Развёртывание квантовых сетей (QKD) в домашних условиях
Преамбула:
В связи с ожидаемой кончиной безопасности асимметричной криптографии, наверняка многие задумывались о переходе на безусловно безопасную квантовую (QKD) и о разворачивании собственной квантовой локальной сети в домашних условиях. К счастью, софт для реализации такой сети уже 2 года как свободен, открыт и выпускается AIT SQT Software (Австрийский Институт Технологий) под лицензиями GPLv2 и LGPL. Метод работы системы схематически описан здесь и на этом постере, а тут доступны слайды и другие материалы по теоретическим и экспериментальным наработкам группы.
Хронология:
Релиз | Имя | Дата | Коммит |
---|---|---|---|
R1 | Newton | 04.05.2006 | r64 |
R2 | Faraday | 05.10.2006 | r187 |
R3 | Tesla | 05.02.2007 | r322 |
R4 | Einstein | 30.05.2007 | r608 |
R5 | Bohr | 06.08.2007 | r817 |
R6 | Heisenberg | 24.10.2008 | r1403 |
R7 | De Broglie | 09.03.2010 | r1747 |
R8 | Planck | ? | ? |
Словарь терминов:
- QRNG — квантовый генератор случайных чисел.1
- DieQuick — программа для проверки рандомности (видимо, DieHard Quantum = DieQuick).
- qd — QKD device.
- qbb — сокращение для Quantum BackBone.
- libqkd — библиотека QKD.
- q3p — общепринятое сокращение для Quantum Point-to-Point Protocol (аналог ppp), который уже стандартизован IETF. Для работы с q3p используются:
- q3p-cmd — тулза для динамического конфигурирования q3p.
- q3p-link отвечает за безопасную коммуникацию между хостами.
- Q3P MQR — Message Queue Reader, используется для чтения ключей из очереди сообщений и отправки их агенту управления ключами NEC keyagent.
- Демон q3pd (видимо, по аналогии с pppd).
- q3p0, q3p1, q3p2 и т.д — виртуальные сетевые интерфейсы наподобие tun/tap.
- q3p-ospf — квантовый OSPF (если нужен квантовый рутинг и имеется более, чем 2 хоста).
- ECP-QKD, IPSec QKD — разрабатываемые стандарты для других квантовых протоколов.
Поддерживаемые системы:
Для Де Бройля доступны как rpm-, так и deb-пакеты (32- и 64-битные версии), которые имеются в архиве по ссылке здесь, но разработчики рекомендуют устанавливать де Бройль на Debian «Squeeze» (см. файл README в архиве):
The recommended system for running R7 De Broglie is Debian Release "Squeeze".Debian — родная система разработки, в качестве доказательства прикладываю собственноручно сделанный скриншот QKD-монитора и видео2 (youtube|file) рабочей QKD-системы.
These packages with the minimum version listened should be installed.
Для разработчиков:
Инсталляция:
qd NODE-ADDRESS OWN_UUID PEER_UUID
# ifconfig q3p0 q3p0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.0.0.1 P-t-P:10.0.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:1 errors:0 dropped:0 overruns:0 frame:0 TX packets:1 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:500 RX bytes:31 (31.0 B) TX bytes:32 (32.0 B)
Поддержка пользователей:
Квантовая локальная сеть:
Квантовый интернет:
QKD — это дёшево:
The software is licensed as open source under the GNU GPL V2 and GNU LGPL V2.1. A registration fee of € 2.000, covers the costs of the software platform and grant full access
и вам не хочется платить 2k€ за софт, то это не беда:
- Во-первых, часть софта можно скачать и без регистрации.
- Во-вторых, незачем платить 100k€, когда можно включить мозги и собрать QKD-систему дома в гараже самому:
Стоимость необходимых деталей будет зависеть от желаемой ширины канала (фотонные детекторы в зависимости от характеристик разнятся от относительно дешёвых:
до крайне дорогих). Здесь вряд ли кто-то подводил точные расчёты, но молодёжь из компании-поставщика QKD в непрерывных переменных SeQureNet (обсуждалось здесь) оценивает стоимость деталей в 10k€. Прогнозы Вадима Макарова менее оптимистичны — минимум 15k€.
- В-третьих, даже если у вас нет и 10 тысяч, это тоже не беда: можно просто пойти и устроиться квантовым админом. К примеру, голландская фирма-производитель Single Quantum активно ищет себе струдников. Я, конечно, как теоретик, не стал бы претендовать на такую вакансию (и, вообще, в этой квантовой сетевой OSI моя работа соответствует самому нижнему уровню — физическому), но другие желающие вполне могут попробовать. И таких фирм на самом деле много, так что дерзайте!
- В-четвёртых, наконец, для самых ленивых есть открытый свободный симулятор (см. описание выше) — просто скачивайте и запускайте!
Ответ скептикам QKD
- QKD-системы баснословно дорогие! Кто в здравом уме согласится это покупать?
