинство оракулов являются разнотиповыми. Так, оракул
Chainlink, специализирующийся на котировках криптовалют, одновременно
децентрализованный, входящий и программный.
Примеры известных оракулов:
Chainlink (LINK)1 — фактически стал отраслевым стандартом для децен-
трализованных финансовых сервисов или децентрализованных финансов
(Decentralized Finance, DeFi);
Band Protocol (BAND)1 2 3 — написан для системы блокчейнов Cosmos
Network на базе технологии Tendermint и претендует стать основой де-
централизованного интернета Web 3.0;
Augur (REP)a;
MakerDAO (DAI)4;
Nest Protocol5 — децентрализованный оракул, написанный для китайского
рынка, который проверяет внешние данные с помощью валидаторов;
Т ell or6 — децентрализованный оракул, который стремится стать отрасле-
вым стандартом для децентрализованных приложений (dAPs). Данные
1 https://chain.link/.
- https://bandprotocol.com/.
3 https://www.kraken.com/learn/what-is-augur-rep.
4 https://docs.makerdao.com/.
3 https://www.nestprotocol.org/.
6 https://tellor.io/.
подтверждают валидаторы, которые получают за это токены, а в случае
оспаривания использованной информации теряют их;
DIA Association1 — децентрализованный оракул, ориентированный на
DeFi-протоколы. В долгосрочной перспективе надеется стать востребо-
ванным решением не только для блокчейн-сектора, но и для традици-
онных финансовых рынков. Поэтому не замыкается на предоставлении
данных о ценах криптовалют, предлагает сведения вроде цен фиатных
валют и ставок межбанковского кредитования;
Dos Network2 — децентрализованный оракул, уделяющий большое вни-
мание вычислительной мощности сети. Широко используется в разных
областях: в страховании, криптокредитовании, азартных играх и пр.
При использовании оракулов проблема заключается в том, что им прихо-
дится «доверять» внешним источникам информации. Еще одна проблема —
оракулы являются сторонними сервисами, то есть не входят в периметр
безопасности блокчейна. Следовательно, высока вероятность осуществления
злоумышленниками атак типа «человек посередине» (man in the middle,
MITM), в ходе которых можно не только тайно ретранслировать потоки
данных, но и вмешиваться в протокол их передачи с целью удаления и/или
искажения [5, 40, 47, 49, 59, 60, 61, 76].
УЗЛЫ СЕТИ
Как правило, узел сети является обычной программой, выполняемой на
сервере общего назначения (чаще всего под управлением UNIX), что по-
рождает большое количество угроз безопасности, связанных с безопасной
настройкой и установкой как самого сервера, так и узла [87-100, 102-115,
147-157]. Например, специалисты компании Positive Technologies показа-
ли, что при некорректной настройке политики Cross-origin resource sharing
узла «Эфириум» возможны несанкционированное добавление транзакций
в блокчейн и эксплуатация известных злоумышленнику уязвимостей, при-
чем даже когда блокчейн и его пользователи расположены в изолированной
сети. В связи с тем что узел сети обычно реализует интерфейс удаленного
вызова процедур (RPC), при некорректной настройке это может привести
к возникновению большого числа уязвимостей блокчейна.
1 https://www.diadata.org/.
' https://dos.network/.
КЛИЕНТСКИЕ ПРИЛОЖЕНИЯ
Как правило, взаимодействие рядового пользователя с блокчейном проис-
ходит через мобильное приложение гаджета или смартфона, реже — через
веб-сайт. Используя уязвимости мобильных приложений и веб-уязвимости,
злоумышленники могут отправлять произвольные транзакции, воспользо-
вавшись правами пользователя приложения. Ряд уязвимостей может быть
связан с безопасностью самого блокчейна и механизма его внедрения в сер-
верную часть веб-приложения (например, при использовании web.3.js). На
практике веб-приложения оказались уязвимы к следующим типовым атакам
злоумышленников: инъекции, раскрытие чувствительной информации веб-
сервером, небезопасная передача данных, чтение произвольных файлов и др.
[217-240,244-248,250-266,270-294]. Так, специалистам компании Positive
Technologies удалось показать следующий реалистичный сценарий атаки.
Сначала злоумышленники обнаружили уязвимость чтения произвольных
файлов (arbitrary file reading). Затем для ее эксплуатации зарегистрировали
учетную запись у того же хостинг-провайдера, чьими услугами пользовалось
атакуемое веб-приложение, и получили доступ к серверу, где располагался
домен веб-приложения ICO. Воспользовавшись ошибками конфигурации
веб-сервера (что позволяло реализовать чтение произвольных файлов), они
получили доступ к файлам конфигурации и наконец к учетным данным
администратора, что позволило им загрузить на сервер внешнюю оболочку
командной строки и в итоге получить контроль над веб-приложением ICO.
Так была продемонстрирована возможность подменить адрес цифрового
кошелька с последующим выводом цифровых денег в цифровые кошельки
киберпреступников. Заметим, что мобильные приложения широко распро-
странены и содержат в 2,5 раза больше уязвимостей, чем веб-приложения
тех же 1СО-проектов.
По данным компании Positive Technologies, к распространенным недостаткам
и уязвимостям мобильных приложений относятся:
небезопасная передача данных;
хранение пользовательских данных в резервных копиях;
служебная информация, оставленная разработчиками в коде приложения;
раскрытие идентификатора сессии и др.
Все это позволяет злоумышленникам, получив дополнительные сведения
о блокчейн-проекте, организаторах и инвесторах, использовать их для даль-
нейших кибератак. Более того, получив доступа к мобильному телефону
жертвы, они могут выполнять разные действия от ее имени, в том числе
выводить денежные средства.
КАК ОБЕСПЕЧИТЬ ТРЕБУЕМУЮ
БЕЗОПАСНОСТЬ БЛОКЧЕЙНА
Для надлежащей защиты блокчейн-экосистемы или платформы рекомен-
дуется:
разработать и внедрить корпоративные политики, стандарты, регламенты
и инструкции информационной безопасности;
надежно защитить доступ к блокчейну от посторонних лиц;
предоставлять ключи лишь доверенным пользователям, прошедшим
внутренние проверки;
задействовать как можно больше уровней безопасности: логин, пароль,
публичные и приватные ключи, сертификаты;
проверить смарт-контракты и блокчейн-приложения на наличие неде-
кларированных возможностей (НДВ) и дефекты кода;
защитить клиент-серверную, микросервисную и одноранговую комму-
никацию от кражи данных во время их передачи;
разработать и внедрить регламенты и инструкции действий в случае
инцидентов безопасности;
предоставлять доступ к различным компонентам блокчейна строго в со-
ответствии с ролями и правами сотрудников.
Особенно важно своевременно проверить смарт-контракты и другие блок-
чейн-приложения на наличие логических ошибок, уязвимостей и недоку-
ментированных возможностей. Дело в том, что смарт-контракты и такие
приложения могут содержать ошибки или даже серьезные бэкдоры, которы-
ми способны воспользоваться злоумышленники. Кроме того, представляют
опасность угрозы, связанные с инъекцией кода, небезопасным хранением
или передачей данных. Приложения могут подвергаться рискам, связанным
с несовершенством коммуникаций между клиентами и сервером. Здесь
анализ защищенности приложений, разрабатываемых с помощью блок-
чейн-технологий, помогает находить и исправлять критические уязвимости
до того, как ими воспользуются злоумышленники. Как правило, упомяну-
тый анализ проводится методами на основе концепций: «белого ящика»
(полный доступ к приложению), «серого ящика» (имитация действия
внутренних пользователей с разными уровнями доступа); «черного ящи-
ка» (имитация действий злоумышленника). Результаты предоставляются
в виде развернутого отчета, где указываются технические детали найденных
уязвимостей и даются рекомендации по их устранению [102-115,147-157,
165-183, 187-193].
Кроме того, важно обратить внимание на вопросы безопасности, связанные
с социальной инженерией, мошенничеством и фишингом. Здесь рекомен-
дуется использовать смешанные технологии для обеспечения безопасности
блокчейна, направленные на защиту как его отдельных компонентов, так
и инфраструктуры в целом [244-248, 250-266, 270-294]:
проверку смарт-контрактов и других приложений на уязвимости;
проверку смарт-контрактов и других приложений на недекларированные
возможности;
защиту от вредоносного кода;
защиту от известных кибератак злоумышленников;
защиту от DDoS-атак;
защиту от целевых атак, APT;
защиту от мошенничества и фишинга;
расследование инцидентов безопасности;
мониторинг безопасности ключевых компонентов блокчейна;
тестирование на проникновение в инфраструктуру блокчейна;
проведение тренингов для сотрудников по безопасной работе с блокчей-
ном и др.
Наконец, на этапах эксплуатации и сопровождения блокчейн-экосистемы
нужно организовывать регулярные аудиты безопасности блокчейна, осу-
ществлять проверки защищенности узлов, а также проводить тренировки,
направленные на выявление инцидентов безопасности и устранение их по-
следствий. При этом крайне важно постоянно повышать уровень операцион-
ной безопасности (корпоративной культуры безопасности) и кибергигиены
[76, 87-100, 102-115, 147-157].
2.4. Оценка последствий
кибератак злоумышленников
на блокчейн-экосистемы
и платформы цифровой экономики
ведущих стран мира
По своей природе блокчейн-платформы отличаются повышенной без-
опасностью, которая поддерживается децентрализованным характером
обработки данных, применением стойких криптографических примити-
вов (криптопримитивов), а также использованием надежных протоколов
консенсуса [94-101, 110-117, 119-132, 152-167, 184-198]. Как правило,
блокчейн состоит из распределенной одноранговой (P2P) сети, в которой
узлы (конечные точки) воспроизводят все данные, содержащиеся в системе.
Такая архитектура предохраняет от системных отказов, поскольку ни одна
конечная точка не является незаменимой и уникальной. Аналогичный под-
ход защищает блокчейн от взлома: для доступа к системе и всем данным по-
тенциальному злоумышленнику придется преодолеть системы безопасности
каждого узла. Криптопримитивы (хеш-функции, электронные подписи,
алгоритмы асимметричного шифрования) играют ключевую роль в обеспе-
чении безопасности блокчейн-платформ. Для доступа к данным использу-
ются наборы приватных и публичных ключей, а достоверность транзакций
проверяется математически сложными алгоритмами шифрования, что до-
вольно надежно предохраняет упомянутые платформы от вмешательства
извне. На первый взгляд технология блокчейн и распределенного реестра
(DLT) кажется вполне безопасной, но так ли это на самом деле? [5, 40, 47,
49, 59, 60, 61, 76, 87-100, 102-115, 147-157, 165-183, 187-193, 217-240,
244-248, 250-266, 270-294.] Проанализируем инциденты безопасности
блокчейн-экосистем за последние три года (2020-2022), а затем сравним
с данными за период с 2012 по 2020 год (с момента становления и развития
первых блокчейн-проектов).
2020 ГОД
В 2020 году злоумышленники провели 122 скоординированные кибера-
таки на ведущие блокчейн-платформы (в США, Великобритании, Китае,
Японии и странах Евросоюза), приложения и токены. Суммарный ущерб
от них составил 3,78 млрд долларов1. В первом квартале было зафиксиро-
вано наименьшее количество кибератак — 13. Во втором их стало больше
на 54 % — всего 20. В третьем квартале количество атак снова увеличи-
лось, на 160 %, до 52 атак — это максимальный показатель за все кварталы
2020 года. А количество обнаруженных атак в четвертом квартале сокра-
тилось на 29 % - всего 37.
Новостные ленты ведущих деловых изданий пестрили сообщениями о кибер-
преступлениях, которые часто напоминали сводки боевых действий в ки-
берпространстве. Так, первой серьезной жертвой 2020 года стал протокол
кредитования и маржинальной торговли bZx. Он подвергся двум хакерским
атакам через флеш-кредиты. Совокупный ущерб составил до 1 млн долларов.
В частности, киберпреступники воспользовались возможностями низколик-
видного рынка Uniswap и провели ряд транзакций, известных как флеш-
кредит, которые принесли «прибыль» в размере 350 тыс, и 600 тыс. долларов
соответственно.
В феврале 2020 года была взломана криптобиржа Altsbit. Потери — сравни-
тельно небольшая сумма 285 тыс. долларов, но этого оказалось достаточно
для официального закрытия биржи.
Восемнадцатого апреля 2020 года киберпреступники провели кибера-
таку на DeFi-платформу DForce, в ходе которой украли 25 млн долларов.
Злоумышленники воспользовались уязвимостью токена imBTC на базе
стандарта ERC-777, а также критической уязвимостью в смарт-контракте
платформы Lendf.me, который отвечал за обновление балансов пользова-
телей. Помимо ущерба, нанесенного dForce, киберпреступники похитили
токены — 291 imBTC (2 млн долларов на момент атаки). Следующей жертвой
стал DeFi-протокол Balancer: в ходе так называемой арбитражной атаки по-
хитили 500 тыс. долларов в ЕТН. Позже было установлено, что злоумыш-
ленники вывели средства из двух пулов, содержащих токены с комиссией за
перевод, которые часто называют дефляционными токенами. Они провели
серию мгновенных кредитов и арбитражных обменов токенами.
В июле 2020 года была атакована криптобиржа Cashaa. Ее потери составили
336 втс на сумму более 3,1 млн долларов.
В августе 2020 года взломали протокол Оруп, предлагающий опционы на
«Эфириум» и токены DeFi. Киберпреступники похитили 370 тыс. до-тыаров
в стейблкойне USDC через двойное расходование на пут-опционах ЕТН.
https://atlasvpn.com/blog/blockchain-hackers-have-stol€n-over-13-6-billion-in-330-hack-events.
В начале сентября 2020 года взломали словацкую криптовалютную биржу
Eterbase. В результате она потеряла средства клиентов в биткоинах, ЕТН,
Tron, XRP, Tezos и Algorand на сумму 5,3 млн долларов. Большая часть
похищенной криптовалюты оказалась переведена на биржи Binance, Huobi
и HitBtC. Также в сентябре 2020 года была проведена кибератака на крип-
товалютную биржу KuCoin, в ходе которой киберпреступники похитили
280 млн долларов.
В ходе атаки на DeFi-проект под названием Eminence киберпреступники «вы-
тащили» 15 млн долларов у известного разработчика децентрализованных
финансовых приложений Андре Кронье. Впоследствии злоумышленники
вернули ему 8 млн долларов.
В октябре 2020 года в течение 7 мин киберпреступники вывели 19,8 млн дол-
ларов с платформы Harvest Finance. Позднее 2,47 млн долларов было воз-
вращено. Следующая атака на DeFi-проект Pickle Finance привела к по-
терям 19,7 млн долларов. Цена токенов рухнула, a Pickle Finance продали
yearn.Finance.
В конце декабря 2020 года хакеры сумели проникнуть на криптобиржу Ехто.
Ее потери составили до 6% от общего объема активов, или 10,5 млн долларов.
Кроме того, в декабре 2020 года был атакован личный цифровой кошелек
Хью Карпа — основателя N exus Mutual. В результате украли токены NXM
на сумму более 8 млн долларов. Несмотря на то что Карп предложил воз-
награждение за возврат средств в размере 300 тыс. долларов, похищенные
средства так и не вернули. В личном послании киберпреступники сообщили,
что токены не будут проданы до тех пор, пока цены на криптовалюту не вы-
растут или пока Карп дополнительно не перечислит 4500 ЕТН.
Анализ полученных данных показал, что самые большие убытки понес-
ли владельцы блокчейн-кошельков, в которых хранятся криптовалюты.
В 2020 году на них было совершено 27 успешных атак, убытки от ко-
торых в совокупности составили более 3 млрд долларов, или примерно
111 млн долларов за каждую атаку. Затем следуют убытки от атак на прило-
жения ЕТН DAP — децентрализованные веб-приложения, поддерживаемые
смарт-контрактами «Эфириум». Запущенный в 2015 году, это второй по
величине блокчейн-проект по рыночной капитализации и одним из самых
известных после «Биткоина». На ЕТН DAPs было совершено 47 успешных
атак, убытки от которых в совокупности составили более 435 млн долла-
ров, или примерно 9,25 млн долларов за каждое нарушение. Следом идут
убытки от атак злоумышленников на приложения DAP на основе протокола
Tron (2017), который представляет собой децентрализованную платформу
на основе блокчейна с целью создания бесплатной глобальной системы обме-
на цифровым контентом. Киберпреступники провели 3 успешных атаки на
TronDAP и похитили более 10 млн долларов иди примерно 3,3 млн доллара
за каждую атаку. На блокчейны совершили 12 успешных атак; преступ-
ники «заработали» более 5,9 млн долларов на взломе блокчейнов — более
-491 тыс. долларов за атаку. Среди целевых блокчейнов оказались Bitcoin
Gold и Litecoin Cash.
200
Рис. 2.14. Рост количества атак на блокчейн-экосистемы,
5 июля 2022 года. (Источник: AtlasVPN)
Данные за предыдущие годы (рис. 2.14) показали, что количество атак на
блокчейн-приложения выросло на два порядка - с 3 зарегистрированных
атак в 2012-м (с момента зарождения блокчейн-платформ) до 122 атак
в 2020 году. Фактически только в первой половине 2020 года зафиксировано
более чем в десять раз больше атак на блокчейн-приложения, чем за весь
период 2012-2020 годов. При этом, по сравнению с 2019 годом, количество
успешно реализованных атак злоумышленников в 2020-м немного сократи-
лось. В 2019 году злоумышленники провели 133 успешные атаки на разные
блокчейн-платформы, приложения и токены1.
https://atlasvpn.com/blog/blockchain-hackers-have-stolen-over-13-6-billion-in-330-hark-events.
2021 ГОД
В 2021 году злоумышленники провели уже 237 кибератак на разные блок-
чрйн-платформы, приложения и токены (почти в два раза больше, чем годом
ранее) и нанесли суммарный ущерб более 7 млрд долларов* 1 (рис. 2.15).
Всего
Экосистема ЕТН
Экосистема Solana
§ Другие
ф
ф Экосистема BSC
I NFT
со Экосистема Fantom
I-
<
Exchange
Экосистема Polygon
Экосистема Avalanche
Blockchain
Wallet
$1 014 265 748
ф383 887 791
Л $233 241 328
$141 379 8С9
| $8|4 601 046
$54 805 770
$35 756 424
$13 107 60С
I
$8 "00 000
|
$3 513 679
$263 382
$0,2B $0,4B $0,6В
$1,2В $1,4В $1,6В $1,8В
Потерянные деньги
Рис. 2.15. Рост ущерба от кибератак на блокчейн-зкосистемы,
5 июля 2022 года. (Источник: AtlasVPN)
Больше всего от кибератак злоумышленников пострадала блокчейн-эко-
система «Эфириум»: только в третьем квартале 2021 года на нее было со-
вершено более 20 успешных атак, в ходе которых киберпреступники вывели
803,4 млн долларов.
В целом в 2021 году злоумышленники осуществили 5 крупных кибератак на
DeFi-платформы рынка децентрализованных финансов. Самой значитель-
ной по количеству украденных денег стала кибератака в августе 2021 года на
платформу PolyNetwork, когда были выведены примерно 600 млн долларов.
Второй — атака 4 декабря 2021 года на криптовалютную биржу BitMart.
Путем компрометации учетной записи одного из сотрудников компании
киберпреступники похитили не менее 150 млн долларов из «горячих» кошель-
ков ЕТН и BSC (аккаунты с постоянным подключением к интернету) двух
вкладчиков. Согласно заявлению Шелдона Ся (Sheldon Xia) — основателя
https://atlasvpn.com/blog/blockchain-hackers-have-stolen-over-l-billion-in-q3-2021.
и главы BitMart, злоумышленники получили доступ к двум приватным
ключам, которые компания использовала для управления кошельками
и утверждения операций. Позднее аналитики PeckShield оценили ущерб
BitMart в 192 млн долларов. Третьей жертвой по количеству украденных
денег стала японская криптовалютная биржа Liquid: ей нанесли ущерб
в размере 90 млн долларов путем взлома «горячих» цифровых кошельков
и перевода средств на кошельки киберпреступников.
2022 ГОД
За первое полугодие 2022 года злоумышленники провели 175 успешных
кибератак на блокчейн-экосистемы (рис. 2.16) и украли 1,97 млрд долларов1
(рис. 2.17). В первом квартале зафиксировано 79, во втором — 96 кибератак.
Рис. 2.16. Распределение кибератак злоумышленников
на блокчейн-проекты, 5 июля 2022 года. [Источник- AtlasVPNj
Больше всего пострадала блокчейн-экосистема «Эфириум», с которой в ходе
32 кибератак киберпреступники вывели 1,01 млрд долларов. Так, при атаке
на Ronin (сайдчейн «Эфириум» для игры Axie Infinity) было похищено
600 млн долларов (173,6 тыс. ЕТН и 25,5 млн США).
Второй по величине ущерба оказалась блокчейн-экосистема Solana: за пять
кибератак она потеряла 383,9 млн долларов. В одном из сценариев нападения
https://atlasvpn.com/blog/crypto-hackers-stole-almost-2-billion-in-hl-2022.
киберпреступники воспользовались уязвимостью проверки подписи в сети
платформы децентрализованных финансов (DeFi) Wormhole и вывели более
320 млн долларов (120 тыс. ЕТН).
Рис. 2.17. Ущерб от кибератак злоумышленников на блокчейн-проекты,
5 июля 2022 года. (Источник: AtLasVPN)
На третьем месте по ущербу оказались другие блокчейн-проекты, постра-
давшие в результате 24 кибератак с потерями 236,2 млн долларов.
На четвертом месте — блокчейн-экосистема Binance Smart Chain (BSC),
которую злоумышленники атаковали 47 раз — чаще, чем любую другую
экосистему. Она потеряла 141,4 млн долларов. Например, в одном из сцена-
риев киберпреступники взломали протокол Qubit Finance, основанный на
Binance Smart Chain (BSC), и незаконно вывели цифровые монеты Binance
(BNB) на 80 млн долларов. Позднее, в отчете по расследованию инцидента,
было установлено, что преступники воспользовались уязвимостью функции
условного депонирования QBridge и фактически обманули протокол Qubit
Finance, то есть искусственно создали ситуацию, когда якобы депонировали
средства, фактически не совершая переводов.
На пятом месте по ущербу расположились проекты невзаимозаменяемых
токенов (NFT) Non-Fungible Token, подтверждающих право собственности
на некоторый цифровой объект (изображение, аудиофайл, игровой предмет,
персонаж, произведение искусства и др.), в отношении которых злоумыш-
ленники успешно провели 45 атак и обогатились на 84,6 млн долларов.
Также в первом полугодии 2022 года жертвами киберпреступников стали:
криптобиржи, атакованные четыре раза и потерявшие 35,8 млн долларов;
блокчейн-экосистемы:
• Fantom — взломана восемь раз с потерей 54,8 млн долларов;
• Polygon — взломана два раза с потерями 13,1 млн долларов;
• Avalanche — взломана один раз с потерей 8,3 млн долларов;
блокчейн-проекты — взломаны пять раз с потерями 3,5 млн долларов;
криптокошельки — взломаны два раза с потерей 263 382 долларов.
Если сравнить цифры за текущий год и прошлые годы, то число киберпресту-
плений, затрагивающих блокчейн-проекты, выросло на 94 %: с 90 в первом
полугодии 2021 года до 175 за тот же период в 2022-м. В первом квартале
2022 года произошло 79 киберпреступлений - на 108 % больше, чем в первом
квартале 2021 года (38 событий такого рода). Во втором квартале 2022 года
произошло 96 киберпреступлений, что на 85 % больше, чем во втором квар-
тале 2021 года (было 52).
В 2022 году количество киберпреступлений увеличилось более чем на одну
пятую (22 %) — с первого квартала по второй. При этом май оказался са-
мым «тяжелым» месяцем для блокчейн-проектов в плане киберпреступле-
ний: в этом месяце зарегистрировано 37 взломов с целью мошенничества.
Поскольку 2022 год не завершен, можно ждать, что до конца года произойдет
еще больше киберпреступлений, связанных с блокчейном.
Анализ фактографии инцидентов в сфере безопасности блокчейна и его
приложений показывает, что с момента зарождения блокчейн-платформ
(2012 год) по настоящее время (на 5 июля 2022 года) злоумышленники со-
вершили 776 крупных кибератак, в ходе которых похитили значительную
сумму денежных средств — более 27,4 млрд долларов. По всей видимости,
рост числа киберпреступлений продолжится, что объясняется как эволюцией
и ростом числа ведущих блокчейн-экосистем, так и постоянным усовершен-
ствованием сценариев, тактик и техник злоумышленников1.
https://attack.mitre.org/ matrices/enterprise/.
3 Мод ОЛИ и методы
анализа квантовой
устойчивости
блокчейн-экосистем
и платформ цифровой
экономики Российской
Федерации
В этой главе рассмотрены научно-практические результаты автора, полу-
ченные в ходе исследований по заданной теме. В частности:
предложен перспективный метод решения задач криптоанализа извест-
ных криптопримитивов в современных блокчейн-экосистемах и плат-
формах, в том числе хеш-функции (ГОСТ Р 34.11-2018, SHA-2, SHA-3,
SHA256, Ethash, SCrypt, XI1, Equihash, RIPEMD160 и др.), электронные
подписи (ГОСТ 34.10-2018, ECDSA, EdDSA, Ring, One-Time, Borromean,
Multi-signature и др.), схемы асимметричного шифрования (RSA, Диф-
фи — Хеллмана и др.) за полиномиальное время в квантовой модели
вычислений;
разработаны алгоритмы решения задач квантового криптоанализа схем
двухключевой криптографии известных блокчейн-платформ за поли-
номиальное время с учетом стойкости дискретного алгоритма (DLP)
и дискретного алгоритма с эллиптической кривой (ECDLP);
спроектирована структурно-функциональная схема программного ком-
плекса квантового криптоанализа современных блокчейн-платформ
«Квант-К», адаптированного под работу в гибридной вычислительной
среде квантового компьютера IBM Q (20 и 100 кубитов) и суперЭВМ
IBM BladeCenter (2022);
разработана методика применения программного комплекса «Квант-К»
для оценки квантовой устойчивости блокчейн-платформ: InnoChain
(Innopolis University), Waves Enterprise (Waves, Vostok), Hyperledger
Fabric (Linux, IBM), Corda Enterprise, Bitfury Exonum, Blockchain Industrial
Alliance, Exonum (Bitfury CIS), Nodes Plus (b41), «Мастерчейн» (Сбер-
банк), Microsoft Azure Blockchain, Enterprise Ethereum Alliance и др.
Научная и практическая значимость полученных результатов заключается
в выработке решения для вычислительно трудных задач факторизации и дис-
кретного логарифмирования, заданных над конечными коммутативными
(и некоммутативными) ассоциативными алгебрами, в квантовой модели
вычислений за полиномиальное время.
3.1. Метод оценки квантовой
устойчивости блокчейн-экосистем
и платформ цифровой экономики
Российской Федерации
Рассмотрим предлагаемый метод оценивания квантовой устойчивости блок-
чейн-экосистем и платформ на основе результативного решения задач крип-
тоанализа известных криптопримитивов, базирующихся на вычислительно
трудных задачах факторизации и дискретного логарифмирования.
ВЕРБАЛЬНАЯ И МАТЕМАТИЧЕСКАЯ ЗАДАЧА
ИССЛЕДОВАНИЯ
Вербальная постановка задачи
Дано
Известные криптопримитивы современных блокчейн-экосистем и плат-
форм, в том числе хеш-функции (ГОСТ Р 34.11-2018, SHA-2, SHA-3,
SHA256, Ethash, SCrypt, ХИ, Equihash, RIPEMD1G0), электронные под-
писи (ГОСТ 34.10-2018, DSA, EdDSA, ECDSA, RSA-PSS, Ring, One-Time,
Borromean, Multi-signature), схемы асимметричного шифрования (RSA,
Эль-Гамаля, Диффи — Хеллмана) (табл. 3.1).
Таблица 3.1. Характеристика объекта исследования
Стандарт [криптосистемы и крип'-спримигивьц Возможные каналы связи Объем (от возможных 100 %)
Алгоритм RSA с длиной ключа 1924 2948 4996 Блокчейн-сети Интернет Интранет HoT/loT Спутниковые сети -25 %
Алгоритм RSA-CAEF Блокчейн-сети Интернет Интранет HoT/loT Спутниковые сети -35 %
Алгоритм Эль-Гамаля над группой точек эллипти- ческой кривой Блокчейн-сети Интернет Интранет HoT/loT Спутниковые сети -35 %
ECDLP NIST Р-256 NIST Р-256 NIST Р-256 Блокчейн-сети Интернет Интранет HoT/loT Спутниковые сети Подлежит определению
Протоколы TLS, SSH, IPSec [полагаются на со- глашения о ключах Диффи — Хеллмана и за- висят от стойкости дискретного алгоритма [DLP] и дискретного алгоритма с эллиптической кривой [ECDLP]] Интернет Интранет -98 %
Электронные подписи: ГОСТ 34.10-201 DSA, EdDSA. ECDSA, RSA-PSS, Ring, Cne-Time, Ьтготеап, Multi-signature Блокчейн сети Интернет Интранет -95 %
Хеш-функции ГОСТ P 34.11-2018, SHA-2 SHA-3, SHA256, Ethash, SCrypt, XII, Equihash, RIPEMD160 Блокчейн-сети Интернет Интранет -95 %
Необходимо
Повысить результативность квантового криптоанализа (рис. 3.1) систем
асимметричного шифрования и электронной подписи исследуемых блок-
чейн-платформ с учетом стойкости дискретного алгоритма (DLP) и дис-
кретного алгоритма с эллиптической кривой (ECDLP) в зависимости от:
трудоемкости алгоритма криптоанализа систем асимметричного шиф-
рования и цифровой подписи;
имеющихся реальных вычислительных ресурсов (квантовый компьютер
или симулятор на классическом компьютере; количество логических
и физических кубитов, уровней глубины моделируемой квантовой схе-
мы, показателей стабильности квантового вычислителя, характеристик
производительности компьютера в целом);
значения вероятности взлома системы асимметричного шифрования
и цифровой подписи.
Рис. 3.1. Область гарантированного решения задачи квантового
криптоанализа криптопримитивов блокчейн-платформ
с требуемой результативностью
Математическая постановка задачи
Дано:
известные криптопримитивы современных блокчейн-экосистем и плат-
форм, в том числе хеш-функции (ГОСТ Р 34.11-2018, SHA-2, SHA-3,
SHA256, Ethash, SCrypt, ХИ, Equihash, RIPEMD160), электронные под-
писи (ГОСТ 34.10-2018, DSA, EdDSA, ECDSA, RSA-PSS, Ring, One-Time,
Borromean, Multi-signature), схемы асимметричного шифрования (RSA,
Эль-Гамаля, Диффи — Хеллмана);
приложения и/или протоколы (TLS, SSH и IPSec).
Набор ограничений:
ограничения на W — значение показателя трудоемкости алгоритма крип-
тоанализа известных криптопримитивов современных блокчейн-экоси-
стем и платформ;
ограничения на А — временные и вычислительные ресурсы для прове-
дения криптоатаки (допустимый период времени на криптоатаку, тип
компьютера — квантовый или симулятор на классическом компьютере,
количество логических и физических кубитов, количество уровней
глубины моделируемой квантовой схемы, значения показателей ста-
бильности функционирования квантового вычислителя в условиях
когеренции, значения показателей производительности компьютера
в целом);
ограничения по значению Р — вероятности успешно проведенной крипто-
атаки на известные криптопримитивы современных блокчейн-экосистем
и платформ.
В результате анализа необходимо:
провести числовую комплексную оценку, характеризующую стойкость
известных криптопримитивов современных блокчейн-экосистем и плат-
форм, в том числе хеш-функций (ГОСТ Р 34.11-2018, SHA-2, SHA-3,
SHA256, Ethash, SCrypt, ХИ, Equihash, RIPEMD160), электронных
подписей (ГОСТ 34 10-2018, DSA, EdDSA, ECDSA, RSA-PSS, Ring,
One-Time, Borromean, Multi-signature), схем асимметричного шифро-
вания (RSA, Эль-Гамаля, Диффи • Хеллмана) исследуемых блокчейн-
платформ к квантовым алгоритмам криптоанализа (под успешным
выполнением криптоанализа понимается восстановление секретного
ключа шифрования или получение возможности дешифровать сообще-
ние без изначального знания секретного ключа):
N,Pdet),Fz>Fdet,
1=1
где — эталонное значение,
f{(W, N,P^ = 0,VW,N.Pw.N<Pdet-, Лт, N ~ Tief ’ p <l£i P cP 3W' A' P >P ( W'V jV'Y W,N det’ -1 H ’ 'V • rW'. N’ - ‘det ’ 1 + — 1 + —- I TT Д N
получить развернутую характеристику стойкости упомянутых крипто-
примитивов современных блокчейн-экосистем и платформ к квантовым
алгоритмам криптоанализа в виде табл. 3.2, содержащей нечеткие оценки
из заданного множества.
Таблица 3.2. Характеристика стойкости коиптосистем и криптопримитивов
исследуемых блокчейн-платформ
Для оценки компонентов криптосхемы Для оценки криптосхемы в целом
Способствует Возможен
Не влияет Затруднен
Затрудняет Существенно затруднен
Делает невозможным Невозможен
ПРЕДЛАГАЕМЫЙ МЕТОД ОЦЕНКИ КВАНТОВОЙ
УСГОЙЧИВОСТИ БЛОКЧЕЙНА
Рассмотрим следующую типовую последовательность действий (рис. 3.2) на
примере схем асимметричного шифрования (RSA, Эль-Гамаля) и цифровой
подписи (DSA, ECDSA или RSA-PSS):
на основе закрытого ключа абонента А формируется открытый ключ;
открытый ключ передается абоненту Б;
абонент Б выполняет шифрование информации с помощью открытого
ключа абонента А;
абонент Б передает шифротекст абоненту А по каналу связи;
абонент А выполняет дешифрование шифротекста с помощью своего
закрытого ключа.
Рис. 3.2. Типовая схема ассиметричного шифрования
Тогда к базовым принципам, необходимым для решения поставленной за-
дачи, нужно отнести следующие.
Можно сгенерировать пару очень больших чисел (открытый ключ и за-
крытый ключ) так, чтобы, зная открытый ключ, нельзя было вычислить
закрытый ключ за разумный срок. При этом механизм генерации является
общеизвестным.
Имеются надежные методы шифрования, позволяющие зашифровать
сообщение открытым ключом так, чтобы расшифровать его можно было
только закрытым ключом. Механизм шифрования является общеиз-
вестным.
Владелец двух ключей никому не сообщает закрытый ключ, но передает
открытый ключ контрагентам или делает его общеизвестным.
Здесь под факторизацией натурального числа понимается его разложение
в произведение простых множителей. Существование и единственность
(с точностью до порядка следования множителей) такого разложения
следует из основной теоремы арифметики. В отличие от задачи распозна-
вания простоты числа факторизация предположительно является вычис-
лительно сложной задачей. Поэтому актуально нахождение эффективного
квантового алгоритма факторизации целых чисел (рис. 3.3). При этом нет
доказательств того, что решения данной задачи за полиномиальное время
не существует.
•Значения а необходимые для генерации ключей
Рис. 3.3. Пояснения к оценке стойкости
исследуемых криптопримитивов
Заметим, что предположение о том, что для больших чисел задача факториза-
ции является вычислительно сложной, лежит в основе широко используемых
алгоритмов. Решение ряда прикладных задач математики и теоретической
информатики зависит от полноты, непротиворечивости и разрешимости
упомянутой задачи факторизации. В том числе применения эллиптических
кривых, алгебраической теории чисел и квантовых вычислений и пр. Как
правило, на вход таких алгоритмов подается число, которое необходимо
факторизовать, состоящее из N= [log2 п] + 1 символов (если п представлено
в двоичном виде). При этом сначала осуществляется поиск первого простого
делителя, после чего при необходимости поиск повторяется для дальней-
шей факторизации. Прежде чем начинать факторизацию большого числа,
следует убедиться в том, что оно не простое. Для этого достаточно пройти
соответствующий тест числа. Эта задача детерминированно разрешима за
полиномиальное время.
В зависимости от сложности алгоритмы факторизации были разделены
на две группы. В первую вошли экспоненциальные алгоритмы, сложность
которых экспоненциально зависит от длины входящих параметров (то есть
от длины N самого числа в бинарном представлении). Во вторую — субэк-
споненциальные алгоритмы. Понятно, что стойкость алгоритмов симме-
тричной и асимметричной криптографии основана на сложности решения
определенных классов задач на традиционных компьютерах {перебор, фак-
торизация и дискретное логарифмирование лежат в классе сложности NPP
по длине ключа в битах) — в противоположность квантовой криптографии,
чья стойкость базируется на законах квантовой физики. Оценка временной
сложности основных алгоритмов факторизации и дискретного логарифми-
рования представлена в табл. 3.3.
Таблица 3.3. Временная сложность алгоритмов, решающих задачи
факторизации и дискретного логарифмирования
Решение задачи факторизации
Название Сложность
Метод Ферма ИМ = 0(А/1/3) ПЛ/] = 0(Л/Л(1/3]]
Метод Пенстры Т = o^2ln₽lnlnP j
Метод Диксона 7 = 0(t(n)2)
Метод квадратичного решета Т = (J^exp^1 + o(1))A,/lognloglogn
Метод решета числового поля T (Л/) = O(nlognlogW)
Метод Шора 7 = 0(log3M)
Метод Адлемана T = O(cln'’'j
Метод COS T = o(cxp((logplogk>gp)1/2j)
Таким образом, типовые схемы асимметричного шифрования (RSA, Эль-
Гамаля) и цифровой подписи (DSA, ECDSA или RSA-PSS) основаны на
сложности вычисления дискретного логарифма в конечных группах, опре-
деленных над разными алгебраическими конструкциями, или на сложно-
сти разложения натурального числа на простые сомножители. А степень
уязвимости упомянутых схем базируется на вычислительной сложности
факторизации чисел [6-19, 32, 40, 41].
Заметим, что задачи дискретного логарифмирования и факторизации
имеют асимптотическую сложность при решении на квантовом компью-
тере O(H2logwlog/?logttj — квантовых шагов. На классическом компью-
тере с использованием лучшего из всех известных алгоритмов — алго-
ритма решета числового поля — асимптотическая сложность составляет
О lofi2/ где с — некоторая константа. Полиномиальное решение задач
дискретного логарифмирования на квантовом компьютере находится также
за О (и2 log п log п (log и)}.
Таким образом, практическая значимость квантовых алгоритмов решения
задач факторизации и дискретного логарифмирования заключается в том,
что с их помощью при использовании квантового компьютера с несколь-
кими сотнями логических кубитов (рис. 3.4-3.6) становится возможным
взлом криптографических систем с открытым ключом. Например, RSA ис-
пользует открытый ключ М, являющийся произведением двух больших
простых чисел. Один из способов взломать шифр RSA — найти его мно-
жители. При достаточно большом Мэто практически невозможно сделать,
используя известные классические алгоритмы. Лучший из всех известных
классических алгоритмов факторизации требует времени порядка М1/3.
Алгоритм Шора, используя возможности квантовых компьютеров, спосо-
бен произвести факторизацию числа не просто за полиномиальное время,
а за период, ненамного превосходящий время умножения целых чисел
(практически так же быстро, как происходит шифрование) [118,133-146,
295-306].
Понятно, что здесь речь идет не только о схеме RSA, прямо опирающейся
на сложности факторизации, но и о других близких схемах асимметричного
шифрования (производные от RSA, Эль-Гамаля) и цифровой подписи (DSA,
ECDSA или RSA-PSS), которые становятся уязвимыми.
