Регистрация29.05 // Крипто // У квантовой криптографии появился конкурент
Квантовая криптография (или QKD, квантовое распределение ключей) считается совершенной технологией передачи ключевого материала. Когда Анна и Борис хотят установить защищенную связь, они передают друг другу биты ключа по оптоволоконной линии, кодируя их в поляризации фотонов света. Если Владимир захочет прослушать такой канал, он разрушит квантовое состояние частиц, что наши участники неминуемо обнаружат. (Однако, с недавнего времени у Владимира есть некоторые шансы остаться незамеченным.)
Хотя ряд компаний ведут активную разработку систем QKD, а продвижением концепции занимается Минобороны США (в лице исследовательского подразделения DARPA), всё же нельзя не отметить ее минусы: колоссальная стоимость (пара приемников-передатчиков обходится в более чем $100 тыс.), ограниченная дальность передачи (порядка 100-200 км), а также крайняя чувствительность линии, подверженная сильным помехам от минимальной вибрации, пыли и других факторов окружающей среды. Многие эксперты по безопасности высказываются в том духе, что игра не стоит свеч, и с тем же успехом можно обеспечить защиту традиционными средствами.
Альтернативу квантовой технологии впервые предложил в 2005 г. инженер Техасского университета A&M Лазло Киш, недавно реализовав ее на практике. Суть его методики сводится к использованию простого электрофизического свойства электрических проводников — теплового шума, возникающего в проводнике вследствие естественного движения электронов независимо от силы проходящего заряда, но меняющегося в зависимости от уровня сопротивления проводника: чем выше сопротивление, тем выше тепловой шум. По словам Киша, это позволяет производить безопасную передачу секретных данных (например, ключевого материала) по любым видам проводов: от телефонных линий до сетевых кабелей.
Для осуществления передачи Анна и Борис, находящиеся на противоположных концах линии, подключают к ней две идентичные пары резисторов: один резистор из пары дает высокое сопротивление, другой — низкое. Через равные промежутки времени Анна и Борис произвольно выбирают, какой резистор использовать в данный момент. В четверти попыток они оба будут использовать сильные резисторы, производящие сильный шум, а ещё в четверти попыток — слабые резисторы, дающие низкий шум. В любом случае, фиксируя на линии повышенный или пониженный шум, они игнорируют такую передачу.
Однако, в остальной части попыток они будут использовать резисторы с разным сопротивлением, вместе дающие средний уровень шума. Здесь-то и производится передача. Если Борис включает свой сильный резистор и регистрирует средний уровень шума, он понимает, что Анна использовала слабый резистор, что означает передачу бита 1. Если же у Бориса задействован слабый резистор, и на линии фиксируется средний уровень шума, значит, Анна включила сильный — это бит 0. Попытки повторяются столько раз, сколько необходимо для передачи нужного числа битов.
Как отмечает автор, не каждый оппонент даже поймет, что производится передача данных, наблюдая на линии лишь низкоуровневый шум. Но если противник и установит прослушку, он только сможет определить факт передачи, но не ее содержание, поскольку невозможно узнать, какой из резисторов использует Анна и что за бит передается — 0 или 1. Более того, наблюдатель своим воздействием на линию связи изменит сопротивление проводника, и Анна с Борисом по неестественному изменению уровня шума обнаружат, что кто-то ведет прослушку.
В этом году Киш с коллегами собрали прототип устройства для передачи данных по 2000-километровому проводу, на расстояние, на порядок превосходящее возможности QKD. Испытания показали, что точность передачи составляет 99.98% (вследствие естественных ограничений проводника, но использование провода с большим сечением поможет еще больше снизить степень ошибок), и только 0.19% битов оказываются уязвимыми для перехвата. Тем не менее, даже такие показатели обходят QKD, а стоимость устройства составляет лишь около сотни долларов.
Есть и проблемы. Так, Борис и Анна должны переключать резисторы с полной синхронизацией. Если в какой-то момент один из концов линии окажется неограничен, противник сможет определить сопротивление резистора, подключенного к линии, и даже с какой стороны он размещен. Каждое такое событие позволит ему установить один бит в передаче. Кроме того, сопротивление сильных и слабых резисторов на обоих концах линии должно быть идеально откалибровано; в противном случае разность в уровнях приведет к утечке ключа. Наконец, характеристики резисторов со временем могут меняться, что требует от Бориса и Анны их регулярной замены.
