Атаки на системы квантового распределения ключей

Квантовая криптография призвана обеспечить абсолютно защищенную связь между пользователями (обычно, выделяют двух участников – отправитель и адресат по имени Алиса и Боб), не оставляя шансов злоумышленнику (по имени Ева, от английского «eavesdropper» – подслушиватель) получить доступ к передаваемой информации. При этом, считается, что Ева в своих действиях ограничена лишь:

  1. невозможностью физического доступа к установкам Алисы и Боба (то есть их установки полностью изолированы от внешнего мира – внутренности закрыты непроницаемым корпусом, сквозь который не проходят никакие внешние поля и вещество, кроме непосредственно закодированных посылок от Алисы к Бобу);
  2. невозможностью нарушения аутентификации Алисы и Боба (иными словами, Алиса и Боб имеют служебный канал связи, по которому они могут обмениваться заведомо подлинной информацией. Нарушитель может считывать эту информацию, но не может навязывать свою);
  3. фундаментальными законами физики.

Данные допущения являются почвой, необходимой для доказательства секретности протоколов квантового распределения ключей (КРК), самым известным из которых является BB84 (Bennet & Brassard, 1984) [1]. Такие протоколы позволяют Алисе и Бобу получить одинаковую последовательность нулей и единиц, которую они могут использовать как секретный ключ для симметричного шифрования передаваемой информации. В итоге, гарантия безопасности сводится к доказательству секретности протокола КРК. Как выяснилось, такие доказательства могут быть построены в терминах теории информации [2], а также переведены на «язык» сложности перебора ключей [3]. Наличие доказательства секретности делает бессмысленными любые атаки Евы, направленные лишь на состояния в квантовом канале (канале, по которому от Алисы к Бобу передаются квантовые состояния, в которых закодированы биты ключа) – такие атаки принято называть атаками на протокол. Отметим, что атаки на протокол предполагают незыблемое выполнение приведенных выше пунктов 1– 3, установки КРК предполагаются сконструированными идеально: без побочных каналов, возможности навязывания и изменения свойств под внешним воздействием. Понятно, что в реальности это не так, и существуют так называемые атаки на техническую реализацию систем КРК. Их мы рассмотрим чуть позже, а пока остановимся на атаках на протокол.

рис1.jpg
Классификация атак на системы КРК

Атаки на протокол

Итак, было отмечено, что наличие доказательства секретности делает атаки на протокол бессмысленными для нарушителя. Их осуществление неизбежно приводит к изменению некоторых наблюдаемых параметров, детектируемых Алисой и Бобом в сеансе распределения ключей. В роли такого параметра часто выступает частота возникновения ошибочных бит (в литературе используется общепринятая аббревиатура QBER – quantum bit error rate). Любые манипуляции Евы над состояниями в квантовом канале приводят к их возмущению, что, в свою очередь, приводит к росту ошибки на приемной стороне. По величине QBER Алиса и Боб понимают, какая доля ключа утекла к Еве, и могут от этой доли избавиться при процедуре усиления секретности посредством хэш-функций [4]. Тем не менее, пристальное рассмотрение атак на протокол играет, в первую очередь, важнейшую демонстрационную роль, наглядно иллюстрируя, что любые попытки Евы атаковать идеальную систему КРК обречены на провал, а во-вторых, позволяет построить теоретический фундамент для учета атак на техническую реализацию. 

Для большинства протоколов схемы построения атак идентичны, но далее для определенности будем считать, что в рассматриваемой системе КРК используется протокол BB84 и поляризационное кодирование (т.е. Алиса готовит оптический импульс в одном из 4 состояний: с горизонтальной, вертикальной, диагональной или антидиагональной поляризацией – так, первая пара перечисленных состояний отвечает битам «0» и «1» в прямом базисе, а вторая – в диагональном). Рассмотрим простейшую атаку Евы – атака «прием–перепосыл» (Intercept–Resend Attack).

