Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties

Nederlandse onderzoekers hebben technologie ontwikkeld om bankpassen, creditcards, identiteitsbewijzen en digitale deurvergrendeling van bijvoorbeeld auto’s te beveiligen. Hoewel de basis berust op de kwantummechanica is de technologie goedkoop en eenvoudig in te zetten.

Volgens de onderzoekers van het MESA+-instituut van de Universiteit Twente en de TU/e zijn pasjes met hun methode onmogelijk te kraken en ook het omzeilen van de beveiliging via kopiëren of nabootsen van sleutels zou niet kunnen. De wetenschappers hebben hun methode Quantum-Secure Authentication genoemd. Ondanks die naam is voor de beveiliging slechts een laagje witte verf in combinatie met een laser, beeldsensor en beeldvormende chip nodig. De laser is voor het uitlezen van informatie, vergelijkbaar met een optische drive en de beeldvormende chip dient voor projectie, als een beamer.

De te beveiligen pas wordt van een laagje witte verf met miljoenen nanodeeltjes voorzien. "Als je een lichtdeeltje de verf in stuurt zal het, als in een flipperkast, tussen de nanodeeltjes ‘doorstuiteren’ tot het ontsnapt", beschrijft de Universiteit Twente. De bedoeling is dat banken en andere organisaties een uniek patroon van lichtdeeltjes op pasjes gaan projecteren, waarna een uitleesapparaat het resulterende patroon van ontsnappende lichtdeeltjes registreert voor authenticatie.

In theorie zou een aanvaller deze vraag-antwoord-methode kunnen nabootsen door het ingaande stipjespatroon te analyseren, maar de beveiliging van de onderzoekers bestaat erin dat een patroon gebruikt wordt dat uit mínder fotonen bestaat dan er lichtstipjes zijn. Hierdoor kan een aanvaller er nooit achterkomen welk patroon de verf ingaat en kan het resulterende uitgaande patroon dus niet nagemaakt worden.

De methode is gebaseerd op een van de beroemdste experimenten uit de natuurkunde: het tweespletenexperiment. Hierbij ontstaat een interferentiepatroon als slechts een enkele foton door twee spleten tegelijk gaat. Het lichtdeeltje lijkt met zichzelf te interfereren en zich dus op meerdere plekken te bevinden, wat de basis is van de kwantummechanica. "De bank kan zelfs met één foton het antwoord al controleren", concludeert de Universiteit Twente.

Het onderzoek met de titel Quantum-Secure Authentication of a Physical Unclonable Key is dinsdag gepubliceerd in het wetenschappelijke vakblad Optica van The Optical Society.

 Quantum-Secure Authentication

Moderatie-faq Wijzig weergave

Reacties (98)

Probleem blijft natuurlijk wel dat alles eromheen wel te beinvloeden of kraken valt.
Er kan vast wel een skimmer gemaakt worden die het ingestuurde lichtpatroon analyseert, wat daarmee het hele idee achter deze "quantum maar toch niet echt quantum" beveiliging omzeilt.

Dit is "security due to obscurity", er wordt informatie verborgen, niet onkraakbaar versleuteld. Dit is dus NIET de quantum beveiliging waar we al jaren leuke berichten over lezen. Dit is NIET de quantum beveiliging waar interceptie van het signaal voor destructie ervan zorgt.

Dit is net zo quantum als quantum dots: Niet.
Het onderliggende concept volgens mij wel...

maar de beveiliging van de onderzoekers bestaat erin dat een patroon gebruikt wordt dat uit mínder fotonen bestaat dan er lichtstipjes zijn....

Het lichtdeeltje lijkt met zichzelf te interfereren en zich dus op meerdere plekken te bevinden, wat de basis is van de kwantummechanica
.

Volgens mij is het op meerdere plaatsen tegelijk bevinden van een foton/deeltje toch wel redelijk 1 v/d peilers van quantum mechanica. Rondom dergelijke waarnemingen is de hele theorie opgezet.

en p.s
Het is security through obscurity. Met "due to" sugereer je namelijk dat het veilig is.

