Речь шла не о внедрении в протокол, а о MiTM c двумя комплектами оборудования вместо одного. Типа вместо канала точка-точка между абонентами делается два канала точка точка между каждым из абонентов и, например, товарищем майором. Который перед абонентом 1 притворяется, что он абонент 2 и наоборот, а сам перешифровывает трафик.
Можно, но если пустить в два слоя - сначала квантовый протокол, а потом Diffie-Helman, то, в теории, будет надёжнее. Так как ни один из методов не гарантирует того, что впоследствии не будет найден способ его обхода, а "внезапно" обойти сразу два не связанных между собой криптографических протокола всё же сложнее, чем один.
Желательно не только иметь общий секрет, но и достаточно часто (и безопасно) менять его на обоих сторонах. Система квантового распределения ключей, которую использует Инфотекс решает эту задачу. Только её. Но это неплохо, т.к. радикально снижает нагрузку на ключ.
>Стойкость полученного ключа сводится к стойкости классического алгоритма аутентификации этого ключа.
стойкость шифрования статистически зависит от нагрузки на ключ
>Перегенерировать ключ можно и классическими методами хоть десять раз в секунду.
Перегенерировать можно, но утверждается, что квантовый протокол распределения ключей имеет преимущество перед классическими с точки зрения опасности его вскрытия, т.к. опирается на физический эффект, а не на математику, которую полностью заранее проанализировать невозможно по принципиальным причинам.
>Имея общий секрет/публичный ключ можно и без квантовой криптографии обойтись с тем же успехом кмк, конечный успех всей затеи упрётся в то, насколько производитель сумеет снизить стоимость единичной установки оборудования. Если она, в итоге, упадёт до уровня стоимости обычной микроэлектроники, то вся эта квантовая тема окажется неплохим дополнительным слоем защиты.
Сейчас то, что есть в РФ, кажется, соответствует 25-30 летней давности технологии.
Так что если нет другого выхода - пусть бы и так... Лишь бы через 2-3 года увидеть работающий результат, а не объявление о том, что нужно ещё 2-3 года.
Если коротко - напрямую и без передачи заранее известного секрета по неперехватываемому каналу, вообщем-то, никак. Она просто позволяет навернуть на систему +1 слой защиты и это, скорее хорошо, чем плохо.
Серебрянной пули в криптографии ведь нет. Даже наивно реализованное потоковое шифрование голоса бесконечным шифроблокнотом можно успешно атаковать.
Поэтому правильнее делать ставку на комбинацию разных методов.
1) Для обеспечения нормального с точки физиологии восприятия качества согласно стандартам ITU необходима полоса 64 кбит/c (G.711 ИКМ) или, хотя бы, 32 кбит/c (АДИКМ). Всё что медленнее - это уже со сжатием, которое ухудшает качество восприятия, хотя и не критично для понимания. Но вот вопрос - а зачем гнать менее качественную речь по оптике, если её полосы пропускания с избытком хватает для нормальной? Кодеки то и на 2400 бит/c есть и ещё сильнее. Но цели такой экономии были бы непонятны. Любое сжатие будет вносить задержку, почти любое - джиттер. Вот вся эта "борьба за огонь" уместна на каналах связи с малой пропускной способностью. Типа там голос через спутник на геостационаре в пару хопов. А если у нас потребитель обладает возможностью строить свою связь по оптике, то подобная гонка за килобайтами, чтобы (напомню с чего началась эта часть разговора) экономить длину ключа бесконечного шифроблокнота выглядит малооправданной. Если уж строить систему, которая работает по такому принципу, пусть клиент более ёмкие флэшки для ключей покупает, на фоне стоимости опты это всё равно будет исчезающе малый вклад в общую стоимость эксплуатации.
2) Я так понял mSnus , что он писал про сжатие одноразового ключа, а не потока голосовых данных. Но тут и так и так не сработает. И голос сильнее не пережмёшь, чем он сжат кодеком, и ключ не пожмёшь, конечно же.
Теоретически она рабочая, практически встаёт вопрос о том, как делать на практике синхронизацию. Ну вот РЖД допустим внедрит у себя сотню-другую комплектов, что, к каждому источник сверхточной синхронизации тащить? Это нереально.
Идея с замером задержек красивая, но я бы чуть изменил подход.
Петя и Вася могли бы отправлять и возвращать друг другу случайно генерируемые секреты, замеряя время их возврата.