— инициирование состояния
1. |0>|С>
— создание суперпозиции
— применить преобразование /(х) = ax(mod N)
г-1 v 2'-1
1=0 2-,х=о
|0) |/(х)>
4- SLo i//r> й»
— применить GFT (квантовое
преобразование Фурье) к первому регистру
— измерить первый регистр
— применить алгоритм цепнотх дробей
Первый регистр
tкубитов
Рис. 3.4. Основные этапы квантового алгоритма факторизации Шора
Второй регистр <
|С> + e2ra(2‘ 1<₽)| 1>
|0> + е2М(2!ч>)|1)
|0> + е2М(2’<р)|1)
|0) + е2ш(2"<р)|1)
|ф
Чтобы получить f (n-битное число) с вероятностью ус пеха 1 - е,
необходимо следующее число кубитов:
t = п т
Нг*й>]
Рис. 3.5. Нахождение необходимого количества кубитов как критерия
успешного решения задачи криптоанализа
f (х) - a mod N
7‘mod 15 = 1 => 74 - 1 mod 15 = 0 => (72- 1)(72 + 1) mod 15 = С mod 15
= 48 * 30 делился без остатка на 15
A/=15 gcd(50,15)-3 gcd(50,15) = 5
-Д- V |k>|0>= Jn|0)+|1>+ |2> + ..+ |2f- 1>] |0>
е =1/4 42 Z—г 42
х=С
f(k)= x'mod N
2-1
-H^\k^modN)=^
x = 0
[|0>| 1> + 11>|7> + |2>|4>+ |3>| 13> + |4>|1>+ |5)|7>+ 16> i 4> + ...]
Рис. 3.6. Пример квантового решения задачи факторизации
РАЗРАБОТ КА ПЛАТФОРМЫ
« КВАНТ- К»
Инженерная реализация предлагаемого метода оценки квантовой устой-
чивости исследуемых блокчейн-пдатформ выполнена в виде соответству-
ющей программной платформы «Квант-К», в которой учтены следующие
моменты.
Во-первых, квантовый алгоритм факторизации Шора характеризуется ве-
роятностной природой [118, 133-146, 295-306]. Здесь первый источник
случайности встроен в классическое вероятностное сведение разложения на
множители к нахождению периода некоторой функции. Второй источник
возникает из необходимости наблюдения за квантовой памятью, которое
тоже выдает случайные результаты. Поэтому запрограммированы такие
шаги по решению задачи факторизации:
1) выбор случайного остатка а по модулю N\
2) проверка НОД (a, N) = 1;
3) нахождение порядка г остатка а по модулю N',
4) если г четное, вычислено НОД (/О1 — 1, N).
Здесь (с большой вероятностью) полученное на четвертом шаге число всегда
являлось нетривиальным делителем N. Достаточно трудным для реализации
оказался третий шаг, где минимальное г такое, что ar = 1 mod Д', и порядок а
по модулю М (порядок г является периодом функции /(Jr) = oxmod N).
Например, есть число N. Случайным образом подбираем число а так, чтобы
оно было взаимно простым с М. Такое число найдется с большой вероят-
ностью. Повторив это действие несколько раз, найдем требуемое число
(число а называется взаимно простым к Ь, если их наибольший общий
делитель равен 1). После этого определим порядок г остатка а по модулю N.
Получим: а' = 1 mod N. Мы хотим, чтобы г было четным. Если это не так,
вернемся к шагу выбора числа а. Итак, имеем: ar = 1 mod TV, где г — четное.
Значит, можно написать: (аг1~ - 1)(йг/2 +1) = cN, где с — некоторое целое по-
ложительное число. Нетрудно доказать, что одна из скобок имеет с N общий
нетривиальный делитель. Тогда, взяв gcd(«'/2-l, N), мы получим один
делитель N. Разделив N на полученное число, находим второй делитель.
Задача разложения числа Nна множители свелась к быстрому нахождению
периода г для случайно подобранного числа а.
Во-вторых, для определения периода функции г с помощью преобразова-
ния Фурье не потребовалось вычислять все значения/(х). Задача свелась
к решению, похожему на решение задачи Дойча [118, 133-146, 295-306],
в которой учитываются не все значения функции, а только некоторые ее
свойства. В результате полученные представления Фурье-преобразования
в форме произведения позволили промоделировать требуемые квантовые
цепи (рис. 3.7-3.9) для работы с квантовым компьютером IBM Q, который
выбрали для инженерной реализации и апробации предложенного кванто-
вого алгоритма факторизации Шора.
|0) + е2««Л 1
|0> + е2га0'г |1)
Рис. 3.7. Гейтовое представление квантового
преобразования Фурье
2м0./,
2га0./г..у„
Здесь гейт R. обозначает унитарное преобразование вида:
1 О
1 е2”'/2‘
Рис. 3.8. Квантовое представление модифицированного алгоритма
факторизации Шора
С-1 С-2 С = 4 С-8 С-14 С-13 С-11 С-7
/(х) = Сх%15
Рис. 3.9. Пример моделирования квантового гейга
В-третьих, была опробована схема прямого подключения IBM Q к кван-
товой (1G-, 20- и 100-кубитной) системе с помощью платформы IBM Cloud.
Для этого получили прямой доступ к IBM Quantum Experience и запустили
соответствующее приложение (рис. 3.10) на квантовой схеме для работы
с отдельными кубитами.
В-четвертых, были опробованы возможные гибридные схемы из квантовых
вычислителей IBM Q и симуляторов на суперЭВМ пятого поколения (су-
перЭВМ «Ломоносов-2», «Торнадо», СКИФ, вычислители на базе ПЛИС).
При этом задействовали приложения автора на языке Python, а также ряд
открытых библиотек для моделирования квантовых алгоритмов на кванто-
вых схемах [47-59].
В состав авторской платформы «Квант-К» вошли следующие программные
модули (рис. 3.11):
Квантовые вычисления
в облаке
Модели
гибридных
квантовых
вычислений
Квантовые
вычислительные
системы
и сети
Квантовые вычисления
суперЭВМ 5-го поколения
IBM Q
Выход
О Модель
квантовых
вычислений
0 Кластерная
модель
квантовых
вычислений
0 Модели
на квантовых
симуляторах
О Модель
комбинированных
вычислений
Рис. ЗЛО. Апробация разработанной платформы «Квант-К» в среде IBM Q
System One (16-, 20- и 1ОО-кубитовой) и на суперЭВМ пятого поколения
1) модуль первичного анализа криптосистемы, предназначенный для опре-
деления криптографического шифра и сведения задачи вскрытия к задаче
факторизации;
2) модуль поиска периода неопределенной функции, предназначенный для
реализации факторизации на квантовой вычислительной системе;
3) модуль расчета секретного ключа, предназначенный для обработки по-
лученного в результате функционирования предыдущего модуля итога
факторизации для последующего вскрытия криптосистемы;
4) модуль представления результатов и их анализа, предназначенный
для отображения полученного итога и анализа характеристик его по-
лучения.
Структурно-функциональная схема платформы «Квант-К» представлена на
рис. 3.11, а основной алгоритм работы платформы «Квант-К» — на рис. 312.
CD
О)
Рис. 3.11. Структурно-функциональная схема платформы «Квант-К»
Г лава 3. Модели и методы анализа квантовой устойчивости
Распознавание
и перехват
открытых ключей
Распознавание
криптографической
схемы
Нормализация
данных
и представление
в подходящем виде
Определение
математической
задачи
Рис. 3.12. Блок-схема алгоритма работы «Квант-К»
Отметим, что для разработки платформы «Квант-К» использовался язык
программирования Python с применением интерпретатора Jupyter Notebook
(входит в пакет разработки Anaconda), а также библиотеки Qiskit IBM [47-59].
К достоинствам программной платформы «Квант-К» (рис. 3.13-3.15) можно
отнести следующие особенности.
1 Для оценки квантовой устойчивости известных блокчейн-платформ
впервые предложен и обоснован новый вид квантового криптоанали-
за схем асимметричного шифрования (RSA, Эль-Гамаля) и цифровой
подписи (DSA, ECDSA или RSA-PSS) на основе модифицированного
автором алгоритма факторизации Шора.
100
1000
10 000
100000
Разрядность факторизуемого числа, бит
Рис. 3.13. Суммарный выигрыш от предлагаемой квантовой реализации
алгоритма Шора в гибридной соеде IBM Q и суперЭВМ пятого поколения
Рис. 3.14. Представления квантового алгоритма Шора для гибридной среды
IBM 0 и суперЭВМ пятого поколения
Технологии Al и ML
Предобученные
модели
Классификатор
криптосистемы
Предиктивная
аналитика
Сообщества
криптоаналитиков
и базы знаний
• Преобразователь
• Классификатор
4»
Интерфейс
оператора
Python (Django)
Интерфейс
а дм и н и страто ра
Python (Django)
• RSA-OAEP
• Эль-Гамаля
•ECDLP
• Цифровые подписи
• Сетевые протоколы
Другие
криптосистемы
Результаты других
пользователей
Развитие
н е й рорасл оз на вател я
Классификатор
матем этической
задачи
Интерфейс
пользователя
СУБД
PostgeSQL
Другие
квантовые
алгоритмы
• Саймона
• Экера
• Гровера
• Бернштейна — Визарини
• Харроу
• Хасидима
• Ллойда
• Денисенко
М S Active Di recto ry ----►
Mi*
Рис. 3.15. Перспективная архитектура платформы квантового криптоанализа «Квант-К»
2. Оперативность исследования криптостойкости схем асимметричного
шифрования (RSA, Эль-Гамаля) и цифровой подписи (DSA, ECDSA или
RSA-PSS) изученных блокчейн-платформ повышена на 20-30 % за счет
автоматизации первой и второй части модифицированного (квантового)
алгоритма факторизации Шора в гибридной среде IBM Q (16,20,100 и бо-
лее кубитов) и на суперЭВМ пятого поколения (рис. 3.16).
Криптоанализ схем асимметричного шифрования (факторизация)
Криптоанализ схем асимметричного шифрования (дискретное логарифмирование)
Криптоанализ цифровой подписи
Рис. 3.16. Сравнительный анализ времени криптоанализа схем
асимметричного шифрования (RSA. Эль-Гамаля) и цифровой подписи
(DSA, ECDSA или RSA-PSS) блокчейн-платформ
3. Доля квантовых алгоритмов криптоанализа в арсенале инструменталь-
ных средств криптоанализа схем асимметричного шифрования (RSA,
Эль-Гамаля) и электронной подписи (DSA, ECDSA или RSA-PSS) уве-
личена до 17 % (рис. 3.17).
4. Результативность криптоанализа асимметричных шифров схем асимме-
тричного шифрования (RSA, Эль-Гамаля и др.) и электронной подписи
(DSA, ECDSA или RSA-PSS и др.), применяемых в блокчейне, в целом
повышена на 10-15 %.
Анализ вероятностных характеристик квантовых преобразований Фурье
и Шора свидетельствует о значительном квантовом ускорении решения
задач криптоанализа схем асимметричного шифрования (RSA, Эль-Гамаля
и др.) и электронной подписи (DSA, ECDSA или RSA-PSS и др.) современ-
ных блокчейн-платформ, основанных на факторизации натуральных чисел
и дискретном логарифмировании в конечных группах разной математиче-
ской природы [118, 133-14G, 295-306].
Модифицированный
метод Шора
Остальные методы
анализа асимметричных
криптосистем
Рис. 3.17. Увеличение доли квантовых алгоритмов криптоанализа схем
асимметричного шифрования IR5A, Эль-Гамаля) и цифровой подписи
IDSA, ECDSA или RSA-PSS)
Пример решения задачи факторизации и дискретного логарифмирования
в квантовой модели вычислений показал, что существует возможность пере-
вода упомянутых задач из неполиномиального класса сложности в полино-
миальный. Это важно для повышения вероятности вскрытия систем асим-
метричного шифрования и цифровой подписи, а также криптографических
примитивов в приложениях и протоколах (TLS, SSH и IPSec), получивших
широкое распространение в известных блокчейн-платформах: InnoChain
(Innopolis University), Waves Enterprise (Waves, Vostok), Hyperledger Fabric
(Linux, IBM), Corda Enterprise, Bitfury Exonum, Blockchain Industrial Alliance,
Exonum (Bitfury CIS), Nodes Plus (Ь41), «Мастерчейн» (Сбербанк), Microsoft
Azure Blockchain, Enterprise Ethereum Alliance и др.
Оценка сложности квантового алгоритма факторизации Шора с учетом
стойкости дискретного алгоритма (DLP) и дискретного алгоритма с эллипти-
ческой кривой (ECDLP) позволила определить необходимые и достаточные
условия для успешного решения поставленных задач исследования [47-59].
Были поставлены соответствующие концептуальная и математическая за-
дачи исследования.
Анализ предельных возможностей известных моделей алгоритма факто-
ризации Шора на квантовой схеме позволил сформулировать функцио-
нальные и технические требования к разрабатываемым перспективным
квантовым алгоритмам криптоанализа схем асимметричного шифрования
(RSA, Эль-Гамаля и др.) и электронной подписи (DSA, ECDSA или RSA-
PSS и др.) для блокчейн-платформ. В том числе для авторской платформы
«Квант-К», разработанной в ходе апробации предлагаемого нового метода
оценки квантовой устойчивости известных блокчейн-платформ. Отметим,
что в 2021 году на нее получено свидетельство о регистрации программы для
ЭВМ№ 2020665981 [59]. К возможным направлениям дальнейшего развития
авторской платформы «Квант-К» можно отнести следующее:
снижение квантовой декогеренции путем использования специальных
исправляющих алгоритмов, в том числе на основе методов коррекции
ошибок;
добавление в библиотеку платформы других квантовых и постквантовых
алгоритмов (Гровера, Саймона, Экера, Берштейна — Вазираниа, Харроу,
Хассилима, Ллойда и др.);
совершенствование методов определения пригодности криптосистем
для криптоатаки;
добавление в библиотеку платформы новых криптопримитивов блок-
чейн-платформ для криптоанализа;
развитие интерфейса для организации коллективной работы крипто-
аналитиков на основе облачных технологий (доступ к другим кванто-
вым вычислительным системам, библиотекам с уязвимостями известных
реализаций криптосистем и протоколов, а также к библиотекам других
реализаций квантовых алгоритмов) и мобильных технологий (социаль-
ные сети, мессенджеры, чаты, боты) и др.
3.2. Реализация квантового алгоритма
Шора на квантовой схеме
Первым делом рассмотрим ряд особенностей моделирования квантовых
алгоритмов криптоанализа криптопримитивов блокчейна на квантовой схе-
ме, в частности отличия упомянутых алгоритмов от классических (суть
преобразования известного тезиса Черча — Тьюринга в тезис Черча —
Тьюринга - Дойча) [7-15, 17-20, 22-33, 38-41, 118, 133-146, 295-306].
Затем выделим ряд актуальных инженерных задач реализации квантовых
алгоритмов криптоанализа криптопримитивов блокчейна и проведем анализ
возможных путей их разрешения.
Квантовый аналог бита (квантовый бит, или кубит) имеет квантово-ме-
ханические особенности поведения. Почти любая квантовая система (об-
ладающая по крайней мере двумя состояниями) может выступать в роли
кубита. Его пространством состояний является Гильбертово простран-
ство — линейная оболочка, натянутая на два или больше базисных вектора
(рис. 3.18) (в обозначениях Дирака квантовые состояния записываются
как|0)п|1)).
Рис. 3.18. Состояния кубита в виде сферы Блоха
Здесь общее состояние квантовой системы с двумя состояниями может
быть представлено суперпозицией базисных состояний ф) = а10) -Ь Р| 1), при
этом|а|" +|р| = 1. Отметим, что регистр, состоящий из L двухуровневых ку-
битов, может хранить одновременно до 2Л чисел в квантовой суперпозиции.
Таким образом, если пополнить регистр дополнительными кубитами, то
объем хранящейся в регистре информации увеличится экспоненциально.
Например, 250-кубитный регистр, обладающий атомарными размерами,
будет способен хранить больше чисел, чем существует атомов в известной
Вселенной (1078).
Пример базовых однокубитных гейтов
а |0)+Z>|1)-----|х]------Z>|0)+а |1)
<z|O>+Z>|l)-----Е--------
«|0>+б|1)—Ц—
a|O) + Zz|l)--g- a|O) + z7>|l)
a 10) + b 11)-[T]-a 10) + e,7l/4 b 11}=[e'^a 10) + en,Kb 11)}
Исключительность квантового вычисления состоит в том, что можно про-
вести некоторое нетривиальное квантовое вычисление, то есть, пользуясь
суперпозицией, осуществить серию математических операций, каждая из ко-
торых оперирует всеми хранящимися данными одновременно [118,133-146,
295-306].
Так, состояние L-кубитного регистра можно представить 2Л-мерным ком-
плексным вектором. Алгоритм для квантового компьютера должен ини-
циализировать его в некоторой указанной форме (зависящей от модели
квантового компьютера). На каждом шаге алгоритма этот вектор модифи-
цируется унитарной матрицей, которая определяется физикой устройства.
Унитарность матрицы гарантирует ее обратимость (таким образом, каждый
шаг обратим). После завершения алгоритма 2£-мерный комплексный век-
тор, сохраненный в регистре, должен быть считан из кубитного регистра
квантовым измерением. Согласно законам квантовой механики результа-
том данного измерения будет случайная строка L бит (и измерение разру-
шит конечное состояние). Эта случайная строка может быть использована
в вычислении значения функции потому, что в соответствии с моделью
распределение вероятности измеренной битовой строки асимметрично
в сторону правильного значения функции. Повторно запуская квантовый
компьютер и измеряя выход, можно с большой вероятностью определить
точное значение.
На практике квантовый алгоритм выполняется путем реализации ряда по-
следовательных унитарных операций. Отметим, что для данного алгоритма
операции всегда будут выполняться в том же самом порядке. Нет логического
условия «Если — то», чтобы варьировать последовательность, поскольку
нет пути для считывания состояния кубита до заключительного измерения.
Но есть условные операции, реализуемые гейтом CNOT [118, 133-146,
295-306] (см. врезку).
Применение гейта (оператора) CNOT
10 0 0
Двухкубитовый оператор CNOT (управляемое) NOT:
1 0 0
0 0 1
0 0 10
CNOT переворачивает второй кубит (целевой кубит) тогда и только тогда,
когда первый кубит (управляющий кубит) равен 1^
Действие элемента CNOT 100) —> 100), 101) —> 101), 110) -> 111), 111) 110).
Согласно Д. Дойчу [118,133-146,295-306] к квантовой модели вычислений
предъявляются следующие требования:
1) каждый кубит может быть инициализирован в известном состоянии (на-
пример, в состоянии |0)l:
2) каждый кубит может быть измерен в базисе {] 0), |l)j;
3) универсальный квантовый гейт (иди множество гейтов) может воздей-
ствовать на любое ограниченное подмножество кубитов',
4) состояние кубитов не изменяется кроме как посредством вышеуказанных
преобразований.
Это описание не затрагивает определенные технологические стороны, но
содержит основные идеи конструирования квантового компьютера. Под-
разумевается, что модель квантовых вычислений является сетевой и реа-
лизуется с помощью последовательного воздействия логических гейтов на
множество кубитов. Логические гейты классического электронного компью-
тера располагаются на монтажной плате отдельно друг от друга, а в кван-
товом компьютере они рассматриваются как взаимодействия нескольких
кубитов, происходящие в определенное время. При этом кубиты создают
определенную конфигурацию, в которой вариантов взаимодействия между
элементами принципиально больше, чем в классическом компьютере. Воз-
можна проработка и других моделей квантовых вычислений, например, на
основе модели клеточного автомата или искусственной иммунной системы
[62-64,306].
Здесь универсальный квантовый гейт представляет собой квантовый экви-
валент классической булевой функции из универсального набора и является
гейтом, который, воздействуя на кубиты или их разные комбинации, мо-
жет имитировать действие любого другого квантового гейта. В 1985 году
Д. Дойч показал, что довольно простые квантовые гейты могут составлять
универсальный набор, достаточный для построения квантового компьютера.
Например, пара однокубитового гейта V (0, (р) и двухкубитового гейта CNОТ,
где V (0, ср) — гейт произвольного вращения одного кубита:
Т(0, Ф) =
cos(0/2)
-ze!<,,sin(0/2)
-/с "Аш (0/2) '
cos(0/2) ;
a CNOT может быть представлен матрицей:
/1 0 0 0)
CNOT =
о
0
1
0
о
о
о
1
(0 0 10;
и считаться универсальным набором.
Любая унитарная матрица размерности п х п может быть образована путем
комбинирования двухкубитовых гейтов CNOT и гейтов вращений одного
кубита. Описание подобных универсальных гейтов можно найти у Д. Дойча,
С. Ллойда, Д. П. ди Винченцо и А. Баренцо [118, 133-146, 295-306].
Таким образом, квантовый алгоритм — это алгоритм, который использует
квантовые свойства объекта для процесса вычисления. Можно формали-
зовать описание квантовых вычислений в терминах классической модели
вычислений. Например, логические операции над битами памяти компью-
тера по Тьюрингу классического вычисления заменить унитарными преоб-
разованиями, действующими на фиксированное конечное число кубитов.
В исследовании квантовых алгоритмов представляет интерес нахождение
полиномиально-временных алгоритмов в задачах, для которых неизвестны
классические полиномиальные алгоритмы решения.
Исключительная важность квантовых компьютеров в том, что они способ-
ны решать задачи криптоанализа криптопримитивов блокчейна гораздо
эффективнее, по сравнению с классическими суперЭВМ пятого поколения
архитектуры фон Неймана. Дело в том, что квантовые компьютеры основаны
на квантовых регистрах, состоящих из квантовых битов (кубитов). При из-
мерении квантовой системы квантовый бит может иметь такое состояние,
что измерение способно с некоторой одной вероятностью показать 0^, а с не-
которой другой — 11). Квантовый регистр, состоящий из п квантовых битов,
имеет выделенных состояний, соответствующих «-разрядным двоичным
числам, от 100К0^ дс> 111К1). Состояние такого регистра записывается в виде
линейной комбинации всех этих выделенных состояний:
2"-1
2X14
х=0
При этом выполняется условие нормировки:
=’•
! = 0
Коэффициенты а — это комплексные числа. Они называются амплитудами
соответствующих состояний |х).
Состояние системы, складывающейся из п квантовых бит, описывается век-
тором единичной длины в 2"-мерном комплексном унитарном пространстве
(скалярное произведение состояний | а) -1 я1К«в) и | Ь) = | Kbn ) обозначается
как (я Ь} и вводится обычным образом: = Квантовый регистр
длины п может представлять разные значения «-битного слова одновре-
менно. Чтобы извлечь из него информацию, надо провести измерение.
При этом измерить можно любой набор квантовых битов. Кроме того, по-
скольку квантовые состояния образуют Евклидово пространство, измерения
можно проводить в различных базисах. Однако осуществление измере-
ний способствует переходу системы в базисное состояние, соответствую-
щее результатам измерений. Квантовый компьютер может преобразовать
квантовый регистр. Здесь под квантовым преобразованием понимается
отображение унитарного пространства, образуемого квантовой системой,
в себя. С квантовыми системами можно производить только линейные
унитарные преобразования, причем допустимо любое линейное унитарное
преобразование. В силу линейности квантовые преобразования полностью
определяются их действием на базисные векторы. В табл. 3.4 приведены
основные квантовые гейты.
Таблица 3.4. Основные элементарные преобразования
|или квантовые гейты)
Название,обозначение и краткое описание квантового гейта Действие на базовые состояния Матрица
Тождественное преобразование 1 Ю> -> |0> р 0^1
ИМИ) 1° 1)
Отрицание X ЮМИ) f°
ИМ 10) b oj
Фазовый сдвиг Z ЮМ 10) р 0)
ИМ-И) 1° -V
Фазовый сдвиг с отрицанием Y ЮМ-И) f0
ИМ 10) И °J
Controlled-NOT (CNOT). Прибав- юомюо) Р 0 0 ОН
ляет ко второму биту первый по 101) 101) 0 10 0
модулю 2 110) 111) 0 0 0 1
И1М110) 0 1 0,
Controlled-Controlled-NOT (вен- Ю00М ЮСО) (1 0 0 0 0 0 0 0^
тиль Тофолли). Прибавляет Ю01М Ю01) 0 1 0 0 0 0 0 0
к третьему биту произведение двух первых по модулю 2 ЮЮМ И01) 0 0 1 0 0 0 0 0
1011) —> 1010) 0 0 0 1 0 0 0 0
Иоом иоо) 0 0 0 0 1 0 0 0
И01М HOD 0 0 0 0 0 1 0 0
июм Ии) 0 0 0 0 0 0 0 1
1111) —> И 10) ^0 0 0 0 0 0 1 0;
Преобразование Адамара Н JJ1 1^1 М1 -V
К основным инженерным проблемам реализации квантовых алгоритмов
криптоанализа криптопримитивов блокчейна относятся удержание эле-
ментов компьютера в относительно стабильном (когерентном) состоянии,
а также защита от ошибок декогерентности. Первая проблема связана с тем,
что на практике взаимодействие квантовой системы с внешним миром при-
водит к потере когерентности (иначе — ее декогеренции), а следовательно,
к аварийному завершению работы компьютера. Данный эффект приводит
к скорому после запуска алгоритма нарушению унитарного характера (точ-
нее говоря, к обратимости) квантовых шагов вычисления, следствием чего
будет невозможность решать сложные задачи криптоанализа криптопри-
митивов блокчейна. Дело в том, что четвертый пункт требований Д. Дойча
к квантовому компьютеру — о неизменяемости состояния квантовой си-
стемы — физически в принципе нереализуем: не существует ни идеального
квантового гейта, ни полностью изолированной системы. Можно стремиться
к максимально точному приближению реального устройства к идеальному,
но в настоящее время и это неосуществимо. В основе таких гейтов, как XOR,
лежит взаимодействие двух изначально разделенных кубитов. Но если ку-
биты взаимодействуют, они неизбежно будут взаимодействовать с чем-либо
еще [20,33,38,40]. На практике выяснилось, что сконструировать квантовую
систему, в которой потеря когерентности имела бы место реже одного раза на
миллион применений гейта XOR, — достаточно сложная инженерная задача.
По мнению ряда исследователей (С. Гароша и Дж. М. Раймонда, Р. Лан-
дауера, Ц. Мигуэля и А. Баренцо) нам еще предстоит узнать, позволяют ли
законы физики найти нижний предел скорости потери когерентности [118,
133-146, 295-306].
Таким образом, периодичное проецирование состояния компьютера по-
средством тщательно выбранных измерений само по себе не является до-
статочным. Поэтому для требуемой защиты квантовых систем от ошибок
декогеренции и другого квантового шума распространение получили методы
квантовой коррекции ошибок (ККО) [295-306]. Для квантовых систем они
были впервые предложены и рассмотрены в работах Э. Стина и независимо
от него А. Р. Калдербанка и П. Шора [133-146]. Исследователи отметили
важность квантовой коррекции ошибок для помехоустойчивого квантового
вычисления — не только для борьбы с шумом в хранящейся квантовой ин-
формации, но и для компенсации «шумных» квантовых гейтов, а также не-
совершенств квантовых инструментальных средств измерений (изначально
не было ясно, должны ли данные сети быть идеальными при использовании
методов коррекции ошибок). П. Шор показал [133-146], как сделать сети
исправления ошибок нечувствительными к ошибкам внутри этих сетей.
Другими словами, выяснилось, что подобные сети «с коррекцией ошибок»
нейтрализуют помех больше, чем создают.
Открытие метода квантовой коррекции ошибок приблизительно совпало
с появлением связанного с ним метода «усиления зацепления», который
тоже обеспечивает свободную от помех передачу квантовых состояний по
квантовому каналу с помехами [133, 140, 295]. Основная идея этого метода
заключается в том, что отправитель формирует множество зацепленных
пар кубитов, а затем отправляет получателю один кубит из каждой пары по
каналу с помехами. Отправитель и получатель накапливают кубиты, а по-
том проводят измерение с контролем по четности: например, получатель
осуществляет операцию XOR («исключающего ИЛИ») для принятого и сле-
дующего за ним кубитов, а затем измеряет результирующий кубит. После
того как отправитель совершит идентичные операции над своими кубитами,
результаты сравнивают. Если они совпадают, состояния более половины
неизмеренных кубитов случайно совпадают с требуемым |00^ +111)- Если же
результаты не совпадают, кубиты отбрасываются. Подробно метод «усиле-
ния зацепления» описан в работе Ч. Беннетта [20] и существенно развит
в работах академика РАН А. Холево [118, 133-146, 295-306].
КВАНТОВЫЙ АЛ ГОРИТМ
ФАКТОРИЗАЦИИ ШОРА
Алгоритм Шора — квантовый алгоритм для факторизации числа А за вре-
мя □[(logA)’)и ресурсы O(logAT)- Он подвергает ключ RSA (популярный
криптографический метод) опасности быть легко взломанным, если его за-
пустят на достаточно «большом» квантовом компьютере. При этом алгоритм
Шораможетэто сделать за полиномиальное время [118,133-146, 295-306].
Ранее было экспериментально показано [295], что алгоритм решета число-
вого поля, предложенный Оливером Широкауэром, при р > 10100 работает
эффективнее COS.
Как многие квантовые компьютерные алгоритмы, алгоритм Шора — вероят-
ностный: он дает правильный ответ с любой наперед заданной вероятностью.
Это достигается многократным повторным выполнением алгоритма. Но, так
как предложенное решение верифицируемо за полиномиальное время, алго-
ритм может быть изменен для работы за ожидаемое полиномиальное время
с нулевой ошибкой.
Алгоритм появился в 1994 году, а его классическую часть ранее разра-
ботал Дж. Л. Миллер. Семь лет спустя, в 2001 году, квантовый алгоритм
Шора демонстрировала группа в IBM, осуществившая факторизацию чис-
ла 15 на 3 и 5, используя квантовый компьютер с 7 кубитами. В 2016 году
ученые Массачусетского технологического института и Инсбрукского
университета спроектировали квантовый компьютер, который реализует
масштабируемую версию алгоритма Шора, предложенную российским
физиком Алексеем Китаевым [22, 118, 133-146, 29-306]. Это позволило
значительно сократить количество используемых кубитов для выполнения
операций (табл. 3.5-3.7).
Таблица 3.5. Сопоставление длины ключей симметричных и асимметричных
шифров при одинаковой стойкости
Длина ключа симметричного криптоалгоритма Длина ключа алгоритма RSA Длина ключа алгоритма Эль-Гамаля над группой точек эллиптической кривой
80 1024 163
112 2048 224
128 3072 283
192 7689 409
256 15 360 571
Таблица 3.6. Сравнение сложности основных задач криптоанализа
в классической и квантовых моделях вычислений
Модель Задача Классическая модель Квантовая модель
Факторизация целых чисел ехр (1,923 + 0 (1))(log/V)1/3 (LogLogA/)273^ Метод Шора, ОЦод2 Л'| операций
Дискретное логарифмиро- вание в конечном поле ехр[( 1,923 +O(1))(logp) 3 (log log р)2/3 Метод Шора. □(log2 р) опеоаций
Дискретное логарифми- рование на эллиптических кривых 0[-4~р) операций на кривой Метод Шора, □(log2 р] операций
Поиск коллизий хеш функции О(2"/2| операций хеширования Метод Амбайниса, О(2"/3( опеоаций
Поиск прообраза О(2П) операций хеширования/шиф- рования Me-од Гоовера, О(2"/2| опеоаций
Задача, которую требовалось решить, состояла в поиске целого делителя р
целого числа N в интервале между 1 и N.
Представим алгоритм Шора следующим образом (он будет состоять из двух
частей) (рис. 3.19):
1) сведение задачи факторизации к задаче поиска порядка, которая может
быть решена на классическом компьютере;
2) выполнение квантового алгоритма для решения задачи нахождения по-
рядка.
Начало
алгоритма
Рис. 3.19. Схема алгоритма факторизации Шора:
классическая /слеза! и квантовая часть (справа!
Тогда классическую часть алгоритма Шора по шагам можно представить так:
1) выбираем случайное число а < N'
2) вычисляем НОД (я, N) (НОД — наибольший общий делитель), например,
с использованием алгоритма Евклида;
3) если НОД (a, N) Ф 1, есть нетривиальный делитель N: на этом выполнение
алгоритма заканчивается;
4) в противном случае используем подпрограмму поиска периода (ниже),
чтобы найти г, период следующей функции: /(х) = aJmod N, то есть наи-
меньшее целое г, для которого/(х + г) = /(х)/(х + г) = /(х);
5) если г — нечетное, возвращаемся к шагу 1;
6) если ar/2 = -Imod Л’, возвращаемся к шагу 1;
7) делителями Nявляются НОД [а'2 ±1, ЛГ).
В свою очередь, квантовую часть алгоритма Шора представим подпрограм-
мой поиска периода функции:
1) в паре начального и выходного кубитных регистров с log, N кубитами
каждый регистр инициализируем в состоянии N . |х)|0\ гДе х про-
бегает от 0 до N - 1;
2) сконструируем/(.г) как квантовую функцию и, применив ее к вышеука-
занному состоянию, получим:
UQFT\x) = N-l/2^e-2^/N\y)-
У
3) это оставляет нас в следующем состоянии:
.г и
4) произведем измерение, в результате чего получим некоторый выход у во ввод-
ном регистре и/(х0) в выходном регистре; поскольку/периодична, вероят-
ность получить при измерении некоторую пару у и/(х0) дается выражением:
N e-2”^rb^/N
5) из анализа видно, что эта вероятность тем выше, чем ^г/1Уближе к целому;
6) преобразуем z/t/Nb несократимую дробь и найдем знаменатель ?, который
является кандидатом в гг,
7) проверим, выполняется ли f (х) = /(х + г'), если да, то задача решена;
8) в противном случае получаем больше кандидатов для г, используя значе-
ния, близкие к у или кратные если один из этих кандидатов подойдет, то
задача решена; в противном случае возвращаемся к шагу 1 подпрограммы.
Таким образом, классический алгоритм факторизации Шора можно пред-
ставить в виде двух частей.
Первая часть сводит задачу факторизации к проблеме обнаружения периода
функции и может быть осуществлена классически. Вторая часть находит
период функции, используя обратное квантовое преобразование Фурье (она
и порождает квантовое ускорение). Так, в первой стадии находятся дели-
тели по периоду. Целые числа, которые меньше N и взаимно простые, с N
формируют конечную группу по умножению по модулю N, которая обычно
обозначается {Z/NZ}. К концу шага 3 есть целое а в этой группе. Так как
группа конечна, а должно иметь конечный порядок г — такое наименьшее
положительное целое число, что a’ =lmod N.
Предположим, есть возможность найти г и оно четное. Тогда:
аг -1 = (Лг/2 -l)(a'/2 4 1)Ш)тткх1 Аш а|(й'/2 -1)(а'/2 +1)),
где г — наименьшее положительное целое, такое, что а' = 1, поэтому Ане яв-
ляется делителем а'^ -1.
Если Атоже не является делителем a'T1 +1, то Адолж: io иметь нетривиальный
общий делитель с каждым из а^1 -1 и а^2 +1, что приводит нас к факториза-
ции N. Если Nявляется произведением двух простых чисел, это единственно
возможная факторизация.
Вторая часть алгоритма посвящена нахождению периода. Здесь алгоритм
Шора в значительной степени полагается на способность квантового ком-
пьютера находиться в суперпозиции состояний. Чтобы найти период функ-
ции/, вычисляется функция во всех точках одновременно. Квантовая меха-
ника не позволяет получить доступ к этой информации непосредственно.
Измерение приведет лишь к одному из всех возможных значений, разрушив
остальные. Поэтому нужно преобразовать суперпозицию в другое состояние,
которое вернет правильный ответ с высокой вероятностью. Это достигается
обратным квантовым преобразованием Фурье [118, 133-146, 295-306].
Для эффективной практической реализации алгоритма Шора потребовалось
разрешить (на основе множества квантовых гейтов, полиномиальных по
log N) три основные проблемы.
1. Создать суперпозиции состояний путем применения гейтов Адамара ко
всем кубитам входного регистра или квантового преобразования Фурье.
2. Применить функцию/как квантовое преобразование, для чего использо-
валось многократное возведение в квадрат с целью его модулярного экс-
поненциального преобразования. Этот шаг оказался более трудным, чем
квантовое преобразование Фурье, требующее вспомогательных кубитов
и значительно большего числа срабатываний гейтов.
3. Выполнить обратное квантовое преобразование Фурье. При использова-
нии контролируемых гейтов вращения и гейтов Адамара была сконструи-
рована схема для квантового преобразования Фурье, которое использует
только o((logA)2j гейтов.
В результате получаем приближенное значение периода г. Предположим,
существует такое у, что yr/N является целым. Тогда вероятность измерить
у равна 1. Здесь = 1 для всех целых Ь. Следовательно, сумма, квадрат
которой дает вероятность получить при измерении у, будет равна N/r, по-
скольку b грубо принимает значения N/r, и, таким образом, вероятность
равна 1//~. При этом существует такое у г, что yr/N — целое, а также г вероят-
ности для /(.г0), поэтому сумма вероятностей равна 1.
Таблица 3.7. Выигрыш го времени решения задач квантовых схем
на квантовых компьютерах
Требуемое время решения Наименование задачи Время вычисления на классическом компьютере экзафлопсной (1018 флопс) производительности Время вычисления на квантовом компьютере мегафлопсной (106] производительности
Разложение натурального числа с количеством десятичных зна- ков К на простые сомножители (факторизация]. Алгоритм Шора К 25С 200 ч К 250 4 с
К = 500 10 млн лет К - 500 18с
К = 10ОО 4 • 10” лет К - 1000 84 с
Вычисление дискретного лога- рифма для чисел с количеством десятичных знаков К Ускорение сопоставимо с алгоритмом Шора
Быстрый поиск в большой базе данных, содержащей N элементов. Алгоритм Гровера, квадратич- ное ускорение Л/ N 106 10 с N 106 10 мс
N 109 3 ч N= 10’ 0,3 с
N 1015 4 мес. N= 10” 10 с
Нахождение подстроки длины М в строке длины N. Алгоритм Амбайниса Ускорение сопоставимо с алгоритмом Гровера
3.3. Реализация квантового
алгоритма поиска Гровера
на квантовой схеме
Алгоритм Гровера представляет собой квантовый алгоритм для быстрого
поиска в неупорядоченной базе данных [118, 133-146, 295-306]. Известно,
что одним из самых быстрых классических алгоритмов поиска является ли-
нейный поиск, требующий О[ А]времени. Алгоритм Гровера, использующий
возможности квантовых компьютеров, позволяет решить задачу поиска
в Азаписях за время O^Va J с использованием O[logAr] места. В [134] было
показано, что он является наиболее быстрым квантовым алгоритмом для
поиска в неупорядоченной базе данных; других классических алгоритмов
с той же эффективностью не существует. Алгоритм Гровера обеспечивает
квадратичный прирост скорости, в то время как некоторые другие кванто-
вые алгоритмы, например факторизации Шора, дают экспоненциальный
выигрыш по сравнению с соответствующими классическими алгоритмами.
Несмотря на это, квадратичный прирост значителен при достаточно больших
значениях А [ 134].
По сути, алгоритм Гровера — алгоритм «обращения функции», то есть он
позволяет вычислить .г, зная у. Поиск в базе данных соотносится с обраще-
нием функции, которая принимает определенное значение, если аргумент х
соответствует искомой записи в базе данных. Алгоритм Гровера также может
быть использован для нахождения медианы и среднего арифметического
числового ряда. Кроме того, он применяется для решения полных задач пу-
тем исчерпывающего поиска среди множества возможных решений. Это мо-
жет повлечь значительный прирост скорости по сравнению с классически-
ми алгоритмами, хотя и без предоставления «полиномиального решения»
в общем виде [134-146, 295-306].
Алгоритм Гровера носит вероятностный характер в том смысле, что дает
правильный ответ с некоторой вероятностью (вообще говоря, с любой
наперед заданной). Вероятность неправильного ответа можно снизить,
увеличив частоту выполнения алгоритма (примером детерминистического
квантового алгоритма является алгоритм Дойча — Джоза [118, 133-146,
295-306], который всегда дает правильный ответ с фиксированной до-
стоверностью).
Рассмотрим алгоритм Гровера для случая поиска одной совпадающей
записи.
Пусть имеется неупорядоченная база данных с А записями. Алгоритму
требуется A-мерное пространство состояний Н, которое может поро-
ждаться log2 N кубитами. Пронумеруем записи базы данных таким об-
разом: 0, 1, 2... N - 1.
