Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Gyenge láncszem a kvantumkriptográfiában

2008.10.10. 20:00 | buherator | 11 komment

Az alábbi posztot kb. egy hete kezdtem el írni. Először sima ügynek indult: egy teljesen egyszerű angol szöveget fordítottam magyarra, ami úgy tűnt, az alapoktól kezdve röviden és érthetően bemutatja a kvantumkriptográfia alapjait, majd annak egy nem rég felfedezett implementációs hibáját. Szeretném hangsúlyozni, hogy nem a kvantumkriptográfiával van a baj, hanem egyszerűen egy rosszul megalkotott műszerrel.

A célegyenesben azonban egy "kisebb" problémába ütköztem: miután átolvastam az anyagot, rájöttem, hogy nem teljesen értem a dolgot. Aztán átgondoltam mégegyszer, és mégkevésbé értettem. Megkérdeztem néhány nem buta ismerőst, és felkerestem egy témával foglalkozó szakértőt is, de kielégítő választ ezidáig nem kaptam a kérdéseimre.

Ma úgy gondoltam, hogy nem érdemes tovább húznom az időt, ráadásul megjelent ez a cikk is ("először" wtf?*), szóval mindenkinek megadom a lehetőséget egy kis agyalásra.

A kvantumkriptó ugyan egy igen friss és drága technológia, néhány helyen - elsősorban  bankoknál és választási rendszereknél - már élnek a Schrödinger macskája által nyújtott védelem előnyeivel. Vadmin Makarov, a trondheimi egyetem munkatársa kollégáival most olyan sérülékenységet fedezett fel a három "elterjedt" kvantumkriptográfiai megoldás közül kettőben, amely lehetővé teszi a kulccsere lehallgatását. A New Scientist igen közérthetően ismerteti a problémát, íme:

A kvantumkriptográfia egy titkos kulcs megosztásán alapszik, melynek minden számjegyét egy-egy polarizált fotonnal kódoljuk.

Alice, a küldő 1 és 0 jelentésű fotonokból álló nyalábot küld, de minden kvantum esetében véletlenszerűen választ két lehetséges kódolási forma közül.

Mivel a fogadó Bob nem tudja, hogy Alice melyik kódot használja, mindkét féle képpen dekódolnia kell a fotonokat, amit két pár detektorral tesz meg.

Egy nyalábválasztó véletlenszerűen továbbítja az egyes fotonokat a párok egyikéhez. Ha egy foton jó detektorra kerül, jól lesz dekódolva, ha nem, akkor hamis eredményt kapunk.

Az átvitel végén Alice egy titkosítatlan csatornán közli Bob-bal, hogy melyik kódot használta az egyes fotonok esetében. A rosszul dekódolt kvantumokat eldobjuk, így megkapjuk a kommunikáció további részéhez használt titkos kulcsot.

A gyakorlatban ezeket a lépések egy automatizált számítógépes rendszer végzi.

A kínváncsi Eve-nek, aki az átvitelt lehallgatja, emulálnia kell Bob detektálási módját, majd módosítatlanul továbbiítania az adatokat, hogy elhitesse, minden a legnagyobb rendben van.

De a kvantummechanika szerint ez lehetetlen. Az üzenet meg kell hogy változzon Eve lehallgatása során, ami felfedi jelenlétét Alice és Bob későbbi egyeztetései során.

Makarov és kollégái azt mutatták meg, hogy Eve tudja úgy vezérelni Bob készülékét, hogy pontosan ugyanazokat a biteket dekódolják Alice átviteléből. 

Amikor Alice elmondja Bob-nak, hogy melyik fotonok lettek rosszul kódolva, Eve megtudhatja a kulcsot a titkosítatlan üzenet lehallgatásával, és nem lépnek fel további hibák.

A módszer azt használja ki, hogy egy elterjedt típusú fotonszámláló érzékenysége lecsökkenthető egy erős villanás segítségével. A támadás úgy indul, hogy Eve egy lézer-impulzust küld Bob összes detektorára.

Ez után Eve küldhet egy újabb impulzust, csak az érzékelők egyike felé irányítva. Ez az impulzus azonosan kódolt, azonos számjegyet reprezentáló fotonokból áll.

Bob nyalábválasztója a fotonok felét küldi a egy-egy detektorpárra. Azok a fotonok, amleyek nem a megfelelő kódolásra tervezett érzékelőre érkeznek továbbosztódnak a két detektor között, de nem marad elég energiájuk, hogy elérjék az újonnan beállított érzékelési küszöbszintet.

