Selhala nejbezpečnější technika pro přenos informací?

Oldřich Klimánek (Telekomunikace, 18.06.2010) Sdílet

Kvantová kryptografie představuje oblast s největším příslibem k perfektnímu zabezpečení informací. Přírodní zákony, na kterých stojí, totiž nejdou ošálit. Nicméně podle zpráv z minulých týdnů se trojici fyziků údajně podařilo tvrzení o dokonale bezpečném přenosu vyvrátit. Tvrdí, že v komerčním systému pro kvantově zabezpečený přenos informací našli chybu, která útočníkovi zaručí, že nebude odhalen.

Kvantová kryptografie je moderní vědou, jež se zabývá co možná nejdokonalejším utajením přenášených informací – od ostatních oblastí kryptografie se liší tím, že metody šifrování se v ní zakládají na přírodních zákonech. Přesněji řečeno kvantová kryptografie, jak je z pojmenování patrné, využívá zákonitostí kvantové mechaniky, zákonů mikrosvěta.

Její předností je, že je možné rychle zjistit, pokud je komunikace odposlouchávána. Než si povíme o fíglech této oblasti něco víc, na tomto místě bychom si měli odpovědět na otázku z nadpisu – selhala kvantová kryptografie? Poučeni čtením článků za ty roky jistě víte, že pokud nadpis pokládá nějakou otázku, odpověď na ni zní prakticky pokaždé: Ne.

Tři vědci: Hackli jsme komerční systém pro kvantové klíče

Feihu Xu, Bing Qi a Hoi-Kwong Lo z Torontské univerzity v Ontariu v polovině května vydali preprint článku na serveru ArXiv.org (dostupný zde, jako pdf přímo zde). Již v abstraktu svého článku píší: „Důkazy nepodmíněné bezpečnosti různých protokolů distribuce kvantového klíče (QKD) jsou postaveny na zidealizovaných předpokladech. Jedním z klíčových předpokladů je: odesílatel [kvantového klíče] (Alice) může požadované kvantové stavy připravit bez chyb. Ovšem takový předpoklad může být narušen v reálných QKD systémech.“

Uvedený odstavec skrývá řadu neznámých slovíček a patrně není příliš srozumitelný. Avšak v tento okamžik si z něj stačí odnést pouze toto: autoři tvrdí, že reálný systém pro přípravu šifrovacích klíčů, které jsou potřeba k dešifrování přenesené zprávy, trpí určitými problémy, které mohou útočníkovi umožnit se do přenosu klíče nabourat a komunikaci odposlouchávat, aniž by mu hrozilo odhalení.

V článku pak popisují, jak se jim experimentálně podařilo demonstrovat technicky proveditelný útok, který využil bezpečnostní skuliny v komerčním „plug & play“ systému pro distribuci kvantového klíče (budeme dále používat zkratku QKD).

Milenci Alice, Bob a žárlivá Eva

Příklady z kvantové kryptografie začínají často příběhem, kdy spolu chtějí bezpečně komunikovat dva lidé, Alice (odesílatel) a Bob (příjemce). Třetí osobou je Eva, která se snaží jejich komunikaci odposlouchávat. (Proč zrovna Alice, Bob a Eva? Jména mají svůj původ v označení bodů/osob A, B, E. Přece jen je příjemnější hovořit o osobách se jmény. Eva své jméno získala díky anglickému slůvku eavesdropper, jímž se v angličtině označuje člověk, který odposlouchává komunikaci – tedy něco jako slídil.)

Jak bylo řečeno výše, obrovskou výhodou kvantové kryptografie je, že jakékoli narušení systému – způsobeného odposloucháváním – je detekovatelné, a útočník je během chvíle odhalen.

Důvod je ten, že odposlouchávání je z hlediska fyziky určitým měřením na daném systému. Kvantová mechanika nás učí, že jakékoli měření provedené na systému tento systém narušuje, mění. A této změny si je možné rychle všimnout.