рис2.jpg
Схема атаки «прием–перепосыл»

Для ее реализации Еве нужно иметь лишь «копию» установок Боба и Алисы. Ева внедряется в квантовый канал и проводит измерения над состояниями в канале так же, как это делал бы Боб – последовательно, случайно выбирая базис. После этого Ева готовит состояние, аналогичное измеренному, и отправляет его к Бобу. Очевидно, что такой способ не позволит Еве достоверно узнать весь ключ и передать его Бобу в «нетронутом» виде. В половине случаев Ева будет ошибаться с выбором базиса, что приведет к случайным срабатываниям на стороне Боба, которые окажутся верными лишь с вероятностью 50%. Результирующий QBER, таким образом, будет составлять 25%. Напомним, что именно QBER является измеряемым параметром в протоколе BB84, и его рост сигнализирует о вмешательстве злоумышленника и необходимости удаления утекшей информации (в данном случае всего ключа).

Вариации описанной атаки составляют класс так называемых непрозрачных атак (opaque attacks). Куда более опасным представляется сценарий прозрачных атак (translucent attacks), согласно которому состояния в квантовом канале не уничтожаются посредством измерений, а возмущаются. Простейшим вариантом прозрачной атаки является индивидуальная атака.

рис3.jpg
Схема прозрачной индивидуальной атаки

Для ее проведения, Еве необходимо иметь вспомогательную квантовую систему – дополнительный квантовый бит (кубит), для того, чтобы привести его в состояние квантовой запутанности с состоянием из квантового канала. Для этого Ева воздействует на состояния в квантовом канале и свою подсистему общим преобразованием, которое описывается неким унитарным оператором. Благодаря запутанности, часть информации из состояния в квантовом канале может «перетечь» в подсистему Евы, и измерение над этой подсистемой может позволить ей с некоторой вероятностью выявить закодированный бит. Однако, чем выше эта вероятность, тем сильнее искажается состояние в квантовом канале, что приводит к росту QBER – атака детектируется.

Существует более продвинутая прозрачная атака – коллективная атака. Можно математически показать, что Ева способна выявить такое же количество информации при заметно меньшем росте QBER. Для этого Ева не атакует состояния по отдельности, а сохраняет состояния вспомогательной подсистемы в квантовую память, т.е. устройство, способное долго хранить состояния квантовых бит. После окончания сеанса распределения ключей и оглашения базисов, Ева проводит измерение над всем регистром состояний в квантовой памяти – коллективное измерение.

рис4.jpg
Схема коллективной атаки

Наконец, максимально общая прозрачная атака – так называемая когерентная атака (joint attack). Проводя эту атаку, Ева воздействует единым преобразованием на все посылки в рамках одного сеанса распределения ключей и на свою подсистему, теперь представляющую собой целый регистр квантовых состояний, над которым проводится коллективное измерение. Когерентная атака очень сложна в реализации (даже теоретически), а ее комбинация с атаками на техническую реализацию может вызвать математические сложности при доказательстве секретности. Однако ситуацию спасает тот факт, что для протоколов с независимыми посылками, к которым относится BB84, когерентная атака не дает преимуществ по сравнению с коллективной. Иными словами, коллективная атака является оптимальной с точки зрения информационного выигрыша Евы. Именно явное построение коллективной атаки ляжет в основу учета побочных каналов утечки информации.

рис5.jpg
Схема когерентной атаки

К другим атакам на протокол относят атаку с расщеплением по числу фотонов (Photon Number Splitting – PNS) и атаку со светоделителем (Beamsplit – BSA). Данные атаки можно было бы классифицировать как промежуточные между атаками на протокол и на техническую реализацию, т.к. они направлены исключительно на состояния в квантовом канале, но используют конкретное несовершенство реализации системы КРК – не строгую «однофотонность» излучения. Дело в том, что доказательство секретности протокола BB84 и большинства других приводится в предположении, что носителями информации являются оптические импульсы, содержащие ровно 1 фотон. На практике генерация таких импульсов весьма сложна и требует использования дорогостоящих, зачастую громоздких, медленных и нестабильных источников. К счастью, от описанных атак можно защититься, не прибегая к однофотонным источникам, а используя гораздо более простые, быстрые, компактные и дешевые лазерные источники, генерирующие импульсы в так называемом когерентном состоянии. Особенность когерентных состояний состоит в том, что в нем не содержится определенное число фотонов – при измерении количества фотонов в импульсе результат случаен и распределен согласно статистике Пуассона. Это, в свою очередь, приводит к тому, что в канал может вылететь состояние, закодированное двумя, и даже большим числом фотонов, на фоне чего и строятся объявленные атаки.