[Reactie gewijzigd door jozuf op 16 december 2014 12:50]

Klopt, maar dat blijft allemaal binnen de invloedssfeer van de (in dit voorbeeld de) bank. De spullen die de bank meegeeft zijn niet te kopiëren en daardoor bruikbaar als identificatietoken.
heb je dan niet dat er een autodeur aan de andere kant van de wereld opengaat, als jij je boodschappen pint? :+

Wel een mooie ontwikkeling, al denk ik dat onkraakbaar een boude uitspraak is.
Niet te kraken met huidige technieken was een betere uitspraak geweest.
Nou inderdaad. Als de nanotech voortschreidt kan je hem misschien wel moleculair geautomatiseerd laten kopieren. Dan heb je een moleculair exact duplicaat en gaat de deur gewoon open.
Het is meer dat het niet reproduceerbaar is. Elke laag verf is per definitie uniek. Pasje scannen en kopieren is er niet meer bij.
Grappig, een toekomst met een beveiliging die niet te kraken is. Ik zie de voordelen, maar hoe zit het met mensen die deze technologie verkeerd willen gebruiken?
Een logische gedachtegang. Wat als criminelen dingen op deze manier beveiligen waardoor het onmogelijk wordt voor de instanties om achter bepaalde gegevens te komen? Elk voordeel heeft zijn nadeel lijkt me. Ik ben verder geen natuurkunde-expert, maar volgens mij is uiteindelijk alles te kraken. Misschien (nog) niet met de huidige stand van technologie, maar alles wat door de mens bedacht wordt is kunstmatig en er zullen altijd op den duur work-arounds of iets in die richting gevonden worden. Maar dat het een goede vooruitgang is, dat is op zich duidelijk :)
Vraag me ook af wat er gebeurt als er vuil op komt, of de laag met nanodeeltjes slijt. Beide onvermijdbaar met normaal gebruikt lijkt me. Daar gaat je unieke patroon, en nu kan je niet meer geld opnemen of je auto in?
Een paar fotonen zijn in principe al genoeg dus je hebt maar een heel klein oppervlak nodig. Stukje beschermend materiaal erover of dat deel wat dieper leggen hoeft niet duur te zijn.

Voor de hand liggende optie is ook om gelijk een dozijn 'punten' vast te leggen. Als er dan een paar falen heb je toch genoeg zekerheid.

Maar dit zijn 'details' die bij elk product uitontwikkeld moeten worden. Het gaat er om dat deze toepassing nu bedacht is.
Inderdaad mijn conventionele bankkaart is ook diverse keren kapot gegaan in mijn broek of door magnetisme.
Juist omdat het maar een paar fotonen zijn lijkt mij bijvoorbeeld een krasje in het beschermende materiaal, of een stofje op de verkeerde plek al funest, maar ik ben maar een leek
Een beschadigde 'fotonencontroleplek' :+) is op zichzelf waardeloos maar door er een x aantal op een kaart te zetten, kun je redundancy inbouwen. Aangezien het - volgens het artikel althans - onmogelijk is om zelfs maar één controlepunt te 'hacken' blijft de kaart bruikbaar zolang er tenminste één controlepunt onbeschadigd is.
Daar zat ik ook al aan te denken. Niet te vergeten een kleine bolling in het pasje of een scheurtje. Naar mijn idee zijn er nog wel wat puntjes waar ze even naar moeten kijken.
laagje doorzichtige coating er over. als hij het dan niet doet kan je hem even schoonmaken.
Het feit is wel dat dit beveiliging is op basis van iets wat je hebt, niet op wat je weet. Als de politie de sleutel bemachtigd bij een inval kunnen ze ook het slot openen. Deze techniek is bijvoorbeeld wel ideaal om identiteitsfraude tegen te gaan, wanneer je de enige bent met de sleutel kan niemand anders hem gebruiken. Totdat deze weer in handen komt van een ander.
Beveiliging is inderdaad zo sterk als de zwakste schakel. Misschien dat deze 'encryptie' niet te kraken is, maar als je bijvoorbeeld de servers die de verificatie doen hacked, dan zit daar de zwakke plek. En zo zijn er natuurlijk nog een hoop andere dingen te verzinnen die om dit systeem heen zitten die te hacken/kraken/stelen/etc zijn. Of simpelweg zo'n kaartje stelen van iemand zou al voldoende zijn als je geen 2-tier authentication toepast.
Dit is geen encryptie. En encryptie zoals AES is al niet te kraken. Met met een keysize die groot genoeg is, kan AES zelfs niet gebruteforced worden met een kwantumcomputer is een redelijke tijd. Waarom denk je dat de NSA backdoors wil in producten. Anders kunnen ze er niet meer bij. Deze techniek voegt daar niet zoveel aan toe. Het is eerder een methode om identiteitsfraude tegen te gegaan zoals Kaasbroodje al aangeeft.
encryptie zoals AES is al niet te kraken.
Alles is te kraken, alleen duurt het met huidige kennis en technieken mischien te lang, bij sha256 dachten ze ook dat het niet te kraken was, zie hier apparaatjes speciaal gemaakt voor SHA256 hashes kraken (bitcoin ASIC). Dit is namelijk het enige wat zo'n apparaatje doet, en hij doet het verdomd snel ook (2 miljard hashes/seconde is niet vreemd ~2 Thash/s)

