Kryptografia kwantowa, hakowanie kwantowe i fotony Makarowa

dodał 25 września 2019 o 18:50 w kategorii Krypto  z tagami:
Kryptografia kwantowa, hakowanie kwantowe i fotony Makarowa

Kryptografia kwantowa to temat brzmiący nawet na pierwszy rzut oka tak tajemniczo, że pragmatyczne środowisko inżynierów zastanawia się, czy warto w ogóle się tym interesować, a środowisko infosec, czy jest się czego obawiać.

Czy bardziej obawiać się tajemniczego chińskiego satelity, który ustrzeli z lasera schemat Diffiego-Hellmana, czy raczej podatności nowego protokołu? Kryptografia kwantowa obejmuje dwa tematy prawie ze sobą niezwiązane. Pierwszym jest możliwość łamania kluczy kryptograficznych za pomocą komputerów kwantowych. Ten temat budzi sporo emocji i reakcję społeczności w postaci kryptografii postkwantowej. Wszyscy się zastanawiają, czy  komputery kwantowe, które mają łamać te klucze, to są te same,  których powstanie ogłaszają Google i IBM, czy jeszcze nie. Bardzo przejrzysty artykuł na Wiki podsumowuje aktualny stan wiedzy: https://pl.wikipedia.org/wiki/Komputer_kwantowy

Drugi temat w ramach kryptografii kwantowej to możliwość bezpiecznej wymiany kluczy kryptograficznych i o tym jest ten tekst. Naszym przewodnikiem po temacie będzie pochodzący z Rosji haker kwantowy Wadim Makarow, który wygląda jak młodszy brat Richarda Stallmana i najlepiej go obejrzeć i posłuchać w oryginale – [1], [2], [3].

Poniżej przedstawiam poglądy Makarowa i czasem je komentuję.

W lipcu Makarow odwiedzał nowo utworzone Centrum Kwantowych Technologii Optycznych na Uniwersytecie Warszawskim (patrz zdjęcie), gdzie prowadzone są badania z zakresu „ekstremalnej” łączności optycznej. Wydział Fizyki UW stanowi jedną z polskich „wylęgarni” naukowców i badań w tej dziedzinie.

Największą słabością kryptografii klucza asymetrycznego jest fakt, że musimy wysłać ten klucz jawnym łączem i trzymać kciuki, żeby nikt go nie sfaktoryzował (lub nie zlogarytmował w przypadku krzywych eliptycznych). Asymetria algorytmu nie gwarantuje bezpieczeństwa teoretycznego, tylko praktyczne: gwarantuje mianowicie, że faktoryzacja klucza będzie trwała tak długo, że będzie niepraktyczna (szyfr zostanie złamany, kiedy informacja będzie już nieważna). Co to w praktyce znaczy? Nieważny może być wbrew pozorom numer karty kredytowej, ponieważ co najwyżej za dwa lata będzie bezużyteczny. I to chyba jeden z niewielu przypadków tak ściśle określonego okresu ważności: tajemnice wojskowe, medyczne, bankowe, państwowe muszą pozostać bezpieczne przez dekady. Wiele tajemnic z czasów II wojny światowej nie zostało do dziś wyjaśnionych z powodu utajnienia archiwów w różnych państwach. Wiele krajów nie określa w ogóle, po jakim czasie archiwa wojskowe mogą zostać odtajnione.

Niestety informację zaszyfrowaną da się przechowywać dowolnie długo i wrócić do niej wtedy, kiedy będą dostępne metody łamania klucza. Dlatego wszystko, co dotąd wysłaliśmy przez sieć, używając RSA lub ECC, może któregoś dnia ujrzeć światło dzienne. To mleko rozlało się już dawno temu. Jeśli dodamy do tego kolejną dekadę na przezbrojenie systemów informatycznych w dużych organizacjach na nową kryptografię, dochodzimy do pesymistycznego wniosku, że powstanie dużych komputerów kwantowych umożliwi odczytanie naszych tajemnic, nim wyblakną.

