Комментарии 37
С возвращением на Habr!
Каждый раз читаешь статью про квантовое шифрование. Каждый раз в статье приводятся железные аргументы, что взломать, не нарушив физику нельзя, что MITM атака невозможна. А потом "атака ярким светом", а потом оказывается, что для передачи на большие расстояния нужно много фотонов и повторители по дороге, а потом оказывается что для предотвращения MITM нужен еще один канал связи и так будет продолжаться, судя по всему, до бесконечности..
а что не так?
никакой магии там нет, если делать что-то неправильно - то будет неправильный результат.
Квантовый канал связи создает "разделенный ключ", но для удостоверения что все прошло правильно - нужен и обычный канал связи.
Ну-у-у, квантовое распределение ключей (КРК) в теории предполагает использование однофотонного источника (которого нет и вряд ли будет на приемлемых скоростях ~10-100 mps) + любую "несовершенную" аппаратуру можно обмануть. Поэтому основным показателем является сертификация у "знающих". Без сертификата КРК не КРК, как и любая другая криптографическая аппаратура.
А что если MITM имеет доступ сразу к обоим каналам и обладает точно таким же комплектом оборудования в двойном количестве ? Что удержит его от того, что бы получить квантовый ключ от Пети, сгенерировать свой подставной квантовый ключ и передать его дальше Васе. И наоборот - получить квантовый ключ от Васи и транслировать уже другой Пете. Каким образом Петя и Вася узнают, что они имеют дело с фальшивыми ключами ? Или поставлю вопрос по-другому: каким образом Петя узнает, что он имеет дело с Васей, а не с MITM. Я плохо понимаю квантовую теорию, прошу пояснить, в какой момент эта схема должна перестать работать. Спасибо.
Сам по себе протокол квантового распределения ключей симметричного шифрования к такой атаке неустойчив. Но, на самом деле, есть два сценария.
Первый - это то, что дополнительная аппаратура стоит на таком канале связи изначально. Этот случай соответствует, грубо говоря, тому, что дополнительная аппаратура смонтирована прямо на коммутаторе АТС до того, как линиями связи начал пользоваться хотя бы один из абонентов.
В этом случае, без передачи начального общего ключа по другому каналу связи, кажется, нельзя сделать ничего. Ну, во всяком случае, мне неизвестны публикации, в которых бы было описано, как решать эту проблему. Если есть начальный разделяемый секрет, который неизвестен злоумышленнику, современные протоколы квантового распределения ключей позволяют её обойти.
Второй случай - это вклинивание такой аппаратуры в уже работающей канал связи. Т.е. работа "нештатного" злоумышленника. В этом сценарии, во-первых, могла бы сработать какая-то индикация нарушения связи, если протокол создания симметричного ключа предусматривает его достаточно частую перегенерацию.
Во-вторых, можно было бы "навесить" вторым слоем ассиметричную криптографию, а она позволяет справляться с такими проблемами.
Сам по себе протокол квантового распределения ключей симметричного шифрования к такой атаке неустойчив
Тогда предлагаю следующую идею. У Пети и у Васи есть источники точного времение засинхронизированные от общего. На столько точные, что разница хода между ними позволяет отпределить расстояние пройденное фотонами за считанные метры прямым методом (не фазовым сдвигом). Когда Петя посылает "пакет" для Васе по квантовому каналу он фиксирует время отправки "пакета" и замеряет общее время "туда-обратно" + время обработки. Зная общую протяженность квантового канала, скорость распространения квантов света в нём и время обработки "пакета" Васей, Петя может точно определить был ли канал скомпроментирован. Аналогично, Вася на приёмной стороне вычисляет время прохождения пакета до него и так же может принять решения о ненарушении целостности и защищенности канала. Чтобы выполнить спуфиг в такой схеме, на мой взгляд, потребуется как минимум квантовый компьютер на порядок более сложный. Учитывая, что MITM все равно должен произвести обычные вычисления, которые занимают ощутимое время, то выполнить спуфинг без задержки ему будет катастрофически сложно. Чтобы еще больше усложнить задачу для MITM, необходимо отправлять пакеты в строго отведенные такты времени, скажем, в начале каждой секунды. Таким образом у MITM просто не остается времени чтобы выполнить все свои грязные делишки не внеся задежки и не "сдвинув" такт. Что думаете на сей счет ? Возможна ли такая схема ?
