Sleuteluitwisseling vormt zwakke plek bij quantumencryptie

Twee Zweedse onderzoekers hebben een kwetsbaarheid in het uitwisselen van sleutels voor quantumcryptografie ontdekt. Zij publiceerden niet alleen hoe het beveiligingslek misbruikt kan worden, maar maakten ook een oplossing bekend.

De onderzoekers, Jan-Ake Larsson van de universiteit van Linköping en de bij Google werkzame Jorgen Cederlof, melden dat de authenticatieprocedure een zwakke schakel vormt bij beveiligde communicatie waarbij gebruik gemaakt wordt van quantumcryptografie. De authenticatie bij berichtenuitwisseling via een quantumkanaal vereist een eerste, kleine sleutel waarmee de zender en ontvanger hun verdere communicatie beveiligen. Die beginsleutel wordt vaak via klassieke kanalen uitgewisseld.

Beperkte kennis over de beginsleutel heeft weinig invloed op de beveiliging van de initiële authenticatieronde, maar Cederlof en Larsson toonden aan dat een aanvaller met een deel van de sleutel wel berichten die geauthenticeerd moeten worden over het quantumkaneel aan kan passen. Theoretisch kan afluisteren bij quantumcommunicatie niet zonder dat dit ontdekt wordt aangezien het de informatie wijzigt. In de praktijk kent een quantumkanaal, zoals glasvezel waarover qubits verstuurd worden, echter dermate veel ruis dat niet alle verstuurde gegevens aankomen en de ontvanger zelfs informatie ontvangt die nooit verstuurd werd. Dit stelt een aanvaller in staat luistervinkje te spelen zonder ontdekt te worden.

Door het quantumkanaal ongezien in de gaten te houden kan een aanvaller de berichten analyseren voordat deze de ontvanger bereiken. Een poging tot ontcijferen of aanpassen zou zijn aanwezigheid echter verraden.

Berichten die over het quantumkanaal verstuurd worden zijn voorzien van een authenticatie-tag, die afhankelijk is van de beginsleutel. Gedeeltelijke kennis van die sleutel blijkt in combinatie met wetenschap over de tag-berichtenkoppeling voldoende voor de onderschepper om er in bepaalde gevallen zeker van te zijn dat hij de boodschap succesvol kan vervangen.

In de praktijk, zo geven beide onderzoekers toe, zal het beveiligingsrisico voor quantumencryptie niet zo groot zijn. Zij stellen evenwel een simpele oplossing voor, die ook dit kleine risico effectief het hoofd kan bieden. De suggestie is om de tag iets later te sturen dan het bericht, zodat de aanvaller bij het onderscheppen van de boodschap, nog niet weet of deze succesvol vervangen kan worden.

Door Willem de Moor

Redacteur

Feedback • 24-04-2008 09:03
13 • submitter: FvdM

24-04-2008 • 09:03

13

Submitter: FvdM

Lees meer

Beveiligingsexpert Schneier: quantumcryptografie nutteloos
Beveiligingsexpert Schneier: quantumcryptografie nutteloos Nieuws van 17 oktober 2008
Eerste quantumversleutelde data via commercieel netwerk verstuurd
Eerste quantumversleutelde data via commercieel netwerk verstuurd Nieuws van 10 oktober 2008
Genève gebruikt kwantumcryptografie voor stemcomputers
Genève gebruikt kwantumcryptografie voor stemcomputers Nieuws van 14 oktober 2007
Bedrijven claimen quantumencryptie op gigabitlijn
Bedrijven claimen quantumencryptie op gigabitlijn Nieuws van 17 januari 2007
Beveiliging quantumnetwerken wordt taaie klus
Beveiliging quantumnetwerken wordt taaie klus Nieuws van 6 november 2006
Qubits communiceren goedkoper dankzij nieuw procédé
Qubits communiceren goedkoper dankzij nieuw procédé Nieuws van 14 september 2006
Veiligheid quantumcryptografie verbeterd
Veiligheid quantumcryptografie verbeterd Nieuws van 21 juli 2005
NEC stelt quantumcryptografie drie tot vier jaar uit
NEC stelt quantumcryptografie drie tot vier jaar uit Nieuws van 31 mei 2005
Quantumcryptografie toegepast op videostromen
Quantumcryptografie toegepast op videostromen Nieuws van 11 mei 2005
Toshiba wil quantum-encryptie toepassen op videostromen
Toshiba wil quantum-encryptie toepassen op videostromen Nieuws van 2 mei 2005
Meer producten en artikelen
Wetenschap Beveiliging Encryptie Quantummechanica