Jeśli zamiast kryptografii asymetrycznej użyjemy bezpiecznego algorytmu wymiany kluczy, klucza nie użyjemy ponownie i będzie on równie długi co komunikat, taki schemat kryptograficzny określa się mianem one time pad (OTP) i dla niego da się formalnie udowodnić bezpieczeństwo transmisji (https://pl.wikipedia.org/wiki/Szyfr_z_kluczem_jednorazowym). Takiego rozwiązania szukamy.

Czy kryptografii klucza asymetrycznego da się uniknąć? Owszem, jeśli wymyślimy bezpieczny kanał przesyłania informacji. Jak to celnie podsumował Ryszard Tanaś, aby zbudować bezpieczny kanał łączności, trzeba najpierw mieć bezpieczny kanał łączności. I tu na pomoc kryptografii ruszyła fizyka, oferując „kanał, którego bezpieczeństwo gwarantowane jest przez prawa natury”.

Co mianowicie proponuje fizyka? Opis poniżej jest sprowadzony do minimum (z góry przepraszam fizyków za wszystkie nadmierne uproszczenia) i najważniejszym pojęciem fizycznym, na którym się opiera, jest pojęcie fotonu i jego polaryzacji. Na początku XX wieku okazało się, że światło na najbardziej elementarnym poziomie przenosi energię w porcjach. Taką porcję energii światła nazwano fotonem, a jej opisem zajmuje się gałąź optyki: optyka kwantowa. Foton ma szereg własności, jego energia zależy od częstotliwości (i długości=koloru) fali świetlnej, której jest częścią. Można mu nadać polaryzację, którą następnie można zmierzyć, ale tylko raz, bo pomiar kwantowy zmienia stan mierzonego obiektu. To zjawisko, zwane redukcją paczki falowej i związane z tzw. zasadą nieoznaczoności Heisenberga, obowiązuje zresztą nie tylko w mikroświecie. Uczciwość obywatela bywa odwrotnie proporcjonalna do odległości od najbliższej kamery monitoringu, ponieważ w życiu społecznym również fakt pomiaru zmienia stan obiektu. Więcej przystępnej wiedzy na temat sposobu kodowania informacji w pojedynczym fotonie znajduje się w pierwszym wykładzie Makarowa. Jeśli kiedykolwiek czytaliście „przystępny” artykuł o kryptografii kwantowej i zaczynał się od „weźmy operator unitarny U”, to Makarow tak nie zaczyna.

W 1984 roku Bennet i Brassard opublikowali algorytm wymiany klucza BB84, wykorzystujący dwa kanały informacji: kanał, którym przesyłane są pojedyncze fotony, których stan polaryzacji można nadawać i mierzyć na dwa wzajemnie wykluczające się sposoby, oraz drugi kanał (klasyczny), który może być publiczny, a którym przesyłana jest informacja o tym, w jaki sposób zakodowano w fotonie informację, czyli który ze sposobów pomiaru był właściwy. Fizyka, leżąca u podstaw algorytmu, gwarantuje, że: a) dokonanie pomiaru nieodwracalnie zmienia stan fotonu i b) fotonu, który był nośnikiem informacji, nie da się powielić, tak aby dokonać dowolnej liczby pomiarów na dowolnej liczbie kopii (współautorem dowodu jest pracujący od lat w USA absolwent AGH, prof. Wojciech Żurek). W efekcie każdy foton niesie informację o jednym bicie klucza, zakodowaną na jeden z dwóch sposobów.

Jak działa protokół BB84?

Nadawca (Alicja) dla każdego bitu wybiera losowo sposób kodowania, przenosi stan bitu na stan fotonu, zapamiętuje, którego kodowania użył, a następnie wysyła fotony kanałem pierwszym, a informację o użytym dla danego bitu kodowaniu – kanałem drugim.