A megfelelő detektorpárt elérő eredeti impulzusfél  ugyanarra az egy érzékelőre kerül, most már elég intenzitással ahhoz hogy átlépje a megemelt küszöböt, és regisztráljon egy számjegyet.

Tehát az Alice-által küldöttével megegyező fotonok küldésével Eve képes lehallgatni az üzenetet, kvantum hibák nélkül.

Teória 1.:
A probléma kulcsa ha jól sejtem ott rejtőzik, hogy ezek az eszközök eldobják a kulcs azon bitjeit is, amiket nem tudtak detektálni (hiszen egy ilyen kifinomult rendszerben a külső zavarok hatása igen jelentős). Bob csak Eve fotonjait detektálja, Eve tehát megteheti, hogy ugyanazokat a fotonokat, ugyanazzal a bázissal detektáltatja Bobbal, amelyeket ő maga is használt, és mivel a kulcsegyeztetés nyílt csatornán történik, a a bitek eldobásával sem lesz probléma. Hipnózis?

* "Egy bécsi tudományos konferencián mutatták be először a gyakorlatban a kvantumtitkosítást" Ez egyszerűen nem igaz. A Bécs - St. Pölten projekt azért jelentős, mert ez a világ első kvantumkriptóval védett hálózata, azaz nem csak két végpont között villognak a fotonok.

Címkék: kriptográfia

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

sghctoma · http://sghctoma.extra.hu 2008.10.11. 00:53:37

Alice küld egy fotont, amit valamelyik bázis szerint elkódol. Eve elkapja ezt a fotont, ugyanúgy, ahogy Bob tenné normális esetben (random bázissal). Makarovék arra mutattak egy módszert, hogy hogyan tudja Eve elhitetni Bobbal, hogy ő (Bob) ugyanolyan bázissal mérte az adott fotont, mint Eve.
Ezt úgy csinálják, hogy Eve először küld egy nagy rakás fotont Bob-nak, lecsökkentve ezzel Bob detektorainak érzékenységét. Ezután ha pl. ő rektilineáris szűrővel mért, és 1-et kapott, akkor küld Bob-nak sok 90 fokos polarizációjú fotont *. Ennek a sok fotonnak a fele megy a diagonális szűrőhöz, majd onnan a 45 és a 135 fokos detektorokhoz. Ezek a fotonok elérik ugyan azt a két detektort, de szerencsétleneknek nincs elég energiájuk, hogy észrevegyék őket. A fotonok másik fele megy a rektilineáris szűrőhöz. Mivel a fotonsugár 90 fokos polarizációjú, minden foton átmegy a 90 fokos szűrőn, és Bob elkönyveli, hogy rektilineáris szűrővel mért egy 1-es bitet. Ezután már nincs más dolga Eve-nek, mint lehallgatni a publikus csatornán folyó bázis-egyeztetést, és meg is van a kulcs. Nem értek a témához, csak gyorsan átfutottam Makarov-ék paper-jét, meg a Hacktivity-s prezit, úgyhogy lehet, hogy zöldségeket beszélek.. mindenesetre nekem így tűnik logikusnak :)

* ha diagonális szűrővel mért 0-t, akkor 45 fokospolarizációjú fotonokat küld, stb...

hude 2008.10.12. 08:00:08

Hú de izgis...

*ásít*

buherator · http://buhera.blog.hu 2008.10.12. 19:08:58

@sghctoma
Akkor azt hiszem egyre gondoltunk, csak azt nem értem, hogy a küszöb felhúzása után mi szükség van az azonosan kódolt fotonnyaláb elküldésére?
Persze ezt a lépést sehol máshol nem láttam említve, szóval lehet hogy a NS-nél értettek félre valamit...

@hude
Ígérem lesz majd olyan poszt is amit Te is megértesz :)

sghctoma · http://sghctoma.extra.hu 2008.10.12. 20:40:04

@buherator:
azt hiszem, nem teljesen értetted, mire gondoltam.. nehéz ezt így írásban magyarázni..