Выберем наблюдаемую Q, действующую в Н с А различными собственны-
ми значениями, которые все известны. Каждое собственное состояние Q
кодирует одну из записей в базе данных таким образом, как будет опи-
сано ниже. Обозначим собственные состояния (используя обозначения
Дирака), как |0), |1>... | А — 1) и соответствующие им собственные значе-
ния {Х(), ХР..
Рассмотрим унитарный оператор (7Q, действующий как подпрограмма,
которая сравнивает записи базы данных по некоторому поисковому крите-
рию. Алгоритм не указывает, как работает эта подпрограмма, но она должна
быть квантовой и работать с суперпозициями состояний. Далее оператор L'Q
должен воздействовать только на собственное состояние | со), которое со-
ответствует записи базы данных, подпадающей под поисковый критерий.
Потребуем, чтобы (/Q осуществляло следующее преобразование: | со) = -1 со)
и J7w|x) = |x) для всех х Q. Цель — идентифицировать собственное со-
стояние | со) или, что эквивалентно, — собственное значение Q, на которое
действует оператор (7Q.
Алгоритм Гровера (рис. 3.20) состоит из следующих шагов [134].
2. Выполним следующие «итерации Гровера» г(А) раз (функция г(А) опи-
сана ниже):
1) применим оператор 17Q.
2) применим оператор U\ = 2|s)^s| -1.
3. Проведем измерение Q, результатом чего будет Z.Q с вероятностью, стре-
мящейся к 1 при А » 1, из Z.Q может быть получено Q.
Нашим начальным состоянием является:
Выполнение
итераций
Гровера
r(N) раз
Представление
результатов
алгоритма
Рис. 3.20. Схема квантового алгоритма поиска I ровера
Рассмотрим плоскость, натянутую на векторы | s) и | со). Пусть со1 ' в этой пло-
скости будет кет-вектором, перпендикулярным вектору | о). Поскольку | со) —
один из базисных векторов, перекрытие равно /со I 5) = —у=. В геометрической
интерпретации угол между |©) и |s) равен л/2 - 0, где 0 определяется из
1 1
cos(2л -0) = -у= и sin0 = -y=. Оператор Z7Q действует как отражение в ги-
перплоскости, ортогональной | со); для векторов в плоскости, натянутой на
векторы | s) и | со), он действует как отражение относительно прямой, определя-
емой вектором | со1). Оператор (7 — отражение относительно прямой, опреде-
ляемой вектором | s). Следовательно, вектор состояния остается в плоскости,
натянутой на векторы | s) и | со), после каждого действия оператора (7 и опе-
ратора UQ., и можно непосредственно проверить, что оператор (7 каждого
итерационного шага алгоритма Гровера вращает вектор состояния на угол 20
в направлении |со) [134-146, 295-306].
Остановиться необходимо, когда вектор состояния проходит близко от
правлении от
вектора | со), последующие итерации поворачивают вектор состояния в на-
|ш), уменьшая вероятность получения правильного ответа.
Число требуемых итераций равно г. Чтобы совместить вектор состояния
в точности с
|со), нужно: ^-0 = 20г, г = ^-^-2^. Однако число г должно
быть целым, значит, его можно выбрать только ближайшим к у (- 21 Угол
между | со) и конечным вектором состояния равен 0(0), поэтому вероятность
получения неправильного ответа равна О (1 - <
л K-JN Г.’
N » 1, поэтому г —>----. Ьолее того, вероятность получения неправиль-
4
cos!O) = O[sin20)0 ~,'V ,/2. При
ного ответа становится O(t/N) и стремится к нулю для больших N [118,
133-146, 295-306].
Алгоритм Гровера обычно описывают как алгоритм поиска в неупорядо-
ченном массиве [134]. Модифицируем его в алгоритм для восстановления
ключа симметричного шифрования по тексту сообщения и шифротексту
(рис. 3.21). При использовании классического компьютера для этого по-
требуется полный перебор со сложностью 0(2'"), где т — длина ключа.
Для квантового компьютера эту сложность можно значительно уменьшить
следующим образом.
Рассмотрим функцию у = f(k, .г). Она шифрует сообщение х на ключе k, где
х, у е Zv„ Пусть известна пара «сообщение — шифротекст»: .гр уг
Рис. 3.21. Квантовый алгоритм восстановления ключа симметричного
шифрования по тексту сообщения и шифротсксту
/(*)=
Рассмотрим функцию:
1, если c(k, x() = г/р
О, если с(&, х, yv
Требуется найти значение аргумента, при котором данная функция равна 1.
Предложим следующий алгоритм решения задачи — алгоритм Гровера,
реализованный на квантовой схеме.
Шаг 1. Приведение квантового регистра в состояние:
Шаг 2. Вычисление функции/от этого регистра:
71 I
Шаг 3. Повторение—V2"' раз процедуры увеличения амплитуды всех/, для
которых /(/ ) = 1 (описание процедуры дано ниже).
Шаг 4. Измерение состояние регистра. Результат будет равен искомому
ключу с вероятностью 2".
Шаг 5. Проверка результата. В случае недостоверности — выполнение
алгоритма заново.
Конец алгоритма.
Процедура увеличения амплитуды состоит из двух этапов:
изменение амплитуды с at на -а) для всех t таких, что /(/) = !. Эта опе-
рация представляет собой преобразование Z над последним квантовым
битом регистра;
инверсия относительно среднего. Это преобразование можно записать
следующим образом:
где о — средняя амплитуда.
Инверсию относительно среднего можно записать в виде матрицы:
D = (2 2 2 —-1 — К — N N N — — -1 L — N N N L L L L — — L — -1 1 N N N
Л. Гровер показал [98], что такое преобразование может быть эффектив-
но реализовано на квантовом компьютере, а сложность соответствующего
алгоритма — О| 2"/2). Таким образом, появление значимого квантового ком-
пьютера приведет к снижению эффективной длины ключа в два раза. Это
говорит о том, что уже сейчас следует применять симметричные шифры
с длиной ключа не менее 256 бит.
Кроме того, аналогичный алгоритм может быть использован для взлома
хеш-функций, в связи с чем лучше применять хеш-функции с длиной блока
не менее 256 бит.
РАЗРАБОТКА АЛГОРИТМА КРИПТОАНАЛИЗА
СИСТЕМЫ АСИММЕТРИЧНОГО ШИФРОВАНИЯ RSA
Стойкость системы асимметричного шифрования RSA основана на сверхпо-
линомиальной вычислительной сложности факторизации натуральных чисел.
Однако существует квантовый алгоритм, сложность которого полиномиальна.
Поставим такую задачу: по натуральному числу N, имеющему ровно два
простых делителя, найти эти делители. Заметим, что для некоторого числа а
его порядок по модулю N таков, что а1 = Imod N четно. Тогда выражение
а' = Imod Nзапишем в виде:
(ar/2-l)(ar/2+l)-0mod.V.
Таким образом, зная г, можно эффективно найти делители числа N. Заметим,
что порядок г фактически является периодом функции .imod N.
Для нахождения периода функции есть квантовый алгоритм (рис. 3.22).
Рис. 3.22. Квантовый алгоритм криптоанализа
системы асимметричного шифрованна RSA
Рассмотрим периодическую функцию/(х). Ее область определения и об-
ласть значений представляют собой множества целых чисел, при этом
О < х < 2" - 1 и 0 </(х) < 2"' - 1. Чтобы найти период этой функции, тре-
буется квантовый регистр, состоящий из п + т квантовых бит. Приведем
его в состояние:
1 2"-1
О77 л
/ х=0
Теперь вычислим от него функцию/так, чтобы получилось состояние:
Проведем измерение последних т квантовых бит, то есть квантовых бит,
относящихся к/(х). Тогда квантовый регистр перейдет в состояние:
Проведем квантовое преобразование Фурье (алгоритм дан ниже) и в ре-
зультате получим состояние:
где с равны нулю при всех j, не кратных 2"/ Если период г не делит 2”, преоб-
разование выполняется неточно, причем большая амплитуда сосредоточена
вблизи целых значений, кратных ^2"/z
Измерим получившееся состояние и получим число и.
2"
Если период равен степени двойки, то и = /—. А поскольку в большинстве
г
случаев j и г — взаимно просты, сокращение
менатель и есть период.
В общем случае либо придется прогнать весь алгоритм несколько раз, пока
не получим правильное значение периода (ему соответствует максимальная
амплитуда и, следовательно, максимальная вероятность), либо воспользо-
дроби даст дробь, чей зна-
ваться известным из теории чисел разложением в бесконечную дробь [118,
133-146, 295-306].
Квантовое преобразование Фурье определяется так:
П. Шор [133] показал, что такое преобразование можно построить с ис-
пользованием только т(т + 1) / 2 квантовых вентилей двух типов. Один
из них представляет собой преобразование Адамара, примененное к j-му
квантовому биту (обозначим его Я). Другой вентиль реализует двухбитное
преобразование вида:
Д 0 0 0
0 1 0 0
0 0 1 0
О 0 0 g«/2''-y
При этом квантовое преобразование Фурье можно задать следующим об-
разом:
^(Л. 1 ^*S). да-1 ^^т-З^т-З, т-2$ т-3, т-1 Нт-2$т-2, т-1 т-1
т-\ т-\
=П«Ш\
/г=0 Г=/е+1
После такого преобразования следует изменить порядок битов на противо-
положный. Это можно сделать либо соответствующей квантовой схемой,
либо, если измерение происходит сразу после квантового преобразования
Фурье, — классическим способом.
Рассмотренный квантовый алгоритм факторизации имеет сложность О (п'' j
В то же время сложность лучшего классического алгоритма факторизации —
алгоритм решета числового поля [118, 133-146, 295-306]:
о( ехр ] с (log п)'/3 (log log и)1/3
где с = ^64/9. Другими словами, алгоритм Шора имеет полиномиальную
сложность, а лучший классический алгоритм — сверхполиномиальную.
РАЗРАБОТКА КВАНТОВОГО АЛГОРИТМА
КРИПТОАНАЛИЗА СИСТЕМЫ ЭЛЬ-ГАМАЛЯ
Система Эль-Гамаля основана на трудности вычисления дискретного лога-
рифма, то есть если g — образующий элемент конечной группы G, то, зная
а е G, нужно найти г е G — такой, что а = g'. Чаще всего эта система при-
меняется для группы Z и группы точек эллиптической кривой.
Существует квантовый алгоритм Шора [133] для вычисления дискретного
логарифма. Приведем здесь его оригинальную версию, предназначенную
для группы Z (где р — простое число).
Сначала найдем q — степень двойки такую, что р < q < 2р. Приведем кван-
товый регистр в состояние:
4 р-2 р-2
----b’ gax~b (mod р)}_
Р 1 «=() />=1)
Применяя преобразование Фурье к первой и второй частям регистра, полу-
чим состояние последнего:
/ чУУеМа'+м)/Нс, d, g'x
q(p~ty c=nd=t>
(modp)y
Измерим состояние квантового регистра. В результате с вероятностью не ме-
нее 1/480 получим с и d такие, что:
гДе М,
1 d (ф-ОЧФ-1)},
--< НГ --
2q q-------------(р~^)я
— число, удовлетворяющее соотношениям:
(modg); <{.Л <—.
\ 2 1 Ч 2
Для получения кандидата на г надо округлить d/q до ближайшего числа,
кратного !/(/? - 1), затем разделить по модулю р - 1 на:
c(p-l)-{c(p-l)}g
Я
Сложность этого алгоритма (рис. 3.23) оценивается как О(«3). Заметим, что
сложность лучшего классического алгоритма для дискретного логарифма
оценивается как сверхполиномиальная.
Отметим, что существует вариант алгоритма Шора для группы точек эллип-
тической кривой над полем GF(p), обладающий сложностью О(и3), а также
высказывается гипотеза, что аналогичный алгоритм есть и для эллиптиче-
ских кривых цад другими полями [29].
Таким образом, появление криптографически значимого квантового ком-
пьютера приведет к тому, что многие криптосистемы, прежде всего асим-
метричные, станут нестойкими. Это, в свою очередь, будет способствовать
невозможности использовать асимметричные криптосистемы, а следователь-
но, и невозможности безопасно передавать данные в блокчейн. Перестанут
также быть безопасными электронные подписи и схемы распределения
ключей. Из вышесказанного следует, что уже сейчас надо разрабатывать
новые асимметричные криптоалгоритмы. При этом симметричные алго-
ритмы шифрования останутся стойкими, но эффективная длина их ключа
уменьшится в два раза.
3.4. Выработка требований
к инструментальным средствам
квантового криптоанализа
В настоящее время известны три основных класса инструментальных
средств для исследования квантовых алгоритмов криптоанализа на кван-
товых схемах.
К первому классу относятся математические пакеты Maple и Mathematica
общего назначения, а также библиотеки функций LIP, CLN, LiDIA, GMP,
NTL и другие для работы с длинной арифметикой.
Ко второму классу — эмуляторы квантовых вычислений: Quantum Develop
ment Kit (MS ODK), Quantum Computing Playground, jQuantum, QuEST,
Quantum Programming Studio, Q-Kit и др.
К третьему классу — программные платформы для работы с гибридными
вычислительными системами на основе прототипов реальных квантовых
компьютеров и эмуляторов на классических компьютерах: QISKit для
IBM Q (до 20 кубитов), Forest (pyQuil) для Rigetti (до 8 кубитов) и ProjectQ
для ЕТН Zurich (до 16 кубитов) и др.
Рис. 3.23. Квантовый алгоритм
криптоанализа системы Эль-Гамаля
МАТЕМАТИЧЕСКИЕ ПАКЕТЫ MAPLE
И MATH ЕМ ATI С А
Математические пакеты Maple [20] и Mathematica [21] характеризует про-
стота использования и программирования квантовых алгоритмов Шора,
Гровера, Дойча и др. Кроме того, они не имеют встроенных ограничений на
разрядность операндов, но платформозависимы и характеризуются низкой
эффективностью выполнения теоретико-числовых операций. Для повыше-
ния упомянутой эффективности нужно подключить встроенные средства
низкоуровневого языка программирования для разработки специальных
функций, требуемых в квантовом анализе. При этом следует учитывать,
что встроенные числовые типы языков С и C++ имеют ограниченную раз-
рядность: long — 32 бита; long long — 64 бита; double'. 53 бита — мантисса,
11 бит — экспонента; long double', в зависимости от реализации языка может
быть определен как double либо как extended double'. 64 бита — мантисса,
15 бит — экспонента [22].
А в реализации языков на платформе .NET отсутствует тип extended double:
он доступен только неявно, при выполнении промежуточных вычислений
(например, там, где умножение дает результат, выходящий за пределы диапа-
зона значений double, но последующее деление возвращает промежуточный
результат обратно в этот диапазон). Кроме того, существует встроенный
128-битный тип данных decimal, позволяющий представлять целые числа
разрядностью до 96 бит (в соответствии с размером мантиссы), однако он
реализуется в режиме эмуляции, поскольку его аппаратная поддержка на
сегодняшний день отсутствует [49, 51, 59].
Язык программирования J ava поддерживает возможности работы с длин-
ными числами и обладает переносимостью, но имеет недостаток — низкую
эффективность реализации квантовых алгоритмов Шора, Гровера и др.
Известен также ряд специализированных библиотек в открытом досту-
пе, а именно LIP, CLN, LiDIA, GMP, NTL, для работы с длинной ариф-
метикой.
Одну из первых библиотек LIP (Long Integer Package) [24] на языке
ANSIC разработал Арьен Ленстра (Arjen К. Lenstra) и развил Пол Лей-
ленд (Paul Leyland). При хорошей переносимости в разных операционных
средах эта библиотека характеризуется недостаточной эффективностью
для реализации квантовых алгоритмов Шора и Гровера. Кроме того,
в ней отсутствует поддержка реализации высокоуровневых теоретико-
числовых алгоритмов.
Библиотека CLN (Class Library for Numbers) [49, 51-59] позволяет моде-
лировать ряд элементарных арифметических, логических и трансцендент-
ных функций. Ее авторы — Бруно Хейбл (Bruno Haible) и Ричард Крекел
(Richard Kreckel). CLN содержит большой набор классов, реализованных на
C++, в частности классы для поддержки операций с целыми, рациональны-
ми и комплексными числами, числами с плавающей запятой, модулярной
арифметики. Эта библиотека задумывалась как универсальная, что привело
к ограничениям применимости для решения узкоспециализированных за-
дач квантового криптоанализа.
Библиотеку теоретико-числовых алгоритмов LiDIA [51-59] разработал То-
мас Папаниколау (Thomas Papanikolaou, Technical University of Darmstadt)
на языке программирования C++. Она поддерживает другие пакеты для
работы с целыми числами (GMP, CLN, LIP) и характеризуется достаточно
высокой эффективностью реализации типов данных с повышенной точно-
стью, а также реализациями квантовых алгоритмов с большой временной
сложностью. К недостаткам LiDIA относится невозможность сборки и при-
менения в операционной среде MS Windows, что несколько ограничивает
ее применение на практике криптоанализа.
Библиотеку GMP (GNU, Multiple Precision arithmetic library) [51-59],
разработанную Торбжордом Рранландом (Torbjord Granlund), отличает
повышенное быстродействие. Одна часть ее функций написана на языке
программирования С, другая — на ассемблере. Эта библиотека совместима
с операционной средой MS Windows. К недостаткам GMP относятся от-
сутствие алгоритмов формирования факторной базы, а также разложения
на множители ряда других, необходимых для квантового криптоанализа.
Библиотеку NTL (Library for doing Number Theory) [49, 51-59] разработал
Виктор Шауп (Victor Shoup) на языке C++для моделирования теоретико-
числовых алгоритмов. Она совместима с библиотекой GMP и отличается
развитым интерфейсом API, позволяющим криптоаналитикам создавать
собственные алгоритмы криптоанализа. Вследствие этого NTL предъявляет
повышенные требования к пользователям в части навыков программиро-
вания.
Демонстрационный прототип программного комплекса «Инструментальные
средства криптоанализа асимметричных шифров» (КРИПТО) в 2013 году
разработала А. А. Савельева (ВШЭ). Это один из первых отечественных па-
кетов программ для решения задач криптоанализа асимметричных шифров
(табл, 3.8). В состав названного программного комплекса входят библиотека
«Конструктор» с соответствующими примитивами криптоанализа и при-
ложение «Аналитик» для организации доступа к алгоритмам факторизации
и дискретного логарифмирования. При этом для выполнения операций
с длинными числами задействована библиотека NTL. Комплекс КРИПТО
разработан на языке C++ и содержит компоненты, реализующие следующие
основные функции: дискретное логарифмирование; факторизацию целых
чисел; проверку чисел на простоту; вычисление коэффициентов Безу; вы-
полнение базовых операций над матрицами в кольцах вычетов и конечных
полях; решение систем линейных уравнений в кольцах вычетов и конеч-
ных полях; восстановление общего решения системы линейных уравнений
в кольце вычетов по решениям систем линейных уравнений в конечных
полях с использованием китайской теоремы об остатках.
Программный комплекс КРИПТО характеризуется развитой для демонстра-
ционного прототипа функциональностью (используется для исследования
криптоатак), а также компактностью кода (примерно 600 Кбайт).
"Таблица 3.3. Результаты сравнения математических пакетов программ
для моделирования квантовых алгоритмов на квантовых схемах
Критерии опенки Решение
Mathematica LIP CLN LiDIA GMP NTL КРИПТ-
Эффективность вычислений - - - - + + 4-
Возможность сбор ки в ОС Windows 4- 4- 4- - - 4- 4-
Наличие алго- ритмов работы с разреженными матрицами 4- + 4-
Наличие алго- ритмов создания факторной базы, решета и разложе- ния на множители + 4-
Удобство пользова- тельского интер- фейса + - - - - - 4-
ЭМУЛЯТОРЫ КВАНТОВЫХ ВЫЧИСЛЕНИЙ
Второй класс пакетов программ представлен эмуляторами квантовых вы-
числений Quantum Development Kit, Quantum Computing Playground,
jQuantum, QuEST, Quantum Programming Studio, Q-Kit (рис. 3.24). Техни-
ческая документация на эти и другие возможные эмуляторы (всего их из-
вестно более 50) представлена на специализированном портале квантовых
вычислений Quantiki1.
Quantum Development Kit (QDK) разработала компания Microsoft для из-
учения основ квантового программирования на языке MS Q#. При этом QDK
интегрирован в среду разработки Microsoft Visual Studio (VS) и поддержи-
вает языки программирования Python, Q# и С#. Поскольку собственная
графическая оболочка у QDK отсутствует, программы могут быть написаны
в средах VS (или VS Code) или в блокноте Notebook Jupyter, например, на
языке Python (в этом случае задействуются функции библиотеки Q#). В со-
став технической документации QDK входит ряд учебных пособий Quantum
Katas, в том числе руководство по программированию на языке Q# [15].
К достоинствам QDK относятся:
возможность моделирования квантовых алгоритмов на языке програм-
мирования MS Q#;
достаточно развитая библиотека программ на языке Q#;
поддержка работы с открытым программным кодом;
возможность компиляции, отладки и профилирования программ;
возможность оценки и контроля вычислительных ресурсов;
поддержка работы в облаке MS Azure (20 и более кубитов);
развитые возможности верификации и тестирования программ.
Недостатки QDK:
работа с MS Azure не поддерживается из России;
при работе с J upyter наблюдаются ошибки.
Quantum Computing Play ground (QCP) разработан WebGL Chrome в исследо-
вательских целях. В состав эмулятора входит язык сценариев QScript, отлад-
чик и графический веб-интерфейс IDE. В эмуляторе реализован графический
https://www.quantiki.org/.
способ наблюдения за состояниями кубитов в 2D или 3D, где точки описыва-
ют суперпозицию кубитов, а их цвет или высота полос — амплитуду и фазу
заданной суперпозиции.
К достоинствам эмулятора QCP относятся:
возможность моделирования квантовых алгоритмов на языке QScript;
поддержка открытого программного кода;
развитый функционал отладки программ;
поддержка кросс-платформениости.
К недостаткам эмулятора QCP относятся:
высокие требования к памяти и вычислительным ресурсам в целом;
ограниченный набор реализаций квантовых алгоритмов;
неполнота технической документации QCP.
J Quantum — программа на языке Java (требует виртуальной Java-машины)
для моделирования квантовых алгоритмов (поддержка до 15 кубитов).
К достоинствам J Quantum относятся:
дружественный графический интерфейс;
запуск как апплет из браузера или как исполняемый файл jar на рабочем
столе;
развитая библиотека квантовых алгоритмов;
исходный код находится в открытом доступе;
поддержка известных Java-фреймворков и библиотек с версии Java 5;
поддержка языка программирования Kotlin от российской компании
JetBrains (доступна конвертация Java-кода в Kotlin и обратно).
Недостатки J Quantum:
не предусмотрена оптимизация времени работы программы, сравнимого
с теоретическими квантовыми компьютерами;
ограниченные возможности для изменения квантовых схем (требуется
частичная или даже полная инициализация гейтов схемы);
ограниченный набор гейтов для представления квантовых схем.
QuEST — один из первых GPU-симуляторов универсальных квантовых
цепей с открытым исходным кодом (гибрид ОрепМР и MPI).
Достоинства QuEST:
не требует больших вычислительных ресурсов для моделирования кван-
товых алгоритмов (поддержка до 20 кубитов);
исходный код находится в открытом доступе;
поддерживается кросс-платформенность;
организация вычислений на нескольких ядрах процессора;
возможность переноса вычислений на графические процессоры.
К недостаткам QuEST относятся:
ограниченные возможности графического представления квантовой
схемы;
неполнота технической документации.
Quantum Programming Studio (QPS) — веб-приложение для моделирования
квантовых алгоритмов и запуска программ в эмуляторах или на квантовых
компьютерах.
Достоинства эмулятора QPS:
доступность для вычислительных устройств с выходом в Интернет;
возможность запуска программы на квантовом компьютере;
наглядность моделей алгоритмов на квантовых схемах;
исходный код находится в открытом доступе;
возможность экспорта кода в другие языки программирования.
К недостаткам эмулятора QPS относятся:
отсутствие возможности автономной работы;
ограничения моделирования квантовых схем до 20 кубитов;
сравнительно небольшое количество реализованных квантовых алго-
ритмов.
Quantum-Kit (Q-Kit) — графический симулятор для моделирования кван-
товых алгоритмов на квантовой схеме.
К достоинствам эмулятора Q-Kit относятся:
дружественный интерфейс для моделирования квантовых схем;
поддержка кросс-платформенности;
наглядность представления разнообразных примитивов квантовой схемы;
возможность создавать оригинальные квантовые схемы.
К недостаткам эмулятора Q-Kit относятся:
ограничения моделирования квантовых схем до 20 кубитов;
отсутствие встроенного языка программирования.
В табл. 3.9 представлены результаты сравнения рассмотренных эмуляторов
квантовых вычислений.
Таблица 3.9. Результаты сравнения эмуляторов квантовых вычислений
QDK QCP JQuanturn OuEST QP5 Quantum- Kit
Поддер- живаемые платформы Windows, macOS, Linux Web Windows Windows. macOS, Linux Web Windows, macOS, Linux
Исходный код l+i (+1 (Ч l+l (+) (Ч
Графическое приложение или библио- тека Библио тека Q# Веб- приложение Графиче- ское при- ложение Библио те ка для C++ Веб- приложение Графиче- ское при- ложение
Количество логических кубитов 32 22 15 29 24 30
Количество реализован- ных гейтов 17 21 16 29 30 21
Возможность создать свои гейты l+l (+1 (Ч (+) (+) (+)
Наличие внутреннего языка про- граммиро- вания l+) (+1 (Ч (+) (+) (Ч
Докумен- тация l+l (Ч (Ч (+) (+) (Ч
Анализ возможностей известных квантовых эмуляторов показал следу-
ющее:
QPS, j Quantum и QCP подходят для первичного ознакомления с кван-
товыми вычислениями;
Q-kit, J Quantum и QPS подходят для моделирования сложных квантовых
алгоритмов и изучения их свойств;
QDK, QuEST и jQuantum больше подойдут для создания оригинальных
моделей квантовых алгоритмов на основе развитых встроенных языков
программирования, а также функциональных средств для отладки про-
грамм.
КВАНТОВЫЕ КОМПЬЮТЕРЫ
В третий класс пакетов программ вошли программные платформы для под-
ключения к демонстрационным прототипам реальных квантовых компьюте-
ров (см. рис. 3.24) и моделирования квантовых алгоритмов криптоанализа
на квантовых схемах: QISKit для IBM Q (до 20 кубитов), Forest (pyQuil)
для Rigetti (до 8 кубитов) и ProjectQдля ЕТН Zurich (до 1G кубитов) и др.
Программная платформа QISKit для квантового компьютера IBM Q
К достоинствам данной платформы относятся:
высокая доступность квантового компьютера IBM (до 16 кубитов макси-
мально, 20 кубитов — для членов сообщества IBM QNetwork). Программы
поступают напрямую в очередь заданий для запуска;
сравнительно хорошее качество воспроизведения однокубитов ого гейта
с точностью более 99,5 % для всех кубитов (точность = 1 — ошибка).
Мультикубитная точность выше 94,9 % для всех пар кубитов в топологии.
Ошибка считывания находится в диапазоне 6,0-12,4 %;
развитые библиотеки для моделирования квантовых алгоритмов на ре-
альных квантовых схемах и гейтах;
большое количество учебного материала и примеров моделей квантовых
алгоритмов;
наличие функционально развитых симуляторов: local_qasm_simulator,
local_state_vector_simulator, ibmq_qasm_simulator, localunitary simulator
и local_clifford_simulator.
Рис. 3.24. Существующие способы подключения персонального компьютера к демонстрационным прототипам
реальных квантовых компьютеров, 2020 год
210 Глава 3 Модели и методы анализа квантовой устойчивости
Недостатки платформы QISKit связаны с известными ограничениями
квантовых компьютеров IBM О. Например, для IBMQX5 (16 кубитов)
минимальное время когерентности (Т2) составляет 31 ± 5 мс на 0-м кубите,
а максимум — 89 ± 17 мс на 15-м кубите. Однокубитному гейту необходимо
80 нсд на исполнение и плюс 10 нс на амортизацию после каждого импульса.
Гейтам CNOT требуется примерно в 2 -4 раза больше, начиная с 170 нс для
ex q[6], q[7] и до 348 нс длясх q[3], q[14].
Отличительными особенностями квантовых симуляторов QISKit являет-
ся следующее. Они реализуют базовое (унитарное) матричное умножение
и резко ограничиваются оперативной памятью. В симуляторе векторного
состояния не хранится полная унитарная матрица, а загружается только
вектор состояния и 1 -кубитный гейт и более. Используя локальный унитар-
ный симулятор, схема на 10 кубитов и глубиной 10 моделируется за 23,55 с.
Добавление еще одного кубита увеличивает время примерно в десять раз —
до 239,97 с, а при 12 кубитах симулятор превышает время ожидания 1000 с
(около 17 мин). QISKit быстро достигает длительных периодов моделиро-
вания и ограничения памяти, поскольку для п кубитов в памяти должна
храниться унитарная матрица размером 2п х 2п. Симулятор векторного
состояния значительно превосходит унитарный симулятор. Моделирование
квантовой схемы из 25 кубитов происходит за 3 мин. Все схемы до 20 кубитов
глубиной до 30 моделируются менее чем за 5 с.
Программная платформа руQ.нН для квантового компьютера Rigetti (до 8 ку-
битов)
К достоинствам данной платформы относятся:
развитые библиотеки для моделирования квантовых алгоритмов;
встроенный симулятор Quantum Virtual Machine (QVM) для запуска
в облаке (требуется ключ API);
возможность моделирования квантового алгоритма на квантовой схеме до
23 кубитов и глубиной 10 (в случае превышения 23 кубитов — аварийное
завершение QVM);
высокая скорость имитации квантовой схемы (для 16 кубитов при глу-
бине 10 — в среднем за 2,61 с).
Недостатки платформы pyQuil связаны с техническими характеристи-
ками доступного на сегодняшний день квантового компьютера Rigetti
(табл. 3.10).
Таблица 3.10. Сценка точности квантовых операций
Компьютер 1 -Qubit Gate Fidelity, % 2 Qubit Gate Fidelity, % Read Out Fidelity, %
IBM Q5 Tenerife 99,84 95,98 94,46
IBM QI6 Melbourne 99,68 92,84 93,02
IBM Q20 Poughkeepsie 99,89 97,75 Подлежит определению
IBM 020 Tokyo 99,80 97,16 91,72
1ВM Q System One 99,96 98,31 Подлежит определению
Rigetti 16Q Aspen-1 97,00 91,00 93,00
Rigetti 8Q Agave 96,15 87,00 83,84
Rigetti 190 Acorn 98,63 87,50 93,30
Ion Q 11 Qubit > 99,00 > 98,00 99,80
Платформа ProjectQdnn квантового компьютераETHZurich (до 16 кубитов)
К достоинствам упомянутой платформы относятся:
развитая библиотека FermiLib с плагинами для моделирования кванто-
вых алгоритмов;
совместимость с проектом на открытом коде OpenFermion для развития
моделей квантовых алгоритмов;
встроенный производительный симулятор на C++, позволяющий ими-
тировать квантовую схему до 28 кубитов менее чем за 10 мин (569,71 с)
с глубиной схемы, равной 20,
развитый рисователь квантовых схем (можно использовать TikZ для
создания качественных изображений в ТЕХ).
К недостаткам платформы Proj ectQ для квантового компьютера ETH Zurich
(до 16 кубитов) относится следующее (табл. 3.11). Кроме того, ProjectQ
не имеет собственного квантового оборудования (предусмотрено подклю-
чение к квантовому компьютеру IBM Q).
Проведенный анализ инструментальных средств для исследования кван-
товых алгоритмов криптоанализа на квантовых схемах позволяет сфор-
мулировать основные функциональные и технические требования к пер-
спективным платформам криптоанализа известных криптопримитивов
блокчейн-экосистем и платформ цифровой экономики Российской Феде-
рации.
Таблица 3.11. Результаты сравнения платформ для подключения
к квантовым компьютерам IPM Q (до 20 кубитов), Rigetti (до 8 кубитов) и ЕТН
Zurich (до 16 кубитов)
Название О-платфсрн ы ру Qu 11 QISKit ProjectQ QDK
Разработчик Rigetti IBM ETH Zurich Microsoft
Парвая версия Q-платформы v0.0.2 on Jan 15, 2017 0.1 on March 7, 2017 v0.1.C on Jan 3, 2017 0.1.1712.901 on Jan 4, 2018 (pre release!
Доступная версия Q платформы v1.9.0 on June 6, 2018 0.5.4 on June 11, 2018 vO.3.6 on Feb 6, 2018 0.2.1802.2202 on Feb 26, 2018 (ore-release)
Поддержка откры- того ПС •J У •J •J
Лицензия Apache-2.0 Aoache-2.0 Apache-2.0 MIT
Документация Docs, Tutorials (Grove) Docs, Tutorial Notebooks, Hardware Docs, Example Programs, Paper Docs
ОС Mac, Windows, Linux Mac, Windows, Linux Mac, Windows, Linux Mac, Windows, Linux
Требования Python 3, Anaconda (recommended) Python 3.5+, Jupyter Notebooks (for tutorials), Anaconda 3 (recommendedl Python 2 or 3 Visual Studio Code (strongly recommenced)
Язык программи- рования Python Python Python Q#
Встроенный Q-язык програм- мирования Quil OpenQASM попе/hybrid Q#
Характеристики Q-компьютера, доступного для подключения 8 qubits IBMQX2 (5 qubits], IBMQX4 (5 qubits), IBMQX5 (16 qubits), QS1_1 (20 qubits) No aedicated hardware, can connect to IBM backends None
Ограничения симулятора -20 qubits locally, 26 aubits with most API keys to QVM, 30+ w/private access ~25 qubits locally, 30 through cloud -28 qubits locally 30 qubits locally, 40 through Azure cloud
Функциональные требования к платформе криптоанализа
1. Платформа криптоанализа должна позволять проводить криптоанализ
известных криптопримитивов современных блокчейн-экосистем и плат-
форм, в том числе хеш-функций (ГОСТ Р 34.11-2018, SHA-2, SHA-3,
SHA256, Ethash, SCrypt, ХИ, Equihash, RIPEMD160), электронных под-
писей (ГОСТ 34.10-2018, DSA, EdDSA, ECDSA, RSA-PSS, Ring, One-Time,
Borromean, Multi-signature) и схем асимметричного шифрования (RSA,
Эль-Гамаля, Диффи — Хеллмана) путем экспоненциального ускорения
решения задач факторизации, дискретного логарифмирования (DLP)
и дискретного логарифмирования с эллиптической кривой (ECDLP).
2. Платформа криптоанализа должна быть пригодна для распространенных
протоколов TLS, SSH и IPSec, полагающихся на соглашения о ключах
Диффи — Хеллмана (зависят от стойкости DLP или ECDLP), электрон-
ные подписи (DSA, ECDSA или RSA-PSS и др.) или на шифрование
с открытым ключом (схема Эль-Гамаля, RSA-OAEP и др.).
3. Платформа криптоанализа должна быть ориентирована на работу с поль-
зователями разной квалификации в области криптоанализа (оператор
дежурной смены, администратор, прикладной и системный программист,
криптоаналитик средней и высшей категории).
4. Подготовку данных для криптоанализа известных криптопримитивов
современных блокчейн-экосистем и платформ должен осуществлять
отдельный модуль.
5. Подготовку данных для вывода результатов криптоанализа известных
криптопримитивов современных блокчейн-экосистем и платформ, а так-
же сохранения в специальных базах данных SQL и/или NoSQL типов
должен осуществлять отдельный модуль.
6. Процедуру криптоанализа известных криптопримитивов современных
блокчейн-экосистем и платформ должен осуществлять отдельный модуль.
7. Платформа криптоанализа должна осуществлять вывод информации
о результатах криптоанализа известных криптопримитивов современных
блокчейн-экосистем и платформ.
8. Платформа криптоанализа должна обеспечивать возможность сохранения
результатов криптоанализа известных криптопримитивов современных
блокчейн-экосистем и платформ для их дальнейшей аналитической об-
работки и использования.
9. Платформа криптоанализа должна быть универсальной и иметь возмож-
ности для дальнейшей доработки и усовершенствования.
Технические требования к платформе криптоанализа
1. Платформа криптоанализа должна работать на классических компьюте-
рах архитектуры фон Неймана и демонстрационных прототипах кванто-
вого компьютера IBM Q с 100 и более логическими кубитами.
2. Платформа криптоанализа должна быть реализована на основе таких
программных архитектур, как монолит, двух- и трехзвенная клиент-
серверная SO А, микросервисная.
3. Платформа криптоанализа не должна зависеть от конкретной реализации
облачных вычислений (Amazon Web Services, Azure от Microsoft, Google
AP Engine, Rackspace, Force.com от компании Salesforce, Intuit Partner
Platform, Facebook, IBM Cloud, VMWare vCloud, Sharepoint Online, Red
Hat OpenShift Container Platform).
4. Платформа криптоанализа должна поддерживать единый стек програм-
мирования (Python, Go, Scala, C++, .Net, Data Science, AI и ML).
5. Платформа криптоанализа должна работать под управлением операци-
онных систем (ОС) семейства MS Windows и Linux (Astra Linux).
6. Платформа криптоанализа должна поддерживать открытое ПО, а также
известные библиотеки моделирования квантовых алгоритмов и пакеты
программ с длинной арифметикой.
7. Должен быть предусмотрен функциональный API для развития и улуч-
шения программной платформы криптоанализа в будущем.
Промежуточные итоги
1. Анализ стойкости дискретного алгоритма (DLP) и дискретного алго-
ритма с эллиптической кривой (ECDLP) на примере ряда приложений
блокчейн-систем и сетей позволил улучшить реализацию оригинального
квантового алгоритма факторизации Шора. В результате упомянутый
алгоритм является полиномиальным и отличается от известных принци-
пиальной возможностью программно-технической реализации в гибридной
вычислительной среде (квантовый компьютер IBM Q (16, 20 и 100 ку-
битов) и/или суперЭВМ пятого поколения: IBM BladeCenter (2020),
РВС на ПЛИС Virtex UltraScale (2020), ВС РФЯЦ ВНИИЭФ (2021)
и СКИФ П-0.5 (2018).
2. В ходе работы разработан вариант квантового алгоритма поиска 1 ровера,
анализ предельных возможностей которого помог установить, что пере-
борная задача не получает экспоненциального квантового ускорения.
Однако становится возможным уменьшить эффективную длину ключей
симметричных систем шифрования ровно в два раза.
3. Модификация алгоритма поиска Гровера для решения задач крипто-
анализа схем симметричного шифрования позволила разработать ори-
гинальный квантовый алгоритм восстановления ключа симметричного
шифрования по тексту сообщения и шифротексту. Предлагаемый алго-
ритм позволяет решать упомянутые задачи криптоанализа с приемлемой
сложностью и трудоемкостью.
4. Анализ стойкости схем асимметричного шифрования RS А, основанных на
вычислительной сложности задачи о факторизации целых чисел (DLP),
позволил разработать полиномиальный квантовый алгоритм криптоана-
лиза системы асимметричного шифрования RS А. Предлагаемый алгоритм
отличается от известных принципиальной возможностью программ-
но-технической реализации квантового регистра и соответствующих
квантовых вентилей в гибридной вычислительной среде (квантовый
компьютер IBM О (16, 20 и 100 кубитов) и/или суперЭВМ пятого по-
коления: IBM BladeCenter (2020), РВС на ПЛИС Virtex UltraScale (2020),
ВС РФЯЦ-ВНИИЭФ (2021) и СКИФ П-0.5 (2018).
5. Анализ стойкости схем асимметричного шифрования Эль-Гамаля, осно-
ванных на вычислительной -сложности задачи дискретного логарифми-
рования (ECDLP), привел к разработке полиномиального квантового ал-
горитма криптоанализа системы Эль-Гамаля. Это позволило определить
требования к длине квантовых регистров (от несколько сотен кубитов),
достаточной для решения задач криптоанализа на практике.
