Onderzoeker verstopt data in signaalruis

Een Amerikaanse wetenschapper vond twee jaar geleden een nieuwe manier uit van het verzenden van gecodeerde berichten. Niet alleen zou deze manier beter moeten werken dan quantumencryptie; ook is het minstens even veilig en stukken goedkoper.

De onderzoeker Laszlo Kish van de Texaanse A&M Universiteit maakt gebruik van de ruis die door elektronen wordt veroorzaakt wanneer deze door een kabel stromen. De berichten kunnen bij tussenpozen verzonden worden en worden gecamoufleerd door de signaalruis. Het model van Kish is gebaseerd op de klassieke fysieke eigenschappen stroom en voltage. Door het ruisniveau op de communicatielijn te meten en gebruik te maken van verschillende weerstanden voor de verzender en ontvanger, wordt het voor een afluisteraar onmogelijk om te detecteren welke partij aan het zenden is. Daarvoor moet hij immers weten welke partij een grote of kleine weerstand gebruikt, en daarvoor moet eerst extra stroom op de lijn gezet worden. Dit kan echter gedetecteerd worden zodra er één bit verstuurd is, waarna de communicatie afgebroken kan worden.

Kish claimt een techniek te hebben uitgevonden die veiliger is dan quantumencryptie, maar volgens hem is het nog belangrijker dat zijn methode gemakkelijker in gebruik is. Kish en andere wetenschappers hebben recent een prototype ontworpen. Met 99,98 procent accuraatheid van de ontvangst van berichten en een bereik van meer dan 2000 kilometer lijkt deze methode inderdaad beter te werken dan quantumencryptie. Bij qkd-technologie spelen vibratie, hitte en stof een negatieve rol in de accuraatheid van de berichtverzending, het apparaat van Kish zou hier geen last van hebben. Bovendien zou het apparaat naar verwachting slechts rond de honderd dollar gaan kosten. Binnen twee tot drie jaar moet het product op de markt komen.

Lees meer

IT-banen

Reacties (46)

Theraven1982 30 mei 2007 19:44

Dit verhaal stond vorige week op slashdot. Inclusief een link hoe het te omzeilen:
http://arxiv.org/pdf/physics/0601022

Hier nog meer commentaar, incl. reactie van Kish:
http://ansuz.sooke.bc.ca/...kish-classical-crypto.php

(Overigens stond het in 2005 ook al op slashdot...)

Koffie @Theraven1982 • 30 mei 2007 22:13

(Overigens stond het in 2005 ook al op slashdot...)

Zou dat 2 jaar geleden zijn ?

Bor Coördinator Frontpage Admins / FP Powermod 30 mei 2007 21:24

Camouflage van data kan nooit veiliger zijn dan goede encryptie. Tot op heden is er geen enkele goede datacamouflage techniek bekend.

Door actief te gaan "luisteren" naar een zender kun je er voor zorgen dat de zender stopt met versturen van data -> een erg makkelijk denial of service is geboren waar niet eens zwakheden in een protocol voor hoeven worden uitgebuit. Een extra stroompje is genoeg. Daarbij, hoe addresseer je zaken als integriteit (je stopt namelijk in het ergste geval met zender wanneer je een luistervink detecteert), authenticiteit etc. Dit is een secret key mechanisme (de weerstandwaarden) waarvoor je de belangrijkste boodschap (weer de weerstandwaarden) eerst op een veilige manier moet kunnen overbrengen.

Wijzigingen in de "sleutel" zijn ook niet makkelijk door te voeren gezien het daadwerkelijk de hardware zelf is die de sleutel vormt.

NjedVet @Bor • 31 mei 2007 08:41

Indien je af wilt luisteren moet je eerst de kabel hebben. Als je die toch al hebt en je wilt alleen de communicatie verstoren kun je beter de kabel gewoon doorknippen. . .