Odbiorca (Bob) dokonuje pomiaru stanu fotonu, losowo wybierając jeden z dwóch sposobów i jeśli z kanału publicznego dowie się, że użył dla danego fotonu prawidłowego sposobu pomiaru, to oznacza, że bit, który odczytał z tego fotonu, jest prawidłowym bitem klucza. Na koniec informuje nadawcę, też jawnym kanałem, których bitów użył do konstrukcji klucza i obie strony mają ostatecznie ten sam klucz. Niektórych bitów klucza można użyć jawnie do weryfikacji, czy obie strony mają ten sam bit. Jeśli nie, to albo gołąb usiadł na światłowodzie, albo ktoś rozpalił ognisko pod mostem Łazienkowskim w Warszawie, albo mamy atak Man In The Middle (ten Man zwyczajowo w kryptografii ma na imię Ewa, a w kryptografii kwantowej Wadim). W każdym razie pomiar liczby błędów jest miernikiem poufności transmisji.

Oczywiście istnieje jeszcze wiele technicznych zagadnień do rozwiązania. Foton może zginąć w transmisji. Stan fotonu może ulec zmianie z powodu zderzenia z inną cząstką. Źródła pojedynczych fotonów działają losowo: akurat mają humor wyemitować foton albo nie (lub dwa naraz). Skądinąd w niektórych protokołach transmisji potrzebujemy pary – tak zwanych fotonów splątanych. Nazwa „fotony splątane” to dość oryginalne tłumaczenie angielskiego terminu entangled. Opisuje ono parę fotonów, które są wynikiem jednego procesu fizycznego i jak to u bliźniaków, jeden zawsze wie co się dzieje z tym drugim. Czyli zmiana stanu jednego z nich, na przykład wywołana pomiarem, powoduje zmianę stanu drugiego z nich. Takie procesy (i fotony) istnieją i umiemy je wytwarzać.

Szczegółów technicznych jest tu tyle, że wystarczy na cały wykład (patrz Makarow), ale jest niezbitym faktem, że na poziomie operacyjnym potrafimy wyemitować pojedynczy foton, wysłać przez światłowód lub w powietrzu czy w próżni, a następnie zmierzyć jego stan. I co najważniejsze, już kilka firm zademonstrowało, że ta technologia działa i potrafią przesyłać klucze: światłowodem na odległość ponad 140 km między węzłami, a w powietrzu 144 km z użyciem teleskopu, bez teleskopu natomiast 20 km. Szybko okazało się, kto we współczesnym świecie nie boi się zainwestować dużych pieniędzy w innowacyjną technologię. Informacja o chińskim satelicie, który za pomocą protokołu, opartego na fotonach splątanych, opublikowanego przez polskiego profesora Artura Ekerta, oferuje usługę dystrybucji kluczy kwantowych, zepsuła humor NSA, służb europejskich i izraelskich, żeby wymienić tylko kilku najważniejszych odbiorców tej informacji. A przy okazji kryptografii klucza asymetrycznego wyrósł nagle Delfin, kandydat na następcę tronu.

Jak podsłuchać niepodsłuchiwalne

Urzędowy optymizm i konieczność hodowania rynku (a nie jest tak łatwo sprzedać system wymiany kluczy za 100 tys. euro) podniosły temperaturę przekazu propagandowego. Fizycy i ich bracia inżynierowie po raz kolejny byli bliscy poczucia panowania nad światem, które towarzyszyło im już przy kilku wcześniejszych przełomach technologicznych, takich jak: wynalezienie narzędzi z kości, rogu i kamienia, opublikowane, jak wiadomo, w pierwszym numerze czasopisma „Nature” (recenzent się zlitował, bo praca była na prymitywnym poziomie), wynalezienie ognia czy szczególnie udane grzybobranie na pustyni w Los Alamos. Nawet jeśli odległość propagacji jest ograniczona, wystarczy, że mamy bezpieczne węzły i w węźle odbierzemy klucz z jednej strony i wyślemy z drugiej. A jeśli nie chcemy po powierzchni Ziemi, to niech klucze między stronami sieje satelita; wystarczy zmodyfikować lekko oryginalny algorytm do innego modelu użycia. Prawa fizyki gwarantują całkowite bezpieczeństwo naszej technologii. Dlatego właśnie nie jest tania. I wszystko byłoby tak pięknie, gdyby nie Makarow.