4
Модели и методы синтеза
квантово-устойчивых
блокчейн-экосистем
и платформ цифровой
экономики Российской
Федерации
В этой главе рассмотрен ряд примеров по созданию квантово-устойчивых
блокчейнов, реализованных при решении задач федерального проекта «Ин-
формационная безопасность»- национальной программы «Цифровая эконо-
мика Российской Федерации» [56-59]. В том числе предложен и раскрыт
перспективный метод синтеза и параметрического выбора постквантовых
криптопримитивов для квантово-устойчивого блокчейна [44, 45].
Для создания корпоративной квантово-устойчивой блокчейн-экосистемы
или платформы был задействован так называемый метод достижения це-
левого состояния, который состоит из четырех основных этапов.
На первом этапе определяются цели и задачи создания квантово-устой-
чивого блокчейн-проекта, требуемые ресурсы (временные, денежные,
людские и др.), а также начальные иди исходные условия выполнения
проекта.
На втором этапе разрабатывается так называемая текущая модель (или
модель «Как есть») корпоративной блокчейн-экосистемы или платфор-
мы. Здесь в качестве исходных данных использовались концептуальная
и структурно-функциональная модели. Заметим, что, если такие данные
отсутствуют, второй этап приобретает еще большее значение. В этом слу-
чае организации сначала нужно сформировать способность к построению
названных моделей, воспользовавшись рекомендациями лучшей междуна-
родной практики (COBIT 2019, ISO-38500, TOGAF 9, ITIL 4, ISQ-20000).
А затем разработать требуемую текущую модель на основе рекомендаций,
например, международного стандарта ISO 23257:2022 «Технологии блок-
чейн и распределенного реестра — Эталонная архитектура» (Blockchain and
distributed ledger technologies — Reference architecture).
На третьем, самом сложном этапе выстраивается целевая модель (или модель
«Как должно быть») корпоративной квантово-устойчивой блокчейн-экоси-
стемы иди платформы. Сложность данного этапа объясняется тем, что здесь
требуются не только предметные знания и навыки в области блокчейна, но
и способность создавать принципиально новое с учетом понимания целей
и задач организации, ее принципов функционирования, существующих тех-
нологических возможностей, ограничений и пр. При этом для контроля за
эффективностью получаемых результатов нужны развитые метрики и меры
квантовой устойчивости и киберустойчивости блокчейна в целом, позво-
ляющие количественно измерять, а при необходимости и корректировать
«траектории» достижения целей проекта.
Наконец, на четвертом этапе вырабатывается так называемый план перво-
очередных мероприятий (организационных, технических, правовых и др.)
для оптимального перехода от текущей к целевой модели корпоративной
квантово-устойчивой блокчейн-экосистемы или платформы.
4.1. Эталонная модель квантово-
устойчивой блокчейн-экосистемы
или платформы цифровой экономики
Российской Федерации
В настоящее время вопросами разработки эталонной модели для корпора-
тивных блокчейн-экосистем или платформ активно занимаются следующие
организации.
Международная организация по стандартизации (ИСО), в рамках кото-
рой в 2016 году создан специальный комитет ИСО/ТК 307 «Блокчейн
и технологии распределенных реестров» (Blockchain and distributed ledger
technologies, ISO)1. Деятельность комитета ISO/ТС 307 направлена на
внедрение инноваций, эффективное управление, использование техноло-
https://www.iso.org/ru/committee/6266604.html.
гий блокчейн и распределенных реестров в государственном управлении
и бизнес-индустрии.
Международный союз электросвязи (ITU1), в рамках которого в 2017 году
учреждена фокус-группа по применению технологий распределенного
реестра (FG DLT). Она подготовила ряд ключевых документов, каса-
ющихся ландшафта стандартизации и перспектив применения техноло-
гии блокчейн.
Европейские организации по стандартизации (ESO), CEN-CENELEC
и ETSI, разрабатывают стандарты на европейском уровне. В 2018 году
CEN-CENELEC подготовила Рекомендации по успешному внедрению
в Европе новых технических стандартов технологий распределенного
реестра/блокчейна.
Профессиональная техническая организация по развитию технологий
Институт инженеров электротехники и электроники (IEEE) прилагает
активные усилия по стандартизации блокчейнов и др.
Рассмотрим подробнее некоторые международные и национальные ини-
циативы.
МЕЖДУНАРОДНЫЙ ТЕХНИЧЕСКИЙ
КОМИТЕТ ИСО/ТК 307 (!ЗОДС 307)
В 2016 году руководство Международной организации по стандартизации
одобрило создание нового технического комитета, занимающегося стан-
дартизацией в области блокчейна — ИСО/ТК 307 «Блокчейн и технологии
распределенных реестров» (ISO/TC 307 Blockchain and distributed ledger
technologies2). Этот комитет возглавила Австралия, в марте 2017 года опу-
бликовавшая первую в своем роде дорожную карту по разработке стандартов
блокчейна.
В состав комитета ИСО/ТК 307 вошли шесть рабочих групп:
рабочая группа № 1 «Основы технологии, термины и определения»;
рабочая группа № 2 «Безопасность, идентификация и конфиденциаль-
ность»;
1 https://www.itu.int/en/ITU-T/focusgroups/dlt/Pages/default.aspx.
- https://www.iso.org/ru/committw/6266604.html.
рабочая группа № 3 «Интеллектуальные контракты»;
рабочая группа № 4 «Управление системами распределенного реестра»;
рабочая группа № 5 «Взаимодействие систем распределенного реестра»;
рабочая группа № 6 «Сценарии использования, практическое применение».
Отметим, что в работе ИСО/ТК 307 принимают участие более 300 экс-
пертов из 30 стран мира, включая Российскую Федерацию. Так, эксперты
из РФ входят в состав рабочей группы № 2, где обсуждаются вопросы
безопасности блокчейна: угрозы, уязвимости приложений, риски данной
технологии, механизмы достижения консенсуса; классическая, квантовая
и постквантовая криптография и др. [1-9, 19-24]. В России сопрово-
ждением деятельности ИСО/ТК 307 занимаются (рис. 4.1) Технический
комитет 2G по стандартизации «Криптографическая защита информации»
(ТК 26) и Комитет «Программно-аппаратные средства технологий рас-
пределенного реестра и блокчейн» (ТК 159) при Росстандарте. Так, уже
адаптирована и переведена терминология в области технологии распреде-
ленных реестров. Кроме того, в проектах стандартов и технических отчетах
ИСО учтен опыт проектирования, разработки и эксплуатации российской
блокчейн-платформы «Мастерчейн» и соответствующих кейсов: «Учет
электронных закладных», «Цифровая банковская гарантия», «Цифровой
аккредитив» и др.
ISO
ISO
Росстаидарт
• Начало работы — 1946 г.
• Входит более 120 стран мира.
• Подготовлено более
20 00С стан.дар гов
• Начало работы — 1926 г.
Осуществляет управление
стандартизацией в РФ.
• Взаимодействует с ISO с 1946 г.
® ТК26
• Начало работы — 2017 г.
• В состав зошли более 80 организаций.
• Подготовлено:
четыре национальных стандарта;
порядка 40 рекомендаций
по стандартизации;
более 30 методических рекомендаций
Рис. 4.1. Роль России в стандартизации блокчейна
По состоянию на июль 2022 года технический комитет ИСО/ТК 307
опубликовал семь стандартов (еще десять стандартов находятся в ра-
боте)1:
стандарт ISO 23257:2022 «Технологии блокчейн и распределенного
реестра — Эталонная архитектура» (Blockchain and distributed ledger
technologies — Reference architecture);
стандарт ISO 22739:2020 «Технологии блокчейн и распределенного
реестра — Словарь» (Blockchain and distributed ledger technologies —
Vocabulary);
технический отчет ISO/TR 23258:2021 «Технологии блокчейн и распре-
деленного реестра — Таксономия и Онтология» (Blockchain and distributed
ledger technologies — Taxonomy and Ontology);
технический отчет ISO/TR 23244:2020 «Технологии блокчейн и распре-
деленного реестра — Вопросы конфиденциальности и защиты персональ-
ных данных» (Blockchain and distributed ledger technologies — Privacy and
personally identifiable information protection considerations);
технический отчет ISO/TR 23455.2019 «Технологии блокчейнаи распре-
деленного реестра — Обзор и взаимодействие между смарт-контрактами
в системах блокчейна и распределенного реестра» (Blockchain and distri-
buted ledger technologies— Overview of and interactions between smart, contracts
in blockchain and distributed ledger technology systems);
технический отчет ISO/TR 23576:2020 «Технологии блокчейна и рас-
пределенного реестра — Менеджмент безопасности, осуществляемый по-
ставщиками услуг хранения цифровых активов» (Blockchain and distributed
ledger technologies — Security management of digital asset custodians);
технический отчет ISO, TR 23635.2022 «Технологии блокчейнаи распре-
деленного реестра — Руководящие принципы управления» (Blockchain
and distributed ledger technologies — Guidelines for governance).
Среди названных стандартов ключевыми являются стандарт ISO 23257:2022
«Технологии блокчейна и распределенного реестра — Эталонная архитектура»2
1 https://www.iso.Org/ru/committee/6266604/x/catalogue/p/t/u/0/w/0/d/0.
' https://www.iso.org/ru/standard/75093.html2browse-tc.
и стандарт ISO 22739:2020 «Технологии блокчейна и распределенных ре-
естров — Словарь»1. Например, первый, объемом 52 страницы основного
текста, определяет эталонную архитектуру информационных систем, раз-
рабатываемых на основе технологии блокчейн и распределенного реестра
(DLT). Его оглавление содержит, в частности, следующие разделы.
Область применения.
Нормативные ссылки.
Понятия и определения.
Обозначения и сокращения.
Основные концепции.
Сквозные аспекты.
Типы DLT-систем.
Принципы построения DLT-систем.
Архитектурные представления эталонной архитектуры.
А еще два приложения: «Токены, виртуальные и криптовалюты, монеты
и взаимосвязанные понятия» и «Примеры реализации распределенного
реестра».
МЕЖДУНАРОДНЫЙ
СОЮЗ ЭЛЕКТРОСВЯЗИ (МСЭ-Т)
Международный союз электросвязи (МСЭ) является специализирован-
ным учреждением ООН, которое занимается, в частности, стандартизацией
электросвязи (МСЭ, сектор Т, или МСЭ-Т, ITU-T).
В мае 2017 года для исследования новой технологии распределенного ре-
естра (Distributed ledger technology, DLT) в МСЭ-Т создали фокус-группу
(FG DLT), в состав которой вошли следующие рабочие группы:
рабочая группа № 1 занялась терминологией DLT;
рабочая группа № 2 - кейсами по применению DLT;
https://www.iso.org/ni/standard/73771.htmPbrowse-tc.
рабочая группа № 3 — эталонной архитектурой DLT;
рабочая группа № 4 — нормативно-правовой базой DLT;
рабочая группа № 5 — дорожной картой международной стандартизации
DLT.
В августе 2019 года в Женеве FG DLT завершила свою работу и представила
на обсуждение следующие рабочие документы:
«Основные понятия и определения DLT» (DLT terms and definitions);
«Обзор, концепции, экосистема DLT» ( DLT overview, concepts, ecosystem);
«Ландшафт стандартизации DLT» (DLT standardization landscape);
«Кейсы применения DLT» (DLT use cases);
«Эталонная архитектура DLT» (DLT reference architecture);
«Критерии оценки платформ на основе DLT» (Assessment criteria for
DLT platforms);
«Нормативно-правовая база DLT» (DLT regulatory framework);
«Сообщения о DLT» (Outlook on DLTs).
Так, 1 декабря 2019 года специальная фокус-группа ITU-T (Focus Group on
APlication of Distributed Ledger Technology, FG DLT) опубликовала техниче-
скую спецификацию Technical Specification FG DLT D3.1 \ которая содержит
одну из первых концептуальных моделей и так называемую референсную
архитектуру технологии блокчейн или распределенного реестра (Distributed
ledger technology reference architecture) (рис. 4.2 и 4.3).
Отметим, что в работе фокус-группы (FG DLT) активное участие приняли
представители отечественной Ассоциации «ФинТех» (АФТ2) [6, 10-18].
Например, российская сторона подготовила драфт регуляторного фреймвор-
ка, легший в основу финального варианта документа «Нормативно-правовая
база DLT». А опыт разработки отечественной блокчейн-платформы «Мастер-
чейна» (рис. 4.4 и 4.5) был учтен при создании «Кейсов применения DLT»,
а также «Эталонной архитектуры DLT» и в «Критериях оценки платформ
на основе DLT».
1 https://www.itu.iut/Wn/ITU-T / focusgroups/с! 11/Documents/d31 .pdf.
' https://www.fintechru.org/directions / rasp redel e nnyy-reest г/.
Эксплуатация
и техническое
обслуживание
Децентрализованные приложения (DApp)
Управление
внешним
взаимодействием
Расширения
Функции
управления DApp
Механизм управления
смарт-контрактами
Протокол/функции управления
и соответствия нормативным требованиям
Механизм
консенсуса
Управление
бухгалтер-
ской книгой
Управление
ААА
Обмен
сообще
ниями
Управление
внешними
ресурсами
во время
выполнения
Ресурсные и инфраструктурные функции
Управление
сетью
Управление
хранилищем
Рис. 4.2. Концептуальная модель блокчейна, ITU-T
224 Г лава 4 Модели и методы синтеза блокчейн-экосистем
Механизм консенсуса
Синхронизация
данных
Алгоритмы
согласования
данных
Управление сетью
Расширяемый
протокол связи
Управление
сетью (P2P)
Сетевое
обнаружение
Приемопередатчик
данных
Протокол/функции управления
и соответствия нормативным требованиям
Управление
бухгалтерской книгой
Определяет
методы локального
хранения
данных реестров
Реагирует
на управление
с помощью меха-
низма консенсуса
Расширения
Управление ААА
Управление
доступом
Управление
аккаунтом
Обмен
сообщениями
Внутренние(L1)
Дочерние
цепочки
Шардинг
Ресурсные и инфраструктурные функции
Управление узлами
Внешние (L2)
Управление
Владелец/оператор
узла
I
Поддерживает
работоспособность
узла
Компонент
управления
ресурсами узла
Обеспечение
защиты данных
Компонент
защиты передачи
данных
Рис. 4.3. Эталонная модель блокчейн, ITU-T
Оффчейн
4 1. Эталонная модель квантово-устойчивой блокчейн-экосистемы 225
Рис. 4.4. Общая схема решения «Мастерчейн»
226 Г лава 4 Модели и методы синтеза блокчейн-экосистем
Рис. 4.5. Архитектура решения «Мастерчейн»
ИНСТИТУТ СТАНДАРТОВ N1ST США
Начиная с 2018 года американский Национальный институт стандартов
и технологий (National Institute of Standards and Technology, NIST) подгото-
вил серию технических документов по технологии блокчейн и инициировал
их публичное обсуждение1.
Первым был создан концептуальный документ NISTIR 8202 «Обзор техно-
логии блокчейна» (Draft NIST Interagency Report. (N1ST1R) 8202: Blockchain
Technology Overview)2. В анонсе данной публикации говорилось следующее:
«NIST объявляет о публикации отчета NISTIR 8202 “Обзор технологии
блокчейна” — высокоуровневой технической публикации, в которой рас-
https://csrc.nist.gov/Topics/technologies/blockchain.
https://csrc.nist.gov/publications/detail/nistir/8202/draft.
сматриваются история, область применения и характеристики этой новой, по-
стоянно развивающейся технологии, которая позволила создать множество
криптовалютных систем. В документе рассмотрены подходы к внедрению,
ограничения и заблуждения, а также вопросы, о которых следует задуматься
тем федеральным органам исполнительной власти и организациям, которые
стремятся понять и применить технологии блокчейн. Это вводный документ,
призванный заложить основу для запланированной серии публикаций по
конкретным аспектам технологии блокчейн. Настоящий документ был суще-
ственно пересмотрен с учетом замечаний и предложений, полученных в ходе
публичного обсуждения». Таким образом, в этом документе рассмотрены
основные понятия и определения блокчейна, концептуальные модели и со-
ставляющие технологии блокчейн (электронные цифровые подписи, одно-
ранговые (peer-to-peer) сети и хеш-цепочки), а также возможные варианты
применения технологии на практике (рис. 4.6).
Содержание документа NISTIR 8202
Резюме для руководства
1. Введение.
1.1. Основы и предыстория.
1.2. Назначение и область применения.
1.3. Замечания по поводу терминов.
1.4. Результаты публичного обсуждения.
1.5. Структура документа.
2. Классификация блокчейн-систем.
2.1. Без ограничений на доступ (permissionless).
2.2. С ограниченным контролируемым доступом (permissioned).
3. Компоненты блокчейна.
3.1. Криптографические хеш-функции.
3.2. Транзакции.
3.3. Асимметричная криптография.
3.4. Адреса и их формирование.
3.5. Реестры.
3.6. Блоки.
3.7. Объединение блоков в цепочку.
Межсетевой экран организации № 1
Децентрализованное предложение (DAPP) —
Фронтенд (trontend)
JSON-RPCAPIfe. д. web3.js)
Локальное
хранилище
Рис. 4.6. Рекомендации N 1ST для построения слокчейн-ссти
4 1. Эталонная модель квантово-устойчивой блокчейн-экосистемы 229
4. Модели консенсуса.
4.1. Модель консенсуса «доказательство работы» (Proof of Work).
4.2. Модель консенсуса «доказательство доли» (Proof of Stake).
4.3. Модель консенсуса «распределение нагрузки» (Round Robin).
4.4. Модель консенсуса «доказательство права/дичности» (Proof of Authority/
Proof of Identity).
4.5. Модель консенсуса «доказательство истекшего времени» (Proof of
Elapsed Time).
4.6. Матрица сравнения моделей консенсуса.
4.7. Конфликты в реестре и их разрешение.
5. Разветвление блокчейна (forking).
5.1. Мягкое ветвление (soft forks).
5.2. Жесткое ветвление (hard forks).
5.3. Ветвление в связи с изменениями в криптографии.
6. Смарт-контракты.
7. Ограничения и заблуждения по поводу блокчейна.
7.1. Неизменность.
7.2. Вовлечение пользователей в управление блокчейн-системой.
7.3. Взаимодействие с внешним миром и надежность регистрируемых
данных.
7.4. Проблема вывода блокчейн-системы из эксплуатации.
7.5. Кибербезопасность.
7.6. Злонамеренные пользователи.
7.7. Отсутствие необходимости в доверии.
7.8. Использование ресурсов.
7.9. Неадекватность бонусов за публикацию блоков.
7.10. Инфраструктура открытых ключей и идентичность.
8. Соображения по поводу прикладного применения.
9. Выводы.
Приложение А. Сокращения.
Приложение В. Глоссарий.
Приложение С. Библиография.
Вслед за первым документом NIST последовала уточняющая техническая
документация:
NIST Releases NISTIR 8419 — Blockchain and Related Technologies
to SuPort Manufacturing SuPly Chain Traceability: Needs and Industry
Perspectives (2022)1;
NISTIR 8301 — Blockchain Networks: Token Design and Management
Overview (2021)1 2;
Draft NISTIR 8403 Available for Comment — Blockchain for Access Control
Systems (2021)3;
NIST Publishes NISTIR 8301: Blockchain Networks — Token Design and
Management Overview (2021)4;
White Paper NIST CSWP 9 ipd (Draft), A Taxonomic AProach to Under-
standing Emerging Blockchain Identity Management Systems (2020)5 и др.
ЕВРОПЕЙСКОЕ АГЕНТСТВО ENISA
В конце 2016 года Европейское агентство по кибербезопасности (European
Network and Information Security Agency, ENISA)6 опубликовало отчет «Тех-
нология распределенных реестров и кибербезопасность — Укрепление ин-
формационной безопасности в финансовом секторе» (Distributed Ledger
Technology & Cybersecurity — Improving information security in the financial
sector)7. В нем ENISA проанализировало технологию DLT (табл. 4.1), выде-
лило ее достоинства и недостатки с точки зрения кибербезопасности, а также
предложило рекомендации или лучшую практику применения.
1 https://csrc.nist.gov/News/2022/nist-releases-nistir-8419.
2 https://csrc.nist.gov/publications/detail/nistir/8301/final.
3 https://csrc.nist.gov/News/202 l/draft-nistir-8403-available-for-comment.
4 https://esrc.nist.gov/News/2021/nistir-8301-blockchain-networks-token-design-mgmt.
5 https://csrc.nist.gov/publications/detail/white-paper/2019/07/09/a-taxonomic-aProach-to-
understanding-emerging-blockchain-idms/draft.
6 https://www.enisa.europa.eu/topics/t:sirts-in-europe/glossary/blockchain.
7 https://www.the-blockchain.com/docs/European%20Union%20Agency%20fer%20Network
%20and%20Information%20Security%20-%20Distributed%20Ledger%20Technology%20And
%20Cybersecurity.pdf.
Таблица 4.1. Примерь! криптопримитиЕое на известных блокчейн-г.латформах, 2017 год
Цифровые валюты Хеш-функиии Электронные подписи Подтверждение транзакций Механизмы консенсуса
SHA 256 Exhash SCrypt X Equihash RIPEM3160 ЕС DSA EdCSA Ring One-Time Bcrromean Multi-signature Commitment Accumulator ZK-SNA BulletPrcofs
Bitcoin (Nakamoto, 2003] У У У У У
Ethereum (Ethereum) У У У У
Dash (Dash) У У У У
Litecoin (Litecoin) У У У У У
Zcash (Ben-Sasson et aL, 2014a) У У У У У У У У
Zcoin (Miers et aL, 2013) У У У У У
ZILLIQA (Zilliqa) У EC-Schonrr У
Monero (van Saberhagen, 2013) У Кессак, Ыаке256 У У
RiPle (RiPle) У У У У
Nxt (Nxt! У У У EC-KCDSA
Blackcoin (Vasin, 2014) У У У У
NEM (Nem, 2015) Кессак256, Кессак512 У У У
Siacoin (Vorick and Champine, 2014) Ыаке2Ь У У
Verge (Verge) SCrypt, Х17, blake2smyr-groestl, Lyra2rev2 У У
Qtum (Qtjm) У У У У
BitConnsct (Bitconnect, 2016) У У У У У У
232 Г лава 4 Модели и методы синтеза блокчейн-экосистем
Цифровые валюты Хеш функции Электронные подписи Подтверждение транзакций Механизмы консенсуса
SHA 256 Exhash SCrypt >< Equihash RIPEMD160 ECDSA EdDSA Ring One-Time Borromean Multi-signature Commitment О го ZJ Е < ZK-SNA BulletProofs
Stratis (Khatwani, 2918] У У Х13 У У
Hshare (Hshare] У Х13.Х14 У У У
Bytecoin (Bytecoin) У Кессак, Ыеке256 У У У У У У
Komodo (Komodo) У У У У У У У
Dogecoin (Markus et al., 2013) У У У У У
DigiByte (D'gibyte) SHA256, SCryptGroestl, Skein, Qubit У У
RaiBlocks (LeMahieu, 2016), blake2b У У
Ark (Thoorens et al., 2016) У У У
MonaCoin (Monacoinproject, 2013) У Lyra2rev2 У У
Byte ba ll (Byte ba ll) У У У
Electroneum (van Saberhagen, 2013) У Кессак, Ыаке256 У У У У У У
Naivecoin (Naivecoin) У У
RScoin (Danezis and Meiklejohn, 2016) У У
IOTA (lota) Curl, Keccak384 У У
4 1. Эталонная модель квантово-устойчивой блокчейн-экосистемы 233
В отчете отмечается, что ряд принципов обеспечения безопасности, таких как
управление ключами и применение шифрования, практически одинаковы
и для традиционных систем, и для систем на основе блокчейна. Однако есть
новые проблемы, которые принесла данная технология, например «взлом
консенсуса» (consensus hijacking) и управление смарт-контрактами. Кроме
того, в отчете подчеркивается, что внедрение блокчейна для публичных
и частных реестров столкнется с разными комбинациями проблем.
Некоторые из названных в отчете ключевых проблем технологии блокчейн
достаточно традиционные: управление ключами, защита персональных дан-
ных, обновление кода. Специфическими для нее являются генерация ключей,
управление смарт-контрактами, масштабируемость.
ENISA сформулировало так называемую хорошую практику, позволяющую
решать перечисленные проблемы, а также учитывать ключевые аспекты,
о которых должны быть осведомлены лица, принимающие решения, при
оценке возможностей данной технологии. По итогам анализа имеющихся
проблем, связанных с распределенными реестрами, в число упомянутых
практик были включены следующие:
использование ключей восстановления (recovery keys);
применение нескольких подписей для авторизации и обработки транз-
акций;
использование библиотеки стандартных смарт-контрактов.
В отчете отмечается наличие проблем, которые требуют дальнейшей про-
работки, таких как:
инструменты борьбы с отмыванием незаконных доходов и мошенниче-
ством;
интероперабельность блокчейн-протоколов;
правовые нормы и инструменты по обеспечению неприкосновенности
частной жизни и «права быть забытым».
ВОЗМОЖНАЯ МОДЕЛЬ КВАНТОВО-УСТОЙЧИВОЙ
БЛОКЧЕЙН-ПЛАТФОРМЫ
Сегодня национальная нормативная база для промышленной разработки
блокчейн-платформ находится на этапе становления. При этом существу-
ет ряд законов и ведомственных актов регуляторов в лице ФСБ России,
ФСТЭК России, Министерства цифрового развития, связи и массовых
коммуникаций Российской Федерации (Минцифры России), Банка России
и др., а также национальных стандартов, определяющих общие принципы
разработки и эксплуатации безопасных информационных систем. Главным
нормативным актом является Федеральный закон от 27 июля 2006 года
№ 149-ФЗ «Об информации, информационных технологиях и защите ин-
формации», который юридически описывает понятия и определения в об-
ласти информационных технологий и задает принципы правового регули-
рования отношений в сфере информации, информационных технологий
и защиты информации. Так как блокчейн-платформы (рис. 4.7) используют
криптографические примитивы (схемы, хеш-функции, алгоритмы и про-
токолы), на них распространяются соответствующие требования законода-
тельства РФ [44-61].
Федеральный закон от 28 декабря 2010 года № 390-ФЗ «О безопасности»,
определяющий основные принципы и содержание деятельности по обе-
спечению безопасности государства.
Закон РФ от 21 июля 1993 года № 5485-1 «О государственной тайне»,
который регулирует отношения, возникающие в связи с отнесением сведе-
ний к государственной тайне, их засекречиванием или рассекречиванием,
и защитой в интересах обеспечения безопасности Российской Федерации.
Федеральный закон от 3 апреля 1995 года № 40-ФЗ «О Федеральной
службе безопасности», определяющий назначение, состав, правовые
основы и принципы деятельности ФСБ России. В том числе вопросы
лицензирования и сертификации криптографических средств защиты
информации и блокчейна.
Федеральный закон от 6 апреля 2011 года № 63-ФЗ «Об электронной
подписи», который регулирует отношения в области использования
электронных подписей при совершении гражданско-правовых сделок,
оказании государственных и муниципальных услуг, исполнении госу-
дарственных и муниципальных функций, а также при совершении иных
юридически значимых действий.
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональ-
ных данных», который регулирует отношения, связанные с обработкой
персональных данных, осуществляемой федеральными органами госу-
дарственной власти, органами государственной власти субъектов РФ,
иными государственными органами, органами местного самоуправления,
иными муниципальными органами, юридическими лицами и физически-
ми лицами с использованием средств автоматизации (ПЭВМ) или без
использования таких средств, позволяющей осуществить доступ и поиск
персональных данных, зафиксированных на материальном носителе
и/или содержащихся в картотеках или иных систематизированных со-
браниях персональных данных.
Федеральный закон от 26 июля 2017 года № 187-ФЗ «О безопасности
критической информационной инфраструктуры Российской Федера-
ции», регулирующий отношения в области обеспечения безопасности
критической информационной инфраструктуры РФ в целях ее устойчи-
вого функционирования при проведении в ее адрес компьютерных атак.
Федеральный закон от 31 июля 2020 года № 259-ФЗ «О цифровых фи-
нансовых активах, цифровой валюте и о внесении изменений в отдельные
законодательные акты Российской Федерации», который регулирует
отношения, возникающие при выпуске, учете и обращении цифровых
финансовых активов, особенности деятельности оператора информаци-
онной системы, в которой осуществляется выпуск цифровых финансовых
активов, и оператора обмена цифровых финансовых активов, а также
отношения, возникающие при обороте цифровой валюты в РФ
Кроме того, действует ряд постановлений Правительства РФ, требования
которых необходимо учитывать при разработке и эксплуатации блокчейн-
платформ:
от 16 мая 2012 года № 313, утвердившее Положение о лицензировании
деятельности по разработке, производству, распространению шифро-
вальных (криптографических) средств, информационных систем и те-
лекоммуникационных систем, защищенных с использованием шифро-
вальных (криптографических) средств, выполнению работ, оказанию
услуг в области шифрования информации, техническому обслуживанию
шифровальных (криптографических) средств, информационных систем
и телекоммуникационных систем, защищенных с использованием шиф-
ровальных (криптографических) средств. Данное положение определяет
порядок лицензирования деятельности по разработке, производству,
распространению шифровальных (криптографических) средств (СКЗИ);
от 1 ноября 2012 года № 1119, утвердившее Требования к защите персо-
нальных данных при их обработке в информационных системах персо-
нальных данных.
Кроме вышеназванных федеральных законов и постановлений Правитель-
ства РФ при разработке блокчейн-платформ, нужно учитывать следующие
указы Президента РФ:
от 5 декабря 2016 года №646, утвердивший Доктрину информационной
безопасности Российской Федерации, которая представляет собой систе-
му официальных взглядов на обеспечение национальной безопасности
РФ в информационной сфере и включающей ИС, расположенные на
территории РФ;
от 17 марта 2008 года № 351 «О мерах по обеспечению информационной
безопасности Российской Федерации при использовании информаци-
онно-телекоммуникационных сетей международного информационного
обмена»;
от 6 марта 1997 года № 188, утвердивший Перечень сведений конфиден-
циального характера;
от 30 ноября 1995 года № 1203, утвердивший Перечень сведений, от-
несенных к государственной тайне;
от 16 августа 2004 года № 1085, утвердивший Положение о Федеральной
службе по техническому и экспортному контролю.
Кроме того, существует ряд ведомственных нормативных документов, ре-
гламентирующих вопросы разработки и эксплуатации блокчейн-платформ.
Во-первых, приказы Ф СБ России, имеющие непосредственное отношение
к средствам криптографической защиты информации, а также к выше-
указанным федеральным законам и указам Президента РФ. В том числе
Положение о разработке, производстве, реализации и эксплуатации шиф-
ровальных (криптографических) средств защиты информации (Положе-
ние ПКЗ-2005, утв. Приказом ФСБ России от 9 февраля 2005 года № 66
(с изм. и доп.)). Оно регулирует отношения, возникающие при разработке,
производстве, реализации и эксплуатации шифровальных (криптографи-
ческих) средств защиты информации с ограниченным доступом, не содер-
жащей сведений, составляющих государственную тайну. Важно то, что для
криптографической защиты информации конфиденциального характера
должны использоваться СКЗИ, удовлетворяющие требованиям по безопас-
ности информации, устанавливаемым в соответствии с законодательством
Российской Федерации. При их разработке рекомендуется использовать
криптографические алгоритмы, утвержденные в качестве Национальных
стандартов РФ или имеющие положительное заключение ФСБ России по
результатам их экспертных криптографических исследований. Реализация
в конкретных образцах СКЗИ и сетях (системах) конфиденциальной связи
требований по безопасности информации возлагается на их разработчика.
Во исполнение Федерального закона «Об электронной подписи» ФСБ Рос-
сии утвердила «Требования к средствам электронной подписи» (утл. При-
казом от 27 декабря 2011 года № 796), которые предназначены для заказчиков
и создателей разрабатываемых (модернизируемых) средств электронной
подписи при их взаимодействии: между собой, с организациями, прово-
дящими криптографические, инженерно-криптографические и специаль-
ные исследования средств электронной подписи, а также с ФСБ России,
осуществляющей подтверждение соответствия средств электронной под-
писи данным требованиям. Эти требования распространяются на средства,
предназначенные для использования на территории России, в учреждениях
РФ за рубежом и находящихся за рубежом обособленных подразделениях
юридических лиц, образованных в соответствии с законодательством РФ.
К средствам электронной подписи в части их разработки, производства,
реализации и эксплуатации предъявляются требования, закрепленные По-
ложением ПКЗ-2005. При этом СКЗИ и средства электронной подписи
должны противостоять угрозам, представляющим собой целенаправленные
действия с использованием аппаратных и (или) программных средств с це-
лью нарушения безопасности защищаемой средством электронной подписи
информации или с целью создания условий для этого. В зависимости от
способностей противостоять атакам, средства электронной подписи подраз-
деляются на классы, отличающиеся по жесткости требований к средствам
ЭП. Класс заказчик выбирает на основе модели возможностей нарушителя
средства электронной подписи. При его разработке должны использоваться
криптографические алгоритмы, утвержденные в качестве национальных
стандартов РФ или имеющие положительное заключение ФСБ России по
результатам их экспертных криптографических исследований.
Во-вторых, приказы Ф СТЭК России:
совместный с ФСБ России от 31 августа 2010 года № 489, утвердивший
Требования о защите информации, содержащейся в информационных си-
стемах общего пользования, которые распространяются на федеральные
государственные информационные системы, созданные или использу-
емые в целях реализации полномочий федеральных органов исполни-
тельной власти и содержащие сведения о деятельности Правительства
РФ и федеральных органов исполнительной власти, обязательные для
размещения в информационно-телекоммуникационной сети Интернет,
определяемые Правительством РФ (далее — информационные системы
общего пользования) и являющиеся обязательными для операторов
информационных систем общего пользования при разработке и эксплуа-
тации таковых. На данный приказ следует обратить внимание, поскольку
в настоящее время изучаются разные аспекты внедрения блокчейн-тех-
нологии, в том числе для обеспечения защищенного документооборота
и электронного взаимодействия граждан, органов государственного и му-
ниципального управления;
от 11 февраля 2013 года № 17, утвердивший Требования о защите инфор -
мации, не составляющей государственную тайну, содержащейся в госу-
дарственных информационных системах, которые являются обязатель-
ными при обработке информации в государственных информационных
системах, функционирующих на территории РФ, а также в муниципаль-
ных информационных системах, если иное не установлено законодатель-
ством РФ о местном самоуправлении, и предназначенные для обладателей
информации, заказчиков, заключивших государственный контракт на
создание государственной информационной системы и операторов го-
сударственных информационных систем;
от 18 февраля 2013 года № 21, утвердивший состав и содержание организа-
ционных и технических мер по обеспечению безопасности персональных
данных при их обработке в информационных системах персональных
данных для каждого из уровней защищенности, установленных в Требова-
ниях к защите персональных данных при их обработке в информационных
системах персональных данных;
от 21 декабря 2017 года № 235, утвердивший Требования к созданию
систем безопасности значимых объектов критической информационной
инфраструктуры Российской Федерации и обеспечению их функцио-
нирования;
от 25 декабря 2017 года № 239, утвердивший Требования по обеспечению
безопасности значимых объектов критической информационной инфра-
структуры Российской Федерации, которые направлены на обеспече-
ние устойчивого функционирования значимых объектов критической
информационной инфраструктуры РФ при проведении в отношении
них компьютерных атак;
от 3 апреля 2018 года № 55, утвердивший Положение о системе сер-
тификации средств защиты информации (изменения в документ утв.
приказом ФСТЭК России от, которое определяет особенности сертифи-
кации средств защиты информации иностранного производства, порядок
маркирования средств защиты информации, порядок отбора образцов
средств защиты информации и порядка ознакомления с ними ИЛ и ОС,
а также упрощенный порядок продления сроков действия сертификатов
соответствия;
от 28 сентября 2020 года № 110, утвердивший Порядок организации
и проведения работ по аттестации объектов информатизации на соот-
ветствие требованиям о защите информации ограниченного доступа, со-
ставляющей государственную тайну, который определяет состав и содер-
жание работ по аттестации соответствующих объектов информатизации,
а также устанавливает требования к форме и содержанию документов,
разрабатываемых при аттестации;
от 29 апреля 2021 года № 77, утвердивший Порядок организации и про-
ведения работ по аттестации объектов информатизации на соответствие
требованиям о защите информации ограниченного доступа, не составля-
ющей государственную тайну, который определяет состав и содержание
работ по аттестации соответствующих объектов информатизации, а также
устанавливает требования к форме и содержанию документов, разраба-
тываемых при аттестации.
Кроме того, ФСТЭК России разработала и распространила:
Требования по безопасности информации к средствам контейнеризации,
которые определяют функциональные возможности и функции безопас-
ности сред и систем контейнеризации (сообщение о проекте данных тре-
бований прозвучало на отраслевой конференции в феврале 2022 года из
уст начальника управления ФСТЭК Дмитрия Шевцова; в дальнейшем
требования планируется утвердить приказом ведомства и зарегистриро-
вать в Минюсте России);
Методику выявления уязвимостей и недекларированных возможностей
в программном обеспечении, которая определяет модели, методы и сред-
ства для выявления уязвимостей и недекларированных возможностей
в программном обеспечении;
Методику оценки угроз безопасности, которая определяет порядок и со-
держание работ по определению угроз безопасности информации, реали-
зация (возникновение) которых возможна в информационных системах,
автоматизированных системах управления, информационно-телекоммуни-
кационных сетях, информационно-телекоммуникационных инфраструк-
турах центров обработки данных и облачных инфраструктурах, а также по
разработке моделей угроз безопасности информации систем и сетей и др.
Результаты проведенного анализа свидетельствуют о необходимости раз-
вивать национальную базу стандартов для создания и промышленного за-
пуска квантово-устойчивых блокчейн-платформ в цифровую экономику
Российской Федерации. То есть таких блокчейн-платформ, которые будут
устойчивыми не только к известным разнородно-массовым атакам зло-
умышленников, но и к новым типам квантовых атак, реализуемых с помощью
«криптографически релевантного (значимого) квантового компьютера»
(CRQC) оппонентов в киберпространстве. Здесь под CRQC понимается
квантовый суперкомпьютер будущего, достаточно мощный, чтобы взламы-
вать современные схемы асимметричного шифрования, которые практиче-
ски невозможно взломать с помощью суперкомпьютеров пятого поколения
архитектуры фон Неймана с высокой и сверхвысокой производительностью
(более 1 эксафлопса — 1018операций в секунду). Создание таких стандартов
позволит значительно упростить решение вопросов, связанных с промыш-
ленным запуском упомянутых блокчейн-платформ. В том числе выбрать
и реализовать эталонную модель квантово-устойчивой блокчейн-платфор-
мы с требуемым набором квантовых и постквантовых криптопримитивов
(рис. 4.7). При этом, в отличие от правовых норм, которые могут быть до-
статочно жесткими, национальные стандарты квантово-устойчивых блок-
чейн-платформ будут отличаться гибкостью и не будут ограничивать инно-
вационную составляющую такой постоянно развивающейся технологии, как
блокчейн (распределенного реестра, DLT) [44-60].