Zoals gezegd, alles is te kraken, alles kan kapot. Het ligt aan de zwakste schakel in het process hoe snel en hoe makkelijk het gaat. Hetzelfde geld voor dit principe, de keycard mag nog zo sterk beveiligd zijn, als het netwerk verkeer naar de server die het controleert (ga ik vanuit) niet goed beveiligd is kan het nog zo blootgelegd worden. Of als de keycard gestolen word is het alsnog zo gebeurt met binnenkomen/authenticatie verkrijgen.
Hashing is hashing, geen encryptie. Maar laten maar een rekensommetje doen. Een AES256 bruteforcen met een computer die 1 pico sleutels per seconde kan verwerken en deze 1000 jaar laat draaien. Dan is de kans dat je de juiste sleutel vind 1.000.000.000.000 * 1000 * 356 * 24 * 60 * 60 / 2^256 % = 0,0000000000000000000000000000000000000000000000000000000265634

Dat noem je dus kraakbaar.
ik zie de logica in jouw berekening even niet ,maar waar ik op doelde is dat er miljarden hashes per seconde berekend kunnen worden met daarvoor gemaakte apparatuur die al lang op de markt is (immers de reden dat ik persoonlijk gestopt ben met het bitcoin netwerk steunen omdat het doel voorbij geschoten is)
Miljarden keys per seconde maakt niet uit. Ook al zijn het er miljard miljard (= 10^18) per seconde.

Er is een keyspace van 2^256 (eigenlijk iets minder, maar een paar ordegroottes maakt niet zo veel verschil meer op dit soort berekeningen). 2^256 is ongeveer 10^77.

10^18 keys per seconde => 10^18 * 60 sec * 60 min * 24 uur *365 dagen = 3 * 10 ^25 keys per jaar, afgerond naar boven 10^26 keys per jaar.

Dan duurt het dus 10^77 / 10^26 = 10^49 jaar voordat alle keys geprobeerd zijn. Stel dat je 10 miljard van zulke videokaarten hebt, dan verkort je de benodigde tijd tot 10^39 jaar. Dat zijn nog steeds aantallen die veel groter zijn dan de leeftijd van het universum. Kortom, met de huidige methodes niet te kraken. In ieder geval niet met brute-force.

[Reactie gewijzigd door wph op 16 december 2014 16:00]

Je gooit alles op één hoop. Dat hashes te achterhalen zijn oke. Maar dat heeft niets dit artikel of met encryptie te maken en leidt tot misverstanden.
Ik had de mijne toch in 1 keer goed :)

Wat een geluk!
Bij niet te kraken moet je eenvoudig een tijd stelen. d.w.z het is met de huidige techniek en kennis niet te kraken. Over x jaar kan dat weer heel anders zijn en kan het misschien te kraken zijn.

Neemt niet weg dat het kraken van iets meestal iets achterloopt. Dit idee kan dus voor x jaar een goed alternatief zijn tot er weer iets beters komt.
Toch is dit wel iets anders dan traditionele beveiligingen, waarbij het kopiëren niet onmogelijk is, maar moeilijk gemaakt wordt doordat je geavanceerde apparatuur nodig hebt. Op een gegeven moment wordt die apparatuur zo goedkoop dat iedereen het kan aanschaffen en criminelen ermee aan de slag gaan. Bij deze methode is dat (als de theorie klopt) onmogelijk, omdat je een pas niet kan namaken, ook al heb je dezelfde apparatuur..