Стоимость коммерческих систем QKD (а их всегда покупают вместе с поддержкой), 100k€, не является запредельно высокой. Основной потребитель QKD — коммерческие банки. Государство обязывает их делать резервные копии для всех транзакций, причём эти копии должны делаться в другие отделения банка, которые расположены не ближе, чем несколько десятков километров. Из-за этого возникает необходимость передавать большие потоки зашифрованных данных (а, значит, и часто делать рекейинг). Стоимость классических коммерческих систем, решающих такую задачу, настолько высока, что добавка лишних 100k€ на дополнительную примочку в виде QKD-системы существенной роли не играет. Технически это организовано так, что итоговый ключ шифрования вырабатывается из обоих источников (классического и квантового), причём если какой-то один из них будет полностью скомпрометирован, итоговый ключ всё равно останется безопасным. Таким образом, квантовая криптография «страхует» классическую, а классическая — квантовую.
- Насколько QKD популярно в мире?
Самый крупный поставщик оборудования — idQuantique. Cледует сказать, что он имеет довольно хорошую научную и коммерческую репутацию. В частности, когда была обнаружена серьёзная уязвимость в их реализации QKD (тем же Макаровым), они написали официальный анонс на сайте и бесплатно заменили оборудование у всех своих клиентов, хотя согласно юридическому договору с клиентами могли этого и не делать. Точное количество заказчиков QKD — коммерческая тайна idQuantique, поэтому это никто не знает, но их число оцениватеся в несколько десятков.
- Все знают, что экспериментальные реализации QKD были взломаны. Тогда зачем мне разворачивать свою квантовую сеть?
Чтобы избежать кривотолков, про это стоит рассказать интернет-общественности подробней. Демонстрационный взлом с полным восстановлением ключа планировалось провети на коммерчески продаваемой системе, но по техническим обстоятельствам3 впервые это удалось сделать для исследовательской реализации QKD, а для коммерческой пришлось ограничиться убедительной демонстрацией существования той же уязвимости (т.е. установку, чтобы это показать экспериментально, собирать под них не стали). idQuantique была приватно извещена об уязвимости в их системах, причём ей была предоставлена вся информация с полным раскрытием деталей. Николя Жизан, глава idQuantique, на это отреагировал как «это очень хорошо, что квантовая криптография достигла той степени зрелости (как технология), когда её уже стали взламывать».
На тот момент был выбор: публично опубликовать уязвимость только для idQuantique'овских систем или посмотреть на какие-то ещё (но где их достать? они недёшево стоят), но idQuantique с радостью согласился достать за свой счёт чужие системы и предоставить их для взлома («да-да, взломайте тогда и их тоже!»), что и было сделано. Когда работа была закончена, у хакеров встал вопрос о том, в какой форме писать благодарность в научной статье (это общепринятая практика) за предоставленное оборудование, но, как оказалось, оборудование было взято у европейских армейских, которые изо всех сил решили отнекиваться в духе «нет, нет, нас благодарить не надо!» [не хотели светиться как потребители QKD :)]. Впрочем, за экспертизой армейским тоже пришлось обращаться к тем же хакерам (технология новая, интересная, купили прибор, а что с ним делать и как его анализировать — не знают, своих-то специалистов нет).
В общем, я хочу сказать, что популярное мнение «idQuantique продавала, продавала, а потом внезапно узнала из прессы, что её приборы взломаны» — интернетовская байка. Действительно, взлом имел место, причём совершенно неожиданно для самой idQuantique: хотя теоретически и было известно про массу возможных несовершенств, которые, как предполагалось, потенциально где-то как-то могут быть использованы хакерами для частичного восстановления информации о ключе, никто не задумывался, что атака настолько опасна, что позволит прозрачным образом (недетектируемо для операторов QKD-оборудования) полностью восстановить ключ в эксперименте. Тем не менее, атака такого рода была по сути единственной, в дальнейшем эту опасность стали серьёзно учитывать; использовать те типы квантовых состояний и те протоколы, которые защищены от атаки; да и самих квантовых хакеров стало больше: одни создают, другие взламывают, причём обе стороны между собой активно взаимодействуют, что и есть нормальная среда разработки.
- Система очень дорогая, в результате экспериментов по взлому она приходит в негодность, это ж сколько копий оборудования нужно, чтобы его удачно взломать или проанализировать? А если копий для экспериментов мало, системы дорогие, то насколько хорошо они исследованы?
Как оказывается, при таком взломе лишь сам детектор приходит в негодность (его буквально выжигают), да и то — только в последних экспериментах по хакингу, а в первых экспериментах (если помню правильно) даже детектор не ломается. Квантовый хакинг — отдельная интересная тема с обширным материалом, но я не буду в неё сейчас углубляться, а лучше расскажу позже в другой заметке.
- Действительно ли строго доказано, что QKD безопасно?
Мнение QKD-теоретика:
QKD, само по себе, — вывод совместного безопасного ключа из имеющихся между общающимися сторонами квантовых состояний. Даже если ограничиться рассмотрением QKD в дискретных переменных (а оно есть ещё и в непрерывных), то всё равно речь пойдёт об обширном семействе протоколов. Безопасность одного протокола не следует из безопасности другого. Для некоторых протоколов эту безопасность можно условно считать доказанной, для других — нет.