Если один секрет слать на уровне канала, а второй - на уровне (ну допустим) сеанса, то можно получать (наверное) относительно стабильную задержку между возвратом одного и второго и вклинивание в канал новой аппаратуры её изменит.
Но, однако же, встаёт вопрос о том, насколько стабилен "квантовый" канал. Если это точка-точка, всё будет работать, а если там осуществляется перекоммутация оптики в процессе работы, то, быть может, и не будет. Это уже, тогда, вопрос к Инфотексу, реально ли на их системе такое сделать и вообще как они предполагают противодействовать предложенной Вами схеме атаки.
Сам по себе протокол квантового распределения ключей симметричного шифрования к такой атаке неустойчив. Но, на самом деле, есть два сценария.
Первый - это то, что дополнительная аппаратура стоит на таком канале связи изначально. Этот случай соответствует, грубо говоря, тому, что дополнительная аппаратура смонтирована прямо на коммутаторе АТС до того, как линиями связи начал пользоваться хотя бы один из абонентов.
В этом случае, без передачи начального общего ключа по другому каналу связи, кажется, нельзя сделать ничего. Ну, во всяком случае, мне неизвестны публикации, в которых бы было описано, как решать эту проблему. Если есть начальный разделяемый секрет, который неизвестен злоумышленнику, современные протоколы квантового распределения ключей позволяют её обойти.
Второй случай - это вклинивание такой аппаратуры в уже работающей канал связи. Т.е. работа "нештатного" злоумышленника. В этом сценарии, во-первых, могла бы сработать какая-то индикация нарушения связи, если протокол создания симметричного ключа предусматривает его достаточно частую перегенерацию.
Во-вторых, можно было бы "навесить" вторым слоем ассиметричную криптографию, а она позволяет справляться с такими проблемами.
Сам по себе протокол квантового распределения ключей симметричного шифрования к такой атаке неустойчив. Но, на самом деле, есть два сценария.
Первый - это то, что дополнительная аппаратура стоит на таком канале связи изначально. Этот случай соответствует, грубо говоря, тому, что дополнительная аппаратура смонтирована прямо на коммутаторе АТС до того, как линиями связи начал пользоваться хотя бы один из абонентов.
В этом случае, без передачи начального общего ключа по другому каналу связи, кажется, нельзя сделать ничего. Ну, во всяком случае, мне неизвестны публикации, в которых бы было описано, как решать эту проблему. Если есть начальный разделяемый секрет, который неизвестен злоумышленнику, современные протоколы квантового распределения ключей позволяют её обойти.
Второй случай - это вклинивание такой аппаратуры в уже работающей канал связи. Т.е. работа "нештатного" злоумышленника. В этом сценарии, во-первых, могла бы сработать какая-то индикация нарушения связи, если протокол создания симметричного ключа предусматривает его достаточно частую перегенерацию.
Во-вторых, можно было бы "навесить" вторым слоем ассиметричную криптографию, а она позволяет справляться с такими проблемами.
Я не взываю ни к каким авторитетам. Я указал на неуместную иронию - человек отвечает на статью так, как будто-то бы Инфотекс обещает что-то там в будущем наисследовать и создать, а на самом деле хочет украсть бюджетные деньги.
А речь то, в статье идёт о продаже/внедрении относительно серийного, уже работающего продукта.
>вы бы лучше рассказали, чем эти "квантовые" телефоны хороши, что на них нужны ллярды денег?
В этом месте можно, в принципе, начать занудствовать и спорить на тему того, что телефон, софт для телефона для работы со специализированной железкой ViPNet КУКС Лайт и сама железка в комплекте, наверное, и образуют аппаратно-программный комплекс "квантовый телефон". И что нет большой разницы, спецжелезка внутри телефона или прикручена к нему шнурком.
А, можно просто отметить, что человек, которому я отвечал, цеплялся к словам. Да и Вы вслед за ним. Журналистам наверное вместо словосочетания "квантовый телефон" нужно было каждый раз выписывать всю цепочку в виде обычного телефона с установленным спец ПО и подключённой к нему коробки устройства квантового распределения. Тогда всё было бы правильно и претензий у хабровчан не возникло бы :)))
>а использование шифровальных мессенджеров = турьма, как я понимаю (поправьте, если не так)?
[c удивлением смотрю на Signal и Telegram, установленные в моём телефоне] . Да ладно?