Dit maakt het niet onmogelijk dat criminelen je bankrekening leeghalen, maar wel dat ze eenvoudig je pasje kopiëren. Voor paspoorten e.d. lijkt me zoiets ook wel handig. Dan kun je wel zeggen "het wordt toch wel gekraakt", maar als dat betekend dat er nieuwe natuurwetten moeten worden ontdekt, kan dat nog wel eens erg lang duren.
Wat vandaag niet mogelijk is, is morgen wel mogelijk. Zeg nooit nooit want techniek kan snel veranderen.
Klopt maar als iets volgens de natuurwetten niet kan dan is het al gelijk een stap verder. Je moet dan een geleerde natuurkundige zijn die ook nog eens de wetten van de natuurkunde kan omzeilen.
Je begrijpt het echt niet.

Natuurwetten zoals wij ze nu kennen zijn ooit een keer ontstaan. Dit wil echter niet zeggen dat dingen die wij nu voor onmogelijk houden over x jaar niet mogelijk zijn door nieuwe inzichten en technieken.

Had je 100 jaar geleden verteld wat we nu konden hadden ze je ook voor gek verklaard.
Nee jij begrijpt het niet. Je suggereert dat omdat men in het verleden iets dacht en dit later fout was, dat daarom bijna alles kan. Tussen een foute aanname in het verleden en het wel/niet mogelijk zijn van iets zit echter geen oorzakelijk verband. We kunnen niet straks door de lucht zweven met anti-zwaartekracht, omdat men in het verleden dacht dat ijzeren schepen niet kunnen drijven.

Daarnaast ontstaan natuurwetten niet, die bestaan gewoon, onafhankelijk of wij er vanaf weten of ze begrijpen.
natuurwetten zijn nog niet zo oud, sommige paar honderd jaar sommige nog vrij recent. Daarnaast sommige wetten kunnen door nieuwe inzichten veranderen.

Je hebt het over: We kunnen niet straks door de lucht zweven met anti-zwaartekracht

idd nu kan dat nog niet maar over x jaar met nieuwe inzichten en technieken zou het kunnen. Als voorbeeld magneten en supergeleiding bij steeds afnemende temperaturen door nieuwe inzichten en materialen.

Wat nu niet kan wil niet zeggen dat het nooit kan.
Ik denk dat we met deze technologie wel een jaartje of vijftig vooruit kunnen voordat dit 'gekraakt' kan worden.
een goed punt maar uiteindelijk zal een koevoet bij digitale deuren ook wel zen werk doen... ik kan me ook niet meteen iets voorstellen waar criminelen dit voor zouden gebruiken buiten "deuren" uiteindelijk is dit een digitale beveiliging fysiek zal je jezelf altijd toegang kunnen verschaffen dmv. onze goede oude tools
Een logische gedachtegang? Ik vind het vooral bijzonder negatief. We hebben een mooi nieuw dingetje uitgevonden en de eerste gedachte is dat criminelen er misschien iets mee zouden kunnen doen.

Als er nou echt een groot gevaar voor de samenleving zou zijn bij misbruik van dit pasje zou het een logische gedachtegang zijn, maar criminelen die hun data beveiligen? Daar ga ik me nou echt nooit zorgen over maken.
Ik zie de voordelen, maar hoe zit het met mensen die deze technologie verkeerd willen gebruiken?
hetzelfde kan gezegd worden voor een hamer en het kan nooit een reden zijn om iets niet te doen.
Je moet wel heel erg naief zijn om te denken dat een beveiliging niet te kraken zal zijn... Moeilijker misschien wel, maar niet, nee dat zal nooit gebeuren...
Zijn heel begrijpelijke bedenkingen.
Maar als dit echt mogelijk is EN standhoudt, dan hebben we niks anders dan het te accepteren :)

