Отчего зависит безопасность квантовой сети? Часть 2

Авторы — Андрей Гайдаш, Георгий Мирошниченко, Антон Козубов

ООО «СМАРТС-Кванттелеком»

Продолжаем говорить о безопасности квантовой сети. Начало статьи можно прочитать в нашем блоге по ссылке — Отчего зависит безопасность квантовой сети? Часть 1 / Хабр

Проблема безопасности при передаче ключей

При рассмотрении производительности сети КРК мы используем следующие предположения:

1.    Узлы являются доверенными. Протокол аутентификации работает должным образом и даёт сбой с вероятностью не более εauth для каждого узла. Все узлы атакуются по отдельности и одновременно в каждом сеансе передачи ключей.

2.    КРК-соединения могут быть любого типа (через оптоволокно, свободное пространство, соединение «точка-точка» или с недоверенными узлами между ними, например, см. рис. 3),  должны работать должным образом между всеми узлами, и каждое соединение независимо должно быть εqkd-безопасным (для простоты мы считаем их одинаковыми для каждого соединения). Все КРК-соединения атакуются по отдельности и одновременно в каждом сеансе передачи ключей.

3.    Расстояние между двумя соседними узлами не превосходит предельного. Предельным должно рассматриваться расстояние между наиболее удалёнными друг от друга связанными (через c − 1) узлами.

Проблемы, с которыми приходится сталкиваться при оценке безопасности КРК-сети, схожи с проблемами в КРК-соединениях типа «точка-точка». Таким образом, приходится иметь дело с атаками как на аутентификацию узлов, так и на протокол КРК для каждого соединения. В принципе, вероятности отказа протокола аутентификации (εauth) и протокола КРК (εqkd) могут быть рассмотрены по отдельности согласно принципу композиции [48]. Однако, принимая во внимание/имея в виду сетевую реализацию, мы должны корректно масштабировать обе нотации с учётом определенных ограничений.

Более того, мы должны прояснить ещё один важный̆ момент. Неправильная реализация  может привести к уязвимостям, поскольку в открытом канале связи происходит неоднократная передача сообщений Ki, зашифрованных на одном и том же квантовом ключе k_pq. Подобная уязвимость распространена среди естественных языков/шифров: при использовании постоянно повторяющегося ключа (в нашем случае — сообщения) простое гаммирование может быть легко обращено/инвертировано с использованием частотного анализа. Существует два возможных решения данной̆ проблемы: первое (и самое простое) — применение хэш-функции к нашему сообщению Ki для перемешивания битов, после чего применяется гаммирование. Второе решение более полемичное.

Давайте введём несколько основных правил, раз уж мы ничем не ограничены при построении сообщений. Для устранения любых взаимосвязей̆, присущих естественным языкам, битовая строка (соответствующая сообщению Ki) должна быть сгенерирована с использованием случайных чисел, а также обладать свойством равномерного распределения.  

Проблема масштабирования аутентификации

Существует вероятность проведения атаки типа «человек посередине»: по сути, это атака на протокол аутентификации, когда злоумышленник полностью копирует один из узлов, точь-в-точь выполняя его функции, при этом не вызывая подозрений у своих соседей. После обмена квантовыми ключами между каждой парой узлов (включая подставные) в момент, когда доверенными узлами выполняется транспортировка ключей, скомпрометированный узел может получить передачу информации. Фактически, это атака на всю классическую схему передачи ключей (с квантово-распределёнными ключами), а не только на её КРК-«часть» («квантово-распределённую часть»). Чтобы максимизировать количество скомпрометированных узлов, нарушитель должен одновременно атаковать все доверенные узлы в определённом сегменте. Критерием успешной атаки является компрометация не менее c узлов подряд (по порядку узлов в самом длинном пути). Это условие следует из топологии сети, так как если скомпрометированы c узлов подряд, то нет возможности построить маршрут между первым и последним узлами. Иначе тогда все Ki могут стать известны злоумышленнику. Следует упомянуть, что подслушивающий не может оставить скомпрометированный узел, так как требуется знание предварительного общего ключа. Преступник может попытаться провести новую атаку в начале каждого сеанса.