Всё же, по словам эксперта по безопасности Брюса Шнайера, эту технологию стоит воспринимать всерьез. Он отмечает, что изначально ее простота настроила его скептически, однако теперь он рассчитывает на независимые испытания прототипа. "Мне определенно хочется, чтобы кто-то его оценил," — говорит Шнайер. — "Если он действительно работает, то это намного лучше, чем QKD".
Источник: Журнал "New Scientist"
комментариев: 11558 документов: 1036 редакций: 4118
Только, по-моему, измерять шум в проводнике можно и без непосредственного к нему подключения. Кто из физиков (или просто лучше меня помнящих школьную программу) может подсказать?
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
страница профессора Киша
Не сказать, что пока это особенно впечатляет, Квантовая криптография даёт гарантию, что если не произойдёт каких-то глобальных изменений в теории собственно квантовых взаимодействий, то она доказуема стойка.
Со схемой Киша пока непонятно. Уже есть предпосылки для того чтобы разрушить протокол. Нужны обязательно точные часы, идеально откалиброванные резисторы. Вроде бы не очень сложные требования, но может оказаться менее надёжно и трудно реализуемо на практике. И может быть есть способ обойти эту схему. По крайней мере она точно не более надёжна, чем квантовая, наверняка способов воздействия на неё больше.
Но вот если не менее надёжна, тогда конечно, зачем платить дороже.
Смущает также то, что автор – не специалист в проектировании систем безопасности, поэтому некоторые относятся к его работе скептически. Если бы он делал свою работу совместно с такими специалистами (а думаю по мере известности желающие найдутся), тогда можно будет говорить о результатах.
Интересно, что у Шнайера было несколько замечаний по поводу других учёных, которые пытались применить физические и оптические принципы для создания устройств для безопасной передачи информации, получали хорошие ревью в физических журналах, но всё было крайне сомнительно с точки зрения криптографии,
И ещё вспоминается, как в 80-е годы двое химиков, мало понимающих в физике, произвели фурор в области "холодного термояда". А ещё недавно публике пытались показать очень дешевый квантовый компьютер и уже принимали заявки на решение NP-полных задач.
Это не значит, что надо быть полным консерватором, наоборот, такие изобретения всегда интересны и полезны, даже если их цель не удалась, просто надо относится к ним с осторожностью. А профессор Киш производит вполне солидное впечатление (хотя обилие несколько самоуверенных определений "totally secure", "absolutely secure", "security level well beyond the theoretical security of quantum communicators" -просто вызов всем криптографам, которые таких терминов никогда не употребляют).так что пожелаем ему удачи и независимых исследований от специалистов по безопасности на эту тему.
Калибровка резисторов в данном случае совершенно не требуется. Более того, можно на обоих концах использовать резисторы с произвольным сопротивлением. Мы в любом случае будем иметь на проводе три уровня шумов: низкий, средний и высокий. Средний уровень всегда образуется неодинаковой парой резисторов, причем независимо от согласовоности их сопротивления он не дает никакой информации о ключе.
Все бы хорошо, да только имеются две фундаментальные причины делающие эту теорию полностью несостоятельной. Первая – невозможность точной синхронизации подключения, т.к. всегда можно изобрести приборы, которые смогут поймать момент между подлючением резисторов на концах.
К тому же, спектральные характеристики шума резисторов тоже неодинаковы. Они зависят от материала резисторов, их температуры, а также индуктивно-емкостных характеристик концов линии (которые не сделаешь идеально одинаковыми). Все это позволяет вычислить по спектру передаваемого сигнала то, на каком конце какой резистор подключен (ибо при разных сопротивлениях резисторов на концах, влияние характеристик концов линии будет тоже разным).
Ну и еще одна предпосылка ненадежности лежит в не бесконечной скорости света. Допустим, противник подключился не строго в середине кабеля, а ближе к его концу. Даже при строго одновременном подключении резисторов, средний уровень шума в этой точке не будет устанавливаться мгновенно, т.е. некоторое время (равное времени распостранения сигнала от конечной точки до точки подключения) в этой точке будут действовать шумы вызваные только одним резистором, что раскрывает нам бит ключа.
Ну и напоследок, данный метод не позволяет передавать информацию, он позволяет лишь произвести совместную выработку ключа (а никто тут не мешает применить mitm атаку...).