írtam egy ilyen mondatot:
"Ezután ha pl. ő rektilineáris szűrővel mért, és 1-et kapott, akkor küld Bob-nak sok 90 fokos polarizációjú fotont *."
na, ez a sok 90 fokos polarizációjú foton az az azonosan kódolt nyaláb.. ez kell ahhoz, hogy Bob azt higyje, hogy olyan szűrővel, és olyan bitet mért, mint Eve..

megpróbálom másféleképpen mondani: a csökkentett érzékenység miatt egy foton már nem képes bitet regisztrálni.. ezért kell sok foton.. a sok foton átmegy a beam splitteren, egyik felük az egyik detektorpárhoz megy, a másik a másikhoz.. a detektorpárok előtt ott vannak a szűrők..
van az a szűrő, amelynek a bázisa nem egyezik meg a hozzá érkező nyaláb polarizációjának bázisával.. ezen nyaláb fotonjainak fele az egyik detektorhoz ér, a másik a másikhoz.. viszont ezeket a fotonokat nem veszi észre a detektor, mert együttes energiájuk is kisebb, mint a küszöb..
aztán van az a szűrő, amelynek a bázisa megegyezik a hozzá érkező nyaláb polarizációjának bázisával.. az ide érkező összes foton megy a polarizációjának megfelelő detektorhoz.. az ő együttes energiájuk már nagyobb, mint a küszöb, így a detektorok észreveszik őket, bitet regisztrálnak..

"Persze ezt a lépést sehol máshol nem láttam említve, szóval lehet hogy a NS-nél értettek félre valamit..."
háát, Makarov-ék is írják a paperben, úgyhogy nem hiszem, hogy NS-ék hibáztak :)

buherator · http://buhera.blog.hu 2008.10.12. 20:55:55

@sghctoma
Kösz, így már asszem tiszta! Azaz mégsem: ha küldött egy sor ugyanolyan fotont, Bob meg véltelenszerűen választ szűrőt, honnan tudom, hogy pontosan 1 bitet siekrül bemérnie, és nem rögtön mondjuk 2-t?

sghctoma · http://sghctoma.extra.hu 2008.10.12. 21:10:46

@buherator:
gondolom a detektornak nem végtelen az időbeli felbontása.. ha kap egy gyors lézer-felvillanást, azt egy adag energiának érzékeli.. de ez csak spekuláció, fogalmam sincs, hogy fedi-e a valóságot...

axt · http://axtaxt.wordpress.com/ 2008.10.13. 15:25:21

Ez azt jelenti, hogy ezzel csak a megvalósítás bugjára mutattak rá, nem az algoritmuséra ...

sarki_roka · http://localhost/ 2008.10.14. 06:57:00

és akkor ami nekem nem világos:
alice küldi a jelet, eve elfogja mindet, majd a bob által jelölt módon próbálja detektálni. magyarán eve egy az egyben átveszi bob helyét. csakhogy eve bob-nak is küld jeleket, igazából sokszor annyit, amiből valamelyik csakbejön alapon, a rossz biteket úgyis eldobják.
vagy én értettem félre valamit?

sghctoma · http://sghctoma.extra.hu 2008.10.14. 08:57:34

@(-1): jepp, de ezt Buherator is külön kiemelte a bejegyzésben..

@sarki_roka:
nem értem, mit értesz az alatt, hogy Eve a Bob által jelölt módon próbálja detektálni..
Eve valamelyik szűrővel detektál valamilyen fotont (bitet).. aztán küld Bobnak lézernyalábot, amitől Bob azt hiszi, ugyanolyan szűrővel ugyanolyan bitet detektált, mint Eve.. a kommunikáció végén Eve-nek meglesz, hogy Bob milyen szűrőkkel milyen biteket mért, és a detektoregyeztetést lehallgatva tudni fogja, hogy a bitsorozatból mit kell ignorálni..

royaljerry · http://royaljerry.wordpress.com 2008.10.18. 12:15:39

"Schrödinger macskája által nyújtott védelem előnyeivel."

Az Heisenberg cicája... :) (Szezon/fazon). Tény, Schrödinger háziállata valóban híresebb. További infó: en.wikipedia.org/wiki/Heisenberg_uncertainty_principle

buherator · http://buhera.blog.hu 2008.10.18. 14:43:08

@royaljerry
Nyilván az egész történet a Heisenberg-féle határozatlansági relációról szol, de azért ezt is ajánlanám a figyelmedbe:

en.wikipedia.org/wiki/Schrödinger's_cat#Practical_applications

A két dolog nem áll olyan távol egymástól ;)