Wel geloof ik dat ik liever in een wereld leef waar alles prive is in plaats van het tegenovergestelde : niks.
Dit is geen encryptiealgoritme. Dit is ter identificatie. Te vergelijken met een hash.
Ondanks die naam is voor de beveiliging slechts een laagje witte verf
Klinkt allemaal heel mooi, maar slijt die verf er niet af na verloop van tijd waardoor de hele beveiliging afwezig is?
Mijn bankpas zit onder de krassen.
De te beveiligen pas wordt van een laagje witte verf met miljoenen nanodeeltjes voorzien. "Als je een lichtdeeltje de verf in stuurt zal het, als in een flipperkast
Een krasje op de verflaag zorgt voor een kapotte flipperkast, met als verschil dat repareren ondoenlijk is. En uiteraard merk je pas dat je pas het niet meer doet als je 'm wil gebruiken.
De verf zit uiteraard onder een doorzichtig laklaagje.
Krasjes kunnen eenvoudig worden omzeild, door bij fouten een scan te maken uit een andere hoek of deel van het oppervlak, net zolang er een (aantal) meting(en) is die goed gaat of totdat het systeem beslist dat het niet de goede pas is. Net zoals de CD/DVD is de hoogte van de reflectie te detecteren of deze zit in de laklaag of lager op de nanodeeltjes, dat zou je er ook uit kunnen filteren. Zelfs een barst in de pas kan dus herkennen en negeren.
Een pas van een soort Gorillaglas materiaal zal ook de meeste problemen kunnen voorkomen.

[Reactie gewijzigd door friend op 16 december 2014 11:38]

Je kunt een kras volgens mij niet negeren.
De scan wordt eenmalig bij vervaardiging van het pasje gemaakt.
Elke beschadiging/wijziging van het patroon zal daarna, neem ik aan een Fail opleveren.

Dan zou er een nieuwe autorisatie-scan gemaakt moeten worden bij een instantie, van het nieuwe patroon.
Bij het aanmaken van de pas wordt de nanolaag in een patroon op veel plekken belicht om zo een patroon van 'reflecties' op te bouwen. Voor elke positie komt hier een andere reflectie uit. Je kunt bij de controle afwijkingen accepteren die veroorzaakt kunnen worden door krassen. De mate waarin de reflecties overeenkomen met het verwachte resultaat kan je dan gebruiken om te bepalen of je met de echte of een foute pas te maken hebt. Je hoeft dus niet steeds een 100% hit te hebben, dat is ook niet nodig, aangezien de kans dat 50% van de reflecties de goede kant op gaat t.o.v. een foute pas nog steeds onnoemelijk klein is.

[Reactie gewijzigd door friend op 16 december 2014 14:06]

Ik vind het wel mooi klinken alleen denk ik dan gelijk wat gebeurd er als:

- Het pasje slijt op het punt waar de verf zit.
- Het pasje vies wordt waar de verf zit.

Het klinkt wel als een mooie methode maar lijkt me nog niet praktisch toepasbaar
Het pasje kan waarschijnlijk ook buigen, waardoor de afstand tussen de nano-deeltjes ook zal veranderen :)
Waardoor de code weer zal veranderen...

Dus het is leuk bedacht, maar ik vermoed idd ook dat dit niet zo praktisch gaat worden...
Hoewel de basis berust op de kwantummechanica ..
De quantummechanica heeft betrekking op de subatomaire deeltjes, of nog nauwkeuriger aangeduid, de subdeeltjes van protonen en neutronen. Lijkt mij daarom niet mogelijk, althans niet letterlijk, want die deeltjes bestaan in vrije vorm niet. Ik ben wel benieuwd wat ze er dan wel mee bedoelen
Ze bedoelen de kwantumtheorie en die berust op golfvergelijkingen. Licht wordt beschreven als een golf ipv een "mechanisch" deeltje.

Hier is het wetenschappelijk artikel: http://www.opticsinfobase...?uri=optica-1-6-421&seq=0
Prachtig om te zien dat vorderingen in wetenschappelijke gebieden die ver van de toepasbaarheid lijken te staan, toch op eenvoudige manier in een nuttige toepassing geimplementeerd kunnen worden. :)
Ik ben echt benieuwd hoelang het duurt voordat ik deze beveiliging in real life tegen ga komen.

Ook leuk: het telefoonnr op de pas/visitie kaartje op de foto :)
Goed geobserveerd. Het nummer hoort ook nog eens bij de naam op de kaart.
(bron)
Tof idee, ik denk alleen dat het een beetje voorbarig is om te zeggen dat het onkraakbaar is
Dat het werkelijk onkraakbaar is lijkt me nog wat vergezocht en nog niet bewezen. Er zal een margin of error in zitten en ook het leessysteem kan vatbaar zijn voor normale aanvalsmethoden.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True