В любом случае, чем быстрее это всё внедрят в практику, тем больше будет проблемок у тех, кто попытается запрещать такое шифрование. Так что лучше быстрее делать, пока законодатели не чухнулись.
>А, значит, скидываться на эту хрень будут снова все непричастные к этому, которые никогда не заюзают эту хрень, потому что запрещено пользоваться шифровальными мессенджерами?
Здесь мы увидели выступление против использования госструктурами защищённых каналов связи. Или против финансирования таких каналов из госбюджета. Анархизм - чудесная тема. Nuff said. Ах, впрочем, всё же скажу, что, поскольку иногда езжу поездами, я был бы против того, чтобы в коммуникации РЖД могли бы вклиниваться посторонние дятлы. Пусть внедряют.
>А для реализации квантового канала, разве не нужно какого-то спец оборудования, которое явно не оптоволокно?
Оптоволокно пригодно.
>А для передачи данных по обычным каналам связи, по которым хотят передавать квантовые данные, разве нельзя передавать шифрованные PGP-ключами данные, тот же разговор по телефону?
ZRTP-style протокол действительно можно соорудить. Хотя он геммороен в реализации и к надёжности самого ZRTP всё же есть некоторые вопросы. Но он, собственно говоря, ничем не лучше подхода с квантовыми ключами, если смотреть на масштабе. Думаю, при тиражировании технологии стоимость одного телефона очень быстро начнёт падать. И масштабов РЖД, imho, вполне достаточно, чтобы уронить её до уровня сопоставимого со стоимостью сотового на момент начала их внедрения.
Речь шла не о внедрении в протокол, а о MiTM c двумя комплектами оборудования вместо одного. Типа вместо канала точка-точка между абонентами делается два канала точка точка между каждым из абонентов и, например, товарищем майором. Который перед абонентом 1 притворяется, что он абонент 2 и наоборот, а сам перешифровывает трафик.
Можно, но если пустить в два слоя - сначала квантовый протокол, а потом Diffie-Helman, то, в теории, будет надёжнее. Так как ни один из методов не гарантирует того, что впоследствии не будет найден способ его обхода, а "внезапно" обойти сразу два не связанных между собой криптографических протокола всё же сложнее, чем один.
Судя по описанию на сайте Инфотекс, с квантами там взаимодействует, всё же, приставка к трубке абонента. Которая у каждого абонента своя.
Желательно не только иметь общий секрет, но и достаточно часто (и безопасно) менять его на обоих сторонах. Система квантового распределения ключей, которую использует Инфотекс решает эту задачу. Только её. Но это неплохо, т.к. радикально снижает нагрузку на ключ.
>Стойкость полученного ключа сводится к стойкости классического алгоритма аутентификации этого ключа.
стойкость шифрования статистически зависит от нагрузки на ключ
>Перегенерировать ключ можно и классическими методами хоть десять раз в секунду.
Перегенерировать можно, но утверждается, что квантовый протокол распределения ключей имеет преимущество перед классическими с точки зрения опасности его вскрытия, т.к. опирается на физический эффект, а не на математику, которую полностью заранее проанализировать невозможно по принципиальным причинам.
>Имея общий секрет/публичный ключ можно и без квантовой криптографии обойтись с тем же успехом
кмк, конечный успех всей затеи упрётся в то, насколько производитель сумеет снизить стоимость единичной установки оборудования. Если она, в итоге, упадёт до уровня стоимости обычной микроэлектроники, то вся эта квантовая тема окажется неплохим дополнительным слоем защиты.
А когда-нибудь успевали? 32 года назад, когда я поступил в институт, жаловались на то же самое :)
На безрыбье и рак - рыба.
Сейчас то, что есть в РФ, кажется, соответствует 25-30 летней давности технологии.
Так что если нет другого выхода - пусть бы и так... Лишь бы через 2-3 года увидеть работающий результат, а не объявление о том, что нужно ещё 2-3 года.
От перехвата потока данных не защищает.
Это защищает от перехвата секретного ключа, разделяемого сторонами, что позволяет его достаточно часто перегенерировать, снижая нагрузку на ключ.
Вот тут обсуждали.
https://habr.com/ru/company/infotecs_official/blog/698876/comments/#comment_24906522
Если коротко - напрямую и без передачи заранее известного секрета по неперехватываемому каналу, вообщем-то, никак.
Она просто позволяет навернуть на систему +1 слой защиты и это, скорее хорошо, чем плохо.