De weerstandwaarden die wijzigen kunnen eventueel van tevoren bekend zijn (soort codeboek) of kunnen via een andere verbinding of andere techniek (bijvoorbeeld telefoon, e-mail, sms oid) verstuurd worden. Uiteraard kán dat ook afgeluisterd worden, maar er zijn wegen denkbaar waarop de keys (weerstandwaarden) uitgewisseld kunnen worden zonder dat anderen het te weten komen.

Verwijderd 30 mei 2007 18:54

Ik heb zoiets al eens eerder gezien.

Volgens mij was het bij bepaalde hoogtechnologische helikopters ook zo dat de 'squadron leader' verkeer uitwisselde met zijn 'wingmen', waarbij alle verkeer natuurlijk encrypted was. Echter kon door te zien hoeveel data er tussen welke helikopters uitgewisseld werd toch heel makkelijk achterhaald worden wie wie was. Dit probleem werd uiteindelijk simpel ondervangen door ook heel veel loos verkeer random uit te wisselen, waardoor de truc niet meer werkte.

Een andere bijkomstigheid is dat als je data in ruis verstopt, die data (wellicht) niet meer gecodeerd hoeft te worden, en je zo voorbij gaat aan alle wetten die stellen dat je bepaalde encryptie niet mag gebruiken, exporteren, of je sleutels aan de overheid beschikbaar moet stellen.

Verwijderd @Verwijderd • 30 mei 2007 19:13

Ruis zit meestal in een spectrum. Witte ruis is een vlak spectrum. Vanaf het moment dat het spectrum niet meer vlak is kan je met x% zekerheid zeggen dat dit het signaal is. Deze x hangt af van het aantal samples, het type signaal en het type ruis. Ik denk dat het een hele intellectuele klus was om een systeem te bedenken waar je het signaal helemaal niet uit de ruis kan halen, behalve als je ontvanger bent.

caipirinha @Verwijderd • 1 juni 2007 09:33

Klopt helemaal, je hebt crypto of een scrambler nodig om ook de originele boodschap er als ruis uit te laten zien.
Ik ken iemand die eens een spread spectrum experiment deed en een keurig DSSS signaal maakte maar de boodschap gewoon AM moduleerde. Je kon simpel met een AM detector de boodschap beluisteren.

FlorisB 30 mei 2007 18:54

wordt het voor een afluisteraar onmogelijk om te detecteren welke partij aan het zenden is

Zeg nooit nooit. Alles is te 'kraken', ook al moet de manier nog uitgevonden worden

Hoeveel dagen geven we onze specialisten?

StefSybo @FlorisB • 30 mei 2007 19:49

In het verleden was dat inderdaad vaak waar, maar dat kwam omdat de encryptiemethoden die gebruikt werden vaak berustten op het feit dat het te moeilijk was (met de toenmalige stand van techniek) om ze te kraken. Met de komst van snellere computers wordt dit soort methoden dus na enige tijd achterhaald.

Bij quantumcryptografie en blijkbaar dus ook deze methode is het zo dat ze niet te kraken zijn, tenzij er fundamentele fouten zitten in de natuurkundige theorieën die nu algemeen aanvaard zijn.

Als ik het goed begrijp is hier trouwens eigenlijk geen sprake van encryptie, maar is het gewoon zo dat pogingen tot afluisteren direct gedetecteerd kunnen worden en dat daar de veiligheid vandaan moet komen.

Verwijderd @StefSybo • 31 mei 2007 01:31

@StefSybo:

Dat is helemaal juist, de gegevens van deze verbinding hebben waarschijnlijk juist helemaal geen ingewikkelde encryptie. Een standaard DSA zou al meer dan genoeg zijn.

Immers is het enige risico wat je hebt dat iemand in het midden de boodschap ook oppikt, met deze methode kun je dat detecteren en daarna de verbinding direct verbreken.

Het verschil is dus dat je eigenlijk geen encryptie meer nodig hebt, in plaats van alsmaar ingewikkeldere vormen van encryptie te gaan gebruiken.