Šifrování ze školních lavic

Někteří z nás šifrování komunikace používali už na základní škole v různých primitivních formách, když si mezi lavicemi posílali upravené zprávy napsané na papírku. Jednoduchým příkladem je třeba používání čísel namísto abecedy. Tak například když budeme takto chtít „šifrovat“ slovo AHOJ, napíšeme 1 8 15 10 (v mezinárodní abecedě bez CH).

Takto napsaná zpráva na papírku je veřejná. Když se stane, že ji někdo objeví – když bude někde naši komunikaci odposlouchávat –, vlastně to nevadí. Bez příslušného klíče ji nerozluští. (Samozřejmě že takto primitivní zabezpečení komunikace padne hned, když na to přijde).

K tomu, aby tato zpráva byla dešifrována je potřeba klíče, který je tajný (tajnější než šifrovaná zpráva poslána obyčejně na papírku) a který zná jen odesílatel a příjemce. Ovšem jakmile někdo klíč odhalí (zde to nebylo vůbec těžké), odposlouchávání nejde zabránit a obyčejně ani zjistit – proto se další komunikace stává nebezpečnou.

Dalším jednoduchým šifrováním, na které jsme se jako děti spoléhali (jak kdo...), je například posunutí znaků. Místo AHOJ tak můžeme napsat BIPK. Opět bez znalosti klíče třetí osoba nebude s to poznat, co zpráva říká, je ji tak k ničemu.

Každopádně podobně jednoduché šifry pro reálnou komunikaci nejsou vůbec vhodné. Není těžké si takovéto jednoduché klíč domyslet (dopočítat). Daleko ideálnější už je jednotlivá písmena posouvat o vlastní hodnotu na každé pozici. Tedy například AHOJ můžeme zašifrovat tak, že A posuneme o tři, H o jedno, O o osm, J o dvanáct. Výslednou zprávu „CIWV“ bude mnohem těží bez klíče (3 1 8 12) rozkrýt.

Jednou z kritických podmínek je, aby čísla v klíči byla náhodná. Je nebezpečné (a zbytečné) používat posloupnosti jako 1 2 3 4, nebo 1 4 9 16 apod., v nichž jsou čísla všechno možné jen ne náhodná (druhý klíč je tvořen druhými mocninami přirozených čísel). Připravit opravdu náhodné rozdělení čísel je sice zásadní úkol, ale není moc snadný. Navíc je nutné vše provést tak, aby tajný klíč znali pouze odesílatel a příjemce a aby byl klíč hned po použití zničen (opakované použití klíče je nepřípustné).

Příroda a generování klíčů

Náhodný charakter čísel nám může zprostředkovat sama příroda – kvantová mechanika vládnoucí mikrokosmu je tím pravým ořechovým jazykem. Svět na malých vzdálenostech (říše atomů a subatomárních částic) se pyšní mořem různých zvláštností, které v našem každodenním světě nepozorujeme a které odporují naší lidské intuici – i představě o realitě.

Mikrosvět ovládaný kvantovými zákony má „nahodilý“ charakter, a je možné jej popisovat jen v jazyce kvantových pravděpodobností. Je to říše plná neurčitostí. Různé kvantové děje nám pak mohou posloužit ke generování skvěle náhodných čísel.

V praxi si tak zašifrovanou zprávu Bob a Alice mohou poslat jakýkoli běžným komunikačním kanálem (třeba přes internet). Pokud se někomu tato zpráva dostane do rukou, vůbec to nevadí, protože slídil nezná klíč (je to stejné jako při posílání psaníček mezi lavicemi ve škole).

Druhým kanálem, který už musí být sofistikovanější, se pošle příslušný klíč. Vzhledem k tomu, že náhodná čísla pro klíč generuje sama příroda na kvantové úrovni, Alice a Bob využijí určitých kvantových jevů. V praxi se používá tzv. polarizace částic světla (fotonů) nebo jev zvaný kvantová propletenost (ten se využívá i k teleportaci informací).

Kvantový kanál Alici a Bobovi zaručí jednak kvalitní šifru a jednak její přenos. Vzhledem k tomu, že jakékoli měření kvantového systému tento systém ovlivní, budou s to zjistit, jestli se na jejich kanál nepřipojila Eva, která tím, že kanál odposlouchává, na něm provádí měření. Pokud Alice vysílá zprávu Bobovi, který určitými prostředky zjistí, že „něco nehraje“ (nebudou souhlasit určité kousky informací), přenos byl narušen a musí se začít znova.