Когда мы говорим «безопасность доказана», мы, опять же, подразумеваем что-то кокретное. Исторически для некоторых протоколов была сначала доказана безопасность против так называемых индивидуальных атак, потом — против коллективных. Ещё позже было показано, что самые сильные и общие атаки — когерентные, но про них удалось доказать, они не сильнее коллективных. Тем не менее, даже если теоретический протокол безопасен против коллективных атак, но экспериментальная его реализация допускает то, что не допускает теоретический протокол, приходится рассматривать объём информации, который может через эту «дырку» утечь к атакующему.
К примеру, в «атаке с разделением числа фотонов» атакующему может стать доступным n идентичных копий одного и того же состояния. Может ли он выяснить, что посылается через канал, если там возможны только 4 типа сигнальных состояний? Это — задача на различение (discrimination) квантовых состояний и на проверку статистических гипотез. Оказывается, есть два типа различения состояний при проверке этой гипотезы: «однозначное» (unambiguous) и «неоднозначное» (ambiguous). Каждое различение соответствует какому-то оптимальному измерению. При однозначном различении состояний есть два типа результатов, каждый из которых реализуется с какой-то вероятностью: «ответ получен и известен с вероятностью 100% как верный» и «никакой ответ получить не удалось» (использованные квантовые состояния/частицы после этого в обоих случаях будут необратимо уничтожены). При неоднозначном же различении какой-то ответ получается всегда, но его достверность строго меньше 100% (с вероятностью p угадываем значение бита и с вероятностью 1-p ошибаемся). Таким образом, при unambiguous-стратегии мы можем с какой-то вероятностью узнать ответ (и при этом будем знать точно, что этот ответ правильный), но с какой-то вероятностью попросту не получим никакой информации. При ambiguous же стратегии мы всегда получим какой-то ответ, но он будет совпадать с правильным только в определённом проценте случаев. Интересно, что при малых n атакующему выгоднее использовать один тип стратегии, а при больших n — другой, но при этом(!) есть такое (и относительно небольшое) n, при котором атакующий сможет узнать зачение бита всегда и с вероятностью 100% (не путайте задачу различения ансамбля из n идентичных состояний, про который известно, что каждое состояние — одно из m возможных, и задачу восстановления абсолютно неизвестного квантового состояния; последнее может быть узнано со 100% вероятностью только за бесконечное число измерений). Всё это было проанализировано для атаки с разделением числа фотонов для некоторых протоколов, и строго выведена оценка на безопасность.
Наконец, даже если всё проанализировано, есть вероятность, что у системы нет робастности, и надо доказывать, что протокол устойчив при работе с не совсем идеальными состояниями; доказывать, насколько меняется степень безопасности при небольших отклонениях от идеальной (теоретически проанализированной) ситуации. Действительно, есть протоколы, для которых всё (или практически всё) это было произведено. Это — десятки объёмных работ, выполненные разными людьми в разных местах и разное время. А сам вопрос «безопасен ли протокол?» слишком обширен, чтобы степень безопасности подразумевала лёгкий универсальный ответ «да» или «нет». Иногда могут оставаться непроанализированными какие-то экзотические случаи, атаки или робастность, но большая часть анализируемых в теории атак слишком далека от возможностей экспериментального осуществления на текущий момент времени.
Чем ещё хорош протокол QKD — так это своей «модульностью»: квантовая задача в QKD мала — только оценить процент безопасной взаимной информации, имеющейся между сообщающимися сторонами при заданном уровне шума в канале (уровень шума постоянно определяется экспериментально). Если этот процент известен, задача по выводу совместного секретного ключа становится полностью классической и решается такими протоколами стандартной теории информации, как совместное исправление ошибок (reconciliation) и усиление безопасности (privacy amplification).
Мнение QKD-экспериментатора:
Есть экспериментальные уязвимости в оборудовании, но они успешно закрываются, со временем их становится меньше, а атаковать сложнее. Постепенно технология будет доведена до той стадии, когда практически все возможные дыры будут заткнуты.
- Не получится ли, что технология QKD «не апскейлится»? Например, не удастся сильно превзойти уже существующие скорости или дальность расстояния.
Нет. Развитие идёт полным ходом по всем фронтам, и ни по одному из них мы не упёрлись в стенку, т.е. никаких «концептуальных затыков» пока не видно. Для широкой общественности это незаметно, но реально за последние лет 10 удалось сделать очень многое; в том числе сейчас удаётся экспериментально реализовать такие вещи, которые лет 5-10 назад считались чуть ли ни фантастикой. Конечно, пока что нет квантовых повторителей, необходимых для того, чтобы доверять маршрутизацию недоверенным хостам, но над их созданием активно работают, некоторые их составные части уже продемонстрированы экспериментально, никаких «концептуальных затыков» в них тоже нет, потому серьёзно ожидается, что они будут созданы.
1Например, можно взять idQuantique'овский QRNG: 4MBit/s, размеры 61mm ⊗ 31mm ⊗ 114mm, мне его предлагали взять за 2000 рублей:
Система оснащена стандартным USB-входом, под винду и Linux доступны ещё и драйвера от поставщика. Также можно купить PCI-плату с QRNG на борту, которая будет выдавать 16Mbit/s.
2Всё-таки в AIT SQT Software классные ребята работают, весёлые. Сколько ни смотрю это видео, меня постоянно на смех пробирает. Для непонимающих английский на слух, диалог:
— Ha-ha-ha-ha ... We don't use the keys, we generate (them) here, so ... Ha-ha-ha-ha
— But it is useless spying because I am theoretician, that's why...
