openPGP в России / Новости / 2010 / Взломаны две промышленные системы распределения квантовых ключей

31.08 // Взломаны две промышленные системы распределения квантовых ключей

Учёные из Норвегии и Германии нашли сравнительно простой и не слишком затратный способ перехвата сообщений в системах распределения квантовых ключей, сконструированных инженерами компаний ID Quantique и MagiQ Technologies.

В криптографии легитимных пользователей традиционно называют Алисой и Бобом, а перехватчика — Евой. Наиболее известный квантовый протокол распределения ключей BB84 использует четыре квантовых состояния, которые образуют два базиса; можно, к примеру, задействовать четыре типа поляризации фотонов в «ортогональном» и «диагональном» базисах. Алиса посылает Бобу фотоны в произвольно выбранных базисах, а тот регистрирует их, причём здесь базисы также устанавливаются произвольным (и не зависящим от выбора Алисы) способом. Если Боб не угадывает, результат измерения оказывается случайным. Когда передача завершается, принимавшая сообщение сторона открыто сообщает, в каком базисе проводились измерения каждого фотона, а Алиса раскрывает информацию о базисе, в котором эти фотоны были подготовлены. Результаты некорректных измерений отбрасываются, а оставшиеся данные преобразуются в строку битов (ключ), длина которой, как несложно догадаться, уменьшается в среднем в два раза по сравнению с длиной отправленной Алисой строки.

Ева может занять место между Алисой и Бобом, но на надёжность системы это не повлияет, поскольку она, как и Боб, не знает, в каком базисе подготовлены фотоны. Если Ева не угадывает, а Боб, напротив, проводит измерение в нужном базисе, то вместо правильного результата он получает случайное значение. При сравнении битов после обмена эти ошибки обнаруживаются, что и позволяет раскрыть присутствие Евы.

Режимы работы лавинного фотодиода (слева) и его использование в системе распределения ключей. V^лфд и I^лфд — напряжение на фотодиоде и протекающий через него ток. (Иллюстрация из журнала Nature Photonics.)

Все эти рассуждения справедливы в идеальном случае, но на практике задача взлома систем распределения ключей вполне реальна: «слабым звеном» оказался лавинный диод, который используется для регистрации отдельных фотонов. Для того чтобы обеспечить чувствительность к одиночным квантам света, эти полупроводниковые элементы переводят в так называемый гейгеровский режим при подаче напряжения обратного смещения Vсм, превышающего пробойное Vп (см. рис. выше). При попадании фотона образуется лавина носителей заряда, через диод протекает ток, который превышает установленное пороговое значение Iпор, и схема регистрирует факт прихода частицы. Затем Vсм намеренно снижают, чтобы «погасить» лавину, после чего диод возвращается в исходное гейгеровское состояние. Обычно на диод подают постоянное напряжение, несколько уступающее пробойному по величине, и импульсы напряжения, которые создают чёткую последовательность гейгеровских периодов.

При уменьшении Vсм диод работает в «классическом» линейном режиме: протекающий через него ток становится пропорционален мощности падающего излучения, а пороговое значение Iпор преобразуется, следовательно, в пороговую мощность Рпор. Именно на этом и основан предлагаемый физиками способ взлома. В их схеме детекторы Боба переводятся в линейный режим, а Ева отсылает ему не одиночные фотоны, а импульсы, по мощности несколько превосходящие Рпор. В этом случае, как показывают эксперименты, можно добиться того, что Боб будет регистрировать приход импульса только тогда, когда он выбирает тот же базис, что и Ева. В результате половина битов пропадает, но это ограничение не слишком важно, поскольку детекторов Боба достигает намного меньше половины испущенных Алисой фотонов. Кроме того, эффективность регистрации лавинными диодами отдельных квантов далека от 100%, тогда как импульсы в линейном режиме они детектируют исправно.

Для того чтобы перевести лавинный диод в линейный режим, необходимо, очевидно, уменьшить напряжение смещения или увеличить напряжение пробоя. Учёные решили эту задачу довольно простым способом: они направили на детекторы излучение лазера, работающего в непрерывном режиме с мощностью около 1 мВт. Это позволило взломать системы Clavis2 и QPN 5505, поставляемые ID Quantique и MagiQ Technologies. Представителей компаний, разумеется, уведомили о том, что их продукция оказалась ненадёжна; в ID Quantique, по словам разработчиков, уже приняли ответные меры. «Этот способ атаки гораздо более практичен и опасен, чем всё, с чем мы сталкивались прежде», — подтверждает сотрудник ID Quantique Грегуар Риборди (Grйgoire Ribordy). При этом г-н Риборди призывает не драматизировать ситуацию, указывая на то, что модификации Clavis2, поставляемые в университеты, сильно отличаются от тех, которые используются по прямому назначению: последние предлагают дополнительные уровни защиты.