O hakowaniu nadajników

Makarow nie zajął się łamaniem teorii, ponieważ jest mądry i nie będzie występował czynnie przeciwko prawom fizyki. Makarow zajął się brudną materią, która ma za zadanie sprostać potrzebom pięknej teorii. Opisuje to po swojemu w ten sposób, że model sprzętu, używanego w wymianie klucza, jest pewną idealizacją rzeczywistego urządzenia. Urządzenie jest dużo bogatsze i zachowuje się w sposób nieprzewidziany przez model teoretyczny.

Zacznijmy od początku, czyli od źródeł światła dla potrzeb optyki kwantowej. W jaki sposób działa źródło jednofotonowe? Bierzemy laser, generujemy krótki impuls i przepuszczamy przez atenuator (tłumik), z którego wychodzi średnio 0,2 fotonu na jednostkę czasu. Tyle że foton jest niepodzielny: może wyjść zero albo jeden albo więcej. Liczba fotonów jest zgodna z rozkładem Poissona, co oznacza, że raz na jakiś czas mamy pojedynczy foton. Można tak, a można inaczej: wziąć kryształ nieliniowy, który generuje co jakiś czas pary (splątanych) fotonów – jeden wpuszczamy w światłowód, a drugi rejestrujemy i wtedy wiemy, że teraz się udało. Czyli mamy nośnik informacji. Potrzebujemy jeszcze samą informację. Żeby nadać fotonowi polaryzację zgodnie z wartością losowego klucza, musimy teraz przepuścić foton przez polaryzator, który jest ukryty gdzieś we wnętrznościach niepodsłuchiwalnego urządzenia. Z definicji: polaryzator jest przetwornikiem elektro-optycznym, który na podstawie sterującego nim sygnału elektrycznego nadaje polaryzację każdemu fotonowi, który przez niego przejdzie. Takiego fotonu nie da się wprawdzie sklonować, ale za to jak ktoś się nazywa Makarow, to wie, że nie musi. Wystarczy, że weźmie odpowiednio silny laser i świeci nim w światłowód, a światłowód z zewnątrz świeci prosto w ten polaryzator, no i ojej, fotony Makarowa polaryzują się dokładnie tak jak ten nasz tajny nieklonowalny foton, w którego polaryzacji zakodowany jest tajny bit klucza. No bo przecież z definicji „polaryzator nadaje polaryzację każdemu fotonowi” – it’s not a bug, it’s a feature.

Żeby foton Makarowa nie zepsuł stanu kwantowego „tego” fotonu, wystarczy zmienić długość fali: Alicja i Bob sobie ćwierkają na czerwonych fotonach, a dajmy na to zielone fotony ćwierkają do Makarowa swoją pseudolosową piosenkę. Makarow je odfiltruje sobie ze światłowodu, a czerwone polecą do Boba. Jak Makarow już ten cały ciąg ma, to wtedy słucha sobie w klasycznym publicznym kanale, kiedy Alicja i Bob się porozumieją, że udało im się uzgodnić polaryzację dla danego bitu klucza i które bity z ciągu Alicji Boba i Makarowa będą wchodzić do tego właściwego tajnego klucza. A jeśli Alicja i Bob zauważą dziwne zielone światełko i postanowią je wyciąć przy użyciu filtra, to nie szkodzi, nie szkodzi, Makarow poczeka, aż przeleci ten czerwony foton, co to miał przelecieć i też zaświeci czerwonym. Polaryzator jako ustrój fizyczny ma swoją latencję, czyli prędkość przełączania, stanu fizycznego makroskopowego elementu materii nie da się wbrew pozorom zmienić z prędkością światła. Życie codzienne fizyki to nie ciągła bułka z masłem opisana równaniami Maxwella, tylko brud, szum, opóźnienia, temperatura, co rośnie albo spada, rozpraszanie energii, chaos deterministyczny i Makarow. 