Интересуются
Участники взаимодействия
DLT, как система интересов
Посредники
Обычная
модель раз-
вертывания
Традиционная
модель раз-
вертывания
КЭШ
P2P Узлы
Обеспокоены
Текущие проблемы
Обеспокоенность
Формируют
Храненние
Обмен
сообщениями
Гибридный/консорциум
Обработка транзакций
Публичный Частный
BlockDAG I TxDAG I HashGraph
Архитектура
Рис. 4.7. Возможная эталонная модель
4 1. Эталонная модель квантово-устойчивой блокчейн-экосистемы 243
г
Механизмы консенсуса ।
Proof of Work Proof of Stake
Proof of Activity Proof of Burn
Процессы Протокол консенсуса Proof of Valuation Proof of Capacity Ripple Consensus Proof of Importance Proof of Authority Stellar Consensus
Delegsted Proof of Stake Proof of Elapsed Time
Proof of Space Proof of Storage
।
Одноранговая сеть (P2P)
Релейная сеть
Локальные серверы Полные
Узлы Тонкие
।
। ।
Заголовок блока Блоки данных —► UTXO
Datasets Модель транзакций
Хеш Структура цепи Модель балансов
Данные Рас п р едел е н ная хеш-таблица
Криптографиче- ский протокол £ Сжатое префиксное
Цифровая Дерево Меркла Бинарное
подпись Объем данных В реестре
Вне реестра
квантово-устойчивой блокчейн-платформы
4.2. Постквантовые криптопримитивы
для квантово-устойчивых
блокчейн-экосистем и платформ
В 2003 году известный криптограф Дэниел Бернштейн (Daniel J. Bernstein)1
ввел в широкое употребление новый термин «постквантовая криптография»
(post-quantum cryptography, PSQ)2, который объединил все известные на
тот момент задачи синтеза криптографических схем, стойких относительно
классических и новых квантовых вычислений [1, 9-15,17-19, 23,25, 55-60,
74-76, 183, 290, 300, 301] (см. врезку).
Основные задачи
анализа криптосистем
В классической модели вычислений:
факторизация целого числа A(RSA): NFS, ехр[( 1,902 + о( 1 ))(1п А')13]
(In In 1V)2/31 битовых операций;
дискретное логарифмирование в конечном поле GF(p) (DSA, DH,
ГОСТ Р 34.10-94) NFS, ехр[(1,902 + o(l))(lnp)1/3(ln Inр)2/3] битовых
операций;
дискретное логарифмирование на эллиптической кривой E(GF(p))
(ECDSA, ECDH, ГОСТ Р 34.10-2012): p-метод, О(^<?) операций на
кривой;
поиск коллизии «-битовой хеш-функции: О(2«/2) операций хеши-
рования;
поиск прообраза «-битовой хеш-функции/блочного шифра: О(2«)
операций хеширования/шифрования.
В квантовой модели вычислений:
факторизация целого числа N: метод Шора, O(ln 2N) операций,
О(1п А) кубитов;
дискретное логарифмирование в конечном поле GF(p): метод Шора,
О(1п 2р) операций, О(1п р) кубитов;
https://cs.uic.edu/profiles/daniel-j-bernstein/.
https://link.springer.com/book/10.1007/978-3-540-88702-7.
дискретное логарифмирование на эллиптических кривых E(GF(p)):
метод Шора, О (In 2q) операций, O(ln ‘2q~) кубитов;
поиск коллизии и-битовой хеш-функции: метод ВНТ, О(2п/3) опера-
ций, О(2и/3) кубитов;
поиск прообраза и-битовой хеш-функции/бдочного шифра: метод
Гровера, О(2и/2) операций, О(и) кубитов.
Возможные пути противостояния квантовому анализу
Увеличение размеров параметров:
факторизация целых чисел: экспоненциально;
дискретное логарифмирование в конечном поле: экспоненциально;
дискретное логарифмирование на эллиптических кривых: экспонен-
циально;
поиск коллизий (/: V —> V). увеличение длины блока в три раза;
поиск прообраза (/: V —> У ): увеличение длины ключа/блока в два раза.
В 2006 году состоялась первая международная научная конференция по во-
просам анализа и синтеза схем постквантовой криптографии (PQCrypto1),
с некоторых пор проводимая ежегодно. Она посвящена актуальным во-
просам развития постквантовой криптографии (рис. 4.8); 28-30 сентября
2022 года прошла очередная, 13-я по счету конференция2, ключевыми темами
которой стали:
криптоанализ квантовых и постквантовых криптопримитивов;
квантово-устойчивые криптосистемы на основе теории целочисленных
решеток (lattice-based cryptography);
коды, исправляющие ошибки (code-based cryptography);
многочлены от многих переменных (multivariate cryptography);
криптографические хеш-функции (hash-based cryptography):
изогении суперсингулярных эллиптических кривых (supersingular isogeny-
based cryprography);
https://postquantum.cr.yp.to/.
https://2022.pqcrypto.Org/inde3.html#location.
атаки на постквантовые криптосистемы по сторонним или побочным
каналам (side channel attacks, SCA);
перспективные модели и методы безопасности для постквантовой
эры и др.
Классы сложности
PSPAOE -- полиномиальная по памяти,
Р — полиномиальная по количеству операций;
NP — нополиномиальная;
ВОР — квантовая полиномиальная с ошибкой не более 1 /3
Рис. 4.8. Оценка продельных возможностей
посткеэнтовых криптопримитивов
Заметим, что с 1998 года в России ежегодно проходит научно-практиче-
ская конференция «РусКрипто»1, которая тоже освещает вопросы синтеза
криптографических схем, стойких относительно классических и квантовых
вычислений1 2.
В 2014 году стартовала PI18 (восьмая рамочная программа) «Горизонт —
2020» (Horizon 2020, нем. Horizont 2020) Европейского союза по развитию
научных исследований и технологий, в том числе в области постквантовой
криптографии (рис. 4.9). Ее бюджет составил 80 млрд евро на семь лет
(2014-2020 годы). В 2021 году на смену РП8 «Горизонт — 2020» пришла
новая рамочная программа «Европейский горизонт» (Horizon Europe) с бюд-
жетом в 95,5 млрд евро3.
1 https://www.ruscrypto.ru/.
' https://www.ruscrypto.ru/resource/archiyc/rc2019/files/02_Grebnev.pdf, https://www.ruscrypto.ru/
resource/archive/rc2022/filee/02_denisenko_rudskoy.pdf, https://www.ruscrypto.ru/resource/
art:hive/rc2021/files/T)2grebnevklucharevkorenevakoshelevtaraskintulebayev.pdf.
3 https://ec.europa.eu/info/research-and-innovation/funding/funding-oPortunities/funding-
programmes-and-open-calls/horizon-europe_en.
Физические кубиты
Прогнозируемый взлом схемы RSA
Лучшая практика квантовых технологий
Вывод из эксплуатации
небезопасных криптопримитивов
Экосистема квантовых вычислений
Достижение квантового превосходства
Постквантовые алгоритмы NIST
Угроза безопасности коммуникации в Интернете
Начало гонки по квантовому превосходству
2023
2028
2038 ГОДЫ
Рис. 4.9. Перспективы развития квантовых технологий1
https://www.gartner.com/smarterwithgartner/gartner-top-10-strategic-technology-trends-for-2019.
4.2 Постквантовые криптопримитивы для блокчейн-экосистем 247
Названные программы способствовали увеличению числа прорывных техно-
логий, открытий и перспективных разработок путем продвижения научных
идей из университетских исследовательских лабораторий и инженерных
центров прямо на рынок соответствующих услуг и решений. Например,
результаты исследовательского проекта «Квантовые вычисления: новая па-
радигма» («Горизонт — 2020») с бюджетом 2 009 429 евро, выполненного под
руководством Джереми Ллойда О’Брайена из Бристольского университета
(Великобритания; www.bristol.ac.uk), позволили провести ряд интересных
экспериментов по теоретической и практической стойкости известных
криптопримитивов1. Реализация программ ЕС «Горизонт» позволила вы-
работать следующие рекомендации по практическому применению крип-
тосхем постквантовой криптографии с требуемой стойкостью:
для блочных шифров — AES256, Salsa-20, также рассматривался
Serpent-256;
для аутентификации — 128-бит GCM, Ро1у1305;
для шифрования с открытым ключом — схема Мак-Элиса на двоичных
кодах Гоппы, также рассматривались QC-MDPC, NTRU;
для цифровой подписи — XMSS, Sphincs+, также рассматривалась
HFEv-.
В 2015 году Агентство национальной безопасности США (АНБ) организо-
вало поисковые исследования с целью изучить потенциальные проблемы
безопасности, возникающие при появлении «криптографически релевант-
ного (значимого) квантового компьютера» (CRQC). Здесь под CRQC по-
нимается квантовый суперкомпьютер будущего, достаточно мощный, чтобы
взламывать современные схемы асимметричного шифрования, которые
практически невозможно взломать с помощью суперкомпьютеров пятого
поколения архитектуры фон Неймана с высокой и сверхвысокой произво-
дительностью (более 1 эксафлопса — 1018 операций в секунду). АНБ инве-
стировало 79,7 млн долларов в создание упомянутого квантового компьютера
CROC для взлома известных протоколов шифрования.
На тот момент уже были известны классический (1984) и масштабируемый
(2011) квантовые алгоритмы Шора, предназначенные для достижения этой
цели в квантовой модели вычислений. Единственное, что помешало достичь
поставленной цели, — это разрядность квантовых компьютеров (20-100 ку-
https://frc.europa.eu/prsjects-figures/storiss/quantum-computing-new-paradigm.
битов), имевшихся тогда в наличии. Дело в том, что для решения поставлен-
ных задач требуются квантовые компьютеры с количеством кубитов не менее
20 млн* 1. Однако, как показали дальнейшие исследования компаний IBM
и Google, это является только вопросом времени. Так, в ноябре 2021 года
IBM представила 127-кубитовый процессор Eagle, к 2023 году планирует
преодолеть 1000-кубитовый предел2. С учетом возможности эффективного
распараллеливания вычислений между несколькими устройствами, распо-
лагающими гораздо меньшим числом кубитов3, ее достижения убедительно
свидетельствуют о реалистичности создания криптографически значимого
квантового компьютера CRQC (табд. 4.2).
Таблица 4.2. Влияние криптографически значимого квантового компьютера
CRQC на устойчивость и безопасность криптопримитивов современных
блокчейн-платформ
Криптосистема Тип шифрования Применение Выводы
ГОСТ P 34.12-2015, AES Симметричное Шифрование Необходимо многократное увеличение длины ключей шифрования
ГОСТ P 34.11-2012, SHA 2, SHA 3 Хеш функции Необходимо многократное увеличение длины хеша
SHA256, Ethash, SCrypt, XII, Eqjihash, RIPEMD160 Хеш функции Необходимо увеличение длины хеша
RSA (Rivest — Shamir — Ableman), «Диффи — Хеллмана - Меркле» Асимметричное Шифрование, обмен ключами Становится небезопасным
DSA (Digital Signature Algorithm] Асимметричное Электронная подпись, гене- рация ключей Становится небезопасным
ГОСТ P 34.10-2012, ECDH,ECDSA Асимметричное Электронная подпись, обмен ключами Становится небезопасным
EdDSA, Ring, One Time, Borromean Асимметричное Электронная подпись, обмен ключами Становится небезопасным
1 https://arxiv.Org/pdf/l 905.09749.pdf.
в https://newsroom.ibm.com/2021-l 1-16-IBM-Un veils-Breakthrough-127-Qubit-Quantum-
Processor.
1 https://arxiv.org/pdf/1905.09749.pdf.
В настоящее время поисковые исследования в области анализа и синтеза
постквантовых криптопримитивов продолжаются. Так, в США Националь-
ный институт стандартов и технологий (National Institute of Standards and
Technology, NIST)1 объявил и провел открытый конкурс на 2016-2023 годы
по обсуждению лучших алгоритмов асимметричного шифрования (public-
key encryption) и цифровой подписи (digital signatures), а также их подго-
товки международной сертификации (рис. 4.10).
--- Объявление конкурса NIST
конкурса
стандартов
Рис. 4.10. Хронология конкурса NIST
по выбору постквантовых алгоритмов2
Отметим, что в странах Евросоюза упомянутые исследования (TSI TR 103
616 VI.1.1 (2021-09) Quantum-Safe Signatures1 * 3 4 и ETSI TR 103 823 VI.1.1
(2021 -09) Quantum-Safe Public Key Encryption and Key Encapsulation^ прово-
дятся под эгидой Европейского института стандартов электросвязи (ETSI)5
и Агентства Европейского союза по кибербезопасности (ENISA)6.
1 https://csrc.nist.gov/Projects/post-quantum-cryptography.
' https://csrc.nist.gov/Projects/post-quantum-cryptography.
3 https://www.etsi.org/deliver/etsi_tr/t03600_103699/103616/01.01.01_60/tr—1 03616v010101p.pdf.
4 https://www.etsi.org/deliver/etsi_tr/103800 103899/103823/01.01.01_ 60/tr_103823v010101p.pdf.
3 https://www.etsi.org/technologies/quantum-safe-cryptography.
6 https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-
mitigation.
В России перспективные направления развития постквантовой криптогра-
фии сопровождает Технический комитет 26 по стандартизации «Крипто-
графическая защита информации» (ТК 26) и рабочая группа РГ 2.5 «Пост-
квантовые криптографические механизмы»1.
В результате проделанной работы Международная организация по стандар-
тизации (ISO) выпустила ряд первых международных стандартов в области
постквантовой криптографии (ISO/IEC JTC 1/SC 27/WG 2. Cryptography
and security mechanisms (2022) и ISO/ТС 68/SC 2/WG11 Encryption algorithms
used in banking aPlications (2022))2.
Заметим, что в основе большинства полученных результатов синтеза схем
постквантовой криптографии лежат следующие направления поисковых
исследований (рис. 4.11 и табл. 4.3) [1-3. 19-23, 29-33]:
применение теории целочисленных решеток (lattice-based cryptography)
и решения задачи поиска кратчайшего вектора решетки и ее вариантов,
задачи обучения с ошибкой;
использование кодов, исправляющих ошибки (error-correcting codes)
и решения задачи декодирования случайного кода;
использование многочленов от многих переменных (millli varial e crypto-
graphy) и задачи решения нелинейной системы уравнений;
использование криптографических хеш-функций (hash-based crypto-
graphy) и решения задачи поиска коллизии/прообраза/второго прообраза
для криптографических хеш-функций;
привлечение аппарата изогений суперсингулярных эллиптических кри-
вых (supersingular isogeny-based cryptography) и решения задачи поиска
пути в графе изогений;
решение ряда «экзотических» задач, таких как разрешение проблемы
сопряженного поиска (search problem), реализация сложных операций
в группах кос (braid groups), решение на основе алгебры октонионов,
решение на основе многочленов Чебышева и др.
1 https;//tc26.ru/; https://lib.itsec.ru/articles2/crypto/o-nekotoryh-tendentsiyah-razvitiya-
postkvantovoy-kriptografii.
' https://www.iso.org/organization/5984715.html и https://standards.iteh.ai/catalog/tc/iso/5883bl59-
clb5-4ef4-8e4b-077ace20a48e/iso-iec-jtc-l-sc-27-wg-2.
Определения
Минимум
X1(L) = min„^| | v| |
Определитель
det(L) = | det(b,), |
Граница Минковского
X,(L)S<-det(L)-v'
Поиск кратчайшего вектора
ShortestVectorProblem
В задаче поиска кратчайшего вектора (SVP) требуется
найти vshortestL:
I |vs„„l I =<Ц1)
Решетка — это множество L= (S, < „хД: x, e Z} для линейно
независимых b, e Rn
{Д} — базис L, | {Д} | — ранг L
Упрощение' поиск аппроксимации (y-SVP) киапгм:
I I v,ho.»,11 I
Поиск ближайшего вектора CVP/BDD
Асимптотическая сложность SVP
,’Q* ь;
'о ь,-
Для решения BDD в L,
вызываем оракул для
approx-SVP «связанной»
решетки р-ти +1
NP-hard 2c"or2”""" 2’BKZ
-4-----------I-----------H—
2'°»'n poly(n) 2?"*’
(Крипто)
В задаче поиска ближайшего вектора (CVP) для t О L требуется
найти vL:
11 v - t| | минимально для всех v е L
Часто: dist(t, L) <у XJL). Получаем задачу декодирования
с ограниченным расстоянием, y-BDD
• Просеивание (эвристический):
Время (SVP) = 2n+o(n)
• Перечисление:
Время (SVP) = г"109"*01"10""1
poly(n). LLL
।Время
n log log n
2 logn
Память = 2n+o(n)
Память = poly(n)
На сегодняшний день не существует эффективного алгоритма
(ни классического, ни квантового) для задачи SVP1
BKZ — Block Korkine-Zolotarev, LLL — Lenstra, Lenstra, Lovasz
Рис. 4.11. Примеры решения задач в теории решеток
252 Г лава 4 Модели и методы синтеза блокчейн-экосистем
Направпения & RSD Применение Задачи Быстродействие Достоинства Недостатки
Теория целочисленных решеток (lattice based cryptography] • Шифрование. • ЭП. • Хеш-функции. • Обмен ключами. • Полностью гомоморф- ное шифрование. • Протоколы «забывчи- вой передачи». • Протоколы с использо- ванием атрибута. • Шифрование, основан- ное на идентификации • Нахождение «хороше- го» базиса решетки. • Задача поиска кратчайше- го вектора решетки. • Задача обучения с ошибкой Хорошо реализу ется на специ- альном ПО • Обоснование сложности в наи- худшем случае. • Множество сфер применения • Повышенная длина ключей по сравнению с ЭК. • Отсутствие точного метода оцен- ки сложности
Многочлены от многих переменных (multivar ighte cryptography] • Шифрование • Обмен ключами. • ЭП Задача реше- ния нелиней- ной системы управления Хорошо реализу- ется на аппарат- ных средствах • Быстрота. • Малая длина ключей даже по сравнению с ЭК • Несостоятельность обоснования безопасности. • Большое количество взломанных систем. • Повышенная длина открытого ключа
Кои пто графические хеш-функции (hash-based cryptography] ЭП Задача поис- ка коллизии (прообраза] второго про образа Зависит от используемой хеш функции Сравнителоная быстрота • Возможность реализации только протоколов ЭП. • Ограниченное количество под писей на одном ключе. • Безопасность зависит от еыбира емой хеш-функции. • Большая длина подписи
Коды, исправляющие ошибки (error-correcting codes] • ЭП. • Шифрование. • Хеш-функции. • Обмен ключами Задача де- кодирования случайного кода Хорошо реализу- ется на аппарат- ных средствах Хорошая скорость вычислений • Слишком большая длина ключей. • Высокие требования к памяти устройства. • Большое количество взломанных систем
Изогении суперсингуля- торных эллиптических кри- вых (supersingular isogeny based cryptograhpy) Обмен ключами Задача поис- ка пути в гра- фе изогелий Хорошо реализу- ется на специ- альном ПО • Совершенно пря- мая секретность. • Наименьшая длина ключа Отсутствие полноценной крипто- системы
ПОСТКВАНТОВЫЕ
криптопримитивы
На примере алгоритмов, представленных на конкурс Национального ин-
ститута стандартов и технологий США (National Institute of Standards and
Technology, NIST) (2016-2023), рассмотрим ряд постквантовых криптопри-
митивов, которые можно использовать для построения квантово-устойчивой
блокчейн-платформы.
В конце 2017 года участники конкурса NIST вынесли на открытое обсужде-
ние следующие механизмы: цифровую подпись, шифрование, инкапсуляцию
ключей и выработку общего ключа. При этом к постквантовым криптопри-
митивам были предъявлены требования по теоретической (формально до-
казуемой) и практической стойкости. В рамках практической стойкости
определили пять уровней стойкости относительно известных классических
и квантовых атак.
Для асимметричных систем шифрования (от слабых требований к силь-
ным):
стойкость к угрозе различения шифротекстов относительно атаки
на основе подобранного открытого текста (IND-CPA);
стойкость к угрозе различения шифротекстов относительно атаки
на основе подобранного шифрованного текста (INDCCA);
стойкость к угрозе различения шифротекстов относительно атаки
на основе (неадаптивно) подобранного открытого текста (1ND-CPA1);
стойкость к угрозе различения шифротекстов относительно атаки
на основе (неадаптивно) подобранного шифрованного текста (IND-
ССА1);
стойкость к угрозе различения шифротекстов относительно атаки
на основе адаптивно подобранного открытого текста (IND-CPA2);
стойкость к угрозе различения шифротекстов относительно атаки
на основе адаптивно подобранного шифротекста (INDCCA2).
Для с.гел/ цифровой подписи (от слабых требований к сильным):
сильная стойкость к подделке относительно атак на основе подобранных
сообщений (SUFCMA);
стойкость к экзистенциальной подделке относительно атак на основе
подобранных сообщений (EUF-CMA).
Практическая стойкость определялась так (от слабых требований к сильным).
1 уровень — эквивалентно определению ключа 128-битового блочного шифра
(«вероятно, безопасные алгоритмы в обозримом будущем (если квантовый
компьютер не окажется более производительным, чем ожидается)»).
II уровень — эквивалентно поиску коллизии 256 битовой хеш-функции
(«вероятно, безопасные алгоритмы в обозримом будущем»),
III уровень — эквивалентно определению ключа 256-битового блочного
шифра («вероятно, безопасные алгоритмы в обозримом будущем»),
IV уровень — эквивалентно поиску коллизии 384-битовой хеш-функции
(«вероятно, чрезмерные по стойкости алгоритмы»),
V уровень — эквивалентно определению ключа 256-битового блочного шиф-
ра («вероятно, чрезмерные по стойкости алгоритмы»).
Учитывалась также практическая применимость предлагаемых криптопри-
митивов, в том числе эффективность работы (разные аппаратные платфор-
мы, возможность распараллеливания вычислений и пр.), ресурсоемкость
(размеры ключей и подписи; время на генерацию ключей и подписи; время на
проверку подписи и пр.), трудоемкость и др. Например, для схем электрон-
ной подписи определяющими параметрами стали длины ключей (особенно
открытого ключа) и цифровой подписи, менее важными — время генерации,
подписания и проверки (см. табл. 4.3).
Всего на конкурс N1ST было представлено 82 заявки, допущено — 69 (49 алго-
ритмов асимметричного шифрования и 20 алгоритмов электронной подписи).
Тридцатого января 2019 года подвели итоги первого раунда (2016-2019 годы)
KOHKypcaNIST, по результатам которого 26 алгоритмов-кандидатов прошли
во второй раунд конкурса (2019-2020 годы). Поправки и улучшения этих
алгоритмов принимались до 15 марта 2019 года.
В июле 2020 года NIST анонсировал третий раунд конкурса (2020-2022 годы),
который продлился примерно два года и позволил определить финали-
стов конкурса. В него прошли 15 алгоритмов асимметричного шифрования
(public-key encryption) и цифровой подписи (digital signatures): семь основ-
ных и восемь альтернативных. В настоящее время упомянутые криптосхемы
проходят верификацию, по результатам которой будет принято решение
о выводе этих алгоритмов на международную стандартизацию1.
1 Подробнее ознакомиться с результатами конкурса NIST можно по следующим ссылкам: https://
csrc.nist.gov/Projects/post-quantuni-cryptography/Round-l-Submissions, httpey/csrc.nist.gov/
Projects/post-quantum-cryptography/round-2-submissions https://csrc.nist.gov/Projects/post-
quantum-cryptography/round-3-submissions.
Примеры криптосистем
на основе теории решеток
Общая схема (на примере RLWE)
4 — распределение ошибки (обычно Гауссово)
Секретный ключ — s g pR
Открытый ключ — as + е, a g R е — ошибка.
Аналог схемы Диффи — Хеллмана: as + е, bs'+ еобщий ключ о = ass ’+
+ е's ~ ass' + es’; s,s', е, е' — малы относительно некоторой нормы.
Криптосхема GGH
(fl
Секретный ключ — базис R = 1 , унимодулярная матрица U.
)
( Ь.
Открытый ключ — базис В = = UR.
\b2j
Шифрование: с = Е(т) = тВ + е.
Дешифрование: D(c) = сД 1 = cUBB1; ошибка ей мала и удаляется
округлением.
Анализ: сводится к частному случаю задачи CVP.
Криптосхемы
Схема Меркле — Хеллмана, 1978 (укладка рюкзака) — взломана
(Шамир, 1984).
Схема Аджатаи — Дворка, 1997 (вариант SVP) — взломана (Нгуен,
1998).
Схема Голдрайха — Голдвассер — Халеви (GGH), 1997 (CVP) — взло-
мана (Нгуен, 1999).
NTRU (Хоффштейн, Пайфер, Силверман, 1996) (CVP) — шифрова-
ние, подпись.
BLISS (Дукас и др., 2013) (CVP, не доказано).
RLWE-KEX (Регев и др., 2005) (RLWE — предположительно сводится
к CVP).
NewHope (Алкимидр., 2015) — реализован Google, Infineon (RLWE) и др.
Кандидатами на новый постквантовый стандарт асимметричного шифрова-
ния1 стали следующие алгоритмы.
1. Classic McEliece — основан на теории кодирования и кодах, исправля-
ющих ошибки. Криптосхема Мак-Элиса была предложена еще в 1979 году
и хорошо изучена. Ее несколько раз взламывали российские специалисты
для частных случаев. Однако при использовании кодов Гоппы остается
стойкой. Обладает малыми размерами шифротекстов, но большим раз-
мером ключа. Из-за этого криптосхема имеет проблемы, аналогичные
криптосхеме Rainbow. Рекомендуется к использованию для решения
ряда специфических задач.
2. CRYSTALS-КуЬег — основан на теории решеток. Криптоанализ сво-
дится к решению задачи Module-LWE. Для обеспечения стойкости
к атакам с адаптивно подобранными шифротекстами используется
преобразование Фуджисаки — Окамото. Имеет хорошую произво-
дительность и безопасность, но N1ST напоминает, что Module-LWE —
относительно малоизученная проблема и требует более детального
криптоанализа.
3. NTRU— основан на теории решеток. За основу взята схема NTRUEncrypt,
предложенная более 20 лет назад. Проблема NTRU, в отличие от Module-
LWE (и других модификаций), была хорошо изучена, что является очень
важным фактором.
4. SABER — основан на теории решеток. Криптоанализ сводится к проблеме
MLWR (Module-LWE, где вместо сложения с вектором ошибки — окру-
гление по меньшему модулю). Используется преобразование Фуджиса-
ки — Окамото, как и в CRYSTALS-Kyber.
Для использования в общем случае рекомендованы схемы на основе теории
решеток, которые основаны на ряде сложных задач:
NP-задачи поиска кратчайшего вектора (SVP) и поиска ближайшего
вектора (СУР);
задача обучения с ошибками (LWE, RLWE);
задача поиска наименьшего целочисленного решения системы линейных
алгебраических уравнений (S1S) и др.
Следует иметь в виду, что только одна из схем на решетках (CRYSTALS-
Kyber, NTRU, SABER) будет стандартизирована.
https://csrc.nist.gov/Projects/post-quantum-cryptography/Found-3-subniissions.
Криптосистемы
на основе теории кодирования
Сложная задача — декодирование линейного кода.
Криптосхемы
Мак-Элис, 1978 — взломана для ряда вариантов (Сидельников, 1990-е),
однако для кодов Тонны считается стойкой. Рассматривается Евро-
комиссией как перспективная.
Нидеррайтер, 1986 — аналогично.
Пример: криптосхема Мак-Элиса
G — порождающая матрица двоичного линейного (а, /г)-кода, исправ-
ляющего k ошибок.
S е RGL(k, 2) — случайная матрица.
Р - подстановочная матрица п х п.
G' = SGP, (G‘,t) — открытый ключ, (5, G, Р) — секретный ключ.
Шифрование: с = Е(т) = mG'+ е,е— случайный вектор веса t.
Дешифрование: с'= с • Р~‘; т' — результат .декодирования кода G;
т = т' • 5
Кандидатами на новый постквантовый стандарт цифровой подписи1
(см. табл. 4.3) стали следующие алгоритмы.
1. CRYSTALS-Dilithium — основан на теории решеток. За основу взят про-
токол Фиата — Шамира с прерываниями. Криптоанализ сводится к ре-
шению задач Module-LWE и Module-SIS. Имеет хорошую произво-
дительность и может быть эффективно реализован на малоресурсных
устройствах. NIST попросили авторов добавить набор общесистемных
параметров для пятого уровня безопасности.
2. FALCON — основан на теории решеток. За основу взят фреймворк GPV.
Криптоанализ сводится к задаче SIS на NTRU-решетках. Главным недо-
https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions.
статном этой схемы является сложная программная и аппаратная реали-
зация. Схема использует вычисления над числами с плавающей запятой,
что сильно усложняет анализ стойкости к атакам по сторонним каналам
и делает трудной реализацию для малоресурсных устройств.
3. Rainbow — основан на мультивариативных преобразованиях. За основу
взята схема UOV. Главным преимуществом является размер цифровой
подписи. Но из-за большого размера ключа эту схему рекомендуется
использовать только для специфических задач, где размер ключей не-
критичен.
Здесь тоже будет стандартизирована только одна из схем — CRYSTALS-
Dilithium и FALCON. Таким образом, для стандарта цифровой подписи
отобраны схемы на основе теории решеток, а для более специфических за-
дач — схема Rainbow.
Криптосистемы на многочленах
от многих переменных
Сложная задача — решение системы полиномиальных уравнений над
конечным полем (NP-полная). XL, F4, F5 и т. д.
Криптосхемы
Мацумото - Имаи (1988) — взломана (Патарин, 1995).
HFE, Патарин (1996) — взломана (Шамир, Фужер, 2002).
Rainbow (Петцольд, Булыгин, Бухманн, 2010) - подпись.
Пример: криптосхема Мак-Элиса
В конечном поле К выбираются легкообратимое квадратичное ото-
бражение F: К" —> К"', т > п, и обратимые линейные отображения S:
К"' Кт, Т: К" К".
Секретный ключ - отображения S, F, Т
Открытый ключ - отображение Р= 5 ° F° Т
Шифрование: m е К, с = Е{т) = Р(пг).
Дешифрование: х = .S’ '(с), у = F l(x), т = Т '(у)-
Криптосхемы на хешировании
схемы подписи
Стойкость схемы водится к предположению о стойкости используемой
хеш-функции.
Криптосхемы
Древовидная подпись Меркле, 1979.
XMSS (Бухманн, Дамен, Хюльзинг, 2001).
SPHINCS (Бернштейн и др., 2015).
LMS.
Выработка подписи
Выбрать неиспользованную пару (X, У), вычислить соответствующую
одноразовую подпись 5построить путь от листа до корня (Ло... А ), опре-
делить auth (г = 0 п - 1) как другой лист соответствующей ветки, такой
что Л; + 1 = Н(Л) || auth),
Подпись равна 5 = (S'|| X || У || auth01| 51| auth; Д.
Проверка подписи
Подпись верна, если S' — верная одноразовая подпись и при этом А = Р,
где Л; = Н{А - 1 || auth Д, j = 1... п.
Криптосхемы на основе изогений
эллиптических кривых
Сложная задача — поиск пути в графе изогений между суперсингуляр-
ными эллиптическими кривыми над GF(p2). Классическая сложность —
О(р1/2); квантовая сложность —
Криптосхемы
Ростовцев, Столбунов, 2006 — несуперсингулярные кривые, проде-
монстрирована эффективная квантовая атака.
SIDH (Supersingular Isogeny Diffie — Hellman), де Фео, Плут, Яо, 2011.
CSIDH, 2017.
Изогонии в конкурсе NIST-PQ
SIKE.
Схема де Фео — Яо — Плута
еА
А
Р =
в • /±1, (/л, f) = (JB, f) = 1, суперсингулярная эллиптическая
кривая E0(GF(p2)) и базисы {Р4, и \Р:. Q;J|, которые порождают соот-
ветственно Ео =
ел
А
ев
В
нЕп =
Абонент А выбирает т , п е RZ / л Z, и строит изогению ф : Е —> ЕА с ядром
А
К, := ([т4]Р4 + [ил] Q4). Абонент А также вычисляет образ {ф, (Р£), ф 4(<2В)}
и посылает их В вместе с эллиптической кривой Е . Абонент В выбирает
тв, пв g BZ/ в Z, и строит изогению фв: Ео —> Ев с ядром Кв := ([m£]Ps +
В
+ Абонент В также вычисляет образ {ф£(Р ), фл((2в)} и посылает
их и Евабоненту А.
Абонент А строит изогению фл': Ев —>Елвс ядром <[тл]фв(Рл) + [ял]фа<С?л)>.
Общий ключ — /инвариант кривой Е = ф '(ф .(Ео)) = ф',(<рв(Е0) ) =
= Ее/ {[тА]РА + 1пл]Qa, [тв]Рв + [rej QB).
Кроме того, NIST отобрал восемь альтернативных схем, из которых пять
представлены как схемы асимметричного шифрования1.
1. BIKE — основана на теории кодирования и кодах, исправляющих ошибки.
Требует более детального исследования вопросов безопасности.
2. FrodoKEM — основана на теории решеток. Криптоанализ сводится к пробле-
ме LWE, которая лучше изучена, чем Module-LWE (и другие разновидно-
сти). Имеет слишком медленные алгоритмы шифрования/дешифрования.
3. HQC — основана на теории кодирования и кодах, исправляющих ошиб-
ки. Базируется на квазициклических кодах. Имеет слишком медленные
алгоритмы шифрования/дешифрования.
4. NTRV Prime — основана на теории решеток. Имеет хорошую защищен-
ность от алгебраических атак.
5. SIKE — единственная схема среди поданных на конкурс, которая бази-
руется на изогениях эллиптических кривых. В основе лежит решение
сложной задачи поиска пути в графе изогений между суперсингулярными
эллиптическими кривыми. Требует более детального изучения.
Альтернативными схемами цифровой подписи стали (табл. 4.4).
1. SPH1NCS+ и Picnic — схемы на основе симметричных криптопримитивов.
Криптоанализ SPHINCS+ сводится к стойкости хеш-функций, Picnic —
к NIZK и блочным шифрам. Обе довольно новые и малоизученные. Глав-
ный недостаток этих схем — огромный размер подписи, что делает их
неприменимыми для многих задач.
2. GeMSS — похожа на Rainbow, но основана на HFE вместо UOV. Имеет
больший размер ключа и более медленный процесс подписи. Выбрана
в качестве альтернативы на случай нахождения уязвимостей в Rainbow.
Пятнадцать алгоритмов асимметричного шифрования (public-key encryp-
tion) и цифровой подписи (digital signatures) (семь основных и восемь альтер-
нативных) стали финалистами третьего раунда конкурса NIST. В их основе
лежат современные результаты постквантовой криптографии:
на целочисленных решетках;
кодах, исправляющих ошибки;
многочленах от многих переменных;
криптографических хеш-функциях;
изогениях суперсингулярных эллиптических кривых и др.
https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions.
Таблица 4.4. Постквантовые криптопримитивы электронной подписи
конкурса NIST
Алгоритмы Конкретная реали- зация Посткванто- вый подход Закры- тый ключ, байт Откры- тый ключ, байт Длина подписи, байт Кате- гория безопас- ности
CRYSTALS- D ilitiu m Dilitium_medium Теооия цело численных решеток (Lattice based cr yoiog raphyj 28С0 1184 2044 1
Dilitium_recommendea 3504 1472 2701 2
Dilitium_very_high 3856 1760 3366 3
Falcon Falcon1024 8193 1793 1330 5
Falcon512 4097 897 690 1
Falcon768 6145 1441 1077 3
GeMSS GeMSS128 Многочлены ОТ многих переменных (multivariate 14 208 417 408 48 1
GeMSS192 39 440 1 304 192 88 3
GeMSS256 82 056 3 603 792 104 5
Rainbow la с ‘yotograpnyj 100 20° 152 097 64 1
lb 114 308 163 185 78 1
Ic 143 385 192 241 104 1
lllb 409 463 564 535 112 3
lllc 537 781 720 793 156 3
IVa 376141 565 489 92 4
Vc 1 274 317 1 723 681 204 5
Via 892 079 1 351 361 118 5
Vlb 1 016 868 1 456 225 147 5
Picnic P icnicl 1 fs Криптогра фические хеш функции (hash-based 49 33 34 004 1
Picnicllur 49 33 53 933 1
Picnicl3fs 73 49 76 744 3
Picnicl3ur cryptography) 73 49 121 817 3
Picnicl5fs 97 65 132 828 5
Picn iclSu г 97 65 209 478 5
Sphincs+ Sphincs-sha256 128f 64 32 16 976 1
128s 64 32 8080 1
192f 96 48 35 664 3
192s 128 48 17 064 3
256f 128 64 49 216 5
256s 128 64 29 792 5
В настоящее время названные финалисты конкурса N1ST проходят вери-
фикацию, по результатам которой (ориентировочно к 2023 году) будет
принято решение о выводе постквантовых алгоритмов на этап междуна-
родной стандартизации. Пятого июля 2022 года NIST представил первых
победителей упомянутого конкурса: алгоритм асимметричного шифрования
CRYSTALS Kyber и три алгоритма электронной подписи CRYSTALS-
Dilithium, FALCON и SPH1NCS+1.
4.3. Метод параметрического выбора
постквантовых криптопримитивов
Рассмотрим возможный метод параметрического выбора постквантовых
примитивов для создания требуемых квантово-устойчивых блокчейн-эко-
систем и платформ цифровой экономики Российской Федерации на основе
теории многокритериальной оптимизации. По шагам общая схема упомя-
нутого метода выглядит следующим образом.
Шаг 1. Формирование предварительной выборки криптопримитивов (на-
пример, по результатам конкурса NIST и/иди результатам аналогичного
конкурса в России), которые будут использоваться для создания квантово-
устойчивой блокчейн-платформы.
Шаг 2. Оценка влияния криптопримитивов на значения количественных
показателей квантовой устойчивости и безопасности блокчейн-илатфор-
мы. Здесь под квантовой устойчивостью блокчейн-платформы понимается
ее способность достигать целей функционирования в условиях квантовых
атак злоумышленников, осуществляемых с помощью «криптографически
релевантного (значимого) квантового компьютера» (CRQC).
Шаг 3. Оценка угроз устойчивости и безопасности блокчейн-платформы,
в первую очередь ее стойкости к известным и новым квантовым криптоа-
такам.
Шаг 4. Оценка уязвимостей программно-технической реализации пост-
квантовых криптопримитивов в блокчейн-платформе.
Шаг 5. Оценка рисков нарушения устойчивости и безопасности квантово-
устойчивой блокчейн-платформы.
https://www.nist.gor/iiews-events/news/2022/07/iiist-announces-first-four-quantum-resistant-
cryptographic-algorithms.
Шаг 6. Оценка эффективности и практической применимости постквантовых
примитивов блокчейн-платформы.
Шаг 7. Принятие решения о достаточности постквантовых примитивов для
создания квантово-устойчивой блокчейн-платформы.
В целом задача параметрического выбора постквантовых примитивов для
создания квантово-устойчивой блокчейн-платформы относится к классу
слабоструктурированных задач, в описании которых присутствуют не только
числовые (количественные), но и нечисловые (качественные) характери-
стики [1, 9-15, 17-19, 23, 25, 55-60, 74-76, 183, 290, 300, 301]. При этом
достоверность некоторых характеристик может вызывать сомнения. При-
чины этого лежат в необходимости анализировать большое количество раз-
нородных параметров устойчивости и безопасности блокчейн-платформы,
многие из которых меняются во времени или известны неточно. Следует
признать, что в настоящее время невозможно получить исчерпывающее
количественное описание структуры и поведения блокчейн-платформы
с требуемой устойчивостью и безопасностью. Прежде всего потому, что,
во-первых, за время, необходимое для его получения, обстановка может
сильно измениться. И во-вторых, если удастся получить подобное описание,
воспользоваться им будет или невозможно, или нецелесообразно — ввиду его
сложности и потребности в значительных вычислительных ресурсах, необ-
ходимых для реализации. По этим причинам анализ квантово-устойчивости
блокчейн-платформы и оценку ее характеристик почти всегда выполняет
непосредственно лицо, принимающее решение, — криптоаналитик. Для этого
могут быть использованы соответствующие средства автоматизации, в том
числе системы поддержки принятия решений (СППР), основанные на зна-
ниях. Общим для них является объединение в единой автоматизированной
среде методов количественного и формализованного нечислового описания
структуры и поведения квантово-устойчивой блокчейн-платформы и инте-
грирование в нее в качестве активного компонента интеллекта лица, при-
нимающего решение [1,9-15,17-19,23,25,55-60,74-76,183,290,300,301].