Давайте рассмотрим не всю задачу, а только приближенное решение (т. е. приближение самого низкого порядка, которое хорошо работает с малыми вероятностями) следующим образом: наименьшее количество скомпрометированных узлов для успешной атаки равно c, и существует (N − c − 1) возможных конфигураций, которые могут быть расположены в ряд в пределах (N − 2) узлов (мы не рассматриваем компрометацию первого и последнего узлов). Здесь и далее мы предполагаем, что N и c могут принимать любые значения, но с условием c ≤ N − 2. Тогда очевидно, что общая вероятность успешной атаки на протокол аутентификации:

ε₁ ≈(N – c − 1) (ε_auth)^c.  (1)

Данное приближение приемлемо для малых 

что может быть легко удовлетворено.

Проблема масштабирования безопасности КРК

Для оценки безопасности сети следует также рассмотреть одновременные атаки на все КРК-связи, которые могут предоставить переданные ключи противнику. В некотором смысле эта задача тесно связана с задачей min-cut ИЛИ проблемой минимизации ИЛИ задачей наименьшего разреза [49] в теории графов. Общая идея рассматриваемой задачи заключается в нахождении минимального количества связей/рёбер, которые необходимо разрезать/удалить, чтобы разделить граф на две части. Основа метода весьма похожа на ту, что использовалась в предыдущем подразделе. Для обеспечения успешной атаки следует перехватить все входящие или исходящие связи из c узлов подряд. Однако в случае перехвата связи эта величина, a, может быть оптимизирована. Рисунок 6 иллюстрирует невырожденный min-cut/минимальный разрез для случая c = 3. Хоть и в случае нотации безопасности эта величина не является оптимальной. Основной причиной является выбранный протокол передачи ключей, который приводит к вырождению необходимой̆ величины при приближении к крайним узлам, как показано на рис. 6.

Рисунок 6. Изображены варианты атак на соединения между узлами (с организованными протоколами квантового распределения ключей) с дальнейшим нарушением связности между первым и последним узлами.

Таким образом, количество связей для min-cut лежит внутри следующего интервала:

Так как мы рассматриваем худший случай, то используется приближение наименьшего порядка. Злоумышленнику необходимо перехватить квантовый̆ ключ из определённых связей таким образом, чтобы все Ki передавались через эти связи, например, см. рис. 5.

Рисунок 5. Изображена схема маршрутизации протокола ключевого транспорта сегмента квантовой сети, где N = 6 и c = 2.

Очевидно, что наименьшее количество таких связей, которые передают все Ki, это те, которые связаны с первым или последним узлом; в любом случае, есть c связей (более высокие члены имеют порядок не менее c + 1). Следовательно, успешная атака на связи КРК может быть выполнена с вероятностью:

Данное приближение приемлемо для

которое, в свою очередь, легко выполняется. Особенно нужно отметить случай с c =1, при котором последнее выражение принимает вид ε2 =(N−1)·εqkd.

В общем случае, для любых c и N > c + 2 будет только два варианта для прослушивания всех Ki: перехват всех связей, либо исходящих из первого узла, либо всех входящих в последний̆ узел. Однако следует отметить, что существует только одно исключение из этого рассмотрения. Оно связано с предельным случаем минимально необходимого количества узлов, N = c + 2, для каждого числа последовательных соединений c, например, c = 2, N = 4. Объяснение довольно простое: в предельном случае всегда существует прямое соединение между вторым и последним узлами, что приводит к дополнительным возможностям прослушивания. Это увеличивает количество комбинаций для успешного перехвата связей с c, и, таким образом, вероятность отказа следует рассматривать как ε ≈ (c + 1)(εqkd)c.

Безопасность квантовой сети

Основной результат нашей статьи заключается в нотации безопасности для произвольных конфигураций квантовых сетей, использующих описанный протокол передачи ключей. Следуя принципу композиции, мы должны ограничить вероятность отказа квантовой сети (εqn) масштабированными вероятностями отказа протокола аутентификации (ε1) и протокола КРК (ε1) с помощью следующего выражения: εqn =ε1 +ε2 ≈(N−c−1)(εauth)c +2(εqkd)c.

Полученная формула будет полезна и для построения будущих квантовых сетей, и может использоваться для оптимизации уже существующих.