Так что имхо, ученый назвавший этот метод абсолютным, либо полностью некомпетентен в простейших вопросах электроники, либо пытается сделать себе имя на некомпетентности других. Его система мертворожденая.
комментариев: 9796 документов: 488 редакций: 5664
Квантовая криптография делает тоже самое. Если на линии не стоит ретрансляторов, то MITM не сделать. Этого достаточно затем для передачи шифрованной и аутентифицированной информации по обычному каналу.
Хотя да, всегда надо думать, а с кем мы сгенерили ключ, кто на другом конце провода?
А его работы читали? Кто-нибудь в них может разобраться? Как он обходит все эти неувязки?
http://arxiv.org/abs/physics/0610014
http://arxiv.org/abs/physics/0509136
http://arxiv.org/abs/physics/0508135v1
http://arxiv.org/abs/quant-ph/0509097v1
Аутентификация без наличия разделяемого секрета, либо завереного третьей стороной ключа невозможна. Проблема защиты от mitm принципиально неразрешима ни обычной криптографией, ни квантовой, ни какими либо другими средствами передачи данных. Если стороны ничего не знают друг о друге, то они не могут определить наличие mitm ретранслятора между ними.
комментариев: 9796 документов: 488 редакций: 5664
На обоих концах стоят генераторы шумов со случайно изменяемым уровнем. Бит ключа устанавливается аналогично, когда шум находиться в средних пределах.
По большому счёту, не столь важно, с кем я связался, а важно, чтобы он служил бы тому же, что и я (ну или хотя бы не был противником моих целей). А здесь, возможно, отсутствует принцииальная неразрешимость.
Также надо учитывать вероятность предательства.
комментариев: 9796 документов: 488 редакций: 5664
Аутентификация нужна, чтобы кто-то не стоял между Вами и не выдавал себя за другого (ManInTheMiddle), а от предательства (так же как и от защиты от копирования) ничто действительно не поможет.
Шум должен характеризоваться ещё каким-то параметром, который можно один раз в один момент времени подобрать с вероятностью 50%, но нельзя точно измерить – как поляризацией у фотонов в квантовой криптографии или расположением резисторов в этой схеме.
Итак, оппоненту достуна сумма случайных величин. Что он может сказать о слагаемых?
Ограничим их скорость изменения с учётом доступной нам точности синхронизации, и будем определять очередной бит ключа ожидая попадания суммы в средний диапазон. Потом делаем достаточную для независимости от ограничений на скорость изменения паузу и определяем следующий бит. В конце обмениваемся хэшами полученных ключей и повторяем процедуру в случае неудачи.
А угрозу, вытекающюю из ограниченности скорости света можно попытаться преодолеть тем, чтобы величина изменения была бы меньше погрешности измерения.
На 100% вряд ли, а по некоторым признакам (к примеру, вывод капиталов за рубеж) кое-какие подозрения возникнуть могут. Как в системах информационной защиты есть детекторы "подозрительной активности", так можно представить и тут что-то подобное.
Это ограничение преодолеть невозможно. Для исключения утечки ключа, нам необходима точность синхронизации подключения превышающая все существующие возможности измерения уровня шума. Для обеспечения этого условия, необходимо обеспечить синхронность подключения превышающую как минимум в 2 раза период самого высокачастотного колебания шумового спектра. Чтобы небесконечная скорость света не вызывала утечек ключевого материала, необходимо чтобы самая высокая гармоника шума имела длину волны в 2 раза большую длины провода.
Это требование можно соблюсти с помощью фильтров имеющих идеально прямоугольную крутизну характеристики (что является недостижимым). При этом разброс параметров этих фильтров должен быть ниже, чем все существующие методики его измерения (а это достижимо еще в меньшей степени, чем идеальная характеристика).
И причем все эти недешевые ухищрения нужны только для защиты от пассивного наблюдателя, и совершенно бесполезны против ретранслятора включаемого в разрыв провода.
Если есть возможность увеличивать/уменьшать шум столь малыми порциями, что они меньше, чем порог измерения, нельзя будет определить, с какой стороны исходит влияние на суммарный шум.(Это по поводу скорости света)
Когда этот шум достигает средней величины, фиксируем бит ключа.
Измерения, к примеру, производим каждую секунду. Сомнительные случаи отбрасываем.
Возможные ошибки и включения в середину отлавливаем по контрольной сумме по независимому каналу.
Что здесь не так?