Атака PNS состоит в следующем:

  1. Ева перехватывает импульс Алисы и проводит неразрушающее измерение числа фотонов. Такое измерение не уничтожит фотон, сохранит его информационное состояние (поляризацию, фазу и т.д.).
  2. Произойдет коллапс квантового состояния по степени свободы числа фотонов. Теперь у Евы имеется состояние со строго определенным числом фотонов (0, 1, 2 и т.д.), известным ей.
  3. Если число фотонов меньше 2, то посылка отбрасывается. Если фотонов 2 и больше, то один из них Ева оставляет себе (хранит его состояние в квантовой памяти), а второй возвращает в канал. 
рис6.jpg
Схема атаки с расщеплением по числу фотонов (PNS)

Блокировка однофотонной компоненты, конечно, снизит скорость выработки ключа между Алисой и Бобом. Однако, как известно, протокол BB84 содержит лишь один контролируемый параметр – QBER, величина которого при проведении PNS-атаки не изменится. Впрочем, на практике, нижняя граница скорости выработки ключа тоже существует и связана с тем, что реальная система КРК, скорее всего, выдаст «timeout error» из-за превышения времени выработки, и сеанс прервется. Тем не менее, не стоит забывать, что, согласно сформулированным выше предположениям, квантовый канал находится полностью в руках нарушителя, ограниченного лишь законами физики. Гипотетически, нарушитель может заменить реальный квантовый канал на идеальный канал без потерь (существование такого канала не противоречит законам физики, но технически его очень сложно сделать), что увеличит скорость выработки ключа, либо же компенсирует (быть может, частично) падение скорости в связи с проведением описанной атаки.

Подмена канала на идеальный используется и при атаке со светоделителем. После подмены Ева отводит часть излучения к себе, например, поставив светоделитель с коэффициентом пропускания, равным коэффициенту пропускания исходного квантового канала. Таким образом, до Боба будут доходить невозмущенные посылки в том же количестве, QBER и скорость выработки не изменятся, зато Ева будет получать значительную долю излучения и проводить измерения над полученными посылками.

рис7.jpg
Схема атаки со светоделителем (BSA)

Стандартной защитой от атаки PNS является использование модификации квантового протокола с добавлением состояний-ловушек (decoy states). Помимо информационных состояний со средним числом фотонов Screenshot_5.jpg, Алиса готовит состояния со средним числом фотонов Screenshot_2.jpgи Screenshot_4.jpg. При этом, какое из состояний будет послано, выбирается случайным образом. Ева не знает, состояние с каким средним числом фотонов находится в канале, поэтому с каждой посылкой действует одинаково. Это испортит статистику срабатываний на стороне Боба, который узнает, каким состояниям отвечали каждые отсчеты детекторов после процедуры разглашения базисов. По статистике срабатываний детекторов для состояний-ловушек Боб может вычислить долю однофотонной компоненты в информационных импульсах. Считая, что ключ формируется только на однофотонной компоненте, Алиса и Боб проводят усиление секретности, и PNS-атака терпит крах. Вдобавок, метод состояний-ловушек обеспечивает защиту и от BSA. Дело в том, что информацию, доступную нарушителю при проведении BSA можно оценить явным образом, и, оказывается, что она не превышает долю, оцениваемую с помощью метода состояний-ловушек, и его становится достаточно для защиты [5].

Наконец, еще одной атакой, от которой защищает метод состояний-ловушек, является атака с измерениями с определенным исходом (Unambiguous State Discrimination – USD). Особенность таких измерений состоит в том, что если они проведены успешно, то состояние определяется достоверно (напомним, что стандартные проекционные измерения в неизвестном базисе всегда верны лишь с некой вероятностью). Однако существует вероятность неопределенного исхода, который будет сигнализировать о том, что определить состояние не удалось. Блокируя посылки, давшие неопределенный исход, Ева будет знать весь ключ. Однако, вероятность успешного исхода достаточно мала, поэтому информация, отброшенная методом decoy state, будет превышать выигрыш Евы.