Список литературы

1. Pirandola, U. Andersen, L. Banchi, M. Berta, D. Bunandar, R. Colbeck, D. Englund, T. Gehring, C. Lupo, C. Ottaviani, J. Pereira, M. Razavi, J. S. Shaari, M. Tomamichel, V. C. Usenko, G. Vallone, P. Villoresi, and P. Wallden, “Advances in quantum cryptography,” arXiv:1906.01645 (2019).

2. C. Elliott, “Building the quantum network,” New J. Phys. 4, 46 (2002).

3. C. Elliott, A. Colvin, D. Pearson, O. Pikalo, J. Schlafer, and H. Yeh, “Current status of the DARPA quantum network,” Proc. SPIE 5815, 138–149 (2005).

4. C. Elliott and H. Yeh, “DARPA quantum network testbed,” Tech. Rep. (BBN Technologies, 2007).

5. A. Poppe, M. Peev, and O. Maurhart, “Outline of the SECOQC quantum-key-distribution network in Vienna,” Int. J. Quantum Inf. 6, 209–218 (2008).

6. J. Dynes, A. Wonfor, W.-S. Tam, A. W. Sharpe, R. Takahashi, M. Lucamarini, A. Plews, Z. L. Yuan, A. R. Dixon, J. Cho, Y. Tanizawa, J.-P. Elbers, H. Greißer, I. H. White, R. V. Penty, and A. J. Shields, “Cambridge quantum network,” NPJ Quantum Inf. 5, 101 (2019).

7. M. Peev, C. Pacher, R. Alléaume, et al., “The SECOQC quantum key distribution network in Vienna,” New J. Phys. 11, 075001 (2009).

8. F. Xu, W. Chen, S. Wang, Z. Yin, Y. Zhang, Y. Liu, Z. Zhou, Y. Zhao, H. Li, D. Liu, Z. Han, and G. Guo, “Field experiment on a robust 942 Vol. 14, No. 11 / November 2022 / Journal of Optical Communications and Networking Research Article hierarchical metropolitan quantum cryptography network,” Chin. Sci. Bull. 54, 2991–2997 (2009).

9. M. Sasaki, M. Fujiwara, H. Ishizuka, et al., “Field test of quantum key distribution in the Tokyo QKD network,” Opt. Express 19, 10387–10409 (2011).

10. S. Wang, W. Chen, Z.-Q. Yin, et al., “Field and long-term demonstration of a wide area quantum key distribution network,” Opt. Express 22, 21739–21756 (2014).

11. T. R. Beals and B. C. Sanders, “Distributed relay protocol for probabilistic information-theoretic security in a randomly-compromised network,” in International Conference on Information Theoretic Security (Springer, 2008), pp. 29–39.

12. L. Salvail, M. Peev, E. Diamanti, R. Alléaume, N. Lütkenhaus, and T. Länger, “Security of trusted repeater quantum key distribution networks,” J. Comput. Secur. 18, 61–87 (2010).

13. S. M. Barnett and S. J. Phoenix, “Securing a quantum key distribution relay network using secret sharing,” in IEEE GCC Conference and Exhibition (GCC) (IEEE, 2011), pp. 143–145.

14. S. J. Phoenix and S. M. Barnett, “Relay QKD networks & bit transport,” arXiv:1502.06319 (2015).

15. C. Ma, Y. Guo, and J. Su, “A multiple paths scheme with labels for key distribution on quantum key distribution network,” in IEEE 2nd Advanced Information Technology, Electronic and Automation Control Conference (IAEAC) (IEEE, 2017), pp. 2513–2517.

16. H. Zhou, K. Lv, L. Huang, and X. Ma, “Quantum network: security assessment and key management,” IEEE/ACM Trans. Netw. 30, 1328–1339 (2022).

17. S. Rass, A. Wiegele, and P. Schartner, “Building a quantum network: how to optimize security and expenses,” J. Netw. Syst. Manag. 18, 283–299 (2010).

18. N. R. Solomons, A. I. Fletcher, D. Aktas, N. Venkatachalam, S. Wengerowsky, M. Loncˇ aric´ , S. P. Neumann, B. Liu, Ž. Samec, M. Stipcˇ evic´ , R. Ursin, S. Pirandola, J. G. Rarity, and S. K. Joshi, “Scalable authentication and optimal flooding in a quantum network,” arXiv:2101.12225 (2021).