— Ha, OK, I see ... Ha-ha-ha-ha ... So you are not going to use the keys?
— Yes
— But people don't believe I'm doing something practical(ly) useful, so I can show people that sometimes it gets implemented...
— Ha-ha-ha-ha.
P.S.: Есть и другое короткое видео о том же (youtube|file), но уже не такое забористое.
3Один студент попался более расторопным, чем другой :)
комментариев: 9796 документов: 488 редакций: 5664
Вычисоительно стойкие "подбрасывание монеты по телефону" тривиальны, "мысленный покер" чуть сложнее. Насчёт информационной стойкости не знаю.
комментариев: 1515 документов: 44 редакций: 5786
Использование QRNG в домашних условиях
Зачем это нужно:
Оглавление:
Матчасть
Научная часть
Прежде, чем перейти к части технической, я немного расскажу о части научной. Обычно QRNG (тот же idQuantique) делают на основе светоделителя: на него пускают ослабленный лазерный луч, после чего смотрят, детектор на каком выходе из светоделителя зарегистрировал фотон. Если он вышел с одной стороны, то записываем единицу, если с другой стороны, то ноль. Квантовооптическое предсказание даёт строго 50% для каждого из вариантов, но на практике нужно учитывать неидеальность всех приборов, проводить постобработку сырых массивов случайных данных, иметь встроенные методы постоянного контроля за случайностью производимых чисел и т.д. Как я понял (могу ошибаться), этот метод имеет свои сущностные ограничения на скорость генерации чисел.
У нас разрабатывался другой метод, который этих ограничений не имеет, он основан на другом принципе — измерении числа фотонов в когерентом состоянии, излучённом лазером. Если измерять число фотонов в таком состоянии, оно окажется распределённым по Пуассону. Если получается количество фотонов меньше среднего, мы записываем ноль, если больше — единицу. Этот метод был реализован на экспериментальном стенде, проверен на тестах НИСТ и описан в работе, недавно вышедшей в PRA, где за экспериментальную часть отвечал Lamoureux. Проектная скорость ГСЧ в таком методе — до 4-ёх гигабит. Правда, авторы нашли сомнительной идею, что кому-то где-то надо массово заполнять диски случайными данными до такой степени, что производство решений под эту задачу является коммерчески выгодным.
Авторами4 предполагалось, что такой улучшенный QRNG будет идти начинкой в готовом решении для датацентров, раздающим энтропию по локальной сети для других виртуальных и выделенных машин. В серверную стойку можно было бы установить один или несколько отдельных QRNG-серверов, которые бы раздавали энтропию остальным машинам — QRNG-клиентам.5 Поскольку денег на создание промышленного готового образца, работающего на новом принципе, сразу не нашлось, было решено создать образец с программной инфраструктурой и готовым QRNG-сервером на основе idQuantique'овской начинки, проектная скорость которого — 600 kbit/сек = 75 килобайт в секунду на каждого клиента.6 Конечно, это немного, но скорость стандартного системного /dev/random по сравнению с этими цифрами вообще тождественно нулевая. Интересно, что на официальном сайте нет никакого технического описания системы (предоставление какой-либо информации — только по индивидуальному запросу). Кроме того, они ещё огородили это дело тремя британскими патентами. Как бы там ни было, мне всё же было интересно поковыряться в этом ящике и софте, о чём ниже и пойдёт речь.
Техническая часть
Собственно, вот так выглядел этот образец на моём столе:
А вот его задняя сторона:
В общем, это стандартный серверный ящик, шумящий как пылесос, на который нацепили наклейку и положили внутрь idQuantique'овскую карточку с собственноручно сделанным софтом для обработки её вывода. Один из rj45-разъёмов используется для раздачи энтропии клиентам, другой — для соединения по ssh, чтобы администрировать сервер. Внутри стоит обычный Debian:
Лицензия на весь софт проприетарная, но заказчики при покупке готового решения получают его вместе с исходниками. Из рекламного datasheet-файла следует наличие поддержки следующих клиентских систем:
Для контроля целостности данных заявлено использование HMAC (FIPS 198-1), а для privacy amplification (постобработки сырых данных?) — SHA-2 (FIPS 180-3). Протокол для раздачи энтропии — UDP, причём утверждается о поддержке IPv6. Datasheet «продаёт» свои 4 гигабита как возможность работать одновременно с 4000 клиентов, где каждому будет гарантироваться скорость 1 мегабит. Не обошлось и без платы за воздух:
Также был заявлен гуй на джаве и web-интерфейс для администрирования. Web-интерфейс к серверу вроде бы даже работал, но мы обычно пользовались командной строкой. Клиентскую часть с гуем я не видел даже в глаза,8 поэтому ниже будет только командная строка, только хардкор.