На этом список атак на протокол заканчивается. При выполнении допущений 1–3 протокол BB84 с использованием decoy states полностью безопасен. Если выполнение законов физики на сегодняшний день не вызывает вопросов, а также нет оснований полагать, что используемые, как правило, способы имитозащиты не обеспечивают аутентификацию, то условие полной изолированности системы на практике выполнить, конечно, невозможно. Для того, чтобы результаты, описанные выше, сохранились, необходимо «залатать дыры», возникающие из-за неидеальной реализации систем КРК. Перейдем к рассмотрению атак на техническую реализацию.

Атаки на техническую реализацию

Атаки на техническую реализацию систем КРК связаны с возможностью внешнего воздействия на элементы систем, либо же с существованием паразитных побочных сигналов, выходящих из системы (при чем не обязательно в квантовый канал) и потенциально несущих информацию о закодированных битах. Условно, атаки на техническую реализацию можно поделить на 3 группы:

  • Атаки, использующие побочные каналы утечки информации (side channels);
  • Атаки навязывания (fake states);
  • Атаки с изменением свойств системы.

Рассмотрим их подробнее.

Побочные каналы утечки информации

Атаки, использующие побочные каналы утечки информации не являются особенностью квантовой криптографии. Они также известны и для классических систем [6]. Разница состоит в том, что в квантовом случае существует возможность обеспечения полной безопасности даже при наличии побочных каналов, т.к. квантовая информатика позволяет оценить величину утекаемой по ним информации, правда, при использовании модельных соображений. Необходимо построить математическую модель побочного канала и определить величину физических параметров, содержащихся в этой модели.

На практике имеют место 3 побочных канала утечки информации: переизлучение однофотонных детекторов, позволяющее Еве понять, какой из детекторов сработал (атака Backflash), зондирование Евой установки Алисы или Боба и проведение измерений над отраженным светом (атака Trojan Horse), а также излучение электроники внутри установок Алисы и Боба в радиочастотном диапазоне. Проводя измерения над состояниями в побочных каналах, Ева не возмущает состояния в легитимном квантовом канале, а значит, QBER не меняется, и атака не детектируется. В общем случае, можно считать, что Ева комбинирует атаку по побочному каналу с коллективной атакой, описанной выше. 

рис8.jpg
Побочные каналы утечки информации

Для обеспечения защиты от атак по побочным каналам необходимо измерить интенсивности электромагнитных полей в каждом из перечисленных каналов. Это делается при сертификационных исследованиях системы КРК. В итоге, можно оценить долю информации, утекающей к Еве и избавиться от нее при усилении секретности. Конечно, необходимо стремиться к тому, чтобы эта доля была минимальна, и отбрасывалась бы лишь малая часть ключа. Для этого в систему добавляются технические средства, подавляющие интенсивности излучений. Для оптических атак (Backflash и Trojan Horse) таковыми являются оптические изоляторы, циркуляторы, аттенюаторы, спектральные фильтры и сторожевые детекторы. Для высокой степени изоляции радиоизлучения, как правило, достаточно поместить систему в металлический корпус.

Атаки навязывания

Возможность внешнего воздействия на системы КРК позволяет заставить приемную сторону считать определенный бит или проигнорировать бит по желанию нарушителя, т.е. осуществить навязывание. Атаки навязывания обусловлены уязвимостями однофотонных детекторов, присутствующих во всех системах КРК. К таким уязвимостям можно отнести выход из режима счета фотонов при ослеплении (и связанную с ним атаку Detector Blinding Attack – DBA) и на спаде электрического строба (атака After-Gate), а также несовпадение временных профилей квантовой эффективности (атака Detector Efficiency Mismatch). Схема атак навязывания состоит в следующем: Ева перехватывает состоянии в квантовом канале и производит измерения над ними (аналогично атаке прием–перепосыл). Полученный исход Ева пытается навязать Бобу, в результате после просеивания ключа все 3 участника будут иметь одинаковую последовательность.