19. M. Pattaranantakul, A. Janthong, K. Sanguannam, P. Sangwongngam, and K. Sripimanwat, “Secure and efficient key management technique in quantum cryptography network,” in 4th International Conference on Ubiquitous and Future Networks (ICUFN) (IEEE, 2012), pp. 280–285.

20. S. Das, S. Bäuml, M. Winczewski, and K. Horodecki, “Universal limitations on quantum key distribution over a network,” Phys. Rev. X 11, 041016 (2021).

21. S. Pirandola, “End-to-end capacities of a quantum communication network,” Commun. Phys. 2, 51 (2019).

22. L. Jiang, J. M. Taylor, K. Nemoto, W. J. Munro, R. Van Meter, and M. D. Lukin, “Quantum repeater with encoding,” Phys. Rev. A 79, 032325 (2009).

23. Z. Zhao, T. Yang, Y.-A. Chen, A.-N. Zhang, and J.-W. Pan, “Experimental realization of entanglement concentration and a quantum repeater,” Phys. Rev. Lett. 90, 207901 (2003).

24. T.-J. Wang, S.-Y. Song, and G. L. Long, “Quantum repeater based on spatial entanglement of photons and quantum-dot spins in optical microcavities,” Phys. Rev. A 85, 062311 (2012).

25. M. Ghalaii and S. Pirandola, “Capacity-approaching quantum repeaters for quantum communications,” Phys. Rev. A 102, 062412 (2020).

26. A. S. Cacciapuoti, M. Caleffi, F. Tafuri, F. S. Cataliotti, S. Gherardini, and G. Bianchi, “Quantum Internet: networking challenges in distributed quantum computing,” IEEE Netw. 34, 137–143 (2019).

27. A. S. Cacciapuoti, M. Caleffi, R. Van Meter, and L. Hanzo, “When entanglement meets classical communications: quantum teleportation for the Quantum Internet,” IEEE Trans. Commun. 68, 3808–3833 (2020).

28. J. Illiano, M. Caleffi, A. Manzalini, and A. S. Cacciapuoti, “Quantum Internet protocol stack: a comprehensive survey,” arXiv:2202.10894 (2022).

29. H.-K. Lo, M. Curty, and B. Qi, “Measurement-device-independent quantum key distribution,” Phys. Rev. Lett. 108, 130503 (2012).

30. S. L. Braunstein and S. Pirandola, “Side-channel-free quantum key distribution,” Phys. Rev. Lett. 108, 130502 (2012).

31. K. Tamaki, H.-K. Lo, C.-H. F. Fung, and B. Qi, “Phase encoding schemes for measurement-device-independent quantum key distribution with basis-dependent flaw,” Phys. Rev. A 85, 042307 (2012).

32. X. Ma and M. Razavi, “Alternative schemes for measurementdevice- independent quantum key distribution,” Phys. Rev. A 86, 062319 (2012).

33. Y. Liu, T.-Y. Chen, L.-J. Wang, H. Liang, G.-L. Shentu, J. Wang, K. Cui, H.-L. Yin, N.-L. Liu, L. Li, X. Ma, J. S. Pelc, M. M. Fejer, C.-Z. Peng, Q. Zhang, and J.-W. Pan, “Experimental measurementdevice- independent quantum key distribution,” Phys. Rev. Lett. 111, 130502 (2013).

34. K. Goodenough, D. Elkouss, and S. Wehner, “Optimizing repeater schemes for the quantum internet,” Phys. Rev. A 103, 032610 (2021).

35. C. Ottaviani, C. Lupo, R. Laurenza, and S. Pirandola, “Modular network for high-rate quantum conferencing,” Commun. Phys. 2, 118 (2019).

36. G.-J. Fan-Yuan, F.-Y. Lu, S. Wang, Z.-Q. Yin, D.-Y. He, Z. Zhou, J. Teng, W. Chen, G.-C. Guo, and Z.-F. Han, “Measurementdevice- independent quantum key distribution for nonstandalone networks,” Photon. Res. 9, 1881–1891 (2021).

37. G.-J. Fan-Yuan, F.-Y. Lu, S. Wang, Z.-Q. Yin, D.-Y. He, W. Chen, Z. Zhou, Z.-H. Wang, J. Teng, G.-C. Guo, and Z.-F. Han, “Robust and adaptable quantum key distribution network without trusted nodes,” Optica 9, 812–823 (2022).