Инсталляция
Попытка установки из бинарного пакета
Единственный пакет для QRNG-клиента, который был готов — rpm. Ни на Debian, ни в Ubuntu его не установить, поэтому действем инопланетянами:
Т.е. конфиги лежат в /etc, а сам пакет устанавливается в /path/to, есть стандартный init.d-скрипт для запуска. Теперь у нас есть пакет:
Сам пакет не толстый:
Установка из исходников
Что ж, придётся компилить из сорсов:
Странно. Досоздаём Bin (ошибка в Makefile'е?):
а у unknown'а нет:комментариев: 1515 документов: 44 редакций: 5786
Тестирование работы
Скорость /dev/random
Проверяем скорость /dev/random:
О, скорость отличная! Это не то, что без QRNG было, когда вывода cat /dev/random вообще не дождёшься, а тут прям моментально. Теперь проверяем скорость, пытаясь заполнить диск случайными данными. Запускаем и через какое-то время прерываем:
Например, на заполнение 500-гигабайтного диска уйдёт 500*1024/5.5/3600 ≈ 26часов ≈ 1 сутки. Впрочем, на скорость /dev/urandom наличие QRNG не влияет (но, может, влияет на качество?):
Многовато. Кстати, ни в коем случае не надо читать из /dev/qrandom, поскольку он играет лишь вспомогательную роль. Если оттуда считать энтропию, /dev/random более не будет пополяться до тех пор, пока не будет перезапущен агент.
Сетевая анонимность
Судя по tcpdump'у, так выглядит трафик при скачивании энтропии с /dev/random:
Сейчас в сети работает где-то 3 местных QRNG-клиента, но это же только начало... :-) В штатной документации на QRNG даже описано, как поднять публичный web-сервер для раздачи случайных чисел. Впрочем, в любом случае клиенты каких-либо хардварных RNG могут получать случайные числа от нескольких сетевых RNG-серверов (чтобы улучшить доверие к получаемой гамме), принадлежащих разным операторам, функционирующим на разных физических принципах и т.д. И, возможно, это — не такое далёкое будущее, оно как раз хорошо соответствует современным взглядам на приватность, недавно озвученным Роджером: проект WiNoN как своего рода кластеризация сети на физические и локальные (реальные или виртуальные) подсети, в которых клиенты доверяют своему серверу (или даже группе серверов).
4За софтварную часть (rpm-пакет и пр.) по большей части отвечал Julien Niset. Более примитивную работу делали наёмные
рабы за едупрограммисты.5Каждый QRNG-клиент может получать энтропию сразу с нескольких QRNG-серверов одновременно, это поддерживается искоробочно.
6Если клиентов мало, то, казалось бы, можно было б каждому сделать скорость намного больше, но у них такая возможность не поддерживается из-за того, что есть какое-то узкое место, не позволяющее увеличить скорость на одного клиента (то ли системная программная фича, то ли хардварные особенности, так до конца и не понял).
7На все мои претензии по проприетарной части был стандартный ответ «Мы тоже хотим есть, и нам надо кормить своих детей» (а они у всех разработчиков действительно были, да).
8Возможно, её или пока вообще нет или не было для того конкретного образца, который я тестировал.
комментариев: 9796 документов: 488 редакций: 5664
В том методе вроде возможен ошибочный двойной счёт фотонов и прочие незначительные дефекты датчиков, приводящие к смещениям.
А от какой-нибудь раскалибровки, от перегрева датчиков или ещё чего пик там с положенного места сместиться не может? Тогда хотя бы экстрактор фон Неймана мог бы пригодиться.
Для серверов он ещё и недостаточно криптостоек, т.к. ловит мало случайных или достаточно непредсказуемых событий.
Не успели распиарить, как уже огородили. Ждут успеха.
Вот от кого всё зло! Начиная от оправдания проприетарщины и заканчивая оправданием цензуры интернета и прослушивания коммуникаций для борьбы со всяким ЦП.
Ожидается история о бэкдорах, позволяющих датацентру рассылать клиентам подложную энтропию. Или о потайном удалённом доступе для трёхбуквенных агентств, которые получают копию энтропии и складывают в своих датацентрах.
Постобработка сырых данных называется обычно entropy distillation. Что обозначается термином privacy amplification в данном протоколе — непонятно.
А ещё там у вас client.jar, node.jar, core.jar, util.jar. Так оно ещё и на джаве!
а у unknown'а нетНе очень то и хотелось ;-)
А на HAVEGE можно выжать мегабит из /dev/random.
Любой TRNG влияет в лучшую сторону из-за более частой смены "соли", отсутствия необходимости её сохранять на диск при перезагрузках и решения проблемы предсказуемости гаммы в виртуалках, повторных запусках из снэпшотов и пр.
Помимо этого, /dev/random ещё и хэширует то, что ему попадает из всех источников, перемешивая традиционно попадающие редкие системные события с потоком из QRNG.
Вот как раз, возможно, /dev/urandom и берёт соль из /dev/random каждые 5 сек. и то, если она там есть, а /dev/random пополняет своё состояние из QRNG потока, поэтому она там есть всегда.
комментариев: 1515 документов: 44 редакций: 5786
Да, возможно, там однофотонные источники используются. Это может служить и объяснением того, почему высокую скорость не получить (нужно время на релаксацию системы и т.д.).
Всё может, поэтому и Как я понял, диагностика состояния должна быть видна из администраторской панели через web-интерфейс, даже секретарши справятся. Вывод QRNG проходит постобработку. В том числе, там точно используется какой-то SHA (мне об этом говорили), какие-то экстракторы. В цитируемой PRA-работе про это вроде есть, и про экстрактор фон Ноймана точно есть.