Ostatnia rzecz, o której warto wspomnieć to faza: oryginalne sformułowanie algorytmu BB84 jest w języku polaryzacji, natomiast można oprzeć kodowanie informacji o fazę, a nie polaryzację. Faza jest wielkością, którą umiemy dobrze kontrolować we współczesnych sieciach telekomunikacyjnych – to opanowaniu przez ludzkość technik kompensacji fazy zawdzięczamy przepustowości współczesnych światłowodów.

O hakowaniu generatorów liczb losowych

Kolejny element bezpiecznego szyfratora kwantowego za 100 tys. euro to generator liczb losowych, podłączony za pomocą FPGA do modulatora fazy, który na życzenie potrafi przesunąć fazę światła o pi/2. Makarow z kolegami wzięli się za niego i zbadali randomowość randoma. Odkryli, że z generatora wychodzi ciąg zer i jedynek. Natomiast z wyjścia FPGA do modulatora już nie. Prawdopodobieństwo sekwencji 00 i 11 było mniej więcej dwa razy większe niż 01 i 10. Wyglądało na to, że ktoś odbierał wartości losowe szybciej, niż źródło je generowało. Wynik był trochę podobny do generatora z Diliberta: https://dilbert.com/strip/2001-10-25.

Oczywiście synchronizacja zegarów trochę pomogła i szyfrator kwantowy po liftingu dalej kosztował 100 tys. euro. Inne podatności, o których była mowa powyżej, też zostały załatane, ale przy okazji mit o tym, że istnieją idealne szyfratory gwarantowane prawami fizyki, padł. Makarow niestrudzony parł naprzód i przeanalizował cały łańcuch dostaw szyfratora oraz różne części, które mogą pośredniczyć w wycieku informacji i różne sposoby, na jakie można zaimplementować trojana na poziomie sprzętowym (patrz wykład).

Kolejny ciekawy wątek wywodów Makarowa to brainstorming, w którym studenci wymyślają, jak uniemożliwić podsłuchiwanie. Widać w nim charakterystyczny dla Makarowa sposób myślenia. Jeśli protokół zakłada użycie konkretnej częstości fali światła, co zrobi rzeczywisty element optyczny, jeśli dostanie światło o innej częstości? Innej polaryzacji i fazie? W innym momencie niż spodziewany? Jeśli ma się odbywać modulacja fazy, jest to czynność rozciągnięta w czasie. Zapewne ze względów inżynierskich trwa ona dłużej niż proces modulowania. Czy można wskoczyć w to okno czasowe przed lub za impulsem?

O łamaniu odbiorników

Wygenerować pojedynczy foton nie jest łatwo (por. https://literat.ug.edu.pl/ateny/0050.htm). Ale zarejestrować pojedynczy foton też niełatwo. Makarow opisuje trzy sposoby: w temperaturze pokojowej są fotopowielacze i diody lawinowe, a jak kogoś stać technologicznie na kriogenikę, to w temperaturze +4 stopnie Kelwina może też użyć nadprzewodzącego nanodrutu. Następnie Makarow dla każdego z nich stosuje inny fizyczny trik, żeby przekonać detektor, że właśnie otrzymał foton. W każdym razie ostateczny przekaz Makarowa jest prosty: każdy z trzech typów detektorów jednofotonowych da się obejść. W wyniku tego obejścia kompromitujemy niepodsłuchiwalną technologię, której bezpieczeństwo jest gwarantowane prawami fizyki. I to jest prawda, że gwarantowane nadal prawami fizyki. Tyle że model urządzenia zakładał wyłącznie, że ono działa tak jak w protokole założone i kropka. Mówimy tu nie o nieudanym wdrożeniu z grantu, tylko o urządzeniach komercyjnych, TRL-9. Jeden z produktów skompromitowanych przez Makarowa został uznany za nienaprawialny (w ramach skończonego budżetu) i firma amerykańska ogłosiła, że wycofuje go z rynku. Dzięki możliwości oszukiwania detektora daje się wykonać klasyczny (tzn. kwantowy) atak MITM: ustawiając się pomiędzy Alicją i Bobem, z kopią Boba odbierającą dane od prawdziwej Alicji oraz kopią Alicji przemawiającej słodko do prawdziwego Boba.