Reacties (13)

-Moderatie-faq
13
13
6
4
1
0
Wijzig sortering

Sorteer op:

Weergave:
Jogai 24 april 2008 09:33
Ik snap nog 1 ding niet. Je kan als ontvanger weten dat je afgeluisterd wordt, maar dan is het toch te laat want dan heeft de luistervink de informatie al? Ik snap dat bij 1kb van een gigabyte het probleem niet zo groot is maar toch..
.oisyn Moderator Devschuur®
@Jogai24 april 2008 11:48
Het quantum kanaal wordt niet gebruikt om het bericht te versturen. Het wordt gebruikt om de sleutel uit te wisselen waarmee het bericht, dat via een traditioneel communicatiekanaal wordt verstuurd, ontcijferd kan worden.

Er zijn twee methoden voor quantum cryptografie. Ze gaan beide uit van het principe van de quantum mechanica dat je niet kunt uitmeten zonder aanpassingen te doen.

Bij de eerste manier gebruik je twee verschillende quantum-properties die beiden 0 of 1 kunnen zijn. Maar als je de ene property meet, dan kun je de ander niet meer meten omdat je een aanpassing hebt gedaan. Denk bijvoorbeeld aan polarisatie van fotonen - die kunnen 'recht' gepolariseerd zijn (zoals horizonteel of verticaal), of circulair (linksom of rechtsom). Als je gaat meten of iets horizontaal of verticaal is, dan kun je niet meten of het linksom of rechtsom was omdat je na de eerste meting de foton hebt aangepast.

Alice gaat nu de sleutel versturen, waarbij ze voor elke bit willekeurig een van de twee properties kiest, en vervolgens de waarde van de bit in die poperty encodeerd. Kiest ze bijvoorbeeld de rechte polarisatie, dan stuurt ze bij een 0 een verticaal gepolariseerde en bij een 1 een horizontaal gepolariseerde foton. Kiest ze voor de circulaire polarisatie, dan respectievelijk linksom en rechtsom voor de 0 en 1. Alice noteert voor elke verstuurde foton de tijd, property, en polarisatie.

Bob, die de sleutel wil ontvangen, kiest bij elke bit ook weer op zijn beurt random een property om te meten, en noteert bij elke ontvangde bit ook de tijd, property en meetresltaat. Vervolgens bellen ze elkaar op, en daarbij noemen ze elk de tijd en property van de verstuurde (voor Alice) en ontvangde (voor Bob) foton, maar niet de meetresultaten. Nu kunnen ze beide hun data vergelijken, en daarbij alle bits waarbij ze de properties niet hetzelfde gekozen hebben wegstrepen. De overgebleven bits vormen hun sleutel.

Eve kan de sleutel niet afluisteren zonder deze aan te passen, omdat ook zij moet kiezen welke property ze moet meten en ze niet beide tegelijk kan doen. Maar daarna moet ze de foton ook doorsturen, en ontvangt Bob dus een aangepaste foton. Dus voor de bits waarbij Alice en Bob een gelijke property gekozen hebben, kan er een fout zitten in het meetresultaat van Bob. Door een subset van de overgebleven bits te vergelijken (die ze moeten communiceren over een communicatiekanaal waar Eve ook eventueel af kan luisteren, dus daarom een subset en niet de hele sleutel) en het aantal fouten te tellen, kunnen ze bepalen of er afgeluisterd is. Als dat het geval is, dan stoppen ze de communicatie en wordt het bericht dus helemaal niet verstuurd. Zo niet, dan encodeerd Alice het bericht met de sleutel gemaakt uit de overgebleven bits en stuurt die naar Bob.