Сегодня известны многочисленные методы обработки нечисловой информа-
ции, среди которых широкое распространение получили методы экспертных
оценок. При их использовании главным источником информации служит
эксперт. Идеей, лежащей в основе использования методов экспертных оце-
нок, является декомпозиция сложной трудноформализуемой задачи на
последовательность более простых подзадач, соответствующих определен-
ному виду элементарных экспертиз. Оценка параметров входит в число
наиболее распространенных элементарных экспертиз. Как правило, под
оценкой нечисловой информации понимается приписывание нечисловым
характеристикам количественных или качественных значений по выбранной
шкале измерений. В общем случае оценка заключается в назначении веро-
ятностей совершения событий, реализации угрозы, дат событий или весов.
Определение весовых коэффициентов рисков нарушения безопасности
и устойчивости блокчейн-платформы используется для их упорядочения
и определения первоочередных действий по защите. В том числе при выборе
требуемых постквантовых криптопримитивов. Полезность и необходимость
проведения групповой экспертизы с помощью опросных листов не вызывает
сомнений. Однако предпочтительнее использовать мнение одного эксперта.
Причины этого таковы [1, 9-15, 290, 300, 301].
1. По Эрроу, эксперты в группе далеко не равноправны — в силу неодина-
ковых знаний о проблемной ситуации, разного веса в обществе и т. п. Как
правило, при построении группового мнения авторы методов групповой
экспертизы рекомендуют организатору экспертизы учитывать индивиду-
альные мнения экспертов посредством разных коэффициентов значимо-
сти, относительной важности и т. д. Выбор такого рода коэффициентов
обычно произволен, поэтому их адекватность спорна.
2. Из-за разброса мнений экспертов групповое мнение может сильно отли-
чаться от мнения каждого эксперта в отдельности. Если, например, каждый
эксперт линейно упорядочивает имеющиеся альтернативы по предпочти-
тельности, то при использовании метода поиска медианы Кемени итоговое
упорядочение может заметно отличаться от любого из исходных.
3. При групповой экспертизе сложно получить согласованное мнение экс-
пертов. Разные способы его формирования приводят к разным результа-
там, а вопрос о выборе наиболее приемлемого мало изучен. Многошаговые
методы типа «Дельфи» позволяют сблизить мнения экспертов в группе.
Но, во-первых, единое мнение не гарантируется, и, во-вторых, причины, по
которым меняется первоначальное мнение эксперта, могут быть разными,
вплоть до страха «не угадать» правильный ответ. А принцип Кондорсе
свидетельствует о том, что мажоритарный подход при формировании
группового мнения чреват серьезными противоречиями.
4. Групповую экспертизу обычно трудно организовать, она требует больше
времени и затрат, а для построения результирующего мнения необходимы
сложные, трудоемкие методики.
На практике у криптоаналитика всегда возникают трудности при анализе
множества альтернатив, а если их количество велико и они плохо структу-
рированы, то линейное ранжирование альтернатив и выбор из них наиболее
значимой превращается в сложную задачу. Поскольку это предполагает субъ-
ективное измерение интегральной важности возможных сценариев в неявно
задаваемой порядковой шкале. Жесткий лимит времени на принятие решения,
необходимость учитывать нечисловые характеристики, обилие противоречи-
вых и не полностью определенных данных требует разработки новых подходов.
Один из таких сравнительно новых подходов — использование метода пар-
ных сравнений для сравнения и оценки возможных криптопримитивов.
Рассмотрим решение следующей задачи.
Дано
1. R = , г,, г3... гк) — множество криптопримитивов для создания квантово-
устойчивой блокчейн-платформы.
2. Каждый из рассматриваемых rg криптопримитивов характеризуется век-
тором характеристик z/s) = (y[gl уФ'-.. у(8\ y(g\... y{„g}), где y\s\ t = l...p
нечисловые характеристики, а г/*Ч j = p + l...n — числовые. Каждая
характеристика определяется в ходе анализа системных свойств крипто-
примитива (безопасность, эффективность, ресурсоемкость, устойчи-
вость и др.).
3. Предполагается, что в распоряжении криптоаналитика имеются удов-
летворяющие его весовые коэффициенты klm, учитывающие числовые
параметры у^\ j = р + 1... п, I = р + 1... п, т = р + 1... п. Для числовых па-
раметров это не является сложной задачей. Весовой коэффициент klm —
целое положительное число, которое несет информацию по результатам
сравнения конкретного криптопримитива у с другим криптопримити-
вом гт по рассматриваемой характеристике. Он используется только для
того, чтобы упорядочить криптопримитивы R = (гр r2, r3... гк\
Требуется: оценить учитывающие нечисловые характеристики весовые
коэффициенты возможных криптопримитивов и осуществить выбор до-
статочных криптопримитивов для создания квантово-устойчивой блокчейн-
платформы.
Предлагаемый вариант решения задачи основан на результатах математиче-
ских методов теории квалиметрических шкал, моделей линейного упорядоче-
ния альтернатив и парных сравнений [1,9-15,17-19,23,25,55-60,74-76,183,
290,300,301]. Отметим, что каждый из вышеназванных методов в отдельности
не позволяет решить поставленную задачу с приемлемыми для практических
нужд точностью и затратами вычислительных ресурсов. Но их интегрирование
в единый метод позволило приблизиться к оптимальному выбору криптопри-
митивов для создания квантово-устойчивой блокчейн-платформы.
Ряд научных работ [1, 9-15, 17-19, 23, 25, 55-60, 74-76, 183, 290, 300, 301]
свидетельствует о том, что назначение весовых коэффициентов или веро-
ятностей наступления каких-либо событий является сложной операцией
для криптоаналитика, поскольку при ее выполнении он допускает много
противоречий, а получаемые при этом оценки неточны. В то же время срав-
нение двух значений по шкале измерения одного параметра — допустимая
операция в непрерывных и дискретных интервальных и порядковых шкалах,
поскольку есть результаты экспериментов, свидетельствующие о том, что
криптоаналитик может выполнять подобные операции с малыми противо-
речиями. Поэтому попарно сравним криптопримитивы г с точки зрения их
значимости для создания квантово-устойчивой блокчейн-платформы по
фиксированной нечисловой характеристике, а результаты сравнений запи-
шем в виде матрицы парных сравнений А = (ars в вероятностной калибров-
ке {Белкин А. Р., Левин М. Ш. Принятие решений: комбинаторные модели
аппроксимации информации. — М.: Наука, 1990). При задании матрицы пар
ных сравнений в вероятностной калибровке потребовалось решить сложную
задачу — определить функцию принадлежности криптопримитивов к не-
четкому бинарному отношению большей значимости одного из них над дру-
гим по рассматриваемой характеристике р,, :RxR—> [0,1],рл(rprs) = P(rz >~rs),
>~ rs) — вероятность того, что при выборе криптопримитива rt вместо
это не позволит создать квантово-устойчивую блокчейн-платформу. Здесь
элементы матрицы парных сравнений в вероятностной калибровке удов-
летворяют следующим соотношениям: VzVj, 0<az). <1, а +а =1. Сравнив
попарно анализируемые криптопримитивы, криптоаналитик может доста-
точно точно поставить им в соответствие пункты шкалы строгого линейного
порядка — при условии, что количество пунктов шкалы не превосходит числа
7 + 2 (табл. 4.5). Последнее ограничение не является чрезмерно строгим, по-
скольку за счет флуктуации значений характеристик использование более
точных квалиметрических шкал может привести к неоправданным затратам
на их измерение. Представленная на рисунке шкала строгого линейного по-
рядка выполняет квантификацию качественных субъективных суждений
криптоаналитика о необходимости и достаточности криптопримитива /^для
создания квантово-устойчивой блокчейн-платформы по фиксированной
характеристике у\8\ t = 1... р, описываемой нечисловой величиной.
Для построения матрицы парных сравнений в вероятностной калибровке
квалиметрическая шкала строгого линейного порядка S = (11. R^ подвергает-
ся арифметизации. Задача арифметизации шкалы состоит в приписывании
определенных действительных чисел пунктам ht носителя Н шкалы 5 с со-
хранением заданных отношений, входящих в структуру R> этой шкалы. При
оценке весовых коэффициентов наиболее распространена ситуация, когда
арифметизация квалиметрической шкалы S = (H,R.^ происходит в условиях
дефицита информации, что проявляется в затруднении лица, принимающего
решение, отдать предпочтение той или иной допустимой арифметизации.
Основываясь на результатах математических методов теории квалиметри-
ческихшкал [1, 9-15,17-19,23, 25, 55-60,74-76,183, 290, 300,301], можно
получить следующие расчетные формулы.
Таблица 4.5. Шкала оценки вариантов действий криптоаналитика
для выбора требуемых криптопримитивов для создания
квантово-устойчивой блокчейн-платформы
Пункты квалиметрической шкалы б Определение значения Комментарий относительно смысла значения
Значимость криптопри- митива слабая Криптоаналитик полагает, что выбор это- го криптопримитива нецелесообразен
h2 Значимость криптопри- митива умеренная Криптоаналитик полагает, что выбор этого криптопримитива является необхо димым, но недостаточным
\ Значимость криптопри- митива существенная Криптоаналитик полагает, что выбоо этого криптопримигива является и не- обходимым. и достаточным
ф, h3, h5 Промежуточные оценки между двумя соседними суждениями Поименяются в компромиссных случаях
ht Значимость криптопри- митива очень сильная Криптоаналитик полагает, что выбор этого криптопримигива предпочтителен для создания квантово устойчивой блок- чейн платформы
Пусть в результате попарного сравнения криптопримитивов г, и по фик-
сированной нечисловой характеристике криптоаналитик относит крипто-
примитив rt к пункту hn квалиметрической шкалы строгого линейного по-
рядка5 = ^Н,Я>'^,где,.Н = (\, hv h2, h-t, hv й5) /z6),napa(/z(, 7 = 0,1... 5,
ht, z = 0,1... 6 — пункты приведенной в табл. 4.5 шкалы 5; 7^ — отношение
строгого линейного порядка, заданное на носителе Н, а риск является
параметром пункта h при p^q.
Тогда элементы матрицы парных сравнений криптопримитивов A (f, к) = (ай 1
в вероятностной калибровке определяются следующим образом:
Z 5-1 Z
5=1 g=0 г=0
aji = ^~air
где pip^} — вероятность приписывания пункту hp \hqj шкалы S = (1I,
числового значения s/z, s = 0,1... z (q/z, q = Q,1... z) в результате ариф-
метизации шкалы 5 = {li, R^b нормированную шкалу баллов S = (Н, R_ у
L 1 2 г-1 .1
с носителем шкалы Z = <0,, 1 > и отношением линейного порядка
[ z z z J
Л с помощью нормированного стохастического процесса с равновероят-
ными монотонными траекториями, которые представляют собой наборы
точек прямоугольной целочисленной решетки | 0, m-t-1] х[0, г] размером
(т + 2)(z + 1).
В случае шкалы, представленной в табл. 4.5, т = 5. Эти вероятности рас-
считываются по следующим формулам:
( p + s — V\('5 — p + z — s V5 + z'
А =
5 Д Z-S Д Z
(p + q - lY5- р + z-q\(5 + z
q Д z-q Д z
В данном случае погрешность арифметизации оценивается дисперсией
случайной величины, принимающей числовое значение s/z, s = 0,1... z
(q/z, q = 0,1... z).
Отличительная особенность прилагаемого подхода — то, что в данном случае
обходится вопрос, что использовать в качестве интегральной оценки слу-
чайной величины, принимающей числовое значение s/z, s = 0,1... z— мате-
матическое ожидание, медиану или что-то еще. Нам важны лишь значения
такой безразмерной величины, как субъективная вероятность значимости
одного криптопримитива перед другим. Уже это позволит построить матрицу
парных сравнений, отражающую систему предпочтений лица, принимающего
решения. При отнесении криптоаналитиком двух криптопримитивов к од-
ному пункту квалиметрической шкалы (р = q) рассматриваемые варианты
эквивалентны с точки зрения криптоаналитика и а., = 0,5.
После утверждения криптоаналитиком предложенных ему весовых ко-
эффициентов k- = а криптопримитивов rg по фиксированной нечисловой
характеристике криптопримитивы упорядочиваются с помощью постро-
енной матрицы парных сравнений А = (ats) Полученная матрица парных
сравнений содержит исходные данные для моделей линейного упорядочения
альтернатив. Любая модель задает однозначное соответствие между про-
извольной матрицей парных сравнений А = (аи ) и подмножеством опти-
мальных упорядочений ^Opt(^)/;</<- Сравнительный анализ известных моделей
линейного упорядочения позволил сделать вывод о целесообразности при-
менения модели функции доминирования для выбора оптимального крип-
топримитива (-ов) для создания квантово-устойчивой блокчейн-платформы.
Модель функции доминирования ориентирована на обработку нечетких
предпочтений лица, принимающего решения, при интерпретации элементов
матрицы парных сравнений А = (ай )fo/; степенью принадлежности сравнивае-
мых криптопримитивов г, и /г к нечеткому отношению предпочтения, задан-
ному на множестве /’ = (/’, r2, rs... rk). В этом случае функция доминирования
Lr (г,) = max a lt характеризует значимость криптопримитива гг Криптоприми-
тивы R = (?j, r2, r3... rk) упорядочиваются по возрастанию функции доминиро-
вания. При этом дополнительные ранжирующие факторы не используются.
Поэтому после упорядочения криптопримитивов rt каждому из них при-
сваивается числовое значение y\g\ t = 1... р, равное минимальному номеру
криптопримитива г. в оптимальном упорядочении = min Nt (/opt (А)ш
Первоначально модель функции доминирования криптопримитивов была
разработана для обработки матриц с вероятностной калибровкой, а впо-
следствии обобщена для обработки матриц с калибровками типа турнирной,
степенной, кососимметрической. Модель обладает свойствами инвариант-
ности к растяжению и сдвигу, сохранения доминирования, положительной
реакции, устойчивости в малом и сходством разных оптимальных упорядо-
чений. Для матриц с вероятностной калибровкой модель допускает коли-
чественное измерение дополнительных характеристик криптопримитивов.
При этом такая модель не обладает свойством транспонируемости, что
с избытком компенсируется ее положительными свойствами и простотой
программной реализации.
Аналогичное рассмотрение значимости криптопримитивов по другим ха-
рактеристикам приводит к рассмотрению задачи многокритериальной
оптимизации, которая характеризуется тем, что бинарное отношение пред-
почтения R на множестве криптопримитивов R-(rv <гг, *3... rk\ из кото-
рого следует осуществить выбор наиболее значимого криптопримитива,
связано с векторным критерием эффективности IV^g^^V, (g), IV2(g),
(g). (g))- в простейшем случае векторный критерий эффективности
IV(g) = (U7 (g), W2 (g), IV. (g)... Wf (g)j совпадает с вектором характеристик
z/V) = g2g)... y^\ y'p+i--- Сама постановка задачи оценки и выбора
необходимых и достаточных криптопримитивов для создания квантово-
устойчивой блокчейн-платформы определяет центральную роль крип-
тоаналитика, проводящего данный анализ. Поэтому одна из причин раз-
личия известных методов поведения в подобной ситуации связана
с определенными предположениями о возможностях человека. Если не при-
нимать их во внимание, то лучшими методами являются аксиоматические
[1, 9-15, 17-19, 23, 25, 55-60, 74-76,183, 290, 300, 301]. Критика этих мето-
дов направлена на выявление как слабых мест в существующем подходе
с целью совершенствовать теорию, так и основ аксиоматических методов —
способов получения информации от лица, принимающего решение.
В случае, когда бинарное отношение предпочтения на множестве крипто-
примитивов R = (г,, г,, г3... гк) задано, предполагается, что основным источни-
ком информации служит криптоаналитик, располагающий сведениями для
принятия единственно правильного решения. Выявление системы предпо-
чтений криптоаналитика представляет собой одну из главных проблем при
решении многокритериальных задач. В последнее время накоплено немало
данных психологических исследований, показывающих, что при сравнении
многокритериальных вариантов решений, оценки их общей полезности по-
ведение криптоаналитика может существенно отличаться от рационального.
Могут нарушаться условия последовательности, устойчивости, транзитив-
ности в выделении предпочтений, проявляться стремление к упрощению
задачи, использованию упрощенных стратегий: перевод отдельных крите-
риев в ограничения, их неучет и т. и. Такое поведение криптоаналитика при
решении многокритериальных задач часто является повторяющимся и за-
кономерным. Понимаемая подобным образом многокритериальная задача
выбора необходимых и достаточных криптопримитивов для создания кван-
тово-устойчивой блокчейн-платформы относится к числу слабоструктури-
рованных, в которых основное внимание уделяется определению, что считать
наилучшей альтернативой в задаче с несколькими целевыми функциями,
которые противоречивы и достигают максимума в разных точках множе-
ства альтернатив — множества рисков R = (г(, г,, г3... гк), а вычислительные
трудности как бы отступают на второй план. В настоящее время известны
многочисленные процедуры решения подобных многокритериальных задач
и предложена их классификация.
В другом классе задач многокритериальной оптимизации под бинарным
отношением предпочтения R> понимается отношение Парето или Слейтера
[1,9-15,17-19,23,25,55-60.74-76,183,290,300,301], порождаемое параме-
трическим семейством (системой) критериев сравнительной эффективности:
Фл = {(р,-1 7v2 —> £ ', i =
4>i(rt’rs)’ ^ = Ж(Г/)-Ж(Г4)
и i = I — критерий эффективности.
Зададим бинарные отношения следующим образом:
R1^ ={(?;, г5)е7?2| фл(гг г4)еА(}, / = 1, 2,
где:
Aj = |z е Е'+1 z 01, А, = |z е Е'+1 z > 0j,
El+ = {z = (zlt z.>... z,)e El zp z2... z, > 0 [ — конус из неотрицательного ортанта
пространства Е1.
В соответствии с заданием отношения R^ векторные критерии эффектив-
ности lV(g) = (IV, (g), IV2(g), !V,(g)... 1Е/(^))иконусыА/, i = i, 2,определяют
следующие бинарные отношения:
rtR^rs о IV (rt)~(л)> ? = !•../, и IV(^'WlV(r5)
rX2>/; w,(г,)>wXrS
Отношение R^ получило название отношения Парето, R'J' — строгого до-
минирования (отношение Слейтера). Из определения видно, что решение
Парето оптимально, если значение любого из критериев можно улучшить
лишь за счет ухудшения значений некоторых других критериев. Если обозна-
чить ядра отношений R^ и R^ (подмножества максимальных в R элементов)
через P(R, IV) и S(R, IV) соответственно, то ядро 5( R, IV) называется мно-
жеством полуэффективных (слабоэффективных, оптимальных по Слейтеру)
точек, a P(R, IV) — множеством эффективных (оптимальных по Парето)
точек. Очевидно, что нахождение оптимальных по Парето точек в большей
степени позволяет сузить область возможных решений. Поэтому в даль-
нейшем будем использовать только отношение Парето для решения задачи
параметрического выбора криптопримитивов, достаточных для создания
квантово-устойчивой блокчейн-платформы. При этом если решение данной
задачи заключается в отыскании множества Парето, то методологические
проблемы не возникают, остаются лишь трудности вычислительного харак-
тера [55-60, 74-76, 183, 290].
Отметим, что сегодня известны разные методы выделения множества эф-
фективных (оптимальных по Парето) решений, но до полного решения всех
практических задач далеко из-за сложности получения всего множества
Парето и большого числа его элементов (множество Парето может совпадать
со всей областью определения критериев, P(R, Ж) = R [55-60].
Свертки векторного критерия, позволяющие свести многокритериальные
задачи оптимизации к однокритериальной, относятся к методам выделения
оптимальных решений из всего множества Парето и удовлетворяют сле-
дующим условиям: оптимизация любой свертки принадлежит множеству
Парето; для любой точки Парето существует свертка, оптимизация которой
как угодно близка к данной точке. Будем считать, что при решении рассма-
триваемой задачи параметрического выбора криптопримитивов наиболее
эффективны именно человеко-машинные процедуры, поскольку одних фор-
мальных приемов недостаточно и рано или поздно приходится обращаться
за помощью к криптоаналитику.
Практика выбора криптопримитивов показала, что частные критерии 1Ц (g)
могут быть неравнозначными с точки зрения криптоаналитика и несопо-
ставимы между собой: измерены в разных единицах измерения, области их
значений не совпадают и т. д. Назначение весовых коэффициентов, учиты-
вающих неодинаковую значимость критериев весьма субъективно
и может расходиться у разных криптоаналитиков. Более того, обзор ме-
тодов назначения весов свидетельствует о том, что эта задача корректно
еще не решена. Поэтому было предложено следующее. Поскольку область
Парето-оптимальных решений по выбору криптопримитивов не зависит от
масштаба измерения критериев llz (g), построение области Парето P(R, IV)
по конечному множеству криптопримитивов R = (rl, г2, г.,... /^сводится к не-
посредственному применению определения отношения Парето R[^ при
IV( (g) = у\е\ Если критерии U' (g) неравнозначны, то они упорядочиваются
либо криптоаналитиком, либо с помощью одной из моделей линейного
упорядочения альтернатив. Затем по векторам (g) = области Парето
P(R, IV) выделяют более значимые криптопримитивы для создания кван-
тово-устойчивой блокчейн-платформы в результате применения механизма
лексико-графической оптимизации с уступками, определяемого вектором
уступок5 = (5Р §2... Sj). Если в результате применения данного механизма
предпочтительными окажутся несколько криптопримитивов, уточнить по-
лученный результат может криптоаналитик, либо исходя из собственных
представлений, либо задав другие величины вектора уступок. Если дополни-
тельно к векторному критерию эффективности будут заданы требования для
обеспечения заданного уровня практической стойкости криптопримитивов,
то идея решения задачи будет следующей.
Интерпретируя предъявляемые к криптопримитивам требования точкой
или и-мерным параллелепипедом в Евклидовом пространстве Е”, вы-
числяется расстояние р между векторным критерием эффективности
|V(g) = (iy (g), JV2(g), IV, (g)... IV„(g)) и областью требований Т. В силу
эквивалентности норм конечномерного евклидова пространства в качестве
расстояния можно использовать евклидову норму вектора расстояния
р = р(1У, Г)||. Привычислении расстояния в случае равнозначности частных
критериев используются нормализованные вектора. Нормализация векторов
из области Парето позволяет обеспечить их сопоставимость между собой,
поскольку при нормализации области их изменения устанавливаются рав-
ными друг другу. При условии неравнозначности частных критериев век-
торного критерия эффективности IV(g) = (Wj (g), W2 (g), (g)... (gj'j
применяется механизм лексико-графической оптимизации с уступками.
Существование решения обеспечивается конечностью компонентов векто-
ров криптопримитивов /? = (ф, г2, г3... г4), критерия эффективности W(g) =
= (^ (g)> W2(g), Щв)- W„(g)) (характеристик у{ё} = (y\g\ y(g\.. y{g\
(g) (g) z z
Ур+] • ♦ • I) и вектора требовании, а единственность — способом представ-
ления области или точки требований, характеристик и однозначностью
проведения всех расчетов по вычислению расстояния. Выбор оптимального
криптопримитива осуществляется методом перебора для каждого критерия
(g) (характеристики у^) криптопримитива гг В случае неравнозначности
частных критериев W решение зависит от системы предпочтений криптоа-
налитика. Таким образом, формальные методы теории многокритериальной
оптимизации позволяют выделить множество криптопримитивов, необхо-
димых и достаточных для создания квантово-устойчивой блокчейн-плат-
формы, из которых криптоаналитик может выбрать единственно правильное
решение.
4.4. Примеры создания и пилотного
внедрения квантово-устойчивых
блокчейнов
Блокчейн — развивающаяся инновационная технология, которая может
быть использована в разных областях человеческой деятельности. Это пре-
жде всего разнообразные производственно-сбытовые цепочки, транспорт,
торговля сельскохозяйственной продукцией, финансовые услуги, услуги
государственных учреждений, туризм, музыка и изобразительное искусство,
сфера здравоохранения и др. Чем больше субъектов взаимодействуют, тем
больший эффект получает система от использования распределенных ре-
естров для фиксации и защиты транзакций.
К основным достоинствам внедрения блокчейна относятся следующие
(рис. 4.12).
32 Уо ।
Достижение большей скорости транзакций
Новые бизнес-модели и источники дохода
Более высокий уровень безопасности/меньше рисков
Снижение издеожек
Другие причины
21 %
16%
3%
Рис. 4.12. Достоинства внедрения технологии блокчейн
В российских компаниях блокчейн нашел самое разнообразное применение.
Среди успешно реализованных проектов максимальное число проектов для
контроля цепочек поставок, оптимизации документооборота, проведения
платежей, а также токенизации традиционных финансовых инструментов.
При этом большинство российских компаний часто не используют весь
потенциал данной технологии, но это не мешает применять ее в разных об-
ластях, включая токенизацию продукции и создание инфраструктуры для
рынка интеллектуальной собственности.
Несмотря на присутствие на рынке крупных отечественных платформенных
и инфраструктурных игроков (Waves, IPChain, Ассоциация «ФинТех» и др.),
существуют возможности для развития корпоративных блокчейн-платформ
(рис. 4.13). Хотя на российском рынке отмечается некоторое доминирование
зарубежных облачных блокчейн-решений, в России есть потенциал для
отечественных провайдеров подобных услуг. Крупнейшие отечественные
системные интеграторы активно наращивают блокчейн-экспертизу и от-
крывают специализированные практики (например, КРОК, IBS, Softline
и др.). Наблюдается также формирование специализированных блокчейн-
интеграторов (QIWI Blockchain Technologies, Sputnik DLT, MixBytes, центр
«Орбита», Digital Transformation Group и др.).
Отметим, что научно-практические результаты, которые были подробно
рассмотрены в настоящей книге, тоже нашли свое применение на практике
[49-60]. Приведем несколько примеров успешной апробации авторских
результатов [56-58].
В мае 2018 года на Всемирном саммите блокчейна и криптовалют (World
Blockchain and Cryptocurrency Summit, WBCSummit)1 Федеральная служба
государственной регистрации, кадастра и картографии (Росреестр) пред-
ставила Проект по регистрации договоров участия в долевом строитель-
стве с применением технологии блокчейн2. В рамках совместного проекта
с ДОМ.РФ (ранее — АИЖК) и Внешэкономбанком в январе 2018 года
Росреестр зарегистрировал первый договор участия в долевом строительстве
с применением данной технологии. Договор был заключен в Ленинградской
области, которая стала пилотным регионом.
В рамках проекта было организовано взаимодействие Росреестра с публич-
но-правовой компанией «Фонд защиты прав граждан — участников долевого
строительства». Представители Росреестра отметили, что главными пре-
имуществами применения блокчейна при регистрации договоров долевого
участия стали скорость и надежность. Так, время взаимодействия Росреестра
и фонда занимало до 15 с. Участники проекта получили доступ к актуальной
информации о процессе регистрации каждого договора долевого участия.
При этом была максимально исключена возможность десинхронизации
информационных систем Росреестра и фонда, осуществлена возможность
локальной работы с полными данными при отсутствии связи между участ-
никами взаимодействия, а также максимально исключен риск несанкциони-
рованного доступа и корректировки данных в информационных системах.
По данным Росреестра, на основе технологии блокчейн уже зарегистриро-
вано более 10 тыс. договоров долевого участия. Затем этот пилотный про-
ект был усовершенствован для обеспечения требуемой киберустойчивости
к квантовым атакам злоумышленников.
https://wbcsummit.org/.
https://rosreestr.ru/site/press/news/rosreestr-predstavil-na-vsemirnom-sammite-blokcheyna-i-
kriptovalyut-pilotnyy-proekt-po-registratsii-/.
Уровень
внедрения л
блокчейна
Новые форматы
взаимодействия
участников
Оптимизация
текущего
взаимодействия
участников
Альтернатива
традиционного
инструмента
Голосование
Правительство Москвы
Проведение платежей
«Сбербанк Факторинг» «Альфа-банк»
S7 Airlines
Россети
Х5 Retail Group
« Н ефте Газ И нду стр и я » « Се ве рстал ь »
«Аэрофлот» «Почта России»
Программы лояльности
Сбербанк
Модель закрытого
внутрисистемного взаимодействия
https://mindsmith.ru/ma_B/.
Токенизационные
платформы
♦
Норникель
Контроль цепочек
поставок
«Алроса»
Сур гутн ефте газ
«Газпром нефть»
Трансмашхолдинг
РЖД
омк
СУЭК
«Магнит»
Регистрация
договоров
«Обувь России»
Росреестр
«Полис Групп»
ВЭБ. РФ
ДОМ РФ
Модель последовательного
взаимодействия с несколькими
ключевыми агентами
Рынок интеллектуальной
собственности
♦
IPCham
Децентрализированный
документооборот
Роспатент «Дикси» Первоуральскбанк Сбербанк
Банк Московский кредитный банк «АК БАРС»
«Открытие» ж банк
Национальная факторинговая компания
«Интер РАО»
«ГПГ-факторинг»
Токенизация традиционных
финансовых инструментов
♦ ♦
«АК БАРС» банк «Мегафон»
МТС Райффайзенбанк РУСАЛ
«Газпром нефть»
Модель
децентрализованного
взаимодействия
Рис. 4.13. Карта российских корпоративных блокчейн проектов1
ВТБ
Модели
взаимоотношения
участников
В июне 2018 года Государственный комитет Татарстана по архивному делу
представил результаты своего проекта по переносу архивных документов
на блокчейн1. В 2017 году были проведены соответствующие научные ис-
следования для определения возможности применять данную технологию
для подтверждения достоверности передачи и приемки научно-технической
документации на хранение в архив. В 2018 году провели апробацию проекта
и отметили, что перевод архивной документации на блокчейн позволил сде-
лать процессы хранения документов прозрачными и безопасными. Отметим,
что Министерство связи Татарстана ранее объявило о планах перевести
документооборот республики на технологию блокчейн1 2. В том числе был
создан ряд пилотных площадок, так называемых регулятивных песочниц,
для внедрения новых разработок на основе блокчейна в финансовом секторе
и здравоохранении при соблюдении требования безопасности информации
регуляторов Российской Федерации3. Кроме прочего, были рассмотрены
и использованы рекомендации по обеспечению требуемой киберустойчи-
вости к квантовым атакам злоумышленников.
Еще одним интересным примером квантово-устойчивого блокчейн-про-
екта стал запуск цифровой платформы обмена знаниями и управления
авторскими правами Министерства образования и науки РФ на основе
блокчейна4 5 (рис. 4.14). По проекту победителя тендера — Сибирского
федерального университета3 — до 2020 года была создана перспективная
площадка для сбора и обработки объектов авторского права. В проекте
приняли участие 12 ведущих вузов страны, в том числе Сибирский феде-
ральный университет, Санкт-Петербургский государственный университет
(СПбГУ), Санкт-Петербургский политехнический университет Петра Вели-
кого; Санкт-Петербургский национальный исследовательский университет
информационных технологий, механики и оптики (ИТМО); Российская
академия народного хозяйства и государственной службы при Президенте
РФ (РАНХиГС), Национальный исследовательский университет «Выс-
шая школа экономики» и др. При этом в СПбГУ была развернута вто-
рая но да — узел сети. Технологической основой проекта стала технология
квантово-устойчивого блокчейна, использовался сервисный и отраслевой
блокчейн-фреймворк Hyperledger Fabric. Проект платформы развернут
1 https://bitnovo8ti.com/20 t8/06/ftl/arhivy-respubliki-ta£irstan-budut-hramtsya-na-blokchejn^/.
а https;//bitnovosti.com/2018/04/19/vedenie-gosdokumentatsii-v-tatarstane-perevedut-na-blokchejn/.
1 https://bitnovosti.com/2018/04/06/v-tatarstane-vozmozhno-soedadut-regulyativnye-pesochnitsy-
dlya-blokchejna-i-bespilotnikov/.
4 https://new.fips.ru4upload/medialibrary/Doc_Content/ilya-kononenko 12102018.pdf.
5 http://about.sfu-kras.ru/general.
по адресу https://ipuniversity.ru/ и обрабатывает более 15 тыс. объектов
интеллектуальной собственности.
Рис. 4.14. Пока зато л и активности платформы I Pu n ive rsity. га:
а — по вузам б — по типам
Общий алгоритм работы платформы https://ipuniversity.ru/ следующий.
На ней создается профиль университета, а регистрация осуществляется
на официальной почте вуза. Далее сотрудник университета с почтовым адре-
сом, числящимся на домене своей организации, может зарегистрироваться на
платформе как физическое лицо и загрузить свои объекты интеллектуальной
собственности. Отметим, что для более активного вовлечения ученых-ис-
следователей в проект был разработан специальный модуль геймификации.
Всего подготовили несколько моделей и вывели в реализацию универсаль-
ную систему: репутация на платформе складывается из баллов, которые за-
рабатывают пользователи. Учтено 18 параметров: количество загруженных
пользователем объектов, количество совершенных сделок и пр. Кроме того,
модель дополнена внешним токеном. Репутация ученых здесь — индикатор
происходящего на платформе: ориентируясь на нее, вузы могут оценивать
эффективность работы своих сотрудников.
Доступен также функционал для загрузки объектов интеллектуальной соб-
ственности от вуза в целом и статистический модуль — условный «кабинет
ректора», где можно видеть и контролировать активность университета.
В описании проекта на сайте https://ipuniversity.ru/ представлены разные
уровни использования системы, в том числе внешними пользователями.
Например, после регистрации они могут скачивать те объекты интеллек-
туальной собственности, которые разрешили скачивать их авторы. При
этом индивидуальное управление правами сохраняется. Другими словами,
реализован определенный баланс между подходом открытого доступа (open
access) и тем, что разрешают делать авторы.
В настоящее время на данной платформе размещены 11 типов объектов
интеллектуальной собственности — от достаточно тривиальных преприн-
тов до специализированных масс-спектрограмм и последовательностей ну-
клеотидов. Например, РАНХиГС предложил объект «Социологические
исследования» — выборки социологических данных и соответствующие
датасеты. Размещены также цифровые копии некоторых популярных жи-
вописных полотен, хранящихся в ведущих музеях страны и снятых по тех-
нологии гигапараномирования (трехмерные объекты). Популярный тип
объекта — «Образовательный ресурс». Это интересный баланс между ав-
торским и составительским вкладом, востребованный в университетской
среде. Концепция платформы предполагает нетипичные объекты, а их ди-
намика может меняться от 15 до 30 типов объектов и наоборот. При этом
объекты со временем могут перерастать из одного типа в другой. Более
того, поскольку данный проект представляет собой специализированную
песочницу, пользователям дано право предлагать свои объекты в том виде,
в каком они его видят сами.
Налажено сотрудничество с институтами, традиционно связанными с те-
матикой интеллектуальной собственности: Роспатентом, ФИПС (Феде-
ральный институт промышленной собственности), ВОИР (Всероссийское
общество изобретателей и рационализаторов) и др.
Платформа применяется и как инструмент для подачи предварительных
заявок. Автор может зарегистрировать идею на ранней стадии, а потом,
при подаче уже готовой заявки в Роспатент, эксперт сверит заявку с плат-
формой и зафиксирует период защиты прав на данный объект с момента его
появления на цифровой платформе.
Отметим, что изначально главными задачами платформы назывались обмен
объектами и их реализация в цифровой среде. При этом реальных рыночных
отношений пока нет — только виртуальные: вузы-участники обмениваются
загруженными объектами интеллектуальной собственности. Все завершает-
ся формированием смарт-контракта, стоимость сделки на платформе пока
равна нулю. Так как сегодня сложно говорить о рынке цифровых объектов
применительно к научно-образовательному комплексу, их можно встретить
на разных тематических ресурсах, в специализированных базах данных,
на фотостоках и т. п. Одна из актуальных задач — стимулировать обмен
цифровыми объектами. Для этого у создаваемой платформы достаточно
привлекательных элементов:
фиксация авторства;
надежное хранение (личный репозиторий-портфолио);
блокчейн-номер IPC, присваиваемый каждому объекту (по сути, аналог
DO1 в распределенной среде).
Рис. 4.15. Алгоритм заключения смарт-контракта
Заметим, что смарт-контракт (рис. 4.15) разрабатывается как конструктор из
перечня пунктов и каждый пользователь сам определяет цель передачи объ-
екта интеллектуальной собственности: для использования, для публичного
показа, как часть своего проекта, для модернизации и улучшения, а в буду-
щем — для продажи. При этом учитывается специфика объекта, а также воз-
можность расширения функционала контракта по запросам пользователей.
Важно, что создание контракта не требует наличия специальных навыков
программирования. Открытая платформа позволяет создавать неограничен-
ное количество шаблонов, а стандартизация — делать автоматизированное
заключение контрактов массовым.
В дальнейшем предполагается широкое подключение к проекту прежде всего
представителей научно-образовательного комплекса, а также масштабиро-
вание проекта. Кроме того, вероятно его добавление в другие информаци-
онные системы и разработки министерства образования, в которых могут
возникнуть объекты интеллектуальной собственности.
Результаты данного проекта не раз представлялись на заседании Ассо-
циации ведущих университетов, где обсуждались перспективы развития
платформы1.
Еще одним применением рассмотренных в настоящей книге новых моделей
и методов криптоанализа и синтеза постквантовых криптопримитивов стали
проекты для дополнительной защиты инфраструктуры сертификации от-
крытых ключей (PKI) от кибератак типа man-in-the-middle (MITM) иди
отказ в обслуживании (DDoS-атак).
В проектах CertCoin MIT1 2 3 и CertCoin-Plus МФТИ2, технология блокчейн ис-
пользуется для создания распределенного открытого реестра доменов и ассо-
циированных открытых ключей (рис. 4.16). В упомянутых проектах выбрана
сетевая модель PKI, где каждый узел создает себе пару «открытый/приватный
ключ». Сертификат открытого ключа подписывается соседями и заносится
в соответствующую базу данных. Ранг узлов (УЦ) везде одинаковый, а це-
почка доверия строится на основе процедуры поиска доверенного пути. При
этом количество и направление связей между узлами не ограничено.
Отличительной чертой исходного проекта CertCoin от классической схемы
PKI является то, что список отозванных сертификатов (CRL) не ведется.
Вместо этого формируются отдельные записи об отзыве сертификатов,
которые содержат: идентификатор сертификата, слово revoke, отозванный
открытый ключ и подпись. Это привело к быстрому росту базы данных
отозванных сертификатов — примерно в 5-10 раз быстрее по сравнению
с ведением списков CRL. Кроме того, отсутствовала возможность построить
цепочку доверия между узлами до тех пор, пока не становились доступны все
узлы. При этом, если один из узлов был выключен или временно недосту-
пен, цепочка доверия рвалась, а возможность проверки подписи пропадала.
1 https://news.rambler.ru/other/41596178-luchshego-mehanizma-stimulirovaniya-chem-
zainteresovannost-universitetov-i-ministerstva-net/.
- https://courses.csail.mit.edU/6.857/2014/files/19-fromknecht-velicann-yakoubov-certcoin.pdf.
3 http://conf59.mipt.ru/static/reports_pdf/1291.pdf.
Рис. 4.16. Процедура проверки электронной подписи в CertCoin
Поэтому CertCoin был несколько усовершенствован для придания требу-
емых свойств надежности и киберустойчивости к известным и квантовым
атакам злоумышленников на PKI и блокчейн. В частности, реализована
следующая схема взаимодействия:
генерацию первого блока данных с информацией о сертификатах осу-
ществляет единый удостоверяющий центр (УЦ). При этом УЦ (miner)
берет на себя ответственность за актуализацию базы данных, а его статус
поддерживается периодическим расчетом следующих блоков с данными
действующих сертификатов;
аутентификация пользователей осуществляется по паспорту или другим
официальным документам при получении сертификата. В случае отзыва
сертификата пользователь выпускает новый блок, без его данных;
пользователи сертификатов хранят у себя всю цепочку блоков для каж-
дого сертификата. Отсутствие цепочки блоков у пользователя является
доказательством недействительности сертификата и др.
Заключение
Дорогие читатели!
Большинство руководителей ведущих отечественных предприятий уже
признали значительный потенциал технологии блокчейн, опираясь на ее
достоинства:
упрощенный характер проведения транзакций в автоматизированном
и/или автоматическом режимах (особенно при многосторонних транс-
граничных сделках);
непрерывное функционирование сети, ее бесперебойность и устойчи-
вость, гарантированность обработки транзакций;
снижение необходимости документального оформления процесса про-
ведения сделки между участниками;
повышение прозрачности и обеспечение неизменности ведения реестров;
повышение операционной устойчивости благодаря распределенному
характеру обработки данных и введению большого количества копий
данных и др.