Verwijderd @FlorisB • 30 mei 2007 21:31

Jij moet in een zeer beangstigende wereld leven. Haal maar vlug al je geld van de bank voor iemand je rekening plundert.

Of volg eerst eens een cursus databeveiliging voor je zulke uitspraken maakt...

Verwijderd @FlorisB • 30 mei 2007 22:17

Om je een illusie armer (of rijker) te maken: niet alles is te kraken. Het feit dat veel mensen altijd maar roepen dat alles te kraken is maakt het nog niet waar natuurlijk

Er zijn theoretisch onkraakbare encryptiemethoden. Het zijn er niet veel, maar ze zijn er. Ik heb het dus niet over praktisch onkraakbaar, maar theoretisch (wiskundig/formeel bewezen) onkraakbaar.

Het meest klassiek voorbeeld is de one-time pad. De onkraakbaarheid zit hem hierin: de ge-encrypte data heeft net zoveel relatie tot de oorspronkelijke data als tot alle andere mogelijke strings van die lengte (lees de link, is een beetje lastig uit te leggen). Anders gezegd, iedere willekeurige vertaling is statistisch even waarschijnlijk dus kun je nooit de juiste vertaling achterhalen.

Het enige punt van dit voorbeeld is dat het systeem in de praktijk vaak wel gekraakt kan worden omdat sleutels herbruikt worden e.d. Maar, als je het systeem goed gebruikt (sleutels niet herbruiken of aanvullen) en beschikt over tijd (scrabble letters uit een zak halen) of geld om aan goede random getallen te komen, dan is dit systeem zowel theoretisch als praktisch onkraakbaar.

Ernie @Verwijderd • 31 mei 2007 00:02

Laten we de stelling dan iets herschrijven:
Elke beveiliging die praktisch en bruikbaar is voor de gewone mens is te kraken.

De one-time pad is al eens eerder voorbijgekomen. Het is inderdaad een niet te kraken beveiliging, het probleem is echter dat het onpraktisch, duur en relatief langzaam is.
Het is onmogelijk om deze beveiliging toe te passen bij consumenten of banken. Alleen enorm gevoelige informatie (defensie e.d.) wordt hiermee beveiligd.

Mr_gadget 30 mei 2007 21:55

Volgens mij is het veel meer een manier om een sleutel uit te wisselen, niet de data zelf te versturen.
Het is ook niet bedoelt voor internetten ofzo...

Bor Coördinator Frontpage Admins / FP Powermod @Mr_gadget • 30 mei 2007 22:07

Je kunt op deze manier geen sleutel uitwisselen omdat de sleutel al bekend moet zijn voor dit systeem kan werken (de waarden van de weerstanden). Je zou de sleutel of out of band of met traditionele public key cryptografie kunnen uitwisselen.

ILUsion @Bor • 30 mei 2007 22:41

De sleutel hoeft juist niet gekend te zijn bij het versturen, anders kom je daar natuurlijk weer in de problemen (als je een sleutel veilig kan uitwisselen, kan je ook het bericht veilig uitwisselen).

De sterkte in dit systeem heeft wat gelijkaardige kantjes met QKD (afluisteren is detecteerbaar, de sleutel is op voorhand onbekend). Wat hier niet staat, maar wel in de bron is hoe het eigenlijk in zijn werk gaat. Beide partijen kiezen willekeurige weerstanden, en meten de thermische ruis op de geleider. Afhankelijk van het gemeten ruisniveau kunnen zij weten welke weerstand de andere gebruikt (vermits ze hun eigen weerstand kennen), wanneer deze weerstand overeenkomt met hun eigen weerstand, sturen ze 1 bit informatie door. Iemand die afluistert, verandert de thermische ruis en dat kunnen beide partijen dus meten.

