Zamach na kuriera

Historia przełamywania zabezpieczeń uczy, że włamywacze zamiast forsowania zabezpieczeń wyszukują inteligentnych metod ich obejścia. I tak było w przypadku klasycznych systemów kwantowej dystrybucji kluczy QKD.

Historia przełamywania zabezpieczeń uczy, że włamywacze zamiast forsowania zabezpieczeń wyszukują inteligentnych metod ich obejścia. I tak było w przypadku klasycznych systemów kwantowej dystrybucji kluczy QKD.

Mechanizmy kwantowej dystrybucji kluczy szyfrujących ("Fotonowy kurier", Computerworld 13/2007 z 20 marca 2007 r.) są bardzo mocnym zabezpieczeniem i podsłuchanie transmisji bez jej zakłócenia jest teoretycznie niemożliwe. W praktyce jednak tego typu systemy - już stosowane w niektórych instytucjach, jak np. banki - nie zawsze są tak bezpieczne. W przypadku klasycznych systemów kwantowej dystrybucji kluczy QKD (Quantum Key Distribution) działających przy wykorzystaniu algorytmu Bennetta i Brassarda bezpieczeństwo transmisji jest zachowane, jeśli są spełnione jednocześnie dwa warunki - nie można poznać tajnego klucza i uzyskać dostępu do przesyłanej w kanale kwantowym informacji bez jej nieodwracalnego zniszczenia. Tymczasem pierwsze realizacje odbiegały znacząco od tego ideału.

Jak można poznać tajemnicę Alicji

Pierwsze próby podsłuchu wykorzystywały niedoskonałości nadajnika, który bardzo często wysyłał całe paczki fotonów zamiast pojedynczych kwantów. Operowanie mocą lasera jest trudne, zatem powstawanie paczek fotonów było dość prawdopodobne. Ze względu na wysoki poziom szumów w pierwszych urządzeniach utrata pewnej ilości fotonów była niejako wpisana w założenia pracy. W miarę postępu technicznego pojawiły się metody lepszego wykrywania podsłuchu przez emitowanie impulsów o znacznie mniejszej mocy tylko po to, by wykrywać ich utratę. Ale nawet jeśli wysyłane są pojedyncze fotony, można poznać część klucza, obchodząc ograniczenia nakładane przez prawa fizyki - wystarczy wykorzystać pewne własności konstrukcji nadajnika i odbiornika.

W urządzeniach o najprostszej konstrukcji możliwe było wykorzystanie niedokładności optycznych zarówno Alicji, jak i Boba. Zamiast przechwytywać wysyłane fotony, wystarczy wysłać bardzo silny impuls laserowy do kanału kwantowego w kierunku urządzenia Alicji. Każdy element w torze optycznym posiada niezerowy współczynnik odbicia fali świetlnej. Wysyłając silny impuls o nieco innej długości fali w stronę nadajnika Alicji, można zmierzyć charakterystykę odbijania tego impulsu przez poszczególne elementy optyczne nadajnika. Impuls odbity od elementów znajdujących się na początku toru optycznego nadajnika Alicji może zostać zmodulowany tak samo jak kwant niosący informację. Jak wiadomo, ustawienia nadajnika stanowią tajemnicę Alicji, zatem gdy istnieje możliwość uzyskania ich za pomocą sondowania nadajnika silnymi impulsami lasera - można poznać klucz nawet w całości. W takim przypadku Ewa wysyła kilka impulsów w czasie, gdy urządzenia nadajnika przygotowują się do wysłania właściwego fotonu. Typowe rozwiązania wykorzystujące elementy optyczne sterowane polem elektrycznym mają stany nieustalone, gdy urządzenie dąży do końcowego ustawienia. W tym czasie nadajnik nie pracuje, zaś badanie przy użyciu impulsu laserowego może z dużym prawdopodobieństwem ujawnić, przy jakim ostatecznym ustawieniu będzie wysłany impuls. Gdy Ewa to określi, odłącza na czas nadawania kwantu swoje urządzenia wykrywające, by nie zniszczyć impulsu.

Parametrem krytycznym jest tutaj poziom sygnałów odbijanych z powrotem w stronę Ewy przez urządzenia Alicji - im są słabsze, tym atak taką drogą jest trudniejszy. Bardzo istotną cechą ataków polegających na wysyłaniu silnych impulsów jest to, że pojedyncze fotony niosące informację o kluczu nie podlegają przechwyceniu.

