Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Eenvoudige kwantumbeveiliging maakt onkraakbare pasjes mogelijk

Nederlandse onderzoekers hebben technologie ontwikkeld om bankpassen, creditcards, identiteitsbewijzen en digitale deurvergrendeling van bijvoorbeeld auto’s te beveiligen. Hoewel de basis berust op de kwantummechanica is de technologie goedkoop en eenvoudig in te zetten.

Volgens de onderzoekers van het MESA+-instituut van de Universiteit Twente en de TU/e zijn pasjes met hun methode onmogelijk te kraken en ook het omzeilen van de beveiliging via kopiëren of nabootsen van sleutels zou niet kunnen. De wetenschappers hebben hun methode Quantum-Secure Authentication genoemd. Ondanks die naam is voor de beveiliging slechts een laagje witte verf in combinatie met een laser, beeldsensor en beeldvormende chip nodig. De laser is voor het uitlezen van informatie, vergelijkbaar met een optische drive en de beeldvormende chip dient voor projectie, als een beamer.

De te beveiligen pas wordt van een laagje witte verf met miljoenen nanodeeltjes voorzien. "Als je een lichtdeeltje de verf in stuurt zal het, als in een flipperkast, tussen de nanodeeltjes ‘doorstuiteren’ tot het ontsnapt", beschrijft de Universiteit Twente. De bedoeling is dat banken en andere organisaties een uniek patroon van lichtdeeltjes op pasjes gaan projecteren, waarna een uitleesapparaat het resulterende patroon van ontsnappende lichtdeeltjes registreert voor authenticatie.

In theorie zou een aanvaller deze vraag-antwoord-methode kunnen nabootsen door het ingaande stipjespatroon te analyseren, maar de beveiliging van de onderzoekers bestaat erin dat een patroon gebruikt wordt dat uit mínder fotonen bestaat dan er lichtstipjes zijn. Hierdoor kan een aanvaller er nooit achterkomen welk patroon de verf ingaat en kan het resulterende uitgaande patroon dus niet nagemaakt worden.

De methode is gebaseerd op een van de beroemdste experimenten uit de natuurkunde: het tweespletenexperiment. Hierbij ontstaat een interferentiepatroon als slechts een enkele foton door twee spleten tegelijk gaat. Het lichtdeeltje lijkt met zichzelf te interfereren en zich dus op meerdere plekken te bevinden, wat de basis is van de kwantummechanica. "De bank kan zelfs met één foton het antwoord al controleren", concludeert de Universiteit Twente.

Het onderzoek met de titel Quantum-Secure Authentication of a Physical Unclonable Key is dinsdag gepubliceerd in het wetenschappelijke vakblad Optica van The Optical Society.

 Quantum-Secure Authentication

Door Olaf van Miltenburg

Nieuwscoördinator

16-12-2014 • 10:55

98 Linkedin Google+

Reacties (98)

Wijzig sortering
Volgens de onderzoekers van het MESA+-instituut van de Universiteit Twente en de TU/e zijn pasjes met hun methode onmogelijk te kraken en ook het omzeilen van de beveiliging via kopiëren of nabootsen van sleutels zou niet kunnen.
Hoewel het mij ideaal klinkt als dit mogelijk zou zijn, heb ik wel mijn twijfels erbij en moet ik toch echt zeggen: Eerst zien, dan geloven. Alles wat tot nu toe door mensen is gemaakt / bedacht, is ook door mensen gekraakt.
De te beveiligen pas wordt van een laagje witte verf met miljoenen nanodeeltjes voorzien.
Bij mijn pasjes slijt alle verf er op den duur af. Wat voor invloed heeft dit op de geldigheid van de pas? Lijkt mij de zwakke plek van het systeem.
Misschien is het af te dekken met een laagje (slijtvast) plastic?
Het lijkt mij dat, net als bij CD's de te lezen verflaag zich niet aan de buitenkant bevindt. De huidige bankpasjes zijn nog veel kwetsbaarder aangezien 1x op de toonbank (magneet om kleding tags te verwijderen) laten vallen en weg is je pasje, figuurlijk gesproken :).

Ik denk dat dit wel een goede vervanging is voor de bestaande bankpasjes, ervan uitgaand dat er nog wel PINcodes bij worden gebruikt.
Wat gebeurt er als je het pasje kwijt bent? Het zal toch mogelijk moeten zijn om pasjes te vervangen die beschadigd zijn, kwijt zijn, gestolen zijn etc. Dat betekent dat je nieuwe pasjes moet kunnen authoriseren, en daar kan dan weer zomaar een kwetsbaarheid zitten (als je ze gaat gebruiken als toegangspasje van een auto bijvoorbeeld).
Met een master-key oid kun je ongetwijfeld het systeem nieuwe pasjes leren herkennen en authoriseren. Moet je de master-key niet verliezen/kwijtraken/laten stelen uiteraard...
of je maakt gelijk 3 keys aan en die andere 2 bewaar je ergens anders
Het is een fysiek patroon, en is wel degelijk na te maken, én dus te kraken. Misschien niet nu, maar misschien wel over 10 jaar als de benodigde apparatuur makkelijker te krijgen is.

Daarnaast zou je zo'n pas gewoon kunnen kopiëren via een brute-force achtige tactiek. En dat zou zelfs nog heel efficiënt kunnen ook (vergeleken met elektronische beveiligingen) omdat je door de breking van het licht ook nog eens op kleur/golflengte de output kunt lezen van meerdere inputs tegelijk als je een enkele (bijna-)witte laser zou kunnen gebruiken met wat lenzen. (ik kan het even niet simpel omschrijven, maar ik hoop dat jullie snappen wat ik bedoel). Ook het inbouwen van beveiligingen tegen brute-force technieken zijn moeilijker dan bij elektronische beveiligingen.