Bij QKD is het vrijwel analoog, maar wordt er enkel de sleutel uitgewisseld door willekeurig een polarisatie te kiezen langs beide kanten, die wordt nadien dan vergeleken met elkaar (dit kan geheel veilig over niet-beveiligde verbindingen) en uit het transmissieverloop van dat kwantumkanaal wordt dan de sleutel voor KLASSIEKE (private key) cryptografie toegepast.

Met public key cryptografie zorg je voor een gigantische zwakte in de werking: enerzijds zijn die algoritmes zwaar voor klassieke computers (dus: beide partijen gaan hun computer zwaar belasten als ze grote boodschappen moeten doorsturen) en anderzijds steunt public key cryptografie NIET op wiskundige veiligheid. Bij public key wordt er vanuit gegaan dat het bijna onmogelijk is om groot getal te ontbinden in priemfactoren (het duurt gewoonweg te lang op huidige machines), maar dat is iets dat niet wiskundig te bewijzen valt en dat met kwantumcomputers waarschijnlijk ineen zal storten.

Klassieke cryptografie heeft daarentegen dat probleem niet (maar wel andere problemen), door te steunen op wiskundige algoritmes, kan men een bericht 100% veillig versleutelen. Ik heb het hier dan over het Vernam-algortime of One Time Pad. Het nadeel van deze werkwijze is dat je sleutel even lang is als je bericht en dat je dus die sleutel veilig moet kunnen overbrengen. De andere mogelijkheid is gebruik maken van een sleutel die korter is dan je bericht, maar dat laat dan meer crypto-analyse toe. En daarop steunt dan overigens QKD: de sleutel wordt 100% veilig samengesteld uit quantuminformatie, en vermits de sleutel veilig is, is ook het bericht veilig (als de sleutel lang genoeg is, want dan is het wiskundig moeilijk om te bruteforcen).

Kortom: dit systeem gebruikt ook een soort kanaal dat niet afgeluisterd kan worden zonder dat het waargenomen wordt, maar in tegenstelling tot QKD, hebben beide partijen directe feedback van het systeem: is het systeem klaar om ongemerkt een bit door te laten sturen of niet. Bij QKD moet achteraf nog besproken worden hoe er geëncrypteerd gaat worden, terwijl de data over dit kanaal in principe in plain-text kan plaatshebben (vermits het afluisteren toch gedetecteerd kan worden èn de data pas verstuurd wordt als beide partijen merken dat er niet afgeluisterd wordt: daarom ook dat bij quantumcryptografie enkel de sleutel uitgewisseld wordt: beide partijen weten bij het verzenden niet of ze afgeluisterd worden, maar de sleuteldata zelf is toch geheel willekeurig, dus kan de connectie even goed opnieuw begonnen worden).

ILUsion @ILUsion • 31 mei 2007 19:53

De "sleutel" dient zeker op voorhand bekend te zijn anders kun je de informatie niet ontvangen / opvangen uit de ruis / de camoufleren. Er dient dus altijd informatie over de zender bekend te zijn (min of meer de sleutel).

Er moet inderdaad informatie bekend zijn (naar wie stuur je, hebben beide partijen wel dezelfde set weerstanden liggen etc.), maar dat is op zich geen sleutel. Dat is in de gewone cryptografie te vergelijken met weten welk algoritme er gebruikt wordt: een verzameling afspraken die verzender en ontvanger maken, maar die de boodschap zelf niet in gevaar brengen. De meeste cryptografische algortimen zijn open source en hun werking is duidelijk beschreven, maar dat wilt niet zeggen dat ze onveilig zijn. Wat dus wel het geval is als je de sleutel (en natuurlijk het gebruikte algoritme) kent. Dus de sleutel is in geen geval bekend, en overigens totaal willekeurig (in de praktijk pseudorandom waarschijnlijk).

Dat afluisteren detecteerbaar is is natuurlijk een groot voordeel echter gelijk ook een erg grote zwakte met betrekking tot de hier eerder genoemde oplossing: het stoppen met zenden.