Как я понял, так создаётся сейчас практически любой стартап. Некоторые компании (по непроверенным слухам, MagiQ), в основном занимаются тем, что скупают квантовые патенты. Если нет огораживающего патента, инвесторы не сочтут дело достойным капиталовложений, поскольку велик риск того, что либо это запатентуют другие и запретят вам производить вашу же продукцию, либо просто задавят на рынке конкуренцией. Мало у кого есть деньги на производство промышленного образца за свой счёт, это стоит порядка 100k€. Само запатентование — тоже десятки тысяч €. У многих нет таких средств, поэтому они целиком перепродают и патенты и права тем, у кого денег много. Более того, даже если нужные деньги нашлись, гарантий, что «бизнес» взлетит, нет никакой. Т.е., вы рискуете полностью проиграться в ноль и ещё остаться всем должным.
Да, сами по себе профессиональные скилы на дают широкого кругозора и мудрости. Требуется его специально расширять, многим интересоваться, многому учиться, да и то от однобокости будет трудно избавиться. Людям, которые работают, всеми этими посторонними вещами заниматься некогда. Не удивлюсь, если многие криптографы считают, что им тоже нечего скрывать, что криптография — интересная научная игрушка как их работа, но им лично в их жизни незачем пользоваться криптосредствами. Я ловил себя на мысли, что то, о чём говорят «учёные» в свободное время — это такие посредственные примитивные обсуждения и интересы, что поначалу очень непривычно это слушать. Так что да, вы не преувеличиваете. Их взгляды на цензуру и прочее именно такие и есть, это всплывало в разговорах.
Вопрос доверия — это другой вопрос, я про него написал. Tor-нодам же в целом вы как-то доверяете. Можно приобрести QRNG и самому, самому сделать софт под него, носить его с собой. Больших проблем и нереальных скилов это не требует.
Worse is better. Толковые программисты на LISP и Haskell — штучный товар, они стоят других денег, мягко говоря.
А что, неплохая бизнес-модель: создаём энтропию, потом продаём файлы с энтропией за деньги. :-)
Там энтропия не настоящая, не квантовая, она не будет греть душу приобщением к высоким технологиям. Обладание QRNG — это же вопрос статуса. Пусть ваш
ноутбукHAVEGE в сто раз лучшемакбукаQRNG, но QRNG — это QRNG, а не просто какой-то там RNG, им можно похвастатьсяперед друзна pgpru, ведь не у каждого ещё есть. :-)Вот меня это и удивляет. Получается, что urandom генерирует 5MB*5сек = 25MB псевдоэнтропии из мелкого случайного seed'а. Нагора вам выдаётся 2 десятка мегабайт, реальной энтропии в которых — всего-то несколько байт. И как это понимать?
комментариев: 9796 документов: 488 редакций: 5664
Если все сведения выпущены автором в паблик, то возможен разве что второй вариант, зато никаких патентов по идее выдано уже никому быть не может.
Хуже того, пропагандисты идей приватности сами бравируют этим. Речь, например, о Б. Шнайере, который хвастался своим незапароленным вайфаем. На что ему указали в блоге и он был вынужден согласиться, что это плохая практика: даже если ему лично нечего скрывать и сам он не делает ничего плохого, он увеличивает шансы поиметь разборки с полицией, если через его вайфай будут совершены незаконные действия.
У них ещё и ГСМ за пределами узкой профдеятельности бывает. Врачи и специалисты по химии верят в гомеопатию, "потому что ею английская королева пользуется". Логика про молярные соотношения при разведении веществ на уровне школьной программы существует как-то параллельно от остального мировозрения. Не хочется углубляться в оффтопик, но это вопрос цивилизационный — сейчас к знаниям относятся так потребительски-утилитарно даже сами их открыватели, что достижения цивилизации не ценятся, а древнее мифологическое сознание осталось и культивируется.
После случая со Сноуденом в массовом сознании информационные параноики стали не отдельными непонятными психами, а стали хотя бы восприниматься малочисленной наивной субкультурной, что уже гигантский рывок. Если раньше при рассуждениях по этой теме большинство не верило, смеялось, считало бредом и вообще не понимало, то сейчас хотя бы понимают и смеются чуть меньше, даже не разделяя такие взгляды. Опять же всё решили не давно известные факты, а пиар через СМИ.
Примерно как с продажей SSL-сертификатов от удостоверяющих центров. Продажа доверия. Кстати, конкретно бизнес с продажей энтропии уже был, когда генерировать её в больших объёмах было трудно, а она требовалась для модельных расчётов. Было и жульничество в этой сфере с какими-то анекдотическими последствиями.
Кстати, только потому, что там уходит много времени на неоптимальное хэширование. Напрямую с демона можно снимать энтропию сотнями мегабит.
Да, не та у HAVEGE степень гламурности, элитарности и гаджетохипстерности :)
/dev/urandom должен взять из /dev/random минимум 128 бит энтропии из которой имеет право растягивать криптостойкую псевдослучайную гамму сколь-угодно большой длины, пока в /dev/random снова не накопится хотя бы 128 бит энтропии. В /dev/random тоже не всё так гладко — во многих работах его критиковали за неверные оценки энтропии. Впрочем, если к нему подключен TRNG или конкретно QRNG — его мелкие недостатки уже перестают иметь значения.
