Что такое гомоморфное шифрование? Можно ли быть уверенным в безопасности своих данных? Какие задачи сегодня стоят перед программистами? О киберугрозах и о создании передовых методов защиты информации во время обработке данных рассказал директор Института системного программирования им. В.П. Иванникова РАН академик Арутюн Ишханович Аветисян.

— Ваш институт вместе с Математическим институтом им. В.А. Стеклова РАН выиграл грант Минобрнауки на реализацию проекта «Исследование и создание передовых методов защиты информации, сохранения конфиденциальности и предотвращения утечки данных при их обработке в распределенных средах». В конкурсе грантов он набрал 95,5 баллов из 100. В чем уникальность проекта?

— Уникальность проекта связана с тем, что он направлен на пионерские исследования, связанные с обеспечением безопасности центров обработки данных (ЦОД) и с самыми современными коммуникациями. Мы часто слышим, что наши данные теряются, их куда-то «сливают». Даже профессионалы не всегда понимают те вызовы, которые нас ждут в ближайшие пять-десять лет. Если мы не будем проводить такие пионерские работы, то в какой-то момент окажемся в состоянии, когда, понимая проблемы и задачи, не сможем их решать. На сегодня у нас ответы вроде бы есть, мы достаточно передовая страна, передовой институт. Но нужно посмотреть чуть-чуть за горизонт и сказать, что нас там ждет, какие существуют риски, есть ли технологические ответы на эти вопросы или проблему безопасности нужно решать организационными мерами.

— Какие задачи решает проект?

— Возьмем один ЦОД. Внутри него много разных потребителей. Ваши данные, даже ваши логины и пароли находятся там в расшифрованном виде. И даже если вы полностью отключили ЦОД от интернета и он находится в замкнутой среде, есть риск: система все же многопользовательская. Не хотелось бы, чтобы ваши данные кто-то прочитал. Один из способов решения проблемы — гомоморфное шифрование, когда данные постоянно представлены в зашифрованном виде. Это гарантия того, что их никто не сможет прочитать или украсть.

Но подобные технологии сами по себе очень сложны с точки зрения программирования и реализации, хотя о них известно уже много лет. Дело в том, что они снижают производительность обработки данных, поэтому с большим объемом данных этот метод не используешь. Одна из задач — расширить границу применимости. Следующая задача — понять, какие вызовы могут быть связаны с новыми технологиями, квантовыми коммуникациями, насколько они уязвимы, устойчивы к атакам. Этими вопросами занимается наш партнер МИАН, в частности А.Н. Печень, один из выдающихся специалистов в этой области, руководитель отдела в МИАН. Получены достаточно серьезные теоретические результаты, что подтверждается публикациями. Для меня, конечно, важна не только публикационная активность. Мы всегда смотрим, можно ли результаты исследований применять в реальных условиях. Результаты работы нашей команды и МИАН таковы, что мы планируем их постепенно интегрировать в нашу облачную платформу Asperitas, предоставить технологию нашим заказчикам, получить обратную связь и в зависимости от условий эксплуатации определить границы, где стоит применять результаты, а где нет. Хочется, чтобы функциональные и нефункциональные требования потребителя не очень нарушались. Если телефон будет весить килограмм, вряд ли вы им будете пользоваться, даже если он безопасен. Здесь то же самое: если будет серьезная деградация в производительности, никто не будет этим пользоваться.

— При гомоморфном шифровании есть ли какие-то потери?

— С точки зрения функционала, потерь нет. Существенны потери с точки зрения производительности. При этом метод уже начал применяться. Это мировой тренд, все понимают, что если появятся реальные квантовые компьютеры, то они начнут взламывать и криптографию и многое из того, что сейчас кажется вполне устойчивым. Например, наши партнеры из Соединенных Штатов Америки недавно объявили, что разработаны новые протоколы постквантовой криптографии. Криптография — не тема нашего института, но проверить, насколько она устойчива, есть ли уязвимости в ее реализации, — это как раз то, над чем мы профессионально работаем.

Мне кажется, наш проект ставит новые задачи: чем нужно заниматься в настоящее время, куда направлять научные усилия. Никто не ожидает, что такие пионерские работы должны внедряться на 100%, потому что далеко не каждый стартап выстреливает. Мы должны определить контуры будущей безопасности: куда стоит вкладываться, где можно получить быстрые результаты и защититься от угроз. Не понимая технологической базы, невозможно определить сами угрозы. Иначе ты попадаешь в ситуацию, когда нужно защищаться от всего. Это как в жизни: если вы не знаете, какой уровень безопасности на улице, вы либо не выходите и все время сидите дома, либо вам нужна толпа охранников. А жить в таких условиях невозможно. Поэтому наука должна ответить на вопросы, какие существуют риски, как ими управлять, как жить в новых условиях и при этом не попадать в ситуацию, когда ты защищен, но света солнечного не видишь.

— Бывают ведь не только взломы системы, но и ошибки внутри нее. Есть ли какие-то методы, которые делают систему более устойчивой?