38. M. Lucamarini, Z. L. Yuan, J. F. Dynes, and A. J. Shields, “Overcoming the rate–distance limit of quantum key distribution without quantum repeaters,” Nature 557, 400–403 (2018).

39. S. Pirandola, R. Laurenza, C. Ottaviani, and L. Banchi, “Fundamental limits of repeaterless quantum communications,” Nat. Commun. 8, 15043 (2017).

40. S. Pirandola, S. L. Braunstein, R. Laurenza, C. Ottaviani, T. P. Cope, G. Spedalieri, and L. Banchi, “Theory of channel simulation and bounds for private communication,” Quantum Sci. Technol. 3, 035009 (2018).

41. M. Minder, M. Pittaluga, G. Roberts, M. Lucamarini, J. Dynes, Z. Yuan, and A. Shields, “Experimental quantum key distribution beyond the repeaterless secret key capacity,” Nat. Photonics 13, 334–338 (2019).

42. S. Wang, D.-Y. He, Z.-Q. Yin, F.-Y. Lu, C.-H. Cui, W. Chen, Z. Zhou, G.-C. Guo, and Z.-F. Han, “Beating the fundamental rate-distance limit in a proof-of-principle quantum key distribution system,” Phys. Rev. X 9, 021046 (2019).

43. X. Zhong, J. Hu, M. Curty, L. Qian, and H.-K. Lo, “Proof-of-principle experimental demonstration of twin-field type quantum key distribution,” arXiv:1902.10209 (2019).

44. V. Chistiakov, A. Kozubov, A. Gaidash, A. Gleim, and G. Miroshnichenko, “Feasibility of twin-field quantum key distribution based on multi-mode coherent phase-coded states,” Opt. Express 27, 36551–36561 (2019).

45. S. Wang, Z.-Q. Yin, D.-Y. He, W. Chen, R.-Q. Wang, P. Ye, Y. Zhou, G.-J. Fan-Yuan, F.-X. Wang, W. Chen, Y.-G. Zhu, P. V. Morozov, A. V. Divochiy, Z. Zhou, G.-C. Guo, and Z.-F. Han, “Twin-field quantum key distribution over 830-km fibre,” Nat. Photonics 16, 154–161 (2022).

46. F. Grasselli, H. Kampermann, and D. Bruß, “Conference key agreement with single-photon interference,” New J. Phys. 21, 123002 (2019).

47. R. Renner, “Security of quantum key distribution,” Int. J. Quantum Inf. 6, 1–127 (2008).

48. C. Portmann and R. Renner, “Cryptographic security of quantum key distribution,” arXiv:1409.3525 (2014).

49. T. H. Cormen, C. E. Leiserson, R. L. Rivest, and C. Stein, Introduction to Algorithms (MIT, 2022).

50. J. L. Carter and M. N. Wegman, “Universal classes of hash functions,” J. Comput. Syst. Sci. 18, 143–154 (1979).

51. C. Portmann, “Key recycling in authentication,” IEEE Trans. Inf. Theory 60, 4383–4396 (2014).

52. Y. Li and M. Chen, “Software-defined network function virtualization: a survey,” IEEE Access 3, 2542–2553 (2015). Research Article Vol. 14, No. 11 / November 2022 / Journal of Optical Communications and Networking 943

53. V. Martin, A. Aguado, J. Brito, A. Sanz, P. Salas, D. R. López, V. López, A. Pastor-Perales, A. Poppe, and M. Peev, “Quantum aware SDN nodes in the Madrid quantum network,” in 21st International Conference on Transparent Optical Networks (ICTON) (IEEE, 2019).

54. A. Aguado, V. Martin, D. Lopez, M. Peev, J. Martinez-Mateo, J. Rosales, F. de la Iglesia, M. Gomez, E. Hugues-Salas, A. Lord, R. Nejabati, and D. Simeonidou, “Quantum-aware software defined networks,” in International Conference on Quantum Cryptography (QCrypt) (2016).

55. E. Hugues-Salas, F. Ntavou, D. Gkounis, G. T. Kanellos, R. Nejabati, and D. Simeonidou, “Monitoring and physical-layer attack mitigation in SDN-controlled quantum key distribution networks,” J. Opt. Commun. Netw. 11, A209–A218 (2019).