Атака с ослеплением детекторов проводится при заведении Евой мощного излучения внутрь установки Боба. Это приводит к ослеплению детекторов – переводу их из режима счета фотонов, в линейный режим, в котором детекторы перестают быть чувствительны к однофотонному излучению, но зато становятся восприимчивы к относительно мощному свету. Этим и пользуется Ева – посылая внутрь установки навязывающие импульсы (помимо ослепляющего излучения) с энергией, проходящей по нижней границе чувствительности ослепленных детекторов, она заставляет детекторы срабатывать, если ее базис совпал с базисом Боба. Если же базис не угадан, то импульс поделится пополам и до каждого из детекторов дойдет лишь половина энергии, что не приведет к срабатыванию. Таким образом, будут навязаны лишь те импульсы, где Ева угадала базис и навязывание не приведет к росту QBER. 

рис9.jpg
Схема атаки с ослеплением детекторов

Традиционным средством защиты от атаки с ослеплением является мониторинг тока в схеме однофотонного детектора. Дело в том, что подача мощного непрерывного излучения на детектор приводит к росту тока внутри схемы детектора, что можно отследить. При превышении током установленного уровня, сигнализирующем об ослеплении детектора, сеанс распределения ключей прекращается, и серия отбрасывается. Недостатком такого метода является его неполная универсальность: в работе [7] обнаружено, что защита по току может не отрабатывать при использовании более продвинутой стратегии ослепления, а именно, импульсного ослепления, при котором ослепление детекторов производится не непрерывным излучением, а импульсами, приходящими перед стробами детекторов. Другим способом защиты является использование сторожевых детекторов, сигнализирующих о наличии внешнего излучения. Эффективность данных мер защиты для конкретных образцов систем КРК проверяется при проведении сертификационных исследований. Другим вариантом защиты является использование протоколов, устойчивых к атаке по построению (например, MDI-QKD [8] и фазово-временной протокол [9]).

Другой способ навязывания возникает из-за неидеальности фронтов временного профиля квантовой эффективности детекторов. Из-за того, что стробы на детекторе спадают не мгновенно, существует интервал времени, в течение которого детектор находится в линейном режиме. Иначе говоря, детектор самопроизвольно ослепляется без подачи внешнего излучения. Ева может воспользоваться этим и проводить навязывание аналогично атаке с ослеплением. Такую атаку называют атакой после строба (After-Gate Attack). Простейший способ защиты от нее – исключение из статистики отсчетов, произошедших вне узкого интервала, в течение которого квантовая эффективность стабилизировалась.

рис10.jpg
Условное изображение временного профиля строба на детекторе

Наконец, третий способ навязывания использует неодновременность прихода стробов на детекторы. Из-за этого существуют интервалы времени, когда к излучению чувствителен только один из детекторов, что может позволить Еве заставить сработать именно его. Это и происходит при атаке с использованием рассогласования квантовых эффективностей детекторов (Detector Efficiency Mismatch), или другой вариацией – атаке со сдвигом по времени (Time-Shift). Самая очевидная защита – использовать только один однофотонный детектор на стороне Боба. Другой вариант – случайный выбор, какой из детекторов отвечает за бит «0» и бит «1» перед приходом каждой посылки.

Атаки с изменением свойств системы

Отказ от допущения изолированности системы дает злоумышленнику возможность воздействовать на систему так, чтобы она изменила свои свойства, критичные для информационной безопасности. В общем случае воздействие может быть любое: механическое, термическое, акустическое, электрическое, магнитное, оптическое через отверстия в системе и, наконец, оптическое через квантовый канал. Как правило, системы КРК располагаются в контролируемой зоне и имеют жесткий корпус, изолирующих устройства от внешних воздействий. Тем не менее, оптическое воздействие через квантовый канал Ева может осуществить без особого труда. Оптическое волокно способно пропускать излучение мощностью до одного или нескольких десятков Ватт, что намного больше мощностей, имеющих место при атаках Trojan Horse и Detector Blinding. Воздействие мощного излучения на оптические компоненты может привести к их нештатной работе. Так, например, введение инжекционного излучения внутрь лазерного диода может увеличить интенсивность его генерации, что приведет к увеличению среднего числа фотонов в генерируемых импульсах и откроет возможности по проведению атак PNS и BSA. Так осуществляется атака с затравочным излучением (Laser Seeding). В реальности, успешное проведение данной атаки маловероятно, т.к. установка Алисы, как правило, оснащена детектором, контролирующим мощность выходящего излучения. Любое превышение максимально допустимого уровня излучения Алисы приведет к прерыванию сеанса и отбросу серии.