De andere quantum cryptografie methode is gebaseerd op superpositie en entanglement. Superpositie houdt in dat een deeltje meerdere staten tegelijk heeft. Pas als jij meet welke staat het is, zal er een staat "gekozen" worden door het deeltje. Entanglement houdt in dat de staten van twee deeltjes met elkaar verbonden zijn. Zodra je de staat van één van de deeltjes meet, zal ook de staat van het andere deeltje "collapsen". Een bron produceert verbonden deeltjesparen, waarbij het ene deel naar Bob gaat en het andere deel naar Alice. Als Alice een meting doet, dan wordt ook de staat van het deeltje van Bob bepaald, en andersom. Oftewel, als Alice een horizontale polarisatie meet, dan gaat Bob daarna met 100% zekerheid een verticale polarisatie meten van het deeltje dat bij hetzelfde paar hoort.

Door weer een subset van de metingen met elkaar te communiceren, kunnen ze bepalen of er een afluisteraar geweest is. Eve is namelijk niet in staat om een nieuw uit te zenden deeltje opnieuw te verbinden met het deeltje van Alice, en dus krijg je discrepanties in de metingen.

------------------------------------------------------------
Waar dit artikel over gaat is dat het in de praktijk heel moeilijk is om een quantum staat onverstoord naar iemand anders te versturen door interferenties onderweg (zoals een botsing van een foton met de rand van een glasvezel). Er is dus dermate veel ruis dat Eve een groot deel van de sleutel onverstoord af kan luisteren, omdat het lastig is te bepalen wanneer iets ruis is of gewoon een bewuste aanpassing door iemand anders.

[Reactie gewijzigd door .oisyn op 29 juli 2024 20:18]

NaliXL @.oisyn24 april 2008 21:25
Als ik als simpele ziel jouw verhaal goed begrijp dan kun je dus niet een kanaal met quantum-encryptie afluisteren. Maar dat zou dan toch te kraken zijn door een doorgeefluik te maken? :

Ik stel me voor: Verzendende computer A wil een verbinding met quantumencryptie opbouwen met computer B. Echter, zonder dat iemand er vanaf weet heeft hacker Joop de kabel van A naar B doorgeknipt, en beide einden aan een quantum-netwerkkaartje ;) in zijn laptop geprikt. Hetzelfde heeft hij gedaan met het tweede communicatiekanaal waarover de informatie gaat welke bits ingesteld zijn. Nu begint computer A gegevens te versturen, en Joop´s laptop ontvangt die gegevens. Joop´s laptop heeft ook toegang tot het tweede kanaal waarop verstuurd wordt welke bits ingesteld zijn door computer A, en kan dus nu vrolijk overleggen met computer A welke bits uit te lezen.

Vervolgens gaat Joop´s laptop de gegevens die computer A nu verzendt naar Joop´s laptop doorsturen naar computer B. Beide computers gaan er dan vanuit dat ze keurig een quantumverbinding van A naar B hebben opgebouwd, terwijl ze in feite een verbinding met het doorgeefluik hebben opgebouwd.

Nu weet ik wel dat er nog veel fysieke barriëres zijn in dat geval, en ook de klassieke encryptiemethoden kunnen hier flink meehelpen in de veiligheid, maar toch....
Standeman @Jogai24 april 2008 11:40
Het gaat er afaik voornamelijk om het uitwisselen van encryptie sleutels. Wanneer je kan zien dat je sleutel "afgeluisterd" is, weet je dat je deze niet meer kan vertrouwen en dus niet moet gebruiken. Je maakt een nieuwe en verstuurt hem weer, net zolang de sleutels betrouwbaar zijn uitgewisseld

Pas als je een niet afgeluisterde sleutel hebt verstuurd (alleen jij en de ontvanger kennen hem), kan je je berichten met deze sleutel gaan vercijferen. Als dan nog iemand aan het meeluisteren is boeit het niet. De berichten zijn toch versleuteld.