Теоретически она рабочая, практически встаёт вопрос о том, как делать на практике синхронизацию. Ну вот РЖД допустим внедрит у себя сотню-другую комплектов, что, к каждому источник сверхточной синхронизации тащить? Это нереально.
Идея с замером задержек красивая, но я бы чуть изменил подход.
Петя и Вася могли бы отправлять и возвращать друг другу случайно генерируемые секреты, замеряя время их возврата.
Если один секрет слать на уровне канала, а второй - на уровне (ну допустим) сеанса, то можно получать (наверное) относительно стабильную задержку между возвратом одного и второго и вклинивание в канал новой аппаратуры её изменит.
Но, однако же, встаёт вопрос о том, насколько стабилен "квантовый" канал. Если это точка-точка, всё будет работать, а если там осуществляется перекоммутация оптики в процессе работы, то, быть может, и не будет. Это уже, тогда, вопрос к Инфотексу, реально ли на их системе такое сделать и вообще как они предполагают противодействовать предложенной Вами схеме атаки.
"обладает точно таким же комплектом оборудования в двойном количестве ? Что удержит его от того, что бы получить квантовый ключ от Пети, сгенерировать свой подставной квантовый ключ и передать его дальше " - протокол КРК работает таким образом что при подключении промежуточного узла, Алиса и Боб не смогут выработать одинаковый ключь,
ну можно обсудить как обеспечить синхронную доставку фотонов Алисе и Бобу при условии что они внезапно захотять синхронизировать свои генераторы случайных чисел которые управляют источником и детектором фотонов
Протокол фазово-временной и доп узлы в канале связи внесут потери которые будут видны и попросту не дадут сгенерировать ключ
Чтобы передать такой сигнал нужно бесшовное волокно между точками? А если на пути будут коммутаторы, усилители, повторители или иное сетевое оборудование, ведь сигнал изменится?
1) Каковы перспективы увеличения максимальной дальности 100км? Когда сможем Москва-Питер без промежуточных точек?
2) Когда появятся беспроводной вариант технологии?
С учетом технических ограничений (необходимость использования выделенного волокна с довольно жесткими требованиями к его характеристикам, ограничения на максимальную длину каждой квантовой линии, в лучшем случае ~100 км) возникает вопрос экономической целесообразности использования данной технологии. В маркетинговых целях, конечно, можно построить линию связи, скажем Москва - Санкт-Петербург, с десятком промежуточных узлов, на которых будет осуществляться перешифровка трафика, но кто, кроме крупного телеком-оператора может себе позволить содержать такую конструкцию? Если же говорить о больших коммерческих компаниях, обладающих существенными бюджетами на ИБ, то их региональные сети насчитывают сотни узлов по всей стране, объединенных классическими криптошлюзами. И даже у этих компаний, очевидно, нет средств (и желания) для того, что бы на каждом их этих направлений строить выделенные оптические линии с установкой активного оборудования через каждую сотню километров. И нужно понимать, что эти узлы перешифровки трафика, сами по себе являются местом потенциальной утечки информации и требуют серьезных мер по своей защите.
Отдельно нужно отметить, что скорость генерации ключей в квантовых каналах измеряется десятками килобит в секунду (типовое значение 40 Кбит на каналах длиной порядка 30 км). За год эта конструкция способна породить порядка 40960 * 60 * 60 * 24 * 365 / 8 = 160 гигабайт ключей. Не проще взять два диска на пару терабайт нагенерить в них ключевой информации на 10 лет вперед, вставить их в два криптошлюза и защитить ими линию связи, скажем Москва - Владивосток? Частота смены ключей в этой схеме будет такая же, как в линии с квантовым распределением ключей (или, при необходимости, даже больше), но никаких расходов на оптические каналы, промежуточные узлы связи и т.д.
1)в случае с HDD возникает проблема, если вам нужно подключить ещё 1 узел. Надо отвезти туда HDD. В случае развитой сети оптических каналов, такой проблемы нет.
2)есть ещё проблема безопасной перевозки HDD.
Для того, что бы подключить еще один узел, его, как минимум, нужно смонтировать. На этом фоне вопрос транспортировки оборудования вообще не играет роли - это, в любом случае, обязательный пункт.
Вопрос перевозки носителя ключевой информации, безусловно есть, но это вполне решаемый вопрос. С учетом того, что можно отказаться от волоконной линии, от пары квантовых генераторов и криптошлюзов на каждые 100 км. трассы, на сэкономленные средства можно обеспечить самые параноидальные меры физической защиты носителя ключей.