Более опасным вариантом представляется атака с лазерным повреждением (Laser Damage). Мощное лазерное излучение может воздействовать и на пассивные оптические компоненты, приводя к их нагреву и изменению степени пропускания, благоприятствуя атакам PNS, BSA, Trojan Horse, Backflash. Известно, что атаке с лазерным повреждением подвержены некоторые оптические аттенюаторы и изоляторы [10]. В рамках сертификационных исследований необходимо убедиться, что степень пропускания оптического тракта внутри установок Алисы и Боба не возрастает при повышении мощности внешнего излучения.

рис11.jpg
Схема атаки с лазерным повреждением

Итак, в данной статье мы рассмотрели актуальные атаки на системы квантового распределения ключей. И хотя перечень конкретных атак может дополняться, общая систематика остается такой же. Несмотря на то, что одно из основных допущений квантовой криптографии об изолированности систем Алисы и Боба в реальности, конечно, не выполняется, это приводит лишь к конечному числу уязвимостей, с которыми можно бороться, не отказываясь от парадигмы абсолютной защищенности систем КРК, а лишь обеспечивая ее техническими средствами. Важную роль при этом играют сертификационные исследования систем КРК, в рамках которых устанавливается эффективность используемых технических средств. Таким образом, существование множества атак не дискредитирует квантовую криптографию, и квантовое распределение ключей по праву можно считать самым надежным способом обеспечения безопасной коммуникации.

Список литературы

  1. C. H. Bennett and G. Brassard, “Quantum cryptography: Public key distribution and coin tossing,” in Proceedings of the IEEE International Conference on Computers, Systems, and Signal Processing, Bangalore, 1984, pp. 175–179
  2. Shor P. W., Preskill J. Simple proof of security of the BB84 quantum key distribution protocol //Physical review letters. – 2000. – Т. 85. – №. 2. – С. 441.
  3. Молотков С. Н. О сложности перебора ключей в квантовой криптографии //Письма в Журнал экспериментальной и теоретической физики. – 2016. – Т. 103. – №. 5. – С. 389-393.
  4. Bennet C. H. et al. Senior Member //IEEE “Generalized Privacy Amplification”, TRANSACTIONS OF INFORMATION THEORY. – 1995. – Т. 41. – №. 6. – С. 1915-1923.
  5. Ma X. et al. Practical decoy state for quantum key distribution //Physical Review A. – 2005. – Т. 72. – №. 1. – С. 012326.
  6. Каналы утечки информации // Википедия: свободная энциклопедия, https://ru.wikipedia.org/wiki/Каналы_утечки_информации (дата обращения: 21.08.2023).
  7. Wu Z. et al. Hacking single-photon avalanche detectors in quantum key distribution via pulse illumination //Optics Express. – 2020. – Т. 28. – №. 17. – С. 25574-25590.
  8. Lo H. K., Curty M., Qi B. Measurement-device-independent quantum key distribution //Physical review letters. – 2012. – Т. 108. – №. 13. – С. 130503.
  9. Molotkov S. N. On the structural stability of phase-coded quantum cryptography against detector-blinding attacks //Laser Physics Letters. – 2021. – Т. 18. – №. 12. – С. 125205.
  10. Bugai K. E. et al. Laser Damage Attack on a Simple Optical Attenuator Widely Used in Fiber-based QKD Systems //2022 International Conference Laser Optics (ICLO). – IEEE, 2022. – С. 1-1.
Все статьи