Tevens is dit gewoon een (min of meer) optische versie van wat je anders met electronische signalen doet op een chip met vele transistors.

Dan nog een enorm belangrijk punt, de pasjes worden vaak gebogen in de broekzak, waardoor al snel flinke afwijkingen zullen komen na materiaalmoeheid als het allemaal op nano-grootte wordt gedaan.

Tevens vindt ik de link met kwantummechanica wat ver gezocht...

[Reactie gewijzigd door alexnauta op 16 december 2014 11:39]

Het is een fysiek patroon, en is wel degelijk na te maken, én dus te kraken. Misschien niet nu, maar misschien wel over 10 jaar als de benodigde apparatuur makkelijker te krijgen is
Daarom blijft het de kunst om qua technologie vooruit te blijven hollen. Zo kan over (om wat te noemen) tien jaar een opvolgtechniek worden geïntroduceerd. Net op het moment dat de criminaliteit een te gevoelige greep op de bestaande techniek gaat krijgen.

Het is inderdaad niet veel anders dan een voortdurende wedloop van maatregelen en tegenmaatregelen. Deze technieken zullen onze afhankelijkheid van technologie en de partijen die haar implementeren (in dit geval mogelijk de banken) groter maken. Iedereen gaat naar de organisatie met de slechts te kraken sleutel. Dit is dan een keuze die ten koste kan gaan van andere afwegingen.

Niemand heeft in dit proces trouwens een keuze. Financiële instellingen kunnen niet anders dan implementeren, en hun klanten hebben geen optie dan mee te bewegen.

[Reactie gewijzigd door teacup op 16 december 2014 12:24]

Afgelopen mei hadden we Pepijn Pinkse (een van onderzoekers, waarvan de naam dus op de pas staat) nog te gast op ons symposium (ik zat in de organiserende commissie), waarin hij hierover zijn presentatie hield. De methode lijkt onbreekbaar, omdat de sleutel wordt belicht met een lichtpuls van minder fotonen dan het aantal mogelijkheden in het patroon. Uiteindelijk zorgt dit ervoor dat alleen bij het goede patroon op de sleutel een juist lichtpatroon wordt weerkaatst en gelezen door de photondetector. Hierdoor is het onmogelijk de sleutel te kopiëren, want je hebt niks aan het uitlezen van het lichtpatroon. Het heeft geen opslag van data nodig anders dan de sleutel, dus de enige mogelijkheid om de beveiliging te doorbreken is het stelen van de sleutel.

Aangezien de kaart en detector op dit moment gemaakt kunnen worden (eigenlijk al gemaakt zijn) en er verder niks nodig is, zou het nu al gebruikt kunnen worden.

Echter zitten er wel enkele haken en ogen aan. Ten eerste blijkt uit de metingen dat er bij een enkele 'readout' soms sprake is van false negatives, de pas wordt dan als fout herkend, terwijl dit niet het geval is, in 9% van de keren, wat aardig groot is en vervelend voor de gebruiker. Daarnaast bij theoretische optimale aanval is er 6 procent kans dat het wel lukt, wat ook nog aardig hoog ligt. Echter bij random poging is dit slechts 0,0002 procent. Echter bij 10 herhalingen is dit zo goed als te niet gedaan en is het aantal false en negative positives ook in theorie kleiner dan 0,01%.

Echter is de oplossing heel eenvoudig, het uitlezen van de pas kost slechts 100ms, door simpelweg 10 herhalingen als 1 totale controle te gebruiken, wat slechts 1 seconde kost. Met het gebruik van snellere micromirrors kunnen zelfs 20 herhalingen in 1 ms, waarmee het probleem met false negatives en positives zo goed als opgelost is en deze beveiliging al snel kan gebruikt worden als alternatief voor DigiD, bankpassen, etc.
"Onkraakbaar".. Geloof daar dus niks van. Misschien onkraakbaar met de huidige apparatuur en kennis ja. Maar als het beveiligingsmechanisme in de verf zit, gaat het dan niet stuk als de verf van het pasje af slijt?
kopiëren is dan wel lastiger maar pasjes stelen zoals meestal gedaan word blijft natuurlijk gewoon werken

net als wanneer geld kopiëren/drukken niet werkt dan ga je toch gewoon geld stelen op allerlei manieren

de resolutie op welke onze technologie contrasten kan waarnemen tussen het 1 en ander is natuurlijk stukken verder gevorderd dan een aantal jaren terug
als je alleen al kijkt naar de DPI van lasermuizen/cmos tegenwoordig lol
een unieke surface creëren is het werk niet
dus over het idee op zich is niets aan te merken en bound to be found;
cool story

https://www.youtube.com/watch?v=i6WRuwJ0_PM
een principe zo oud als de telescoop

[Reactie gewijzigd door 500749 op 16 december 2014 13:08]

lol de wereld word straks zo veilig dat je een nieuw huis moet kopen als je de sleutel kwijt bent |:(

nee zal zon vaart niet lopen, maar ik ben erg into veiligheid. (laten ze dan meteen het OV voorzien van deze pasjes. volgensmij is de ovkaart de snelst gekraakte onkraakbare pas ooit uitgebracht op aarde)
alles wat door een mens gemaakt is, kan ook gekraakt worden door een mens, zo simpel is het uiteindelijk. Je kan enkel alleen dingen lastiger maken zodat het langer doen.

althans zo is mijn in steek.
Hebben extreme temperatuursverschillen invloed op de uitkomst (-15 ... + 30) ???

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Cartech

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True