В любом случае речь идет об использовании не стандартного HDD, а HSM-подобного устройства, созданного с учетом требований по обеспечению физической защиты, скажем на подобии FIPS 140 L4.
Вы рассматриваете с точки зрения работы одной организации.
Я же рассматриваю с точки зрения инфраструктуры.
Чтобы подключить узел не надо его монтировать. Это может быть узел другой организации.
По поводу параноидальной перевозки. А с интернетом вы тоже скажете ну зачем развивать инфраструктуру, можно же HDD отвезти?
Прелесть в том, что затраты на инфраструктуру делятся на всех. Пока клиентов надо, инфраструктуру придётся субсидировать, но потом и на самоокупаемость выйдет.
ограничения на максимальную длину каждой квантовой линии, в лучшем случае ~100км)
В стародавние времена (примерно до 2000 годов) магистральная связь по стране осуществлялась радиорелейными линиями - на трассе каждые 60 км находилась башня с ретрансляционным оборудованием. В этом свете, создание квантовой линии связи вполне возможно в рамках всей страны, если конечно есть возможность обеспечивать непрерывную аутентичность всех квантовых ретрансляторов.
На этом фоне в США принято решение начать работы по переводу всех государственных органов на постквантовую криптографию. (https://www.whitehouse.gov/wp-content/uploads/2022/11/M-23-02-M-Memo-on-Migrating-to-Post-Quantum-Cryptography.pdf). Сроки там весьма сжатые. Решения о продлении жизни класических криптоалгоритмов за счет квантового распределения ключей они не принимали, т.к., вероятно считают этот путь не самым эффективным (ни с точки зрения реальной защищенности, ни, тем более, с экономической).
А что такое постквантовая криптография ? Не является ли это новым модным словом для перераспределения гос средств ?
Это не модное слово, а класс криптоалгоритмов, не подверженных компрометации при помощи квантовых вычислений.
Я правильно понимаю, что для реализации этих алгоритмов требуются те самые квантовые компьютеры о которых там много говорят, но которых мало кто видел ?
Нет, не правильно. https://ru.wikipedia.org/wiki/Постквантовая_криптография#:~:text=Постквантовая криптография — часть криптографии%2C,потенциально уязвимыми для криптографических атак Это алгоритмы, работающие на обычных компьютерах и не уязвимые для квантовых компьютеров.
не надо путаь ассиметричную криптографию которая позволяет в течении недели максимум месяца перейти на новые протоколы в масштабах страны, с недоказанной стойкостью к взлому.
и симметричное шифрование которое имеет обоснованную оценку сложности дашифровки
Да вроде я и не путаю. В стандартных реализациях протоколов потокового шифрования почти всегда используется гибрид из ассиметричного и симметричного шифрования. В данном случае создатели системы КРК применяют ее в связке с потоковыми шифраторами именно для того, что бы избавиться от ассиметричного шифрования. Про гарантированную стойкость симметричного шифрования я ничего не писал. Схема потоковый шифратор на симметричных алгоритмах + генератор симметричных ключей на КРК - надежна и безопасна. Вопрос только в технических ограничениях предложенной технологии (максимальное расстояние между узлами КРК + необходимость наличия выделенного оптоволокна) и высокой стоимости реализации.
"промежуточных узлов, на которых будет осуществляться перешифровка трафика," - никакое перешифрования трафика не требуется, сама система ДПУ не передает трафик между клиентами.
Все узлы ДПУ получают индивидуальные пары симметричных квантово защищенных ключей и обмениваются служебным трафиком независимо
Давайте рассмотрим на конкретной задаче: пусть абоненты А и Б находятся, например, в Москве и Сенкт-Петербурге (расстояние ~700 км). Нужно между ними построить защищенный канал связи с использованием КРК. Полагаю, что для решения этой задачи потребуется, как минимум, поставить в пунктах А и Б по одному криптошлюзу и одному устройству КРК. Также из каждого объекта должен выходить канал связи, подлежащий шифрованию и оптоволокно, используемое в целях КРК.
Вопрос: какое КРК/криптографическое оборудование должно стоять на протяжении линии связи между пунктами А и Б и для чего?
магистральная сеть ДПУ - цепочка узлов ДПУ каждый из которых делает КРК с 2 соседними,
дальше в дело вступает криптография - для каждой пары ДПУ в цепочке генерируються квантовозащищенные ключи.