Наглядная демонстрация к сказанному на примере fundrising для idQuantique. Аналитик из фонда, выделевшего несколько миллионов долларов на развитие квантовой криптографии в связи с информацией про АНБ, пишет на слоне статью «5 мифов о квантовом интернете». Аналитик имеет профильное образование и научную степень:
Я не скажу чего-то нового, чего бы здесь ещё не разбиралось, так что выводы каждый может сделать сам, заглянув по ссылке. Ниже беглый разбор косяков:
Речь, я так понимаю, о макаровском видео, т.е. о взломе конкретной имплементации, но не самого принципа QKD. Естественно, аналитик об этом ничего не пишет. Равно он не пишет и о том, что та уязвимость, через которую ломали Clavis и т.п. системы уже давно закрыта. Более того, сам Макаров в своё время сказал
Далее аналитик пишет
При чём здесь RSA, казалось бы? Какое оно имеет отношение к защите QKD? Кроме того, «веб-сервисы и платежная информация» может шифроваться не RSA, а другой асимметрикой, если на то пошло.
Квантового компьютера на сколько логических кубит? Квантовый компьютер на 2 кубита уже есть, а 6, 15 и 21 уже «факторизовали». Сколько нужно кубит, чтобы взломать хотя бы RSA-1024? Насколько будет полезен для взлома RSA-1024 КК на 500 кубит? Пусть аналитик не знает ответы на эти вопросы, но, интересно, он их себе хотя бы задавал, когда думал над темой? Он осознавал, что такие вопросы существуют?
Мы, конечно, знаем, что это очень детское объяснение (хотя его можно считать условно правильным в 10-ом приближении). Краткое объяснение (тоже упрощённое, но не до такой степени) для неспециалистов звучало бы так:
Идём дальше:
Хотелось бы очередной раз упомянуть, что все современные системы QKD неоднофотонные. На примере однофотонных систем объясняют принцип работы новичкам, потому что так проще. Реальные индустриальные системы работают на, например, когерентных состояниях (DV QKD), гауссовых состояниях (CV QKD) или кубитах, реализованных time bin'ами (DV QKD, IdQuantique). И протоколы там не E91 и не BB84, а какой-нибудь SARG и обвески типа подсадных (decoy) состояний. Помимо того, что работа на других состояниях позволяет избежать многих проблем, присущих однофотонному QKD (как чисто технологических проблем, так и специфических для однофотонного QKD атак), это позволяет иметь большие пропускные способности.
Видно, что аналитик совсем ничего не понял. Боб получит «кашу» в любом случае, в этом цель протокола: сгенерировать гамму для одноразового блокнота.
Всё бы ничего, да есть такая вещь (учёным её позволено не знать, а вот бизнес-аналитики, вкладывающие миллионы, знать обязаны), как то, что бизнес idQuantique в основном построен на производестве оборудования (однофотонные источники для разных экспериментов, QRNG и др. штуки научного инструментария), а QKD идёт лишь незначительным довеском к нему. idQuantique останется не плаву на рынке и окупаемости, даже если вообще перестанет продавать QKD. Это не единственный её бизнес. А MagiQ — закрытая контора при американских военных ведомствах, живущая на госфинансировании и промышляющая в основном скорее скупкой патентов и «интеллектуальной собственности», чем широкими продажами своего QKD. Есть несколько фирм, производивших QKD, которые не взлетели и разорились. И те примеры, в которые можно условно ткнуть как успешные, надо тыкать осторожно.
Насчёт «абсолютной защищённости» Реннер бы мог поспорить, если не произнесены соответствующие оговорки:
Эта работа — не открытие, тут поминалась уже дважды:
Идём дальше:
Всё как бы так, и ниже он даже пишет про повторители, но как можно умолчать об этих экспериментах:
Цель этих экспериментов как бы в том и состоит, что как только появятся повторители, их повесят на спутник/спутники, и сигнал можно будет транслировать между любыми двумя точками Земли. Т.е. «покрыть всю планету» — это хоть и преувеличение, но не до такой степени, т.к. результаты текущей работы нацелены именно на это.
Полный бред. Во-первых, как выше сказано, современное QKD работает не на единичных фотонах. Во-вторых, сигнал усилить можно, но тогда повторитель будет играть роль атакующего. В-третьих, даже если на то пошло, однофотонность не запрещает ретрансляцию. Т.е. главный аргумент против усилителей — это то, что к ним требуется полное доверие, однофотонность тут совсем ни при чём (даже если бы QKD на неё полагалось).
Эйнштейн перевернулся в гробу.
Наверное, у них есть на то свои мотивы, но в целом посыл понятен. Ссылка: «Government Lab Admits to Using Quantum Internet for Two Years».
Если у аналитика есть строгое обоснование того, что мегабитная скорость принципиально недостижима в QKD, то учёным будет очень интересно об этом узнать.
Пардон, через QKD всегда передаётся сырой материал для выработки шифровальных ключей, а сами данные не передаются никогда! Отличие лишь в том, как будет использоваться ключевой материал: если его много, то можно в одноразовом блокноте, если мало, то можно в качестве симметричного ключа для блочных шифров.