Однако в условиях беспрецедентного роста угроз безопасности вопросы
безопасности блокчейна вызывают понятное и обоснованное беспокойство.
Более того, ряд исследователей ставят под сомнение достаточность пред-
принятых мер в данной сфере. Например, в исследовании Are Blockchains
Decentralized? Unintended Centralities in Distributed Ledgers (2022)\ которое
было выполнено по заказу Агентства перспективных исследовательских
проектов Министерства обороны США (DARPA).
Появление и сравнительно быстрое развитие области знаний, объединенных
общим названием «постквантовая криптография», свидетельствует о серьез-
ном отношении ведущих криптографов мира к проблеме квантовой угрозы
и стойкости криптопримитивов (хеш-функции, электронные подписи, асим-
метричные алгоритмы шифрования), используемых в блокчейн-экосистемах
1 https://assets-global.website-files.com/5fdll235b3950c2cla3b6df4/62af6c641a672b3329b9a481U
Unintended—Centralities—in_Distributed_Ledgers.pdf.
и платформах. С одной стороны, достижения в области квантовой инфор
матики (quantum information science, QIS) наглядно показали высокий
технологический потенциал квантовых технологий для стимулирования
инноваций в национальных экономиках мира1. С другой — стало понятно,
что ближайшие 5-10 лет квантовые компьютеры достигнут достаточной
зрелости и окажутся способны к взлому большей части криптографических
примитивов. В частности, на квантовом компьютере можно реализовать
с полиномиальной сложностью алгоритмы факторизации и дискретного
логарифмирования в произвольной группе (метод Шора), что в перспективе
может привести к компрометации всех асимметричных криптографиче-
ских схем, стойкость которых обосновывается предположением о сложно-
сти решения указанных задач, в том числе схем RSA, Диффи — Хеллмана
и электронных подписей ECDSAn ГОСТ 34.10-2018. При этом результатив-
ность криптоанализа симметричных криптосхем менее значима, поскольку
известные в настоящее время квантовые алгоритмы анализа хеш-функций
и блочных шифров (метод Амбайниса - для поиска коллизий и метод Гро-
вера — для поиска прообраза) по-прежнему имеют экспоненциальную слож-
ность, хотя и меньшую, чем классические.
Ряд экспертов в области кибербезопасности еще более категоричны. Так,
по заявлению директора АНБ (National Security Agency, NSA) США Пола
М. Накасоне, «криптоаналитически значимый квантовый компьютер может
поставить под угрозу системы гражданской и военной связи и подорвать
боеспособность стратегических систем контроля и управления критиче-
ской информационной инфраструктуры США и их союзников по НАТО.
Для нейтрализации этой квантовой угрозы требуется создать и внедрить на
практике квантово-устойчивые алгоритмы, в первую очередь постквантовые
схемы асимметричного шифрования (public-key encryption) и электронной
подписи (digital signatures)»1 2.
В мае 2022 года администрация президента США Джо Байдена выпустила
две новые директивы о подготовке государства и бизнеса к будущим кван-
товым кибератакам3. А в отчете (2022) аналитической компании PreScouter
хоть и отмечено, что у злоумышленников сегодня вряд ли есть ресурсы для
1 https://www.pre3couter.com/inquiry/quantum-computing-and-cybersecurity-preparing-for-post-
quantum-cryptography/.
' https://www.whitehouse.gOv/briefmg-room/statements-releases/2022/05/04/fact-sheet-president-
biden-announces-two-presidential-directives-advancing-quantum-technologies/.
3 https://www.quantum.gov/; https://www.whitehouse.gov/briefing-room/statements-releases/
2022/05/04/fact-sheet-president-biden-announcB6-two-presidential-directives-advancing-quantum-
technologies/.
разработки атакующих систем на основе квантовых компьютеров1, появле-
ние и широкое распространение облачных квантовых вычислений общего
назначения (laaS, PaSS) позволит сделать квантовые атаки доступными для
широкого круга пользователей. Поэтому в июне 2022 года администрация
Джо Байдена поручила NIST, АНБ и Агентству по кибербезопасности и защи-
те инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA)
в срок от 90 дней до одного года выполнить все необходимые мероприятия
по защите критической инфраструктуры США и их союзников по НАТО2.
На примере алгоритмов — финалистов конкурса NIST можно видеть, как
современные концепции синтеза схем постквантовой криптографии нашли
применение в конкретных примерах и решениях, в том числе для созда-
ния квантово-устойчивых блокчейн-экосистем и платформ. Так, задачи
теории решеток лежат в основе алгоритмов-финалистов конкурса NIST
(CRYSTALS-Kyber, NTRU, SABER, CRYSTALS-Dilithium и FALCON),
а также альтернативных алгоритмов-финалистов FrodoKEM и NTRU Prime.
Задачи теории кодирования обеспечивают стойкость таких алгоритмов —
финалистов конкурса NIST, как Classic McEliece и альтернативных алгорит-
мов-финалистов BIKE, HQC. На основе многочленов от многих переменных
строится решение финалистов конкурса NIST Rainbow и альтернативный
алгоритм-финалист GeMSS. Большое внимание уделяется криптографи-
ческим алгоритмам на основе хеш-функций, в частности, финалистом кон-
курса NIST стал XMSS, а альтернативным является алгоритм-финалист
SPHINCS+.
Отметим, что в настоящее время в рабочей группе РГ 2.5 «Постквантовые
криптографические механизмы» ТК 26 «Криптографическая защита инфор-
мации» ведется работа с целью стандартизации в России схемы цифровой
подписи, основанной на хеш-функциях. Алгоритмы на основе изогений
суперсингулярных эллиптических кривых представлены в финале конкурса
NIST схемой SIKE. Рабочая группа РГ 2.5 «Постквантовые криптографи-
ческие механизмы» российского технического комитета ТК 26 «Крипто-
графическая защита информации» проводит работу по стандартизации
отечественного алгоритма «Форзиция», основанного на сложных задачах
из этого класса.
Рассмотренные в настоящей книге модели и методы квантового криптоанали-
за и синтеза постквантовых криптопримитивов блокчейн, в частности метод
1 https://www.presc.outer.com/inquiry/quantum-computing-and-cybersecurity-preparing-for-post-
quantum-cryptography.
' https://www.quantum.gov/wp-content/uploads/2022/02/QlST-Natl-Workforce-Plan.pdf.
параметрического выбора, позволяют обеспечить требуемую квантовую
устойчивость национальных блокчейн-экосистем и платформ. Существенно,
что все полученные научно-практические результаты были апробированы
в ряде блокчейн-проектов, среди которых InnoChain (Университет Инно-
полис), Waves Enterprise (Waves, Vostok), Hyperledger Fabric (Linux, IBM),
Corda Enterprise, Bitfury Exonum, Blockchain Industrial Alliance, Exonum
(Bitfury CIS), NodesPlus (Ь41), Мастерчейн 1.0 и 2.0 (Системы Распределен-
ного Реестра), Microsoft Azure Blockchain, «Эфириум» 1.0 и 2.0 (Enterprise
Ethereum Alliance) и др.
Алексей Петренко.
Москва — Санкт-Петербург — Иннополис.
Июль 2022 года
Список литературы
1. Александрова Е. Б., Лаврова Д. С., Павленко Е. Ю., Ярмак А. В. Крипто-
графические методы защиты информации. Криптосистемы с открытым
ключом: Учебное пособие. — СПб.: Санкт-Петербургский политехни-
ческий университет Петра Великого (СПбПУ), 2020. — 87 с.
2. Бирюков Д. Н„ Петренко А. С., Петренко С. А. Умная кибербезопас-
ность // Защита информации. Инсайд, 2019. — № 4 (88). — С. 14-24.
3. Бирюков Д. Н„ Ломака А. Г., Ростовцев Ю. Г. Облик антиципирующих
систем предотвращения рисков реализации киберугроз // Труды
СПИИРАН, 2015. - № 2 (39). - С. 5-25.
4. Бирюков Д. П., Ломако А. Г. Подход к построению систем информацион-
ной безопасности, способных синтезировать сценарии упреждающего
поведения в информационном конфликте // Защита информации.
Инсайд, 2014. - № 6. - С. 42-50.
5. Бусыгин А. Г. Защита распределенных реестров в децентрализованных
системах цифрового производства от «Атаки большинства»: Дисс. ...
канд. тех. наук. — СПб.: Санкт-Петербургский политехнический уни-
верситет Петра Великого (СПбПУ), 2020. — 91 с.
6. Бусыгин А. Г., Коноплев А. С., Зегжда Д. П. Метод сокращения объема
данных в блокчейн подобном ориентированном ациклическом графе,
применяемом для защиты данных в высоконагруженных системах //
Проблемы информационной безопасности. Компьютерные системы,
2018.-Ко 2.-С. 131-136.
7. Валиев К. А. Квантовые компьютеры и квантовые вычисления. —
М.: Institute of Physics and Technology, 2005. — 387 c.
8. Василенко О. H. Теоретико-числовые алгоритмы в криптографии. —
М.: МЦНМО. 2003. - 328 с.
9. Гребнев С. В. (QAP), Маршалко Г. Б. (ФСБ России), Матюхин Д. В.
(ФСБ России, докладчик), Рудской В. И. (АКРФ), Шишкин В. А. (Крип-
тонит). Что подписано ключом, то не вырубишь... 10 лет действующим
национальным стандартам электронной подписи и хеш-функции
(пленарный доклад). РусКрипто 2022 (22-25 марта 2022 года), https://
www.ruscrypto.ru/resource/archive/rc2022/files/01_matykhin.pdf.
10. Гребнев С. В., Ключарев II. Г., Коренева А. М„ Кошелев Д. И., Тараскин
О. Г., Тулебаев А. И. Постквантовый криптографический протокол вы-
работки общего ключа, основанный на изогениях суперсингулярных
эллиптических кривых // Безопасные информационные технологии:
Сборник трудов XI Международной научно-технической конферен-
ции. — М.: МГТУ им. Н. Э. Баумана, 2021.
11. Гребнев С. В. Тенденции развития постквантовой криптографии.
Технический комитет по стандартизации «Криптографическая за-
щита информации» (ТК 26). 21 марта 2019 года, РусКрипто, https://
www.ruscrypto.ru/resource/archive/rc2019/files/02_Grebnev.pdf.
12. Гребнев С. В. О некоторых тенденциях развития постквантовой крип-
тографии // Information Security. — 2019. — № 1. — С. 33-35.
13. Гребнев С. В. О криптографических свойствах схемы выработки общего
ключа «Лимонник-3» // Безопасность информационных технологий,
2019.-№2(27).-С. 6-20.
14. Гребнев С. В., Лазарева Е. В., Лебедев II. А., Нестеренко А. 10., Семе-
нов А. М. Интеграция отечественных протоколов выработки общего
ключа в протокол TLS 1.3 // ПДМ. Приложение, 2018. — № И. —
С. 62-65.
15. Гугля А. II., Гребнев С. В., Кот М. А. Постквантовая криптография и рос-
сийские вычислительные системы: первый подход. РусКрипто 2022
(22-25 марта 2022 года), https://www.ruscrypto.ru/resource/archive/
rc2022/files/09_googlya_grebnev_kot.pdf.
16. Гулыпяева Т. А. Основы теории информации и криптографии. — Ново-
сибирск: Изд-во НГТУ, 2010. — 88 с.
17. Денисенко Д. В, Рудской В. И. МГТУ им. Баумана, ТК 26. О реализации
хеш-функции ГОСТ 34.11-2018 в виде квантовой схемы, РусКрип-
то 2022 (22-25 марта 2022 года), https://www.ruscrypto.ru/resource/
archive/rc2022/files/02_denisenko_rudskoy.pdf.
18. ДенисенкоД.В.,МаршалкоГ.Б.,НикишенковаМ.В.,РудскойВ.И.,Шиш-
кин В. А. Оценка сложности реализации алгоритма Гровера для пере-
бора ключей алгоритмов блочного шифрования ГОСТ Р 34.12-2015 //
Журнал экспериментальной и теоретической физики, РАН, Институт
физических проблем им. П. Л. Капицы РАН (Москва), 2019. — Т. 155,
вып. 4. — С. 645-653.
19. Еремеев М. А., Молдовян II. А., Молдовян А. Л. От примитивов к синтезу
алгоритмов. — СПб.: Изд-во «БХВ-Петербург», 2004. — 448 с.
20. Ишмухаметов Ш. Т. Методы факторизации натуральных чисел: Учебное
пособие. — Казань: Казанский университет, 2011. — 192 с.
21. Калинин В. Н. Теоретические основы системных исследований. —
СПб.: ВКАим. А. Ф. Можайского, 2013. — 278 с.
22. Китаев А., Шень А., Вялый М. Классические и квантовые вычисления. —
М.: МЦНМО, Изд-во «ЧеРо», 1999. - 192 с.
23. Ключарев II. Г. Алгоритмическое и программное обеспечение для мо-
делирования квантового компьютера: Автореферат диссертации на
соискание кандидата технических наук. — М.: МГТУ им. И. Э. Баумана,
2009. - 18 с.
24. Колмогоров А. Н. Теория информации и теория алгоритмов. АН СССР. —
М.: Наука, 1987.
25. Комарова А. В. Методы повышения безопасности комбинированных
схем аутентификации: Дисс.... канд. тех. наук. — СПб.: ЛИТМО, 2019. —
270 с.
26. Корн Г., Корн Т. Справочник по математике для научных работников
и инженеров. Определения, теоремы, формулы / Под общ. ред. И. Г. Ара-
мановича. — 4-е изд. — М.: Наука, 1978. — 832 с.
27. Корольков А. В. О некоторых прикладных аспектах квантовой крипто-
графии в контексте развития квантовых вычислений и появления кван-
товых компьютеров //Вопросы кибербезопасности, 2015. — № 1 (9). —
С. 6-13.
28. Крэндалл Р., Померане К. Простые числа: Криптографические и вы-
числительные аспекты / Под ред. В. И. Чубарикова; пер. А. В. Бегунца
и др. — М.: УРСС: Кн. дом ЛИБРОКОМ, 2011. — 664 с.
29. Кустов В. II., Станкевич Т. Л. Технология блокчейн: история гениаль-
ной простоты или просветленное мышление // Защита информации.
Инсайд, 2019. - № 2 (86). - С. 10-18.
30. МаковейчукК. А., Петренко А. С., Петренко С. А. Улучшенный квантовый
алгоритм поиска Гровера // Информационные системы и технологии
в моделировании и управлении: Сб. трудов VI Международной науч-
но-практической конференции. Крымский федеральный университет
им. В. И. Вернадского, Гуманитарно-педагогическая академия (фили-
ал). — Симферополь, 2021. — С. 192-195.
31. Маковейчук К. А., Петренко А. С., Петренко С. А. Модифицированный
квантовый алгоритм криптоанализа системы Эль-Гамаля // Информаци-
онные системы и технологии в моделировании и управлении: Сб. трудов
VI Международной научно-практической конференции. Крымский фе-
деральный университет им. В. И. Вернадского, Гуманитарно-педагогиче-
ская академия (филиал). — Симферополь, 2021. — С. 182-18G.
32. Маковейчук Ян. Т„ Петренко А. С., Петренко С. А. Квантовый алгоритм
криптоанализа системы асимметричного шифрования RSA // Инфор-
мационные системы и технологии в моделировании и управлении:
Сб. трудов VI Международной научно-практической конференции.
Крымский федеральный университет им. В. И. Вернадского, Гумани-
тарно-педагогическая академия (филиал). — Симферополь, 2021. —
С. 199-204.
33. Манин Ю. И. Вычислимое и невычислимое. — М.: Советское радио,
1980. - 128 с.
34. Марков А. С., Цирлов В. Л. Опыт выявления уязвимостей в зарубеж-
ных программных продуктах // Вопросы кибербезопасности, 2013. —
№ 1 (1).-С. 42-48.
35. Мартышкин А. И., Бершадская Е. Г. Математические основы биткоин-
блокчейна // Современные информационные технологии, 2019. —
№ 29. - С. 34-40.
36. Матвеев Е. А. Применение квантово-механических эффектов в си-
стемах защиты информации: Дисс. ... физ-мат. наук. — Пенза: НТП
Криптософт, 2019. — 157 с.
37. Месарович М„ МакоД., Такахара И. Теория иерархических многоуров-
невых систем. — М.: Мир, 1973. — С. 344.
38. Молдовян А. А., Молдовян Н. А. Новые формы скрытой задачи дискрет-
ного логарифмирования // Труды СПИИРАН, 2019. — Т. 18 — № 2. —
С. 504-529.
39. Молдовян Н.А., Молдовян А. А. Введение в криптосистемы с открытым
ключом. — СПб.: Изд-во «БХВ-Петербург», 2005. — 286 с.
40. Николенко С. И. Новые конструкции криптографических примитивов,
основанные на полугруппах, группах и линейной алгебре: Дисс. ...
канд. физ-мат. наук. — СПб.: Учреждение РАН Санкт-Петербургское
отделение Математического института им. В. А. Стеклова РАН,
2008. - 120 с.
41. Нильсен М„ Чанг И. Квантовые вычисления и квантовая информация —
М.: Мир, 2006. — 824 с.
42 Олифиров А. В., Петренко А. С., Петренко С. А. Квантовый алгоритм
восстановления ключа симметричного шифрования по тексту сооб-
щения и шифротексту // Информационные системы и технологии
в моделировании и управлении: Сб. трудов VI Международной науч-
но-практической конференции. Крымский федеральный университет
им. В. И. Вернадского, Гуманитарно-педагогическая академия (фили-
ал). — Симферополь, 2021. — С. 195-199.
43. Основы криптографии: Учебное пособие / А. II. Алферов и др. —
М.: Гелиос АРВ, 2001. — 480 с.
44. Петренко А. С., Петренко С. А., Антонова-Дружинина А. О., Ожига-
нова М. И. Метод параметрического выбора криптопримитивов для
квантово-устойчивой блокчейн-платформы: Часть II // Защита ин-
формации. Инсайд, 2022. — № 5 (107). — С. 34-44.
45. Петренко А. С., Петренко С. А., Антонова-Дружинина А. О., Ожигано-
ва М. И. Метод параметрического выбора криптопримитивов для кван-
тово-устойчивой блокчейн-платформы: Часть I // Защита информации.
Инсайд, 2022. - № 4 (106). - С. 24-33.
46. Петренко А. С., Петренко С. А., Костюков А. Д. Эталонная модель
блокчейн-платформы // Защита информации. Инсайд, 2022. —
№ 4 (106). — С. 34-44.
47. Петренко А. С., Петренко С. А. Метод оценивания квантовой устой-
чивости блокчейн-платформ // Вопросы кибербезопасности, 2022. —
№ 3 (49). 02-22. DOI: 10.21681/2311-3456-2022-3-2-22, https://elibrary.ru/
item.asp?id=49225476.
48. Петренко А. С.,Петренко С. А., Костюков А. Д., ОжигановаМ.И. Модель
квантовых угроз безопасности для современных блокчейн-платформ //
Защита информации. Инсайд, 2022. — № 3 (105). — С. 10-20, https://
www.elibrary.ru/item.asp7idM8413095.
49. Петренко А. С., Петренко С. А., Ожиганова М.И. Оценка возможностей
квантовых алгоритмов криптоанализа // Защита информации. Инсайд,
2021.-№6(102).-С. 70-82.
50. Петренко А. С., Петренко С. А., Ожиганова М. И. Модель угроз безопас-
ности по аналитике зарубежных национальных квантовых программ //
Защита информации. Инсайд, 2021. — № 4 (100). — С. 50-59, https://
www.elibrary.ru/item.asp7idM6582641.
51. Петренко А. С., Романченко А. М. Перспективный метод криптоанализа
на основе алгоритма Шора // Защита информации. Инсайд, 2020. —
№ 2. - С. 17-23.
52. Петренко А. С., Петренко С. А. Способ оценивания криптостойкости
схем асимметричного шифрования в цифровых платформах // Ин-
формационные системы и технологии в моделировании и управлении:
Сб. трудов VII Международной научно-практической конференции.
Крымский федеральный университет им. В. И. Вернадского, Гумани-
тарно-педагогическая академия (филиал). — Симферополь, 2022. —
С. 201-207.
53. Петренко А. С., Петренко С. А. Оценка квантовой угрозы для совре-
менных блокчейн-систем // Информационные системы и технологии
в моделировании и управлении: Сб. трудов: VII Международной науч-
но-практической конференции. Крымский федеральный университет
им. В. И. Вернадского, Гуманитарно-педагогическая академия (фили-
ал). — Симферополь, 2022. — С. 208-214.
54. Петренко А. С., Петренко С. А., Маковейчук Ян. Т. О создании кванто-
во-устойчивых блокчейн-платформ // Повышение конкурентоспособ-
ности социально-экономических систем в условиях трансграничного
сотрудничества регионов: Сб. материалов IX Международной научно-
практической конференции / Отв. редактор А. В. Олифиров. — Сим-
ферополь, 2022. — С. 139-142.
55. Петренко А. С., Петренко С. А. Метод квантового криптоанализа схем
асимметричного шифрования и цифровой подписи на основе улуч-
шенного алгоритма Шора // Информационные системы и технологии
в моделировании и управлении: Сб. трудов VI Международной науч-
но-практической конференции. Крымский федеральный университет
им. В. И. Вернадского, Гуманитарно-педагогическая академия (фили-
ал). — Симферополь, 2021. — С. 186-191.
56. Петренко А. С. Отчет НИР «Математический аппарат для создания
квантово-устойчивых блокчейн-платформ на основе постквантовых
криптопримитивов». Грант РФФИ 20-04-60080/22. Номер ЦИТиС
АААА-А20-120081290051-5, https://www.rfbr.ru/rffi/ru/rffi_contest_
results/o_2109586.
57. Петренко А. С. Отчет НИР «Модель угроз безопасности эталонной
блокчейн-платформы по аналитике зарубежных национальных кван-
товых программ». Грант РФФИ№ 18-47-160011/2021. Номер ЦИТиС
АААА-А18-118101290047-8.
58. Петренко А. С. Отчет НИР «Методика оценивания квантовой устой-
чивости блокчейн-платформ на основе квантовых алгоритмов Шора
и Гровера». Грантовое соглашение с Академией наук Республики
Татарстан (АН РТ) № 18-47-160011/2021. Номер ЦИТиС АААА-
А18-118101290047-8.
59. Петренко С. А., Осетрин Е. Ю., Петренко А. С., Осетрин А. Е., Аса-
дуллин А. Я., Скворцов М. А., Асадуллин Я. Я. Программный комплекс
квантового криптоанализа на основе модифицированного метода Шора.
Свидетельство о регистрации программы для ЭВМ 2020665981,2 дека-
бря 2020 года. Заявка № 2020664816 от 23 ноября 2020 года.
60. Петренко С. А., Ступин Д. Д. Национальная система раннего преду-
преждения о компьютерном нападении: Научная монография / Под
ред. С. Ф. Боева. — СПб.: Изд. дом «Афина», 2018. — 440 с.
61. Петренко С. А. Киберустойчивость цифровой экономики: Научно-по-
пулярная монография. — СПб.: Питер, 2021. — 384 с.: ил.
62. Петренко С. А. Киберустойчивость Индустрии 4.0: Научная моногра-
фия. — СПб.: Афина, 2020. — 256 с.
63. Прескилл Дж. Квантовая информация и квантовые вычисления. —
М.: Ижевск, 2008. — 464 с.
64. Ростовцев А. Г., Маховенко Е. Б. Теоретическая криптография. —
СПб.: АНО НПО «Профессионал», 2005. — 480 с.
65. Ростовцев А. Г. Эллиптические кривые в криптографии. Теория и вы-
числительные алгоритмы. — СПб.: Профессионал, 2010. — 364 с.
66. Ростовцев Ю. Г. Основы построения автоматизированных систем сбора
и обработки информации. — МО РФ, 1992. — 717 с.
67. Рыжиков Ю. И. Вычислительные методы: Учебное пособие. — СПб.:
БХВ-Петербург, 2007. — 397 с.
68. Ручкин В. II., Романчук В. А., Фулин В. А. Естественный параллелизм
квантовых компьютеров и нейровычислителей. — Рязань: Рязанский
государственный университет им. С. А. Есенина, 2013. — 387 с.
69. Саати Т. Принятие решений. Метод анализа иерархий. — М.: Радио
и связь, 1993. — 278 с.
70. Сачков В. Н. В. А. Котельников и шифрованная связь // Конференции
и симпозиумы. — Т. 176. — № 7, УФН 2006. — С. 775-777.
71. Словарь криптографических терминов / Под ред. Б. А. Погорело-
ва и В. Н. Сачкова; Моею гос. ун-т им. М. В. Ломоносова, Акаде-
мия криптографии Российской Федерации. — М.: Изд-во МЦНМО,
2006. - 50 с.
72. Токарева Н. 11. Об истории криптографии в России // Исторические
очерки о дискретной математике и ее приложениям; Математический
ин-т им. С. Л. Соболева, СО РАН, г. Новосибирск, 2012. — № 4 (18). —
С. 82-107.
73. Холево А. С. Математические основы квантовой информатики —
М.: МИАН, 2018. - 118 с. - (Лекц. курсы НОЦ, ISSN 2226-8782;
Вып. 30).
74. Черемушкин А. В. Криптографические протоколы: основные свойства
и уязвимости // Прикладная дискретная математика, 2009. — Ноябрь —
Вып. 2. — С. 115-150, https://cyberleninka.ru/article/n/kriptograficheskie-
protokoly-osnovnye-svoystva-i-uyazvimosti.pdf.
75. Шеннон К. Работы по теории информации и кибернетике / Под
ред. Р. Л. Добрушина, О. Б. Лупанова. — М.: Изд-во иностранной ли-
тературы, 1963. — 830 с.
76. Шнайер Б. Прикладная криптография: протоколы, алгоритмы, исход-
ный код на языке С. — М.: Вильямс, 2016. — 816 с.
77. Afanasev М. Y, Krylova A. A., Shorokhov S. A., Fedosov Y. V., Sidorenko A. S.
A design of cyber-physical production system prototype based on an
ethereum private network // 2018 22nd conference of open innovations
association (FRUCT), IEEE, 2018. — P. 3-11.
78. Alzahrani N., Bulusu N. Towards true decentralization: A blockchain
consensus protocol based on game theory and randomness // International
conference on decision and game theory for security, Springer, 2018. —
P. 465-485.
79. Androulaki E„ Barger A., Bortnikov V., Cochin C., Christidis K„ De Caro A.
et al. Hyperledger fabric: a distributed operating system for permissioned
blockchains // Proceedings of the thirteenth eurosys conference, ACM,
2018. - P. 30.
80. Antonopoulos A. M. Mastering bitcoin: Programming the open blockchain.
O’Reilly Media, Inc, 2017.
81. Antonopoulos A. M., Wood G. Mastering ethereum: building smart contracts
and daPs. O’Reilly Media, 2018.
82. Apostolaki M., Zohar A., VanbeverL. Hijacking bitcoin: Routing attacks on
cryptocurrencies. In 2017 IEEE symposium on security and privacy (SP),
IEEE, 2017.-P. 375-392.
83. Bai Q., Zhang C.,Xu Y, Chen X., WangX. Evolution of ethereum: A temporal
graph perspective, 2020. arXiv preprint arXiv: 2001.05251.
84. Beck R., AvitalM„ Rossi M„ Thatcher], B. Blockchain technology in business
and information systems research. Springer, 2017.
85. Berdik D„ Otoum S„ Schmidt N., PorterD. Jararweh Y. A survey on blockchain
for information systems management and security // Information Processing
& Management, 58 (1), Article 102397, 2020.
86. Bonneau J., Miller A., Clark J., Narayanan A., Kroll J. A., Felten E. W. Sok:
Research perspectives and challenges for bitcoin and cryptocurrencies //
2015 IEEE symposium on security and privacy, IEEE, 2015. — P. 104-121.
87. Chen L„ Xu L„ Shah N., Gao Z., Lu Y, Shi IP. On security analysis of proof-
of-elapsed-time (poet) // International symposium on stabilization, safety,
and security of distributed systems. Springer, 2017. — P. 282-297.
88. Chesterman X. The P2pool mining pool (PhD thesis), Ghent University,
2018.
89. Chia V, HartelP.,Hum Q„ Ma S.,Piliouras G„ Reijsbergen D. etal. Rethinking
blockchain security: Position paper, 2018. arXiv preprint arXiv: 1806.04358.
90. Cho H. ASIC-Resistance of multi-hash proof-of-work mechanisms for block-
chain consensus protocols. IEEE Access, 2018. — № 6. — P. 66 210-66 222.
91. Chohan U. IT. Cryptocurrencies and inequality. Notes on the 21st Century
(CBRI), 2019.
92. CongL. W., Не Z., LiJ. Decentralized mining in centralized pools: Technical
report, National Bureau of Economic Research, 2019.
93. Conti M„ Kumar E. S„ Lal C„ Ruj S. A survey on security and privacy issues
of bitcoin. IEEE Communications Surveys & Tutorials, 2018. № 20 (4). —
P. 3416-3452.
94. Dwivedi A. D„ Srivastava G„ Dhar S., Singh R. A decentralized privacy-
preserving healthcare blockchain for loT. Sensors, 2019. — № 19 (2). —
P. 326.
95. Esposito C„ Ficco M., Gupta В. B. Blockchain-based authentication and
authorization for smart city aPlications // Information Processing &
Management, 2021. — № 58 (2). Article 102468.
96. Fanti G„ Kogan L„ Oh S., Ruan K, Viswanath P„ Wang G. Compounding
of wealth in proof-of-stake cryptocurrencies // International conference
on financial cryptography and data security. Springer, 2019. — P. 42-61.
97. Garay J., Kiayias A., Leonardos N. The bitcoin backbone protocol: Analysis
and aPlications // Annual international conference on the theory and
aPlications of cryptographic techniques. Springer, 2015. — P. 281-310.
98. Gazi P„ Kiayias A., Russell A. Stake-bleeding attacks on proof-of-stake
blockchains // 2018 crypto valley conference on blockchain technology
(CVCBT). IEEE, 2018. - P. 85-92.
99. Halpin H., Piekarska M. Introduction to security and privacy on the
blockchain // 2017 IEEE European symposium on security and privacy
workshops (EuroS&PW). IEEE, 2017. — P. 1-3
100. Hardin T„ Kotz D. Amanuensis: Information provenance for health-data
systems // Information Processing & Management, 2021. — № 58 (2). —
Article 102460.
101. He P„ Yu G„ Zhang Y. F, Bao Y. B. Survey on blockchain technology and
its aPlication prospect // Computer Science, 2017 — № 44 (4). P. 1-7.
102. Heilman E„ Kendler A., Zohar A., Goldberg S. Eclipse attacks on bitcoin’s
peer-to-peer network // 24th {USENIX} security symposium ({USENIX}
security 15), 2015. - P. 129-144.
103. Hu T„ Liu X., Chen T„ Zhang X., Huang X., Niu W. et al. Transaction-
based classification and detection aProach for ethereum smart contract //
Information Processing & Management, 2021. — № 58 (2). — Article 102462.
104. Кагате G. O.,Androulaki Е. Bitcoin and blockchain security. Artech House,
2016.
105. Khairuddin I. E„ Sas C. An Exploration of Bitcoin mining practices: Miners’
trust challenges and motivations // Proceedings of the 2019 CHI conference
on human factors in computing systems, 2019. — P. 1-13.
106. Khalid A., Iftikhar M. S., Almogren A., Khalid R., Afzal M. K.,Javaid N.
A blockchain based incentive provisioning scheme for traffic event vali-
dation and information storage in VANETs // Information Processing
& Management, 2021. — № 58 (2). — Article 102464.
107. Kim C. Y.,LeeK. Risk management to cryptocurrency exchange and investors
guidelines to prevent potential threats //2018 international conference on
platform technology and service (PlatCon). IEEE, 2018. — P. 1-6.
108. Lee W.-M. Using the web3. js APIs // Beginning ethereum smart contracts
programming. Springer, 2019. — P. 169-198.
109. LiX.JiangP., Chen T.,LuoX„ Wen Q. A survey on the security of blockchain
systems // Future Generation Computer Systems, 2017.
110. Meijer D., Ubacht J. The governance of blockchain systems from an
institutional perspective, a matter of trust or control? // Proceedings of
the 19th annual international conference on digital government research:
Governance in the data age, 2018. — P. 1-9.
111. Mingxiao D., Xiaofeng M„ Zhe Z„ Xiangwei IT., Qijun C. A review on
consensus algorithm of blockchain. In 2017 IEEE international conference
on systems, man, and cybernetics (SMC). IEEE, 2017. — P. 2567-2572.
112. Nakamoto S. Bitcoin: A peer-to-peer electronic cash system, 2008.
113. Neudecker T„ Hartenstein H. Network layer aspects of permissionless
blockchains // IEEE Communications Surveys & Tutorials, 2018. —
№ 21(1). P. 838-857.
114. Nguyen С. T, Hoang D. T„ Nguyen D. N, Niyato D„ Nguyen H. T., Dutkie-
wicz E. Proof-of-stake consensus mechanisms for future blockchain networks:
fundamentals, aPlications and oPortunities // IEEE Access, 2019. — № 7. —
P. 85 727-85 745.
115. Oham C„ Michelin R. A.Jurdak R„ Kanhere S. S.Jha S. B-FERL: Blockchain
based framework for securing smart vehicles // Information Processing
& Management, 2021. — № 58 (1). — Article 102426.
11G. Panarello A., Tapas N.,Merlino G„ Longo F., Puliafito A. Blockchain and loT
integration: A systematic survey. Sensors, 2018. — № 18 (8). — P. 2575.
117. Ramona 0., Cristina M. S., Raluca S. et al. Bitcoin in the scientific
literature-a bibliometric study. Studies in Business and Economics, 2019. —
№ 14(3).-P 160-174.
118. Rivest R. L., Shamir A., Adleman L. A method for obtaining digital signatures
and public-key cryptosystems // Commun. ACM, 1978. — № 21 (2). —
P. 120-126.
119. Reddit R/monero — blockchain size issue in future? //reddit, 2019. https://
www.reddit.com/r/Monero/comments/9gymaf/blockchain_size_issue_
infuture.
120. Sayeed S., Marco-Gisbert. H. Assessing blockchain consensus and security
mechanisms against the 51% attack // APlied Sciences, 2019. — № 9 (9). —
P. 1788.
121. Tapsell J., Akram R. N„ Markantonakis K. An evaluation of the security of
the bitcoin peer-to-peer network //2018 IEEE international conference on
internet of things (IThings) and IEEE green computing and communications
(GreenCom) and IEEE cyber, physical and social computing (CPSCom)
and IEEE smart data (SmartData). IEEE, 2018. — P. 1057-1062.
122. WalportM.. Distributed ledger technology: beyond blockchain. UK Govern-
ment Office for Science: Technical report, Tech. Rep., 2016.
123. Wang IT., Hoang D. T., Xiong Z., Niyato D., Wang P„ Hu P. et al. A survey
on consensus mechanisms and mining management in blockchain networks,
2018. — P. 1-33. arXiv preprint arXiv:1805.02707.
124. Wood G. et al. Ethereum: A secure decentralised generalised transaction
ledger. Ethereum Project Yellow Paper, 2014. — № 151 (2014). — P. 1-32.
125. XieJ., TangH.,HuangT„ YuF.R.,XieR.,LiuJ.etal. A survey of blockchain
technology aPlied to smart cities: Research issues and challenges // IEEE
Communications Surveys & Tutorials, 2019. — № 21 (3). — P. 2794-2830.
126. Xu X., Sun G„ Luo L„ Cao H., Yu IL, Vasilakos A. V. Latency performance
modeling and analysis for Hyperledger fabric blockchain network //
Information Processing & Management, 2021. — № 58 (1). — Article 102436.
127. Xu X., Weber L, Staples M., Zhu L., Bosch J., Bass L. et al. A taxonomy of
blockchain-based systems for architecture design //2017 IEEE international
conference on software architecture (ICSA). IEEE, 2017. — P. 243-252.
128. ZhangR., Xue R.. LiuL. Security and privacy on blockchain. ACM Computing
Surveys, 2019. - № 52 (3). - P. 1-34.
129. Zhao Q., Chen S., Liu Z., Baker T„ Zhang Y. Blockchain-based privacy-
preserving remote data integrity checking scheme for loT information
systems // Information Processing & Management, 2020. — № 57 (6). —
Article 102355.
130. ZhengZ.,Xie S„ Dai FL, Chen X., Wangll. An overview of blockchain techno-
logy: Architecture, consensus, and future trends // 2017 IEEE international
congress on big data (BigData Congress). IEEE, 2017. — P. 557-564.
131. Zheng Z., Xie S., Dai H.-N., Chen X., Wang II. Blockchain challenges and
oPortunities: A survey. International Journal of Web and Grid Services,
2018. - № 14 (4). - P. 352-375.
132. Zhu Q., Lake S. W, Trujillo-Rasua R., Jiang F„ Xiang Y. APlications of
distributed ledger technologies to the internet of things: A survey // ACM
Computing Surveys, 2019. — № 52 (6). P. 1-34.
133. Shor P. W. Algorithms for quantum computation: Discrete logarithms
and factoring // Proceedings 35th Annual Symposium on Foundations of
Computer Science, 1994. — P. 124-134.
134. Grover L. К A fast quantum mechanical algorithm for database search, 1996.
arXiv:quant-ph/9605043.
135. Zhou S„ Loke T„ Izaac J. A., Wang J. B. Quantum fourier transform in
computational basis // Quantum Inf. Process, 2017. — № 16 (3). — P. 82.
136. Simon D. R. On the power of quantum computation // SIAM J. Comput.,
1997. - № 26 (5). - P. 1474-1483.
137. Dong X., Wang X. Quantum key-recovery attack on feistel structures //
Sci. China Inf. Sci., 2018. - № 61 (10). - P. 102 501.
138. Wei S.J., Xin T„ Long G. L. Erratum to: Efficient universal quantum channel
simulation in IBM’s cloud quantum computer // Sci. China Phys. Meeh.
Astron., 2019. - № 62 (1). - P. 70 311.
139. HuangH. L., Zhao Y. W., Li T„ Li F. G., Du Y. T., FuX. Q., ZhangS., WangX.,
Bao W. 5. Homomorphic encryption experiments on IBMs cloud quantum
computing platform // Front. Phys., 2017. — № 12 (1). — P. 120-305.
140. ShorP. W. Polynomial-time algorithms for prime factorization and discrete
logarithms on a quantum computer // SIAM Rev., 1999. — № 41 (2). —
P. 303-332.
141. PengW., WangB.,HuF., WangY.,FangX„ ChenX., WangC. Factoring larger
integers with fewer qubits via quantum annealing with optimized parame-
ters // Sci. China Phys. Meeh. Astron., 2019. — № 62 (6). — P. 60 311.
142. Ekera M. Revisiting shor’s quantum algorithm for computing general discrete
logarithms, 2019. arXiv:1905.09084.
143. Moldovyan A. A., Moldovyan N. A. Post-quantum signature algorithms
based on the hidden discrete logarithm problem // Comput. Sci. J. Mold.,
2018. - 26 (3). - P. 301-313.
144. Kitaev A.Y. Quantum measurements and the Abelian stabilizer problem,
1995. arXiv:quant-ph/9511026.
145. Eldar L„ ShorP. IP. A discrete Fourier transform on lattices with quantum
aplications, 2017. arXiv: 1703.02515.
146. Grover L., Rudolph T. Creating superpositions that correspond to efficiently
integrable probability distributions, 2002. arXiv: quant-ph/0208112.
147. AggarwalD„ Bremen G., Lee T., SanthaM., TomamichelM. Quantum attacks
on bitcoin and how to protect against them // Ledge, Oct 2018. — № 3.
148. Mosca M. Cybersecurity in an era with quantum computers: will we be
ready? // IEEE Security Privacy Sep.. 2018. — № 16. — P. 38-41.