дополнительно ставим столько фаерволов сколько понадобиться для защиты сети.
Пункт А и Б получают от ближайших ДПУ индивидуальные квантовозащищенные ключи, и используют их по своему усмотрению, например можно сделать любое количество резервированных каналов, и для каждого канала каждый день менять ключи.
Можно в А и Б поставить телефонную сеть, тогда каждый абонент получит ключи для всех своих коллег.
"Не проще взять два диска на пару терабайт нагенерить в них ключевой информации на 10 лет вперед, вставить их в два криптошлюза и защитить ими линию связи, скажем Москва - Владивосток?"
срок годности ключей полтора года,
при добавлении одного узла в сеть надо доставить новые ключи на ВСЕ узлы сети.
если изначально сеть расчитывали на например на 1000 узлов, то при добавлении 1001 узла придеться заказывать и переразворачивать новые ключи в масштабах сети.
Я писал применительно к задаче закрытия канала точка-точка. Это достаточно типичная задача для бОльшей части заказчиков. Появляется новый объект, до него у операторов заказываются каналы связи, на объекте монтируется критошлюз и настраивается защищенное соединение удаленный объект - телеком. узел заказчика. Делать full для большинства задач нет смысла. И если, все-таки предположим, нужны защищенные соединения каждого криптошлюза с каждым криптошлюзом, то в КРК, при добавлении 1001 узла будет нужно проложить 1000 новых волокон до остальных устройств КРК в сети.
Сеть ККС ВРК как раз делается для того что бы выдавать квантовые ключи всем узлам, к узлу идет только одна квантовая линия, для QSS центральный квантовый сервер выступает посредником для всех квантовых клиентов. при этом сеть имеет топологию звезда или дерево с квантовым сервером в корне.
Появилось много новых аббревиатур (ККС ВРК, ДПУ, QSS), которые я не знаю и только догадываюсь, что за ними скрывается.
Касательно центрального квантового сервера-посредника - можно поподробнее рассказать, что это такое и какую роль он играет?
Ведь в базе квантовое распределение ключей - это конструкция из двух абонентов, каждый из которых имеет один и тот же ключ, и фундаментальные законы физики гарантируют, что этого ключа нет ни у одной третьей стороны. А здесь, я так понимаю, появляется как раз какое-то третье лицо, которое начинает распределять ключи.
Много "спекуляций" на тему квантовых ключей. Термины "квантовый ключ (КК)" и "квантовое распределение ключей (КРК)" не совсем верные, применительно к обсуждаемой тематике.
Упрощенно, речь идет о выработке ОДИНАКОВОЙ секретной последовательности случайных чисел (ПСЧ) на двух узлах, соединенных квантовым каналом связи (ККС). Поэтому задача разделяется на кучу подзадач:
Выработка честной ПСЧ (не псевдослучайной, а true). С этой задачей справляется только физический генератор случайных чисел (ГСЧ или RNG). Теоретически "очень круто" этим справляется квантовый ГСЧ (QRNG), для которого существует информационно теоретическое доказательство (по Шенону), но ... но аппаратура не совершена. Поэтому, ... за неимением гербовой, пишем на туалетной.
Эта последовательность по ККС передается на смежный узел (с использованием одиночных фотонов). Часть (меньшая, на 100 км ~1e-5) фотонов доходит до смежного узла, часть перехватывается "хулюганом" (из-за неоднофотонности ~ 1-2%), часть фотонов непонятно откуда приходят (температура, будь она неладна).
По аутентифицированному каналу (неквантовому и нешифрованному) на этих парных узлах выделяется общая для этих узлов ПСЧ, увеличивается его секретность, т.е. можно сказать мы имеем одинаковую и секретную (достаточно секретную для заданных целей) ПСЧ на двух смежных узлах, которые вырабатываются быстро (очень быстро, по сравнению с курьером)
Дале, эти ПСЧ используют по своему усмотрению:
некоторые "обзывают" их квантовыми криптографическими ключами и используют в алгоритмах шифрования и аутентификации
другие используют их для выработки криптографических ключей и в других криптоалгоритмах (все-таки они секретные)
... иные (которым девушки нравятся) хвастают ими перед девушками
P.S. Мне на хабре разрешили комменты писать. Это первый (второй) - не судите строго, но если укажете на ошибки - респект
Как и зачем создавалась одна из первых систем квантового распределения ключей в России