Серебрянной пули в криптографии ведь нет. Даже наивно реализованное потоковое шифрование голоса бесконечным шифроблокнотом можно успешно атаковать.
Поэтому правильнее делать ставку на комбинацию разных методов.
1) Для обеспечения нормального с точки физиологии восприятия качества согласно стандартам ITU необходима полоса 64 кбит/c (G.711 ИКМ) или, хотя бы, 32 кбит/c (АДИКМ). Всё что медленнее - это уже со сжатием, которое ухудшает качество восприятия, хотя и не критично для понимания. Но вот вопрос - а зачем гнать менее качественную речь по оптике, если её полосы пропускания с избытком хватает для нормальной? Кодеки то и на 2400 бит/c есть и ещё сильнее. Но цели такой экономии были бы непонятны. Любое сжатие будет вносить задержку, почти любое - джиттер. Вот вся эта "борьба за огонь" уместна на каналах связи с малой пропускной способностью. Типа там голос через спутник на геостационаре в пару хопов. А если у нас потребитель обладает возможностью строить свою связь по оптике, то подобная гонка за килобайтами, чтобы (напомню с чего началась эта часть разговора) экономить длину ключа бесконечного шифроблокнота выглядит малооправданной. Если уж строить систему, которая работает по такому принципу, пусть клиент более ёмкие флэшки для ключей покупает, на фоне стоимости опты это всё равно будет исчезающе малый вклад в общую стоимость эксплуатации.
2) Я так понял mSnus , что он писал про сжатие одноразового ключа, а не потока голосовых данных. Но тут и так и так не сработает. И голос сильнее не пережмёшь, чем он сжат кодеком, и ключ не пожмёшь, конечно же.
Теоретически она рабочая, практически встаёт вопрос о том, как делать на практике синхронизацию. Ну вот РЖД допустим внедрит у себя сотню-другую комплектов, что, к каждому источник сверхточной синхронизации тащить? Это нереально.
Идея с замером задержек красивая, но я бы чуть изменил подход.
Петя и Вася могли бы отправлять и возвращать друг другу случайно генерируемые секреты, замеряя время их возврата.
Если один секрет слать на уровне канала, а второй - на уровне (ну допустим) сеанса, то можно получать (наверное) относительно стабильную задержку между возвратом одного и второго и вклинивание в канал новой аппаратуры её изменит.
Но, однако же, встаёт вопрос о том, насколько стабилен "квантовый" канал. Если это точка-точка, всё будет работать, а если там осуществляется перекоммутация оптики в процессе работы, то, быть может, и не будет. Это уже, тогда, вопрос к Инфотексу, реально ли на их системе такое сделать и вообще как они предполагают противодействовать предложенной Вами схеме атаки.
Сам по себе протокол квантового распределения ключей симметричного шифрования к такой атаке неустойчив. Но, на самом деле, есть два сценария.
Первый - это то, что дополнительная аппаратура стоит на таком канале связи изначально. Этот случай соответствует, грубо говоря, тому, что дополнительная аппаратура смонтирована прямо на коммутаторе АТС до того, как линиями связи начал пользоваться хотя бы один из абонентов.
В этом случае, без передачи начального общего ключа по другому каналу связи, кажется, нельзя сделать ничего. Ну, во всяком случае, мне неизвестны публикации, в которых бы было описано, как решать эту проблему. Если есть начальный разделяемый секрет, который неизвестен злоумышленнику, современные протоколы квантового распределения ключей позволяют её обойти.
Второй случай - это вклинивание такой аппаратуры в уже работающей канал связи. Т.е. работа "нештатного" злоумышленника. В этом сценарии, во-первых, могла бы сработать какая-то индикация нарушения связи, если протокол создания симметричного ключа предусматривает его достаточно частую перегенерацию.
Во-вторых, можно было бы "навесить" вторым слоем ассиметричную криптографию, а она позволяет справляться с такими проблемами.
Сам по себе протокол квантового распределения ключей симметричного шифрования к такой атаке неустойчив. Но, на самом деле, есть два сценария.
Первый - это то, что дополнительная аппаратура стоит на таком канале связи изначально. Этот случай соответствует, грубо говоря, тому, что дополнительная аппаратура смонтирована прямо на коммутаторе АТС до того, как линиями связи начал пользоваться хотя бы один из абонентов.