Protokol BB84 a chyby z okolí

Jak jsme řekli výše, bezpečnou komunikaci lze zaručit pomocí částic světla, fotonů, kde hodnoty bitů (jednotky informace) se kódují do jejich polarizace. Na tomto principu hrátek s fotony je založen protokol s označením BB84 (Bennett, Brassard, 1984).

Na trhu už nějakou dobu existují přístroje, které na tomto principu pracují. Tři fyzici, o kterých byla na počátku článku řeč, tvrdí, že ačkoli teoreticky kvantové generování klíče zní hezky, prakticky provedený generátor v přístrojích má chyby, které zásadním způsobem snižují spolehlivost zabezpečení komunikace.

Už jsme zmínili, že měření ve světě kvant znamená, že stav částic a celého systému už není takový, jako byl před měřením. („Měsíc na obloze není, když se zrovna nedívám.“) Navíc je nemožné, aby reálný systém pro distribuci kvantového klíče byl zcela odstíněn – tj. nejde zaručit, že systém nebude interagovat s okolím. Alice a Bob se zkrátka musí smířit s tím, že při vysílání a přijímání klíče se budou vyskytovat určité nesrovnalosti, které by se v ideálním případě vyskytovat neměly. Tyto chyby zanesené do systému prostředím přitom vypadají, jako kdyby se na kvantový kanál napíchla Eva a odposlouchávala komunikaci. Bob a Alice proto musí vědět, že detekovaný šum není známkou odposlechu, ale jeho zdrojem může být i okolí.

V případě protokolu BB84 se jako hranice takového šumu pro komunikaci uvádí tolerance s chybou asi 20 %. Zjistí-li Bob odchylky nad 20 %, bude mít důvodné podezření, že na drátě je i Eva.

Loův tým tvrdí, že jeden komerční systém odposlouchávali, když úroveň chyb byla pod 20 %, jimi naměřená hodnota činila 19,7 %. Některá média tak začala spekulovat, že kvantové šifrování není tak bezpečné, jak jsme si přáli. Hranice 20 % však funguje jen jedním směrem – pokud chyby překročí úroveň 20 %, odposlouchávání je velice pravděpodobné, ale druhým směrem to neplatí. Jinými slovy, záleží na přístroji, jakou garanci pro bezpečnou komunikaci poskytuje. I když výsledné chyby leží pod hranicí 20 %, systém může být někým odposloucháván.

Lo a jeho spolupracovníci napadli určitý zdroj šumu, který zákonitě vzniká tehdy, když Alice připravuje pro Boba kvantové stavy pro generování šifrovacího klíče. Eva se díky tomu může o klíči dozvědět dostatek informací, aniž by sama zvýšila chybovou úroveň – a sama tak zůstane v „utajení“. Přesně tohle tři fyzici provedli na komerčním zařízení ID-500, na systému QKD, který postavila švýcarská společnost ID Quantique.

Kvantový systém hacknut? Nesmysl, říkají další

Ta na tvrzení tří fyziků zareagovala brzy nato, co se jejich preprint objevil na síti. „S tím článkem to jaksi přepískli. Tvrzení, která ze svého výzkumu odvodili, jsou naprosto přehnaná,“ řekl pro Physics World Gregory Ribordy ze společnosti ID Quantique. Dále upozornil, že použitý systém pro distribuci klíče je zastaralý. Nevyrábí se od roku 2004. „Tento typ útoku by navíc v komerčních aplikacích vůbec nefungoval.“

Zakladatel ID Quantique Nicolas Gisin z Ženevské univerzity má stejný názor. „Jejich tvrzení jsou velmi nadsazená, protože nalezena chybová míra 19,7 % hodně převyšuje úroveň 8 %, která je implementována do komerčních systémů. Tedy tvrzení, že komerční systém pro distribuci kvantového klíče byl hacknut, je prostě nesmyslné.“

11 komentářů (11 nových), poslední 22.06.2010, 15:10 Sdílet