Стоит сказать, что в своих опытах учёные использовали генератор сигналов, оптический аттенюатор, лазерный диод со стекловолоконными выводами, измеритель мощности излучения, осциллограф и несколько вольтметров. Стоимость такого набора оборудования не превышает десяти тысяч евро. «Эксперименты заняли около двух месяцев», — добавляет участник исследования Вадим Макаров из Норвежского научно-технологического университета.

Коллега г-на Макарова Ларс Лидерсен (Lars Lydersen) экспериментирует с системой QPN 55056. На столе размещено всё используемое оборудование. (Фото Вадима Макарова.)

Система QPN 55056: слева — Алиса, справа — Боб. Внизу показана плата детектора одиночных фотонов. (Фото Ларса Лидерсена и Вадима Макарова.)

Напомним: три месяца назад «КЛ» уже сообщала о взломе другой системы ID Quantique, но тогда присутствие Евы всё же вызывало появление некоторого количества ошибок. В новой схеме отследить прослушивание невозможно.

Полная версия отчёта будет опубликована в журнале Nature Photonics; препринт статьи можно скачать с сайта arXiv.

Подготовлено по материалам Nature News.

Источник: http://science.compulenta.ru/558678/

Комментарии [скрыть комментарии/форму]

—	unknown (31/08/2010 09:04) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Репутация у QKD пока снижается вполне предсказуемым образом. Пока не доказано (серьёзно не обосновано), что нельзя создать устойчивый к искуственно наведённым в канале сбоям датчик, то говорить о невзламываести, основанной только на принципе неопределённости Гейзенберга и неклонируемости квантовых состояний, смысла нет.

Рано вытащили QKD из лабораторных условий.

—	spinore (01/09/2010 18:09) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

>Сломали, но не "всё QKD", а "промышленные образцы". К тому же, они нарушили одну из основных гипотез QKD: "Ева не имеет доступа к лабораториям Алисы и Боба". В описанном методе взломщики

направили на детекторы излучение лазера, работающего в непрерывном режиме с мощностью около 1 мВт

>следовательно, на уровне принципа Ева себя "раскрыла".

>Да, действительно, Ева воздействует на детектор Боба лишь через оптоволокно, а не напрямую, изменяет свойства детектора Боба, так что ящики она "опосредованно вскрывает" — так что принципиально QKD "не взломан", но схема нарушена. Защита аппарата Боба от воздействия Евы — не дело QKD. Это — обычная защита, как от прямого воздействия "отвёртки". Ева классическим образом начала контролировать детектор Боба, что выходит за рамки QKD. Последнее работает, когда выполнены некие условия, и одно из них — недоступность аппаратов Боба и Алисы воздействию Евы. В реальной системе это воздействие должно блокироваться "классическими" средствами, не имеющими отношения к QKD.

>В рельной промышленной установке эту атаку, конечно, надо учитывать, и для производителей QKD она существенна, но принципа эта атака не нарушает. QKD не решает всех проблем безопасности — просто такое неправильное представление о ней создаётся, будто бы это — "абсолютное средство".

>Ну, и самое главное — атака применима только к дискретным протоколам, работающим на системах со счётчиками фотонов (лавинными светодиодами), QKD же с непрерывными переменными их не использует, потому эта атака ей не страшна.

>Кстати, простой рецепт "классического" детекторования описанной атаки: в интервалы между приходом квантовых импульсов можно переключать детектор на измерение интенсивности света в оптоволокне, и, если есть постоянный поток 1мВт, то Ева обнаружена (это "чисто теоретический" способ – не знаю, насколько легко его реализовать на практике).

© Компиляция переписки с Евгением Карповым.

P.S.: из-за того, что однофотонные источники света пока создать не могут, все схемы QKD, требующие однофотонность, реально работают с так называемыми "волновыми пакетами", что опять же может привести к атакам (photon number splitting attack), но их можно учитывать и бороться с ними.

—	unknown (02/09/2010 14:52) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Вот кстати пример новостей, которые регулярно публикуются на IT-ресурсах, но в матчасти которых никто не разбирается. У нас всегда только надежда, что spinore может разобраться в этой области и то самостоятельно он темой QKD не занимается.

—	spinore (04/09/2010 21:47, исправлен 04/09/2010 21:52) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Вот кстати пример новостей, которые регулярно публикуются на IT-ресурсах, но в матчасти которых никто не разбирается.