Лучший способ вскипятить воду в чайнике — это вылить её из него, т.к. пустой чайник кипятить смысла нет, задача решена.
P.S. Пост символизирует то, почему часто так неохота
спорить с копипастойписать разборы новостных релизов и прочего журнализма. Полная критика требует написать в несколько раз больше текста, чем содержится в самом критикуемом, потому что ошибки и недочёты (с точки зрения формального беспристрастного научного текста) будут практически в каждом предложении. С этим текстом расход требуемого времени тоже недооценил раз в 10. Думал, сейчас раз — и быстренько напишу по пунктам, а оказалась, что это работа на несколько часов, да ещё гугление ссылок время отнимает. Вообще, ошибок и недочётов в тексте не было бы (или было бы значительно меньше), если бы текст писал квалифицированный специалист в своей области, а не бизнес-аналитик, влияющий на распределение миллионов $$$. Перефразируя известную поговорку, «если ты такой богатый, то почему такой глупый?». Могли бы за свои миллионы нанять дешёвого раба, владеющего темой, который бы им всё по полочкам разложил, но, видимо, даже на это ума не хватило. Как видите, вложить миллионы в idQuantique можно даже не зная, что однофотонное QKD к ним уже давно не имеет никакого отношения, равно как и все страхи, с ним связанные.комментариев: 11558 документов: 1036 редакций: 4118
Ай лолд. Интересно, а как это связано со словом eavesdropper?
Там другая Ева ☺. Та Ева, eaves, — на самом деле, водосточный желоб / карниз на крыше:
Короче, eavesdropper по своему смыслу — человек, стоящий возле дома рядом с водосточной трубой. Правда, непонятно, почему именно возле неё, а не, например, возле окна или двери.
Наверно, могла иметься в виду картинка типа этой из вышеупомянутой статьи, но без произнесения поясняющих слов это, в любом случае, будет совершенно непонятно читателю.
комментариев: 11558 документов: 1036 редакций: 4118
Я в курсе.
комментариев: 9796 документов: 488 редакций: 5664
Вроде бы, о достижении мегабитных скоростей уже где-то сообщалось. Правда при каких условиях и на какие расстояния — не помню. По крайней мере, все исследования давно на это нацелены, чтобы передавать именно гамму одноразового блокнота для высокоскоростных каналов (видеоконференции), а не часто сменяющиеся ключи для обычной симметрики (что пока лишь промежуточный этап).
Маргинальные протоколы или даже теоретические намёки, что в квантовом канале можно не просто безопасно совместно генерировать рэндом, а передавать именно данные, где-то тоже попадались. Но это может быть сильная экзотика, маргинальщина, альтернативная физика или слабодоказанные гипотезы, не знаю.
Здесь в треде мною ранее упоминался HAVEGE. По нему есть ничем непримечательная работа, скорее даже записка, но там на стр. 8 есть замечательная картинка для сравнения: Fig. 3 – Color image representation of a sequence produced by a quantum random number generator.
На самом деле там есть кривая зависимости скорости от дальности. Чем больше дальность, тем больше шумы, тем меньше скорость. Начиная с какого-то уровня шумов пропускная способность (скорость передачи) Деветака-Винтера превращается в ноль.
Мне кажется полуочевидным, что IT-безопаснсть иначе (в другом протоколе, не QKD) не будет достижима: нам в любом случае нужен одноразовый блокнот, а квантово зашифровать n известных противнику бит можно только с помощью 2n бит (да даже если и n, то всё равно нет сжатия большого секрета в малый). Может быть, даже вычислительной (но безусловной) безопасности тоже не достичь, передавая данные, а, может, и достичь — тут я сам плаваю в этих вопросах.
У меня где-то отложился такой факт (но, может, он ошибочный), что можно сделать абсолютно безопасный локинг, если считать, что противник не знает ничего про плейн-текст (и, возможно, ещё надо потребовать, что этот текст случаен — детали не помню). Локинг делается как раз в смысле вычислительной безопасности: там небольшим паролем закрывают доступ к большому количеству информации.
Говорят, что когда-то все думали в терминах «придумать квантовое шифрование» по аналогии с классическим (что-то типа квантовой Энигмы), пока не поняли, что это невозможно. Однако, Ллойд кое-что недавно нарыл по этой теме. Правда, если читать внимательно, там в самом тексте есть оговорки:
Я плохо понимаю, что хочет сказать Ллойд. Звучит как «локинг не выдерживет plain-текст атаки, но мы это можем пофиксить предрасшаренным ключом(?); однако, такой ключ сделает это неэффективным, но есть процедура, чтобы сделать расходы линейными по n»? Но линейный рост по n — это и есть одноразовый блокнот. Надо читать внимательней, ходить по ссылкам...
Очень странная картинка. Пишут, что это QRNG, но не пишут, откуда он взялся. Они его купили у кого-то? Откуда-то скачали готовые данные? Сами собрали? Ноль деталей. Я сомневаюсь, что в промышленно продаваемых QRNG есть настолько крупные несовершенства, что их можно отловить простым визуальным тестом.
комментариев: 9796 документов: 488 редакций: 5664
Я так понял, что на картинке сырые данные с QRNG датчика без постобработки хэшированием (или экстрактором случайности). Где-то похожие картинки с дефектами квантовых датчиков ещё встречались.