Dat het afluisteren detecteerbaar is, is juist geen zwakte. Andere protocollen (QKD wel, deze techniek ook, en waarschijnlijk zullen er nog wel systemen zijn die het afluisteren min of meer detecteerbaar maken). De klassieke manier is: gewoon doorsturen die handel. Wordt het afgeluisterd, dan kan je maar hopen dat het niet gekraakt wordt (dus: dat je sleutel, algortime, ... sterk genoeg zijn). Bij deze techniek wordt er pas informatie doorgestuurd als beide partijen weten dat er niet afgeluisterd wordt. Bij QKD gaat het zowat andersom: de ruwe data die gebruikt wordt om de sleutel uit te distilleren wordt sowieso doorgestuurd, maar als iemand afluiustert, wordt die data gewoon verminkt (en dat valt te detecteren, waardoor de transmissie opnieuw begonnen kan worden of over een ander kanaal moet plaatshebben). Ook hier is dat net zo: wordt er afgeluisterd, wel ja, dan kan je geen informatie doorsturen (maar kan die ook niet afgeluisterd worden). En met om het even welk systeem kan iemand die niet wilt dat informatie van punt A naar punt B gaat daar een stokje voor steken: het is maar zo simpel als de kabel doorknippen in feite. Dus op dat vlak zit er in geen geval een zwakte in (vermits dit gewoon een beperking is die algemeen geldt).

Zonder enige informatie op voorhand over de ontvanger is een systeem als dit natuurlijk waardeloos. Immers, je hebt geen enkele zekerheid over de authenticiteit van de communicatiepartners.

Authenticiteit is iets helemaal anders dan encryptie of het beschermen van informatie. Bij elke communicatie moet je weten naar wie je iets gaat sturen, authenticiteit heeft hier dus niets te zoeken. Dit systeem is volgens mij bedoeld als soort van vervanger voor QKD (behalve dat je echte data doorstuurt en geen raw key data): dus een een-op-een-kopperlijn. Zodat je dus wel weet naar wie je stuurt, vermits dit over het internet volgens mij sowieso niet werkbaar wordt: er zitten daar tussenposten in die het signaal versterken (en dus veranderen) (en het overgedragen signaal is niet digitaal van aard, maar wordt juist verborgen door het analoog karakter van het signaal). Dus authenticiteit is hier in geen geval een issue: de kabel loopt normaal 1:1, en verder moet authenticiteitscontrole ALTIJD verlopen via secundaire kanalen. Je mag dan van iemand bv. wel een public key krijgen, daarmee ben je nog niet zeker van zijn werkelijke identiteit (als je op dat moment al de key van de zogenaamde man in the middle krijgt). Authenticatieproblemen liggen dus niet noodzakelijk bij de gebruikte encryptie (wat bij public key cryptography eerder het geval is, hoewel je ook daar secundaire checks zou moeten uitvoeren).

En ik wil nogmaals herhalen: QKD (en eventueel deze techniek ook, als je nog een extra veiligheidslaag wilt, of indien ze er met deze techniek niet in slagen om snel grote hoeveelheden data (de boodschap) door te sturen, maar bv. wel om sleutels door te sturen) gebruiken klassieke cryptografische algoritmes en geen public key algoritmes omdat die laatste heel waarschijnlijk geen nut meer zullen hebben op het moment dat we met kwantumcomputers zitten. De veiligheid in QKD en deze techniek zitten juist in de onmogelijkheid om (effectief) af te luisteren. Je kan het signaal wel afluisteren, maar dan weten de verzender en ontvanger dat en kunnen zij dus maatregelen treffen. Het is fysisch zo goed als onmogelijk om deze connecties af te luisteren, vermits je door het afluisteren het systeem wijzigt (en door de constant wijzigende aard van het systeem, kan een luistervink dus NIET weten hoe hij moet afluisteren).

edit: Ik moet hier trouwens wel een fout van mijn kant toegeven: het verzenden van de informatie gebeurt niet bij gelijke weerstanden aan beide kanten, maar als de ne een grote en de andere een kleine weerstand gebruikt. Een iets duidelijkere uitleg staat op Techworld (de bron^^).