149. Shor P. W. Algorithms for quantum computation: discrete logarithms and
factoring // Proceedings 35th annual symposium on foundations of computer
science. leee; 1994. — P. 124-34.
150. Brassard G„ Hoyer P., Mosca M., TaP A. Quantum amplitude amplification
and estimation // Contemp, Math 2002. — № 305. — P. 53-74.
151. Grover L. K. Quantum mechanics helps in searching for a needle in a hay-
stack // Phys Rev Lett, Jul 1997. — № 79. — 325-328.
152. IBM. Ibm blockchain, now delivering value around the world, https://
www.ibm.com/uk-en/blockchain.
153. Morgan J. Blockchain and distributed ledger, https://www.jpmorgan.com
global/blockchain.
154. Amazon. Amazon managed blockchain, https://aws.amazon.com/managed-
blockchain/.
155. Rivest R. L„ Shamir A., Adleman L. Amethodfor obtaining digital signatures and
public-key cryptosystems //CommunACM Feb. 1978. — №21. — P. 120-126.
15G. Sai A. R„ Buckley J., Le Gear A. Privacy and security analysis of cryptocur-
rency mobile aPlications // 2019 fifth conference on mobile and secure
services (MobiSecServ). IEEE, 2019. — P. 1-6.
157. Lohachab A., Lohachab A.Jangra A. A comprehensive survey of prominent
cryptographic aspects for securing communication in post-quantum iot
networks // Internet of Things 2020. — № 9. — P. 100-174.
158. Nejatollahi H„ Dutt N„ Ray S„ Regazzoni F., Banerjee I., Cammarota R.
Post-quantum lattice-based cryptography implementations: a survey //
ACM Comput Surv 2019. - № 51 (6). - P. 1-41.
159. Cui IP., Dou T„ Yan S.. Threats and oPortunities: blockchain meets quantum
computation // 2020 39th Chinese control conference (CCC). IEEE,
2020. - P. 5822-5824.
160. SuoJ., WangL., YangS., Zheng IP., ZhangJ. Quantum algorithms for typical
hard problems: a perspective of cryptanalysis // Quant Inf Process 2020. —
№ 19. - P. 178.
161. Li C, Tian Y., Chen X., Li J. An efficient anti-quantum lattice-based blind
signature for blockchain-enabled systems // Inf Sci, 2020. — № 546. —
P. 253-264.
162. R3 publishes a new post-quantum signature algorithm tailored to block-
chains. Aug 2020.
163. Anhao N. Bitcoin post-quantum. 2018. — P. 16. https://bitcoinpq.org/
download/bitcoinpq-whitepaper-english.pdf.
164. Liu Z., Wong D., Nguyen K., Yang G., Wang H. Abelian coin (abe)
a quantum-resistant cryptocurrency balancing privacy and accounta-
bility. Jun 2018.
165. GiechaskielI., Cremers C„ Rasmussen К. B. On bitcoin security in the presence
of broken cryptographic primitives // European symposium on research in
computer security. Springer, 2016. — P. 201-222.
166. Mense A., Flatscher M. Security vulnerabilities in ethereum smart con-
tracts // Proceedings of the 20th international conference on information
integration and web-based aPlications & services, 2018. — P. 375-380.
167. Wohrer M., Zdun U. Smart contracts: security patterns in the ethereum
ecosystem and solidity // 2018 international workshop on blockchain
oriented software engineering (IWBOSE). IEEE, 2018. — P. 2-8.
168. Chen Н„ Pendleton М„ Njilla L„ Хи S. A survey on ethereum systems
security: vulnerabilities, attacks and defenses // ACM Comput Surv, 2020. —
№53 (3).-P. 1-43.
169. MaF.,RenM.,Fu Y, WangM., Li IL, SongH.,Jiang Y. Security reinforcement
for ethereum virtual machine // Inf Process Manag, 2021. — № 58 (4). —
P. 102-565.
170. Sun S.-F., Au M. H„ Liu J. K„ Yuen T. H. Ringct 2.0: a compact accumulator-
based (linkable ring signature) protocol for blockchain cryptocurrency
monero // European symposium on research in computer security. Springer,
2017. - P. 456-474.
171. Wijaya D. A., Liu J., Steinfeld R„ Liu D. Monero ring attack: recreating zero
mixin transaction effect // 2018 17th IEEE international conference on
trust, security and privacy in computing and communications/12th IEEE
international conference on big data science and engineering (TrustCom/
BigDataSE). IEEE, 2018. - P. 1196-1201.
172. Homoliak I., Venugopalan S„ Hum Q, Szalachowski P. A security reference
architecture for blockchains // 2019 IEEE international Conference on
blockchain (blockchain). IEEE, 2019. — P. 390-397.
173. LiX.fiangP., Chen T.,LuoX„ Wen Q. A survey on the security of blockchain
systems // Future Generat Comput Syst, 2020. — № 107. — P. 841-853.
174. Huashan C„ MarcusP„ LaurentN., ShouhuaiX. A Survey on Ethereum Sys-
tems Security: Vulnerabilities, Attacks, and Defenses. ACM Comput. Surv.,
June 2020. — № 53 ( 3). — Article 67.43 pages, https://doi.org/10.1145/3391195.
175. ZhangR., Xue R„ Liu L. Security and privacy on blockchain // ACM Comput.
Surv., 2019. - № 52 (3). - P. 1-34.
176. Knutson H. What is the math behind elliptic curve cryptography. 05/04/2018.
https://hackernoon.com/what-is-the-math-behind-elliptic-curve-
cryptography-f61b25253da3.
177. Buterin V., Griffith V. Casper the friendly finality gadget 2017. arXiv
preprint arXiv:1710.09437.
178. Wood G. et al. Ethereum: a secure decentralised generalised transaction
ledger // Ethereum project yellow paper, 2014. — № 151. — P. 1-32.
179. Maxwell G. Confidential transactions. 06 2015. https://people.xiph.org/
~greg/confidential_values.txt.
180. Koens Т., Ramaekers С., Van IV. С. Efficient zero-knowledge range proofs in
ethereum//tech. rep. Technical Report, 2018.
181. Alonso К. M, Joancomart J. II. Monero — privacy in the blockchain //
Cryptology ePrint Archive, 2018. Report 2018/535. https://eprint.iacr.org/
2018/535.'
182. Biryukov A., Khovratovich D. Equihash: Asymmetric proof-of-work based
on the generalized birthday problem // Ledge, 2017. — № 2. — P. 1-30.
183. Bernstein D., Duif N„ Lange T„ Schwabe P„ Yang B.-Y. High-speed high-
security signatures //Journal of Cryptographic Engineering, Sep 2012. —
№ 2. - P. 77-89.
184. Buterin V. EIP-150, gas cost changes for IO-heavy operations, 201G. Retrieved
from https://github.com/ethereum/EIPs/blob/master/EIPS/eip-150.md.
185. Buterin V. EIP-155, simple replay attack protection. Retrieved from
https://github.com/ethereum/EIPs/blob/master/EIPS/eip-155.md.ACM
Computing Surveys, 201G. — Vol. 53. — No. 3. — Article 67. Publication
date: June 2020.
186. Gavin W. EIP-161, state trie clearing, 2016. Retrieved from https://
github.com/ethereum/EIPs/blob/master/EIPS/eip-161.md.
187. Li X.,Jiang P., Chen T, LuoX., Wen Q. A survey on the security of blockchain
systems // Future Gen. Comput. Syst., 2020. — № 107. — P. 841-853.
188. Common Vulnerabilities and Exposures. BatchOverflow, 2018. Retrieved
from http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE 2018 10299.
189. Sotnichek M. EOS Smart Contract Vulnerabilities in Detail, 2018. Retrie-
ved from https://www.apriorit.com/devblog/553-eos-smart-contract-
vulnerability.
190. Common Vulnerabilities and Exposures. CVE-2018-10299. Retrieved from
https://nvd.nist.gov/vuln/detail/CVE-2018-10299.
191. Konstantopoulos G. How to Secure Your Smart Contracts: 6 Solidity
Vulnerabilities and how to avoid them (Part 2), 2018. Retrieved from
https://medium.com/loom-network/how-to-secure-your-smart-contracts-
6-solidityvulnerabilities-and-how-to-avoid-them-part-2-730db0aa4834.
192. Reutov A. Predicting RandomNumbers in Ethereum Smart Contracts, 2018.
Retrieved from https://blog.positive.com/predicting-random-numbers-in-
ethereum-smart-contracts-e5358c6b8620.
193. Bai Z. Replay Attacks on Ethereum Smart Contracts, 2018. Retrieved from
https://github.com/nkbai/defcon26/tree/master/docs.
194. Ethereum community. Solidity 0.5.0 documentation, 2018. Retrieved from
https://solidity.readthedocs.io/en/vO.5.0/050-breaking-changes.html.
195. Ethereum community. Solidity Version 0.4.22,2018. Retrieved from https://
github.com/ethereum/solidity/releases/tag/v0.4.22.
196. Beyer S. Storage Allocation Exploits in Ethereum Smart Contracts, 2018.
Retrieved from https://medium.com/cryptronics/storage-allocation-
exploits-in-ethereum-smart-contracts-16c2aa312743.
197. Bai Z.. Zheng Y., WangS., Chai K. You may have paid more than you imagine,
2018. Retrieved from https://www.defcon.org/html/defcon-26/dc-26-
speakers.html# Bai2.
198. SlowMist. EOS smart contract development security best practices, 2019.
Retrieved from https://github.com/slowmist/eos-smart-contract-security-
best-practices.
199. LielacherA. ETC 51 % attack, 2019. Retrieved from https://bravenewcoin.
com/insights/etc-51-attack-whathaPened-and-how-it-was-stoPed.
200. ConsenSys Diligence. Ethereum Smart Contract Best Practices, 2019.
Retrieved from https://consensys.github.io/smart-contract-best-practices/.
201. Lange F., Ballet G„ Toulrne A. Ethereum Wire Protocol (ETH), 2019.
Retrieved from https://github.com/ethereum/devp2p/blob/master/
caps/eth.md.
202. Vyper development team. Vyper documentation, 2019. Retrieved from
https://vyper.readthedocs.io/en/latest/?badge=latest#.
203. OpenEthereum. Past and feature-rich multi-network Ethereum client, 2020.
Retrieved from https://github.com/paritytech/parity-ethereum.
204. The go-ethereum authors. Official Go implementation of the Ethereum
protocol, 2020. Retrieved from https://github.com/ethereum/go-ethereum.
205. State of The DAPs development team. State of the DAPs-DAP Statistics,
2020. Retrieved from https://www.stateofthedaPs.com/stats.
206. Adler J., Berryhill R„ Veneris A., Poulos Z., Veira N„ Kastania A. Astraea:
A decentralized blockchainoracle, 2018. arXiv: 1808.00528.
207. Albert E., Gordillo P., Livshits B., Rubio A., Sergey I. EthIR: A framework
for high-level analysis of Ethereum bytecode, 2018. arXiv:1805.07208.
208. Almadhoun R„ Kadadha M., Alhemeiri M., Alshehhi M., Salah К. A user
authentication scheme of iot devices using blockchain-enabled fog nodes //
Proceedings of the IEEE/ACS AICCSA. IEEE, 2018. — P. 1-8.
209. Amani S., BegelM., Bortin M., StaplesM. Towards verifying ethereum smart
contract bytecode in Isabelle/HOL // Proceedings of the ACM SIGPLAN
CPP. ACM, 2018. - P. 66-77
210. Androulaki E., Barger A., Bortnikov V., Cachin C„ Christidis K„ De Caro A.,
Enyeart D., Eerris C., Laventman G., Manevich Y. Hyperledger fabric:
A distributed operating system for permissioned blockchains // Proceedings
of the EuroSys, 2018. — № 30.
211. Atzei N, Bartoletti M., Cimoli T. A survey of attacks on ethereum smart
contracts (sok) // Proceedings of the POST, 2017. — P. 1G4-186.
212. BaligaA. Understanding blockchain consensus models // Persistent, 2017. —
Vol. 4. - P. 1-14.
213. Bonneau J., Miller A., Clark J., Narayanan A., Kroll J. A., Felten E. IT. SoK:
Research perspectives and challenges for bitcoin and cryptocurrencies //
Proceedings of the IEEE SP, 2015. — P. 104-121.
214. BrentL.,JurisevicA.,KongM.,LiuE„ GauthierF., Gramoli V., HolzR., Scholz
B. Vandal: A scalable security analysis framework for smart contracts, 2018.
arXiv: 1809.03981.
215. Buterin V. Slasher: A punitive proof-of-stake algorithm. Ethereum Blog,
2014. Retrieved from https://blog.ethereum.org/2014/01/15/slasher-a-
punitive-proof-of-stake-algorithm.
216. Buterin V, Griffith V. Casper the friendly finality gadget, 2017. arXiv preprint
arXiv: 1710.09437.
217. ChangJ., Gao B.,Xiao H„ SunJ., YangZ. sCompile: Critical path identifica-
tion and analysis for smart contracts, 2018. arXiv: 1808.00624.
218. Conti M„ Kumar E., Lal C., Ruj S. A survey on security and privacy issues
of bitcoin. IEEE Communications Surveys Tutorials, 2018. — № 20 (4). —
P. 3416-3452.
219. David B„ Gazi P., Kiayias A., Russell A. Ouroboros praos: An adaptively-
secure, semi-synchronous proofof-stake blockchain // Proceedings of the
EUROCRYPT. Springer, 2018. - P. 66-98.
220. Deirmentzoglou E.. Papakyriakopoulos G„ Patsakis C. A survey on long-range
attacks for proof of stake protocols //IEEE Access 7,2019. — P. 28712-28725.
221. Delmolino К., Arnett М„ Kosba A., Miller A., Shi Е. Step by step towards
creating a safe smart contract: Lessons and insights from a cryptocurrency
lab // Proceedings of the FinancialCRYPTO, 2016. — P. 79-94.
222. Destefanis G.,MarchesiM„ OrtuM., TonelliR., Bracciali A., HieronsR. Smart
contracts vulnerabilities: A call for blockchain software engineering? //
Proceedings of the IEEE IWBOSE, 2018. — P. 19-25.
223. Ellul J., Pace G.J. Runtime verification of ethereum smart contracts //
Proceedings of the IEEE EDCC, 2018. — P. 158-163.
224. Eyal I., Sirer E. G. Majority is not enough: Bitcoin mining is vulnerable.
Commun. ACM, 2018. - № 61 (7). - P. 95-102.
225. Gazi P„ Kiayias A., Russell A. Stake-bleeding attacks on proof-of-stake
blockchains // Proceedings of the CVCBT, 2018. — P. 85-92.
226. Gramoli V. From blockchain consensus back to byzantine consensus //
Future Gen. Comput. Syst., 2020. — № 107. — P. 760-769.
227. Grech N„ KongM.JurisevicA., Brent L., ScholzB., Smaragdakis Y. Madmax:
Surviving out-of-gas conditions in ethereum smart contracts // Proceedings
of the OOPSLA, 2018.
228. Grishchenko I., Maffei M., Schneidewind C. Ether Trust: Sound Static
Analysis of Ethereum Bytecode // Technical Report, 2018. Retrieved
from https://pdfs.semanticscholar.org/26c2/b7e7479336d44891aadda6-
Ь5еаае2са2ее91 .pdf.
229. Grishchenko I., Maffei M„ Schneidewind C. Foundations and tools for the
static analysis of Ethereum smart contracts // Proceedings of the ICCAV.
Springer, 2018.-P. 51-78.
230. Grishchenko I., Maffei M„ Schneidewind C. A semantic framework for the
security analysis of Ethereum smart contracts // Proceedings of the POST.
Springer, 2018. — P. 243-269.
231. Grossman S., Abraham I., Golan-Gueta G., Michalevsky Y., Rinetzky N.,
Sagiv M„ Zohar Y. Online detection of effectively callback free objects with
aPlications to smart contracts // Proceedings of the PoPL, 2017.
232. Huang Y„ Bian Y, Li R., Zhao J., Shi P. Smart contract security: A software
lifecycle perspective // IEEE Access, 2019. — № 7. — P. 150 184-150 202.
233. Jiang B., Liu Y„ Chan IP. Contractfuzzer: Fuzzing smart contracts for
vulnerability detection // Proceedings of the ASE, 2018. — P. 259-269.
234. JudmayerA., StifterN., Zamyatin A., Tsabary I., Eyal L, Gazi P„ Meiklejohn S„
WeiPl E. Pay-To-Win: Incentive Attacks on Proof-of-Work Cryptocur-
rencies // Technical Report, 2019. Cryptology ePrint Archive, Report
2019/775.
235. Kosba A., Miller A., Shi E„ Wen Z„ Papamanthou C. Hawk: The blockchain
model of cryptography and privacy-preserving smart contracts // Proceedings
of the IEEE SP, 2016. - P. 839-858.
236. Li IT., Andreina S„ Bohli J., Кагате G. Securing proof-of-stake blockchain
protocols // Proceedings of the DPM CBT, 2017. — P. 297-315.
237. LiX.,JiangP., Chen T.,LuoX„ Wen Q. A survey on the security of blockchain
systems // Future Gen. Comput. Syst., 2020. — № 107. — P. 841-853.
238. Li Z., Zou D., Xu S.,Jin EL, Zhu Y., Chen Z„ Wang S., Wang J. SySeVR:
A framework for using deep learning to detect software vulnerabilities.
CoRR, 2018. abs/1807.06756.
239. LiZ., ZouD„ Xu S., OuX.Jin EL, WangS., DengZ., Zhong Y. VulDeePecker:
A deep learning-based system for vulnerability detection // Proceedings of
the NDSS, 2018.
240. Lin Z., Lu W.,Xu S. Unified preventive and reactive cyber defense dynamics is
still globally convergent // IEEE/АСМ Trans. Netw., 2019. — № 27 (3). —
P. 1098-1111.
241. Liu C.,LiuEL, CaoZ., ChenZ., ChenB., Roscoe В. ReGuard: Finding reentrancy
bugs in smart contracts // Proceedings of the ICSE, 2018. — P. 65-68.
242. Luu L„ Chu D„ Olickel EL, Saxena P„ Hobor A. Making smart contracts
smarter // Proceedings of the ACM CCS, 2016. — P. 254-269.
243. Marcus Y„ Heilman E„ Goldberg S. Low-resource eclipse attacks on Ethe-
reum’s peer-to-peer network, 2018. Retrieved from http://ljk.imag.fr
membres/Jean-Guillaume.Dumas/Enseignements/ProjetsCrypto/
Ethereum/236.pdf.
244. Mavridou A., LaszkaA. Designing secure ethereum smart contracts: A finite
state machine based aProach, 2017. arXiv:1711.09327.
245. McCorry P„ Hicks A., Meiklejohn S. Smart contracts for bribing miners.
In Proceedings of the FinancialCRYPTO, 2018. — P. 3-18.
246. Micali S. Algorand: The efficient and democratic ledger, 2016. arXiv preprint
arXiv: 1607.01341.
247. Miller A., Kosba A., Katz J., Shi E. Nonoutsourceable scratch-off puzzles to
discourage bitcoin mining coalitions // Proceedings of the ACM CCS,
2015. - P. 680-691.
248. MirelesJ., Ficke E., Cho J., Hurley P., Xu S. Metrics towards measuring cyber
agility. IEEE TIFS 14, 2019. - № 12. - P. 3217-3232.
249. Nakamoto S. Bitcoin: A peer-to-peer electronic cash system, 2008. Retrieved
from https://bitcoin.org/bitcoin.pdf.
250. Nakamura R.,Jimba 7’., HarzD. Refinement and verification of CBC casper.
Networks, 2019. — № 2. — P. 4.
251. Natoli C., Gramoli V. The balance attack or why forkable blockchains are
ill-suited for consortium // Proceedings of the IEEE/IFIP DSN, 2017. —
P. 579-590.
252. Nikolic I., Kolluri A., Sergey I., Saxena P., Hobor A. Finding the greedy,
prodigal, and suicidal contracts at scale // Proceedings of the ACSAC,
2018. - P. 653-663.
253. Noel S.,Jajodia S. A Suite of Metrics for Network Attack Graph Analytics.
Springer International Publishing, Cham, 2017. — P. 141-176.
254. O’Connor R. Simplicity: A new language for blockchains // Proceedings of
the PLAS, 2017. - P. 107-120.
255. Park D., Zhang Y., Saxena M., Daian P„ Rosu G. A formal verification tool
for Ethereum VM bytecode // Proceedings of the of ACM ESEC/FSE.
ACM, 2018.-P. 912-915.
256. Pendleton M., Garcia-Lebron R„ Cho J., Xu S. A survey on systems security
metrics. ACM Comput. Surv., 2016. — № 49 (4). — P. 62:1-62:35.
257. Saad M., Spaulding J, Njilla L„ Kamhoua C„ Shetty S., NyangD., Mohaisen
A. Exploring the attack surface of blockchain: A systematic overview, 2019.
arXiv: 1904.03487.
258. Salah K„ Rehman M„ Nizamuddin N., FuqahaA. Blockchain for AI: Review
and open research challenges. IEEE Access 7, 2019. — P. 10 127-10 149.
259. Saltzer J. H„ Schroeder M. D. The protection of information in computer
systems. Proc. IEEE, 1975. - № 63 (9). - P. 1278-1308.
260. Schrans F., Eisenbach S„ Drossopoulou S. Writing safe smart contracts in
Flint // Proceedings of the ACM on Programming Languages. ACM,
2018. - P. 218-219.
261. ТаппА.'НапХ., Gupta S., OngY. Towards safer smart contracts: A sequence
learning aProach to detecting vulnerabilities, 2018. arXiv:1811.06632.
262. Tikhomirov S„ Voskresenskaya E., Ivanitskiy I., Takhaviev R., Marchenko E.,
Alexandrov Y. Smartcheck: Static analysis of ethereum smart contracts //
Proceedings of the IEEE/АСМ WETSEB, 2018. - P. 9-16.
263. Tsankov P., Dan A., Cohen D„ Gervais A., Buenzli F., Vechev M. Securify:
Practical security analysis of smart contracts, 2018. arXiv:1806.01143.
264. Wang IP., HoangD. T„ Hu P„ Xiong Z., Niyato D„ WangP., Wen Y., Kim D.
A survey on consensus mechanisms and mining strategy management in
blockchain networks. IEEE Access 7, 2019. — P. 22 328-22 370.
265. WangX., Zha X., Yu G., Ni W., Liu R„ Guo Y., Niu X., Zheng K. Attack and
defence of ethereum remote apis // Proceedings of the GC. IEEE, 2018. —
P. 1-6.
266. Wohrer M., Zdun U. Smart contracts: Security patterns in the ethereum
ecosystem and solidity // Proceedings of the IEEE IWBOSE, 2018. —
P. 2-8.
267. Wood G. Ethereum: A secure decentralised generalised transaction ledger //
Ethereum Project Yellow Paper 151, 2014. — P. 1-32.
268. WiistK., Gervais A. Ethereum Eclipse Attacks // Technical Report. ETH
Zurich, 2016.
269. Xiao Y.,Zhang N., Lou IP, Hou Y. A survey of distributed consensus protocols
for blockchain networks, 2019. arxiv: 1904.04098
270. Xu M., Da G„ Xu S. Cyber epidemic models with dependences. Internet
Math, 2015. - № 11 (1). - P. 62-92.
271. Xu S. Cybersecurity dynamics // Proceedings of the HotSoS, 2014. —
P. 14:1-14:2.
272. Xu S. Emergent behavior in cybersecurity // Proceedings of the HotSoS,
2014. - P. 13:1-13:2.
273. Xu S. Cybersecurity dynamics: A foundation for the science of cybersecurity //
Proactive and Dynamic Network Defense, Zhuo Lu and Cliff Wang (Eds.). —
Vol. 74. Springer International Publishing, Cham, 2019. — P. 1-31.
274. Xu S„ Lu IP., Xu L. Push-and pull-based epidemic spreading in arbitrary
networks: Thresholds and deeper insights. ACM Trans. Auton. Adapt. Syst.,
2012. - № 7 (3). - P. 32:1-32:26.
275. Yamashita К., Nomura Y„ ZhouE., Pi В., Jun S. Potential risks of hyperledger
fabric smart contracts // Proceedings of the IEEE IWBOSE, 2019. — P. 1-10.
276. Zamfir V., Rush N., Asgaonkar A., Piliouras G. Introducing the «Minimal
CBC Casper» Family of Consensus Protocols, 2018. Retrieved from
https://github.com/cbc-casper/cbc-casper-paper/blob/master/cbc-casper-
paperdraft.pdf.
277. Zeng G„ Yiu S., ZhangJ., Kuzuno IL, Au M. A nonoutsourceable puzzle under
GHOST rule // Proceedings of the IEEE PST, 2017. — P. 35-358.
278. ZhangF., Cecchetti E., Croman K,Juels A., Shi E. Town crier: An authentica-
ted data feed for smart contracts // Proceedings of the ACM CCS, 2016. —
P. 270-282.
279. Zhang R„ Xue R., Liu L. Security and privacy on blockchain. CoRR, 2019.
abs/1903.07602.
280. Zheng R„ Lu IP., Xu S. Preventive and reactive cyber defense dynamics is
globally stable // IEEE Trans. Netw. Sci. Eng., 2018. — № 5 (2). — P. 156-170.
281. Zhou Y„ Kumar D., Bakshi S„ Mason J., Miller A., Bailey M. Erays: Reverse
engineering ethereum’s opaque smart contracts // Proceedings of the
USENIXSecurity, 2018.
282. Zhu L., Zheng B„ Shen M„ Yu S„ Gao F„ Li FL, Shi K, Gai K. Research on
the security of blockchain data: A survey. CoRR, 2018. abs/1812.02009.
Received August 2019; revised February 2020; accepted March 2020.
283. Sultanik E. et al. Blockchains Decentralized? Unintended Centralities in
Distributed Ledgers. June 2022, DARPA. Trail of Bits, Inc. 26 p.
284. Sai et al. Taxonomy of centralization in public blockchain systems:
A systematic literature review // Information Processing & Management. -
Vol. 58. - Issue 4. - July 2021.
285. Kwon Y. et al. Impossibility of Full Decentralization in Permissionless
Blockchains // Proceedings of the 1st ACM Conference on Advances in
Financial Technologies. — October 2019.
286. Grundmann M„ Baumstark M., Hartenstein II. Estimating the Node Degree
of Public Peers and Detecting Sybil Peers Based on Address Messages in
the Bitcoin P2P. — Network, 2021.
287. Apostolaki M„ Zohar A., Vanbever L. Hijacking Bitcoin: Routing Attacks
on Cryptocurrencies // IEEE Symposium on Security and Privacy, 2017.
288. Avan Nomayo О. Bitcoin network node count sets new all-time high,
Cointelegraph, July 15, 2021.
289. Tran M. etal. A Stealthier Partitioning Attack against Bitcoin Peer-to-Peer
Network // IEEE Symposium on Security and Privacy, 2020.
290. Biryukov A., Pustogarov I. Bitcoin over Tor Isn’t a Good Idea // IEEE
Symposium on Security and Privacy, 2015.
291. OssingerJ. Ethereum Weathers Bug that Underlines Possible Blockchain
Risks // Bloomberg, August 30, 2021.
292. Swende M.H. CVE-2021-41173: DoS via maliciously crafted P2P message,
ethereum/go-ethereum, GitHub, October 25, 2021.
293. Betz B. 2 Prominent Bitcoin Core Contributors Step Away From Their
Roles, CoinDesk, December 10, 2021.
294. Scott-Railton J. et al. Extensive Mercenary Spyware Operation against
Catalans Using Pegasus and Candiru // The Citizen Lab, April 18, 2022.
295. Shor P. Algorithms for quantum computation: discrete logarithms and
factoring // Foundations of Computer Science, 1994. — № 10. — 134 p.
296. Deutsch D. Quantum theory, the Church-Turing principle and the univer-
sal quantum computer // Proceedings of the Royal Society A., 1985. —
№400(1818). -P. 97-117.
297. Deutsch D.,Jozsa R. Rapid solution of problems by quantum computation,
Proceedings of the Royal Society of London A, 1992. — № 439 (1907). —
P. 553-558.
298. Diffie D, Hellman M. New directions in cryptography, IEEE Transactions
on Information Theory, 1976. — Vol. 22. — Issue 6.
299. Feynman R. Simulating physics with computers, Internal. J. Theoret. Phys.,
1982.-№21.-P. 467-488.
300. Grebnev S. V. On the feasibility of an ECDLP algorithm. Cryptology ePrint
Archive, Report 2018/399.
301. Grebnev S. V. Limonnitsa: making Limonnik-3 post-quantum // Матема-
тические вопросы криптографии, 2020. — № 11:2. — С. 25-42.
302. Grover L. К. A fast quantum mechanical algorithm for database search //
Proceedings of the twenty-eighth, annual ACM symposium on Theory of
computing, 1996. — P. 212-219.
303. ShorP. W. Polynomial-time algorithms for prime factorization and discrete
logarithms on a quantum computer // SIAM J. Computing, 1997. — № 26. —
P. 1484-1509.
304. Simon D. R. On the power of quantum computation // SFCS ’94: Proceedings
of the 35th Annual Symposium on Foundations of Computer Science,
1994. - P. 116-123.
305. Petrenko A. S., Petrenko S. A., Taran V. N. Universal Quantum Gate as
a Tool for Modeling Quantum Cryptanalysis Algorithms on a Quantum
Circuit // В сборнике: CEUR Workshop Proceedings. Cep. «AISMA
2021 — Proceedings of the International Workshop on Advanced in
Information Security Management and APlications», 2022. — C. 143-150.
306. Petrenko A. S., Petrenko S. S., Makoveichuk K. A., Olifirov A. V., Krachunov
H. Security Threat Model Based on Analysis of Foreign National Quantum
Programs // CEUR Workshop Proceedings this link is disabled, 2021. —
№3057. P. 11-25.
307. Petrenko S. A. Cyber Resilience (научная монография: Киберустойчи-
вость индустрии 4.0.). River Publishers, River Publishers Series in Security
and Digital Forensics, 1st ed. 2019. — 492 p.
308. Petrenko S. A. Cyber Security Innovation for the Digital Economy: A Case
Study of the Russian Federation (научная монография: Инновацион-
ные технологии кибербезопасности для цифровой экономики). River
Publishers, River Publishers Series in Security and Digital Forensics, 1st ed.
2018.-490 p.
309. ShorP. IF. Polynomial-time algorithms for prime factorization and discrete
logarithms on a quantum computer // SIAM J. Computing, 1997. — № 26. —
P. 1484-1509.
310. Simon D. R. On the power of quantum computation // SFCS ’94: Proce-
edings of the 35th Annual Symposium on Foundations of Computer Science,
1994. - P. 116-123.
311. Перечень открытых учебных курсов в WWW:
• Scott Aaronson (2006). Quantum Computing Since Democritus:
www.scottaaronson.com/democritus/;
• Quantum Computing Report’s list of online educational resources:
https://quantumcomputingreport.com/resources/education/;
• Kirill Shilov. «16 Best Resources to Learn Quantum Computing in
2019»: https://hackernoon.com/16-best-resources-to-learn-quantum-
computing-in-2019-e5d8b797aeb6;
• Leonard Susskind (2011), professor of physics at Stanford University.
Quantum Mechanics: The Theoretical Minimum: http://theoretical -
minimum.com/courses/quantum-mechanics/2012/winter.
312. Сайты производителей квантовых компьютеров и симуляторов:
• Atos:https://atos.net/en/insights-and-innovation/quantum-computing/
atos-quantum;
• Cambridge Quantum Computing: https://cambridgequantum.com/;
• D-Wave: www.dwavesys.com;
• Google: https://ai.google/research/teams/aPlied-science/quantum-ai/;
• Honeywell: www.honeywell.com/en-us/company/quantum;
• Huawei: www.huaweicloud.com/en-us;
• IBM: www.research.ibm.com/ibm-q/;
• Intel:https://newsroom.intel.com/press-kits/quantum-computing/
#quantumcomputing-news;
• lonQ: https://ionq.co/ MagiQ Technologies: www.magiqtech.com;
• Microsoft: www.microsoft.com/en-us/research/research-area/quantum/;
• Quantum Computing, Inc.: https://quantumcomputinginc.com/;
• Quantum Numbers Corp.: www.quantumnumberscorp.com;
• Quintessence Labs: www.quintessencelabs.com;
• Raytheon: www.raytheon.com/capabilities/products/quantum;
• Rigetti: www.rigetti.com/qcs;
• Toshiba:www.toshiba.eu/eu/Cambridge-Research-Laboratory/Quantum-
Information/.
313. Архивы квантовых алгоритмов и симуляторов:
• List of quantum http://quantumalgorithmzoo.org/;
• List of quantum computing simulators: www.quantiki.org/wiki/list-qc-
simulators;
• List of quantum open-source projects: https://arxiv.org/pdf/
1812.09167.pdf;
• List of quantum software: https://github.com/qosf/os_quantum_
software;
• IBM Quantum Q Experience: https://quantumexperience.ng.bluemix.
net/qx/editor;
• Microsoft Quantum Software Development Kit: https://market-
place.visualstudio.com/items?itemName=quantum.DevKit;
• Open Quantum Safe Project: https://openquantumsafe.org/;
• Open-source and commercial quantum software projects and online
quantum portals: https:// github.com/qosf/os_quantum_software;
• Python quantum open-source library: https://github.com/rigetti/pyquil;
• Quantum Open Source Foundation: https://qosf.org/;
• Quirk, drag-and-drop quantum simulator: https://algassert.com/quirk.
314. Перечень известных национальных квантовых программ (НИОКР):
• Australia, Australian Research Council’s Centre of Excellence for
Engineered Quantum Systems: https://equs.org/;
• Australia, Center for Quantum Computation & Communication Tech-
nology: www.cqc2t.org;
• Barcelona, Catalonia, Spain, Institute of Photonic Sciences: http://
quantumtech.icfo.eu/;
• Barcelonaqbit: www.barcelonaqbit.com/;
• Beijing Academy of Quantum Information Science: www.baqis.ac.cn/en/;
• Berkeley Quantum: https://berkeleyquantum.org/;
• Brookhaven National Laboratories: www.bnl.gov/compsci/quantum/;
• China, CAS Key Laboratory of Quantum Information: http://
lqcc.ustc.edu.cn/;
• Entanglement Institute, Newport, Rhode Island: www.entangle-
ment.institute/;
• Fermilab Quantum Information Science Program: https://qis.fnal.gov/;
• France, Grenoble Quantum Silicon: www.quantumsilicon-grenoble.eu/;
• German Research Foundation’s Matter and Light for Quantum Com-
puting: https://ml4q.de/;
• IARPA’s Coherent Superconducting Qubits: www.iarpa.gov/index.php/
research-programs/csq;
• IARPA’s Logical Qubits: www.iarpa.gov/index.php/research-programs/
logiq;
• IARPA’s Multi-Qubit Coherent Operations: www.iarpa.gov/index.php/
research-programs/mqco;
• IARPA’s Quantum Enhancement Optimization: www.iarpa.gov/
index.php/research-programs/qeo;
• India, Light and Matter Physics: www.rri.res.in/light-matter-
physics.html;
• Korea, Center for Quantum Information: http://quantum.kist.re.kr/;
• Leti, France: www.leti-cea.com/cea-tech/leti/english/Pages/APlied-
Research/StrategicAxes/Quantum-leti-initiative.aspx;
• Los Alamos Quantum Institute: https://quantum.lanl.gov/about.shtml;
• NASA Quantum Artificial Intelligence Laboratory: https://
ti.arc.nasa.gov/tech/dash/groups/quail/;
• National Science Foundation’s Enabling Practical-Scale Quantum
Computing: www.epiqc.cs.uchicago.edu/;
• National Science Foundation’s Quantum Information Science:
www.nsf.gov/funding/pgm_summ.jsp?pims_id=505207;
• Netherlands, QuSoft Research Center for Quantum Software:
www.qusoft.org;
• Netherlands, QuTech Academy: http://qutech.nl/;
• NIST Joint Center for Quantum Information and Computer Science:
http://quics.umd.edu/;
• NIST Joint Quantum Institute: https://jqi.umd.edu/;
• NIST Post Quantum Cryptography contest: https://csrc.nist.gov/
Proj ects/Post- Quantum- Cryptography;
• NIST Quantum Information Science: www.nist.gov/topics/quantum-
information-science;
• Oak Ridge National Laboratory Quantum Computing Institute: https://
quantum.ornl.gov/;
• Oak Ridge National Laboratory Quantum Information Science Group:
https://web.ornl.gov/sci/qis/index.shtml;
• Paris Centre for Quantum Computing: www.pcqc.fr;
• Perimeter Institute for Theoretical Physics Quantum Information
Research Group: http://perimeterinstitute.ca/research/research-areas/
quantum-information;
• Russian Quantum Center (Российский квантовый центр): https;//
rqc.ru/;
• Singapore, Centre for Quantum Technologies: www.quantumlah.org;
• Singapore, Quantum Technologies for Engineering Programme:
www.a-star.edu.sg/imre/Research/Programmes-Centres/Quantum-
Technologies-for-Engineering-Programme;
• Spanish National Research Council: https://qst.csic.es/;
• Swiss National Science Foundation’s Quantum Science and Technology:
https://nccr-qsit.ethz.ch/;
• United Kingdom’s National Quantum Technology Programme:
www.nqit.ox.ac.uk/;
• Universities Space Research Association: www.usra.edu/quantum-
computing.
Сведения об авторе
Алексей Сергеевич Петренко
Приглашенный доцент Университета Иннополис по направлениям разви-
тия сквозных цифровых технологий «Системы распределенного реестра»
и «Квантовые технологии» национальной программы «Цифровая экономика
Российской Федерации». Индекс Хирша — 1G (шестнадцать)1. Автор двух
монографий и более 160 статей в области компьютерных наук и информа-
ционной безопасности. Основные исследовательские интересы — квантовый
криптоанализ и синтез квантово-устойчивых криптографических прими-
тивов (хеш-функции, электронные подписи и алгоритмы асимметричного
шифрования) для современных блокчейн-экосистем и платформ цифровой
экономики Российской Федерации.
Ранее исследовал модели и методы безопасной разработки блокчейн-эко-
систем и платформ на основе «Эфириум 1.0» и «Эфириум 2.0». В том числе
методы безопасной разработки контейнеризированных смарт-контрактов,
исполняемых в Docker-контейнере; методы статического и динамического
анализа смарт-контрактов на языках программирования полных по Тьюрин-
гу — Solidity, JavaScript и Viper; вопросы безопасности протокола Ethereum
Virtual Machine (EVM), а также механизмов консенсуса на основе доказа-
тельства работы (PoW) и доказательства ставки (PoS) и др.
Подготовил кандидатскую диссертацию «Метод повышения квантовой
устойчивости современных блокчейн-экосистем и платформ» (2022).
https://www.elibrary.ru/author_profile.asp7authorid-935578.
Алексей Петренко
Квантово-устойчивый блокчейн
Руководитель дивизиона
Руководитель проекта
Ведущий редактор
Литературные редакторы
Художественный редактор
Корректоры
Верстка
Ю. Сергиенко
И. Сальникова
Н. Гринчик
В. Гуляева, Н. Рощина
Д. Черницын
О. Андриевич, Е. Павлович
Г. Блинов
Изготовлено в России. Изготовитель: ООО «Прогресс книга».
Место нахождения и фактический адрес: 194044, Россия, г. Санкт-Петербург,
Б. Сампсониевский пр., д. 29А, пом. 52. Тел.: +78127037373.
Дата изготовления: 01.2023. Наименование: книжная продукция. Срок годности: не ограничен.
Налоговая льгота — общероссийский классификатор продукции ОК 034-2014, 58.11.12 — Книги печатные
профессиональные, технические и научные.
Импортер в Беларусь: ООО «ПИТЕР М», 220020, РБ, г. Минск, ул. Тимирязева, д. 121/3, к. 214, тел./факс: 208 80 01.
Подписано в печать 29.11.22. Формат 70x100/16. Бумага офсетная. Усл. п. л. 25,800. Тираж 1000. Заказ 0000.