Najprostszym sposobem obrony przed sondowaniem ustawień nadajnika przez silny impuls z zewnątrz jest umieszczenie tłumika, który istotnie osłabi sygnał lasera (np. o 60 dB). Wtedy Ewa, by móc uzyskać czytelne sygnały odbite od urządzeń wewnątrz toru Alicji, musiałaby wysłać tak silny sygnał, by po dwukrotnym przejściu przez tłumik jego odbicie było nadal możliwe do odebrania. Przy tłumiku osłabiającym sygnał o 60 dB, nie ma laserów, które dałyby czytelne odbicie od elementów wewnętrznych, gdyż sygnał odbity od tych elementów jest słabszy o ok. 50 dB, zaś tłumienie 120 dB (dwukrotne przejście przez tłumik) wymaga użycia laserów o mocy, która zniszczyłaby całkowicie urządzenia nadajnika i prawdopodobnie stopiła większość używanych powszechnie światłowodów. Taki atak z pewnością zostałby więc wykryty.

W ataku wykorzystującym sondujące nadajnik wykorzystywane są słabości historycznych urządzeń, które nie miały możliwości wykrywania emisji laserowej kierowanej w ich stronę ani tłumików utrudniających sondowanie ustawień.

Gdy Alicja ma ciemne okulary

Niektóre urządzenia zawierają nadajnik, który pracuje przy większym poziomie mocy lasera, zaś na końcu, przed torem światłowodowym zainstalowano regulowany tłumik, który obniża poziom mocy emitowanej wiązki. Tłumik taki poważnie utrudnia atak przez sondowanie ustawień nadajnika. W zamian za to możliwy jest atak, polegający na wysłaniu potężnej wiązki lasera, tak by zniszczyła właśnie ten tłumik. Przez zniszczenie urządzenia tłumiącego, do toru światłowodowego są wysyłane już nie pojedyncze kwanty, ale całe ich paczki, co ułatwia skuteczny podsłuch transmisji. Nawet jeśli nie umożliwiało to przechwycenia całości klucza, otwierało drogę do dalszych ataków w inny sposób.

Najczęściej stosowanym sposobem obrony jest periodyczne wysyłanie przez odbiornik w stronę nadajnika stosunkowo silnego impulsu laserowego w kanale kwantowym. Urządzenie w nadajniku wykrywa poziom tego impulsu i każda silniejsza emisja odebrana przez detektor obronny nadajnika powoduje alarm. Jednocześnie mierzone jest opóźnienie. Stosuje się też okresowe wysyłanie impulsu służącego wyłącznie do kalibracji poziomu odbiornika - każda zmiana poziomu sygnału Alicji świadczy o jakiejś zmianie w torze światłowodowym.

Spojrzenie prosto w oczy

Bezpieczeństwo systemu opartego na protokole BB84 jest także oparte na tym, że Ewa nie może poznać ustawień detektora w urządzeniu Boba zanim niosący informację kwant od Alicji nie zostanie odebrany. Naruszenie tego warunku umożliwia podsłuch. Wiele odbiorników wykorzystuje urządzenia optoelektroniczne, które są sterowane za pomocą zmian napięcia. Zanim ich ustawienie przejdzie w stan ustalony, konieczny do detekcji emisji z nadajnika, przechodzi przez stany pośrednie. W tym czasie detektor nie pracuje - zatem w pewnych warunkach można za pomocą silnych impulsów lasera ustalić, w jakim kierunku dąży jego ustawienie. Wtedy urządzenie Ewy ustawi detektor tak samo jak właśnie zrobił to Bob, odbierze prawidłowo sygnał i natychmiast wygeneruje swój, kodując go tak samo, jak w urządzeniu Alicji. Wtedy Ewa poznaje klucz w całości. Parametrem krytycznym jest tutaj czas od wykrycia jakie będzie (lub jest) ustawienie detektora w odbiorniku Boba do przechwycenia kwantu światła Alicji przez Ewę. Dla pewniejszego ataku można wykorzystać fakt, że światło w światłowodzie wędruje wolniej niż fala elektromagnetyczna w powietrzu lub próżni, zatem można przynajmniej teoretycznie wykorzystać łącze radiowe lub optoelektroniczne, by zyskać trochę czasu. Dodatkowym sprzymierzeńcem może być błąd polegający na tym, że w wielu realizacjach nie było dokładnie mierzone opóźnienie w torze światłowodowym oraz nie stosowało się urządzeń włączających przepływ fali od toru do detektora tylko na czas odbioru impulsu niosącego dane.

Aby taki atak nie był możliwy, należy wprowadzić do toru stosowne opóźnienia oraz wyposażyć odbiornik w urządzenia wykrywające emisję laserową o ponadstandardowym natężeniu.

Najprostsze urządzenia przeznaczone do uzgadniania kluczy w kanale kwantowym były podatne na takie ataki. Nie jest to proste do wykonania, ale możliwe, co udowodnili Vadim Makarov, Artem Vakhitov oraz Dag R. Hjelme w roku 2001.