Kto kwantem wojuje, od kwantu ginie

Własności detektorów i źródeł z domeny optyki kwantowej da się zmienić przy pomocy tejże optyki kwantowej. Technologii, zwłaszcza takiej młodej, trzeba czujnie patrzeć na ręce. Protokół opisuje to, co opisuje, i nic ponad to. Każda luka logiczna, niedomówienie, niedopowiedzenie, niejednoznaczność w protokole powróci jako podatność: albo na poziomie logicznym, albo jak u Makarowa na poziome par excellence fizycznym. Technologia działa zawsze „pod warunkiem, że” – i tych warunków jest dużo, a ciężko jest uwzględnić wszystkie. Technologią można się posłużyć w sposób inny niż założony przez twórców protokołu: w drugim wykładzie Makarowa jest prezentacja, jak otworzyć zamek za 500$ za pomocą młotka za 5$.

Czy to znaczy, że kryptografię kwantową należy wyrzucić szybkim ruchem do śmieci? Nie, bynajmniej: istnieją bezpieczne protokoły transmisji i Makarow też o tym opowiada. Oryginalne urządzenie też udało się utwardzić i dziury, z których korzystał Makarow załatać. No, ale czysty haking kwantowy, czyż nie?

Kwant a sprawa polska

W kwestii perspektyw: żyjemy w ciekawych czasach. Unia Europejska, która poszukuje złotego kluczyka technologicznego, żeby dognat’ i pieriegnat’ USA i Daleki Wschód, zdefiniowała „quantum flagship”, czyli inicjatywę QCI: finansujemy dwadzieścia różnych projektów, które mają w nazwie kwantowe. Czujniki, komunikację, medycynę. No i kryptografię. Ów chiński satelita to symbol na miarę Sputnika, który skuteczniej od projektu SETI udowodnił Amerykanom, że nie są sami we wszechświecie.

Erozja zaufania do kryptografii asymetrycznej zmusza do poszukiwania nowych dróg. Jedną z nich jest optyka kwantowa. W Polsce istnieje co najmniej kilka, jeśli nie kilkanaście jednostek: firm, ośrodków akademickich czy ponaduniwersyteckich agend i ośrodków badawczych, które mają kompetencje w zakresie optyki kwantowej. Nazwiska Wojciecha Żurka i Artura Ekerta już się pojawiły i takich nazwisk jest więcej: na Uniwersytetach Warszawskim, Gdańskim, Jagiellońskim, UMCS, UMK, Politechnice Warszawskiej czy też w poznańskim PCSS (na pewno jeszcze kogoś pominąłem). Nie tylko teoria. Także laboratoria. Niektóre bogate.

To, co uruchamia myślenie u naukowca, to dobrze postawiony cel. Warto stawiać mu takie zagadnienia technologiczne, jak zbudowanie bezpiecznego kanału wymiany kluczy, zwiększenie przepustowości łącza, bezpiecznego protokołu transmisji czy nowych algorytmów korekcji błędów. Jesteśmy od trzech dekad przyzwyczajeni do tego, że zachodnie jest lepsze, a u nas się nie da, bo nauka jest amerykańska, a przemysł niemiecki, ale nie ma takiego prawa natury, że „w Polsce się nie da”. Wprawdzie poszukiwanie wspólnego języka pomiędzy naukami podstawowymi, inżynierami i biznesem przypomina czasem błądzenie  z niebieskim laserem po ciemnym lesie, ale w czasach sztucznej inteligencji warto pamiętać o tej prawdziwej, która nadal potrafi rozwiązywać problemy, o których się sieci neuronowej nie śniło.

Autorem artykułu jest Teodor Buchner, R&D EXATEL, Wydział Fizyki Politechniki Warszawskiej, członek ISSA.