Это центральная проблема любой журналистики. Тексты крупных новостных порталов пишутся, по-видимому, одним-двумя журналистами¹, и дело даже не в том, что невозможно объять необъятное, а в том, что по своему основному образованию они не становятся специалистами ни в одном деле — соответственно, нет и понимания сложности при описании реальных проблем, в вузах же им объясняют, что они — специалисты во всём, "широкий профиль", и воспринимается ими это не как ругательство, но комплимент. Например, недавно была масса новостей про Перельмана, почти все — с той или иной степенью желтизы: добраться до внятного и обстоятельного изложения событий² в историческом контексте мне удалось далеко не сразу.

Для самих учёных публикация в такой прессе преследует лишь цель "написать что-то, упомянуть имя, вызвать сенсацию", но никак не "дать понять точный смысл сделанного". Редакторы могли бы согласовывать текст статей с теми, про кого они пишут, чего не происходит: берётся интервью, где журналисты получают рассказ в вольном виде, а дальше по этому рассказу они сами пишут текст с кучей домыслов и/или, наоборот, опуская важные детали³.

Что касается конкретно этой новости, сразу возникают вопросы:

QKD жив или мёртв, т.е. ошибка исправима или это — концептуальный недостаток?
Все ли схемы QKD этому подвержены? Насколько распространены среди ныне использующихся в исследованиях уязвимые схемы? Атуальна ли для них такая атака?
Каков исторический контекст события? Была ли кем-то предсказана такая атака? Если да, то почему на неё не отреагировали производители оборудования? Если нет, то почему было так сложно предсказать заранее исход событий?
Как авторы исследования додумались до этой атаки? Им она была очевидна с момента создания QKD, и время ушло лишь на преодоление технических сложностей? Или же им что-то подсказало, что надо действовать так, и "именно здесь есть рыба"?
Если ли конкурирующие исследования по данной теме? Что по поводу этой атаки думают другие исследователи? Если есть конкурирующие, то почему им не удалось опередить своих конкурентов? В чём была их ошибка и недопонимание?

Это вопросы, которые можно задать по любой теме, не будучи специалистом, но имея хотя бы общие представления о том, как проводятся исследования. Конечно, ответ на них — большая статья типа вышецитируемой про Перельмана, но зато она даст связное и полное представление о том, что происходит в данной области. Когда же новостей публикуют больше за счёт ужатия их до 4ёх абзацев, остаётся лишь развлекательный (но не познавательный) момент для читателя.

Хорошо, что сейчас начались появляться в рунете профессиональные статьи (на elementy.ru их немного есть) и интервью (типа такого), дающие образовательную пользу. Попутно интересно отметить тенденцию: хотя явно правилами pgpru.com это не оговаривается, но уже сложилась некоторая традиция постить либо очень значимые новости, либо уникальные (хотя бы свой перевод), либо делать реферативный обзор имеющегося по новости и компилировать текст самому, т.е. не тащить тупо копипасту (всякие "политика, право, реальный мир" — исключение, но там так и не сделать). Запостить новость в хорошем смысле — разобраться с какой-то маленькой темой самому и передать это понимание другим.

У нас всегда только надежда, что spinore может разобраться в этой области и то самостоятельно он темой QKD не занимается.

Если бы не трудности из-за необходимости понимания квантовой механики и физики в приборах, понять мог бы любой — было б желание и время. Впрочем, первую причину я собираюсь одной статьёй ликвидировать, но вторая всё равно остётся (и для меня, и для большинства читателей) :(

¹Отсюда идёт и единый язык новостей, единый словарный запас, грамматика, какие-то соверешенно неестественные упрощения в подаче и трактовке событий — получается банальная и дешёвая пропаганда, расчитанная на низы.
²Т.е. без крупных журналистских ляпов хотя бы по отношению к формальному изложению: даны предыстория, контекст, сопутствующие события, мнения специалистов, текущий статус ситуации.
³Был у меня опыт, когда по моим результатам соавторы писали формальную научную статью: приходилось ругаться по чуть ли ни каждому предложению и слову, ибо тонкости смысла для не выполнявших (хоть и разбирающихся в целом) работу не понятны. Наглядная демонстрация — широко известное отличие между степенью понимания изученного и воспроизведённого (переизобретённого) независимо.

—	unknown (05/09/2010 19:37) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Если слегка опошлить, то напомнило комикс (оригинал был на xkcd кажется) и мем "учёный изнасиловал журналиста". Оригинальный английский вариант названия не помню. Можете погуглить или полуркать по русской фразе.

—	spinore (05/09/2010 19:45) профиль/связь <#> комментариев: 1515 документов: 44 редакций: 5786

Можете погуглить или полуркать по русской фразе.

При обсуждении статьи "Доводы в пользу квантового распределения ключей" ссылка на него уже упоминалась, что вполне предсказуемо :)

Ваша оценка документа [показать результаты]