Trafić w swoją chwilę

Rzeczywiste urządzenia mają szumy, zatem dość często wysyłane fotony nie są wykrywane prawidłowo. Ponadto w wielu realizacjach detektory nie uruchamiają się w tym samym czasie. Bywa, że te różnice są na tyle duże, że można wysłać sygnał, który spowoduje reakcję tylko jednego z detektorów właśnie dlatego, że drugi z nich jeszcze, albo już nie działa. Te niedoskonałości można potencjalnie wykorzystać w ataku polegającym na wysyłaniu fałszywych sygnałów.

Ewa, włączywszy w tor kwantowy swój detektor, dokonuje analizy. Odbierając sygnał w torze kwantowym, niszczy ten przekaz. Chwilę potem wysyła sygnał, który jest fałszywy, ale właściwie przesunięty w czasie. Błędnie wysłany sygnał powoduje prawidłową reakcję detektorów, bowiem tylko jeden z nich - ten właściwy - pracuje w chwili odebrania sygnału. Powoduje to, że pomiar u Boba jest albo prawidłowy, albo niepewny (jak pomiar zafałszowany przez szumy). Urządzenie nie ma powodu do wszczynania alarmu. W normalnej eksploatacji systemu sygnał wysyłany przez Alicję trafia w ten przedział czasu, gdy pracują oba detektory i każde zafałszowanie sygnału byłoby wykryte. Ewa nie może podrobić oryginalnego sygnału, zatem wykorzystuje niedoskonałość urządzeń odbiorczych Boba.

Atak polegający na wykorzystaniu niedokładności w czasie załączania i wyłączania detektorów został opublikowany na XI konferencji optyki kwantowej w Mińsku przez W. Makarowa, J. Skaara i A. Anisimowa.

Światełko w ciemności

Teoretycznie możliwy jest jeszcze jeden atak. Używane powszechnie detektory bazujące na lawinowych fotodiodach InGaAs emitują szerokopasmowe światło w momencie wyładowania wyzwolonego przez odebraną emisję. Światło to jest znacząco słabsze, ale teoretycznie istnieje możliwość jego odebrania. Takie światło trafiłoby z powrotem do toru kwantowego, zmodulowane zgodnie z ustawieniami detektora Boba i dawałoby informacje o charakterystyce sygnału wysyłanego przez Alicję. Różnica polega na tym, że można je bez żadnych konsekwencji próbować przechwycić, gdyż nic go nie odbiera, poza być może Ewą. Ale jest to tak słaba emisja, że przechwycenie jej jest obecnie poza granicami technologii, zwłaszcza że znaczna część energii jest w zakresie podczerwieni o fali dłuższej niż 1, 5 mikrometra, a więc jej odbieranie jest bardzo trudne.

Nie znaczy to, że systemy QKD są niebezpieczne - nawet w najprostszych, zupełnie przestarzałych urządzeniach poziom bezpieczeństwa jest znacznie lepszy niż przy jakże często stosowanej transmisji korzystającej ze stałego klucza 3DES, zmienianego co pół roku lub nawet rzadziej.

<hr>System kwantowej dystrybucji kluczy

System kwantowej dystrybucji kluczy

System kwantowej dystrybucji kluczy

Osoba wysyłająca (w kryptografii tradycyjnie ma na imię Alicja) losuje ustawienia polaryzacji światła laserowego. Dla każdego stanu binarnego (zero, jedynka) możliwe są dwa ustawienia polaryzatora. Tak spolaryzowany kwant światła jest wysłany światłowodem w kanale kwantowym. Odbiorca (jest nim Bob) losuje ustawienia polaryzatora w odbiorniku. Warto zauważyć, że Bob tylko niektóre fotony odbiera prawidłowo - te, w których losowo wybrane ustawienia odbiornika pasują do ustawień użytych przez Alicję. Bob w otwartym kanale komunikacji informuję Alicję, jakich użył ustawień przy odbieraniu. Alicja odpowiada mu, w których miejscach się pomylił. Te kwanty są pomijane, a jeśli łącze kwantowe działa bez zastrzeżeń, pozostałe są odbierane prawidłowo. Teraz Bob z Alicją porównują pewną ilość wybranych bitów w otwartym kanale. Jeśli Bob odebrał prawidłowo - znaczy, że fotony docierają bez zakłóceń. Pozostałe bity po pewnych innych działaniach tworzą klucz. Gdyby w kanale kwantowym, przesyłającym informacje za pomocą pojedynczych fotonów, zainstalowany był podsłuch, strona podsłuchująca (tradycyjnie ma na imię Ewa) musiałaby zniszczyć część transmisji. Wynika to z zasady nieoznaczoności Heisenberga. Im więcej transmisji przechwyci, tym bardziej wzrasta prawdopodobieństwo wykrycia podsłuchu.