Bor Coördinator Frontpage Admins / FP Powermod @ILUsion • 31 mei 2007 11:09

De sleutel hoeft juist niet gekend te zijn bij het versturen, anders kom je daar natuurlijk weer in de problemen (als je een sleutel veilig kan uitwisselen, kan je ook het bericht veilig uitwisselen).

De "sleutel" dient zeker op voorhand bekend te zijn anders kun je de informatie niet ontvangen / opvangen uit de ruis / de camoufleren. Er dient dus altijd informatie over de zender bekend te zijn (min of meer de sleutel).

De sterkte in dit systeem heeft wat gelijkaardige kantjes met QKD (afluisteren is detecteerbaar, de sleutel is op voorhand onbekend).

Dat afluisteren detecteerbaar is is natuurlijk een groot voordeel echter gelijk ook een erg grote zwakte met betrekking tot de hier eerder genoemde oplossing: het stoppen met zenden.

Beide partijen kiezen willekeurige weerstanden, en meten de thermische ruis op de geleider. Afhankelijk van het gemeten ruisniveau kunnen zij weten welke weerstand de andere gebruikt (vermits ze hun eigen weerstand kennen), wanneer deze weerstand overeenkomt met hun eigen weerstand, sturen ze 1 bit informatie door.

Zonder enige informatie op voorhand over de ontvanger is een systeem als dit natuurlijk waardeloos. Immers, je hebt geen enkele zekerheid over de authenticiteit van de communicatiepartners.

El Cid 30 mei 2007 20:15

Als ik het goed begrijp, dan gaat dit alleen werken bij directe verbindingen. Bij moderne netwerken die met pakketjes werken, en waar al het verkeer gerouterd wordt, heb je niets aan deze methode.

Verwijderd @El Cid • 30 mei 2007 21:18

True, maar dat is met quantumencryptie evengoed het geval. Als je de bits uitleest verlies je ze. Dus alsnog vergelijkbaar

Bor Coördinator Frontpage Admins / FP Powermod @Verwijderd • 30 mei 2007 21:26

Je kunt dat soort "pakketjes" natuurlijk prima routeren door ze te repeaten.

Bleet 30 mei 2007 18:44

Dus als je favoriete tv zender er ooit eens uit ligt en goed ruist... vanaf nu weet je waarom.

Verwijderd @Bleet • 30 mei 2007 19:07

"Alle zenders liggen eruit!"

"Nee, dat is DRM."

memphis @Bleet • 30 mei 2007 19:56

Ooit de film Poltergeist gezien ?
Weet je dat die film ook deels op waarheid berust is ?

En daarop gevarieerd de film Signs.... Nee, ik communiceer dan liever gewoon

Jeroen73 @Bleet • 31 mei 2007 10:03

Als je modem/fax ruist weet je nu ook waarom

onee, dat is niet grappig

beascob

30 mei 2007 19:05

gebruik van de ruis die door elektronen wordt veroorzaakt wanneer deze door een kabel stromen
via de elektronen, dus in koperdraad?
aftappen van de glasvezel kan dus wel.

NjedVet @beascob • 31 mei 2007 08:37

Door het ruisniveau op de communicatielijn te meten en gebruik te maken van verschillende weerstanden voor de verzender en ontvanger, wordt het voor een afluisteraar onmogelijk om te detecteren welke partij aan het zenden is. Daarvoor moet hij immers weten welke partij een grote of kleine weerstand gebruikt, en daarvoor moet eerst extra stroom op de lijn gezet worden.

Iets zegt me dat deze techniek alleen met koperkabels werkt. . .