В этом случае, без передачи начального общего ключа по другому каналу связи, кажется, нельзя сделать ничего. Ну, во всяком случае, мне неизвестны публикации, в которых бы было описано, как решать эту проблему. Если есть начальный разделяемый секрет, который неизвестен злоумышленнику, современные протоколы квантового распределения ключей позволяют её обойти.
Второй случай - это вклинивание такой аппаратуры в уже работающей канал связи. Т.е. работа "нештатного" злоумышленника. В этом сценарии, во-первых, могла бы сработать какая-то индикация нарушения связи, если протокол создания симметричного ключа предусматривает его достаточно частую перегенерацию.
Во-вторых, можно было бы "навесить" вторым слоем ассиметричную криптографию, а она позволяет справляться с такими проблемами.
да ладно?
Я не взываю ни к каким авторитетам. Я указал на неуместную иронию - человек отвечает на статью так, как будто-то бы Инфотекс обещает что-то там в будущем наисследовать и создать, а на самом деле хочет украсть бюджетные деньги.
А речь то, в статье идёт о продаже/внедрении относительно серийного, уже работающего продукта.
>вы бы лучше рассказали, чем эти "квантовые" телефоны хороши, что на них нужны ллярды денег?
Читайте Хабр. Это очень развивает (с).
https://habr.com/ru/company/infotecs_official/blog/698876/
Учёные традиционно насилуют журналистов, поэтому тут как бэ и удивляться не приходится.
Однако словосочетание "квантовый телефон" кмк для людей не в теме вполне норм. Двумя словами даёт понять о чём это.
В военное время Вы можете положить флэшку с данными под гусеницу танка и они, тогда, как-то, всё же сожмутся. Но есть нюанс...
В этом месте можно, в принципе, начать занудствовать и спорить на тему того, что телефон, софт для телефона для работы со специализированной железкой ViPNet КУКС Лайт и сама железка в комплекте, наверное, и образуют аппаратно-программный комплекс "квантовый телефон". И что нет большой разницы, спецжелезка внутри телефона или прикручена к нему шнурком.
А, можно просто отметить, что человек, которому я отвечал, цеплялся к словам. Да и Вы вслед за ним. Журналистам наверное вместо словосочетания "квантовый телефон" нужно было каждый раз выписывать всю цепочку в виде обычного телефона с установленным спец ПО и подключённой к нему коробки устройства квантового распределения. Тогда всё было бы правильно и претензий у хабровчан не возникло бы :)))
Квантовое распределение ключей давно на проде.
https://en.wikipedia.org/wiki/Quantum_key_distribution#Commercial
Если аппаратура квантового распределения ключей встроена прямо в телефон, то штатно превращает. Термин употреблён по делу.
>а использование шифровальных мессенджеров = турьма, как я понимаю (поправьте, если не так)?
[c удивлением смотрю на Signal и Telegram, установленные в моём телефоне] . Да ладно?
В любом случае, чем быстрее это всё внедрят в практику, тем больше будет проблемок у тех, кто попытается запрещать такое шифрование. Так что лучше быстрее делать, пока законодатели не чухнулись.
>А, значит, скидываться на эту хрень будут снова все непричастные к
этому, которые никогда не заюзают эту хрень, потому что запрещено
пользоваться шифровальными мессенджерами?
Здесь мы увидели выступление против использования госструктурами защищённых каналов связи. Или против финансирования таких каналов из госбюджета. Анархизм - чудесная тема. Nuff said. Ах, впрочем, всё же скажу, что, поскольку иногда езжу поездами, я был бы против того, чтобы в коммуникации РЖД могли бы вклиниваться посторонние дятлы. Пусть внедряют.
>А для реализации квантового канала, разве не нужно какого-то спец оборудования, которое явно не оптоволокно?
Оптоволокно пригодно.
>А для передачи данных по обычным каналам связи, по которым хотят
передавать квантовые данные, разве нельзя передавать шифрованные
PGP-ключами данные, тот же разговор по телефону?
ZRTP-style протокол действительно можно соорудить. Хотя он геммороен в реализации и к надёжности самого ZRTP всё же есть некоторые вопросы. Но он, собственно говоря, ничем не лучше подхода с квантовыми ключами, если смотреть на масштабе. Думаю, при тиражировании технологии стоимость одного телефона очень быстро начнёт падать. И масштабов РЖД, imho, вполне достаточно, чтобы уронить её до уровня сопоставимого со стоимостью сотового на момент начала их внедрения.