Maar goed, dit geld alleen voor symmetrische encryptie algoritmen.

[Reactie gewijzigd door Standeman op 29 juli 2024 20:18]

Beun de Haas @Jogai24 april 2008 10:22
Je zou dan bijvoorbeeld bewust verkeerde informatie kunnen sturen om de luistervink op het verkeerde been te zetten. Voor de informatie die onderschept is, is het natuurlijk al te laat.
Fire69 24 april 2008 09:46
Door het quantumkanaal ongezien in de gaten te houden kan een aanvaller de berichten analyseren voordat deze de ontvanger bereiken. Een poging tot ontcijferen of aanpassen zou zijn aanwezigheid echter verraden.
Als hij het ongezien kan afluisteren, kan hij de ontvangen data toch rustig op zijn eigen pc'tje ontcijferen?
Dat hij geen data kan vervangen, ok, maar als hij het ongezien als kan op zijn pc krijgen...
woutertje @Fire6924 april 2008 10:01
je kunt het niet afluisteren zonder dat de ontvanger dat direct in de gaten heeft,
dat is het hele idee achter quantumencryptie
Sibylle @woutertje24 april 2008 11:11
uitgaande van een ruisvrij signaal klopt dit, maar in praktijk nog niet.

Afluisteren staat gelijk aan elke interactie, en het signaal kan niet zien of die interactie is met een afluisteraar of met de wand van de glasvezelkabel.

zolang er ruis is in het signaal, kan de verstoring door afluistering worden verborgen in de ruis. Op een ruisvrij signaal kan inderdaad niet worden afgeluisterd.
Verwijderd @woutertje24 april 2008 10:23
Zijn Quote doet toch anders vermoeden!

[Reactie gewijzigd door Verwijderd op 29 juli 2024 20:18]

the_shadow @Fire6924 april 2008 10:13
Ik gok dat het er op neer komt dat degene die afluisterd ongemerkt kan kijiken of er berichten worden verstuurd, maar op het moment dat hij kijkt wat dat bericht is, dat dat wordt gezien door de ontvanger.
Verwijderd @the_shadow24 april 2008 10:21
inderdaad, als jij een bericht verstuurd naar fire, dan veranderd zijn state 1x (doordat fire het leest) als ik er tussen zou zitten, het lees en dan verder stuur naar fire dan is de state 2x veranded (ik en fire lezen) en dat is iets dat je zou merken bij quantum-encryptie omdat er delen van het bericht zullen ontbreken of complete onzin bevatten

wat ik wel kan doen is zien dat jij een bericht stuurt, zolang ik niet probeer te lezen wat er in zit zal het niet veranderen
Sibylle @Verwijderd24 april 2008 11:15
dat is volgens mij neit helemaal waar. Het signaal (en dus het bericht) komt niet ruisvrij aan, er zal data (ruis) bijkomen en data wegvallen.
De data wordt dus met een bepaalde marge gereconstrueerd bij de ontvanger, zolang de veranderingen door het aflusiteren binnen die marge vallen, merkt niemand wat.

Als je iets probeert te veranderen echter, klopt de verstuurde data niet meer met de validation tag die daarbij hoort, en wordt dat gemeld aan de ontvanger.
WPN 24 april 2008 09:17
waar zit de knop voor typos te melden? het quantumkaneel aan kan passen.
gevonden


waarop baseren deze 2 zweden hun beweringen? ze hebben het niet in praktijk getest dus wie zegt dat deze theory ook daadwerkelijk zo kan werken

[Reactie gewijzigd door WPN op 29 juli 2024 20:18]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq