Kwantum Cryptografie

Kwantum Cryptografie Geschikt voor ABN Amro? 16 januari 2006

René Jorissen [email protected]

Rob Prickaerts [email protected]

1

Marc Smeets [email protected]

Samenvatting

Samenvatting ABN Amro verzendt dagelijks een groot aantal financiële transacties tussen vestigingen. Deze transacties worden allemaal digitaal verzonden. Voor ABN Amro is het van essentieel belang dat deze transacties veilig kunnen worden verzonden. Dit betekent dat ABN Amro zich niet kan veroorloven dat gegevens van deze transacties worden gestolen, gewijzigd en/of gekopieërd. Dit zou rampzalig voor ABN Amro kunnen zijn. Beveiliging van deze digitale verbindingen is dan ook belangrijk voor ABN Amro en vergelijkbare organisaties. Het beveiligen van de verbindingen kan op een aantal manier gebeuren. De nieuwste manier van beveiliging wordt voorzien door gebruik te maken van kwantum cryptografie. Bij deze soort van beveiliging wordt gebruik gemaakt van de kwantum eigenschappen van bijvoorbeeld fotonen. De ontwikkeling naar kwantum cryptografie staat nog in de kinderschoenen, maar het onderzoek naar de techniek is volop in gang. Kwantum cryptografie wordt beschouwt als onkraakbaar, omdat elke poging om de verbinding af te luisteren, wordt opgemerkt. Voor ABN Amro is een onderzoek ingesteld waarbij de voortgang van kwantum cryptografie onderzocht is en waarbij gekeken is naar de mogelijkheid van implementatie voor ABN Amro. Voor ABN Amro is het van belang om een verbinding tussen Amsterdam en Weesp en om een verbinding tussen Amsterdam en Cookeville, Tennessee te beveiligen. Om verschillende redenen wordt geadviseerd om kwantum cryptografie niet te implementeren, maar om gebruik te maken van de huidige symmetrische en asymmetrische vormen van beveiliging. Een reden waarom geadviseerd is om kwantum cryptografie niet te implementeren is de reikwijdte. Op het moment is de reikwijdte voor verbindingen, die beveiligd zijn met kwantum cryptografie, niet heel erg groot. Meer over het onderzoek en de conclusies staan in de rest van het consultancy rapport vermeld.

Pagina 2 van 23

Inhoudsopgave

Inhoudsopgave 1 Inleiding

4

2 De werking van Kwantum Cryptografie

5

2.1

Geschiedenis van Kwantum en Qubits . . . . . . . . . . . . . . . . . . . . .

5

2.2

Kwantum Computer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6

2.3

Traditionele Cryptografie . . . . . . . . . . . . . . . . . . . . . . . . . . . .

6

2.4

Kwantum Cryptografie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8

3 Onderzoek naar kwantum cryptografie

11

3.1

Onderzoek bij het CWI . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

11

3.2

Onderzoek binnen de Europese Unie . . . . . . . . . . . . . . . . . . . . . .

12

4 Kwantum hardware 4.1

4.2 4.3

14

id Quantique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14

4.1.1

Vectis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

4.1.2

Clavis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16

4.1.3

Vergelijking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16

Magiq Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

4.2.1

Magiq QPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

Toshiba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

18

4.3.1

18

Quantum Crypto Systeem . . . . . . . . . . . . . . . . . . . . . . . .

5 Conclusie

20

Pagina 3 van 23

Kwantum Cryptografie - Geschikt voor ABN Amro?

1

Inleiding

Beveiliging wordt steeds belangrijker voor organisatie en zeker voor organisaties zoals ABN Amro. Beveiliging bestaat uit verschillende soorten beveiliging en kan op verschillende manieren worden ge¨ımplementeerd. Fysieke beveiliging van een serverruimte is bijvoorbeeld heel belangrijk, maar ook dataverbindingen met andere locaties moeten worden beveiligd om te voorkomen dat kritieke informatie wordt gestolen of gewijzigd. Mocht kritieke informatie worden gestolen of nadelig worden gewijzigd, kan dit grote gevolgen hebben voor een organisatie als ABN Amro. Dit consultancy rapport geeft advies over het beveiligen van verbindingen tussen drie locaties van ABN Amro. Het gaat hier om een locatie in Amsterdam, Weesp en een locatie in Cookeville, Tennessee in de Verenigde Staten. Het beveiligen van verbindingen kan op verschillende manieren worden ge¨ımplementeerd. De nieuwste en nog steeds in ontwikkeling zijnde oplossing is kwantum cryptografie. Kwantum cryptografie maakt gebruik van de kwantum eigenschappen van bijvoorbeeld een foton. Om te kunnen bepalen of kwantum cryptografie kan worden toegepast binnen ABN Amro, is een onderzoek uitgevoerd naar de huidige mogelijkheden van kwantum cryptografie. Daarbij wordt een beschrijving gegeven van de werking van kwantum cryptografie. Tevens is gekeken naar onderzoek dat op dit moment binnen Nederland loopt op het gebied van kwantum cryptografie en hebben we een gesprek gehad met de heer Serge Fehr van het CWI in Amsterdam. Verder zijn een drietal leveranciers van kwantum netwerkcomponenten bekeken om te zien of deze leveranciers netwerkcomponenten zouden kunnen leveren voor het implementeren van beveiligde verbindingen, met behulp van kwantum cryptografie, tussen Amsterdam en Weesp en tussen Amsterdam en Cookeville, Tennessee.

Pagina 4 van 23


2

De werking van Kwantum Cryptografie

Het woord kwantum is afgeleid van het Latijnse “quantus”, dat “hoeveel”betekent. Strikt vertaald gaat kwantum dan ook over een hoeveelheid van iets. Gerelateerd aan de wetenschappelijke wereld van natuurkunde hebben we het bij kwantum over de meest, heden bekende, elementaire entiteit. Licht kwantum slaat in deze context dan ook op de kleinste hoeveelheid licht, een foton. Kwantum cryptografie refereert naar cryptografie op het meest elementaire niveau.

2.1

Geschiedenis van Kwantum en Qubits

In het begin van de twintigste eeuw was het Max Planck die als eerste het het idee van kwantum theorie naast de klassieke theorie opperde met zijn Theorie of emission spectrum of black bodies. Maar het duurde tot 1926 alvorens de theorie van kwantum daadwerkelijk, mathematisch, juist werd geformuleerd. Een grote rol daarbij was weggelegd voor Werner Heisenberg die met zijn Heisenberg onzekerheids principe aantoonde dat je iets moet weten alvorens je weet in welke staat het is, maar dat het meten van iets de staat zal veranderen. Pas een flink aantal jaren daarna is het Benjamin Schumacher geweest die de kwantum theorie interessant heeft gemaakt voor de computerwetenschap. Hij is er achter gekomen dat de staat van een foton kan worden gerepresenteerd in de vorm van een kwantum bit, ook wel qubit genoemd. Door het meten van de horizontale en verticale staat van polarisatie van een foton, kan een qubit de waarde 0 of 1 hebben. Dit is hetzelfde als een normale bit. Echter, een qubit onderscheidt zich van een normale bit doordat een reeks van qubits kwantumverstrengeling kan vertonen. Deze verstrengeling zorgt ervoor dat een reeks gepaarde qubits een relatie met elkaar hebben onafhankelijk van afstand. En dat die verstrengeling ervoor zorgt dat als eenmaal de waarde van de eerste qubit bekend is de waarde van de tweede automatisch ook bekend is. Een andere eigenschap van qubits is superpositie. Door middel van superpositie kan een qubit meerdere waardes tegelijkertijd aannemen. Naast de reeks qubits met de waarde 001001, kunnen dezelfde qubits ook bijvoorbeeld de waardes 101010 bevatten. Dit is een wezenlijk verschil ten opzichte van een normale bitreeks en biedt interessante potentie voor een nog te ontwikkelen kwantum computer. Deze voorstellen voor een kwantum computer stammen uit 1981 en zijn voorgesteld door Richard Feynman.

Pagina 5 van 23


2.2

Kwantum Computer

Doordat een qubit meer waardes kan aannemen dan een normale bit, wordt een computer gebaseerd op qubits gezien als een revolutie in de computerwetenschap. Een normale computer heeft geheugen opgebouwd uit geheugen gemaakt van bits. Elke bit betekent een 0 of een 1. Om berekeningen uit te voeren moeten de bits worden verplaatst vanuit het geheugen naar een logische operator, en weer terug. Een kwantum computer maakt gebruik van qubits, die een 0,1 of beide kunnen voorstellen. Berekeningen worden ook hier uitgevoerd door operatoren, kwantum logische operatoren. Wetenschappers zijn het er unaniem over eens dat een kwantum computer enorme snelheidswinsten zal boeken. Immers, doordat een qubit meer dan 1 waarde tegelijkertijd kan bevatten, zijn er beduidend minder qubits dan traditionele bits nodig om hetzelfde aantal uitkomsten voor te stellen. Waarvoor voorheen een 64 bits klassieke computer nodig was, zal een 5 qubits kwantum computer kunnen volstaan. Grofweg stijgt de capaciteit van een kwantum computer exponentieel. Gerelateerd hieraan is de enorme snelheid die een kwantum processor kan bereiken. In de tijd dat een klassieke computer 1 berekening uitvoert, zal een kwantum computer 2n berekeningen kunnen uitvoeren. Dit resulteert in een enorme snelheid voor parallelle berekeningen die met een klassieke computer nooit gehaald kunnen worden. Tot op heden zijn kwantum computers nog niet toegepast en blijft het een theoretisch iets met sporadisch een prototype. Bij het maken van een kwantum computer is één van de velen moeilijkheden het, lang genoeg, stabiel houden van de kwantum toestand van een qubit zodat de staat kan worden veranderd. Al tientallen jaren wordt er vanuit het bedrijfsleven en de wetenschappelijke wereld geld gestoken in onderzoek naar kwantum computers. Tot op heden het eerste succes dat kan leiden tot een kwantum computer voor massaproductie is onlangs behaald door de University of Michigan [1].

2.3

Traditionele Cryptografie

Cryptografie zorgt ervoor dat communicatie tussen Alice en Bob niet kan worden afgeluisterd door Eve door de berichten te versleutelen. Binnen de traditionele cryptografie bestaan er twee verschillende manieren voor deze versleuteling; namelijk Shared Secret en Public Key. Bij Shared Secret cryptografie zijn alle berichten tussen Alice en Bob het resultaat van een XOR (eXclusive OR) functie van het oorspronkelijke bericht en de geheime sleutel. Om een bericht verstuurd door Alice te decoderen hoeft Bob alleen maar het ontvangen bericht XOR’en met de geheime sleutel. Het gevaar hierin zit in het feit dat Eve alle communicatie kan horen zodra de geheime sleutel bekend is. Dit kan gebeuren terwijl Alice en Bob in de veronderstelling zijn dat de geheime sleutel geheim is. Pagina 6 van 23


Een oplossing hiervoor is om de geheime sleutel met enige regelmaat te veranderen. Het venijn daarin zit in het gevaar bij het overeenkomen van een nieuwe geheime sleutel. Als dit gebeurt via een publiek kanaal zoals het Internet, is de kans aanwezig dat het overleg over de nieuwe geheime sleutel wordt afgeluisterd. Het veiligst zou zijn als Alice en Bob deze sleutel afspreken tijdens een non-virtuele afspraak. Maar dat kan praktische problemen met zich meebrengen wanneer Alice zich bijvoorbeeld bevindt aan de andere zijde van de wereld. Cryptografie gebaseerd op geheime sleutels bestaat al zo lang als communicatie tussen mensen. Maar het is vooral het probleem van de distributie van de geheime sleutel (Key Distribution Problem) ten tijden van de Tweede Wereldoorlog en de nood voor veilig communiceren op het Internet van de laatste paar jaren die de vraag naar een nieuw soort cryptografie heeft laten groeien. Public Key cryptografie lost dit probleem op en werkt als volgt. Ieder persoon die aan deze vorm van cryptografie wil doen beschikt over een sleutelpaar. Dit sleutelpaar bestaat uit een publieke sleutel die door iedereen te achterhalen is, en een privé sleutel die alleen de eigenaar kent. Deze twee sleutels zijn mathematisch aan elkaar gerelateerd. Als Alice een bericht wil versturen naar Bob, dan zal ze het bericht versleutelen met de publieke sleutel van Bob. Dit bericht is, door de mathematische opzet van de sleutels, alleen te decoderen met de privé sleutel van Bob. De mathematische relatie tussen de privé en de publieke sleutel vindt zijn origine in priemgetallen. Doordat beide sleutels een resultaat zijn van een berekening met hele grote priemgetallen, is het extreem moeilijk om een bericht te decoderen zonder sleutel. Rekenen met zulke grote onbekende priemgetallen is immers voor de hedendaagse computers een taak waar velen jaren, zo niet eeuwen voor nodig zijn. Dit mits de sleutels wel een lengte hebben van minimaal 128 bit (afhankelijk van het gekozen algoritme). Echter, door de (mogelijke) komst van kwantum computers die door hun opzet een haast niet te bevatten snelheidswinst bewerkstelligen lopen alle huidige vormen van cryptografie gevaar. Door de rekenkracht van kwantum computers is het kraken op een brute manier van de codering teruggelopen van jaren/eeuwen tot minuten/seconden. Niet geheel onverwacht ligt de oplossing hiervoor ook in de kwantum hoek.

Pagina 7 van 23


2.4

Kwantum Cryptografie

Het onderzoek naar de mogelijkheden van kwantum cryptografie vindt haar wortels in een voorstel van Stephen Weisner in de vroege jaren 70, “Conjugate Coding”, welk uitendelijk is gepubliceerd in 1983. Met Weisners onderzoek als basis, hebben Bennett en Brassard vervolgens het allereerste kwantum cryptografie protocol “BB84” ontwikkeld. Het was echter pas in 1991, dat hiervan ook een werkend prototype kon worden ontwikkeld. Dit alles gebeurde over een afstand van 32 centimeter. Tegenwoordig kunnen grotere afstanden worden bereikt van ongeveer 100 kilometer. Bij kwantum cryptografie worden er twee communicatie kanalen gebruikt: een publiek kanaal (bijvoorbeeld het Internet), en een privé kanaal. Het publieke kanaal bestaat uit normale infrastructuur. Het privé kanaal bestaat uit een kwantum kanaal wat bestaat uit speciale hardware met daartussen een privé fiber connectie. Deze verbinding is niet gehele veilig (anders zouden we alleen maar deze verbinding gebruiken), maar biedt wel de mogelijkheid op te merken wanneer iemand afluistert. Dat het afluisteren wordt opgemerkt ligt aan de manier hoe kwantum cryptografie wordt opgebouwd. De door de privé verbinding doorgestuurde data bestaat uit fotonen. Zoals eerder uitgelegd zijn deze fotonen in een bepaalde staat op een bepaald moment en omdat ze data representeren worden ze qubits genoemd. Deze fotonen bewegen zich voort in golven. Door er een twee-dimensionale polarisatiefilter voor te houden kan de qubit een bepaalde waarde worden toebedeeld. De staat (bewegingsrichting) wordt genoteerd als |1i of |0i en wordt bepaald zoals te zien is in onderstaand figuur.

Figuur 1: Polarisatie staat Een detector net achter de polarisatie filter kan herkennen of een foton is verzonden in dezelfde richting als dat de filter was op dat moment. Deze polarisatie filter beweegt, anders zouden alle foton die de filter verlaten dezelfde waarde hebben. De waardes die kunnen worden gerepresenteerd staan hieronder afgebeeld. Als Alice nou een reeks van fotonen verzendt door een polarisatie filter met detector, dan zal Pagina 8 van 23


Figuur 2: Polarisatie waardes

Bob deze ontvangen. Als Bob deze fotonen een polarisatie filter met detector laat passeren, en deze filter op willekeurige (maar voor Bob bekende!) wijze van richting veranderd, dan bestaat er kans dat Bob een aantal fotonen juist zal raden. Een belangrijk feit is dat een door Alice verzonden foton in de 0α staat heeft een kans van 0.5 dat die wordt doorgelaten door Bob als deze zijn filter in de 1β staat heeft staan. In onderstaand figuur wordt de kans aangegeven dat Bob een foton juist ontvangt of niet.

Figuur 3: Kans op succes

Pagina 9 van 23


Nadat Alice op deze manier een eindige reeks aan fotonen heeft verstuurd via het privé kanaal, zal Bob de standen van zijn polarisatiefilter doorsturen via het publieke kanaal. Alice zal via het publieke kanaal antwoorden welke van Bobs standen overeenkwamen met Alice. Door deze te vergelijken, zal er een geheime bitreeks ontstaan die door Alice en Bob als geheime sleutel kan worden gebruikt. Het tot stand komen van de sleutel is in onderstaande tabel uitgebeeld. Alice’ filter: Bobs filter: Bobs uitkomst:

1α 1α 1

0α 1β 1

0β 1β 0

1β 1α 0

1α 1α 1

1β 1β 1

1α 1β 1

Nadat Alice aan Bob heeft verteld welke filters hetzelfde waren als die van haar blijft de volgende bitreeks over die zal worden gebruikt als geheime sleutel: Geheime sleutel:

1

-

0

-

1

1

-

De sleutel is nu dus 1011. Maar, dit is alleen maar zo omdat afluisteren door Eve moet zijn opgevallen. Door het principe van Heisenberg weten we dat door het meten van een qubit de staat wordt veranderd. Als Eve tussen de communicatie van Alice en Bob zou gaan zitten luistervinken, dan zou dat opvallen doordat ongeveer de helft van de metingen die overeen zouden moeten komen dat niet doen. Neem de eerste qubit in bovenstaand voorbeeld. Eve zou deze positief van Alice kunnen ontvangen, maar de kans dat de qubit na het verlaten van Eve ook postief door Bobs 1α filter wordt ontvangen is 50%. Door het overleg dat Alice en Bob na iedere communicatie reeks over de privé lijn hebben, kunnen ze beiden achterhalen wanneer ze iets hebben ontvangen wanneer dat niet zou moeten. Het resultaat daaruit is dat het privé kanaal dan niet veilig is en dat de bitreeks niet zal worden gebruikt als geheime sleutel bij communicatie over het publieke kanaal.

Pagina 10 van 23


3

Onderzoek naar kwantum cryptografie

In Nederland wordt er tegenwoordig steeds meer onderzoek gedaan naar de mogelijkheden van kwantum cryptografie. Uit onderzoek kwam naar voren dat bij het CWI (Centrum van Wiskunde en Informatica) te Amsterdam, een onderzoek loopt naar de cryptografische zwakheden binnen kwantum cryptografie. Daarnaast onderzoekt Philips Nederland, in samenwerking met TU Eindhoven de practische toepassingsmogelijkheden voor kwantum cryptografie. We hebben getracht om meer informatie te verkrijgen over het onderzoek van Philips en de TU Eindhoven. Het is echter niet gelukt om tijdig verdere informatie over dit onderzoek te verkrijgen, omdat de informatie over dit onderzoek pas sinds laat bij ons bekend is geworden. Dit hebben we wel nog geprobeerd, maar het mocht helaas niet zijn. We zijn er wel in geslaagd in contact te komen met één van de betrokken personen bij het onderzoek naar kwantum cryptografie bij het CWI. Allereerst hebben we contact opgenomen met prof. Ronald Cramer. Deze is het hoofd van de Cryptology and Information Security Research Theme bij het CWI. We zijn vervolgens doorverwezen naar dhr. Serge Fehr, één van de leden van deze groep. Daarnaast zijn we op zoek gegaan naar onderzoeksmogelijkheden binnen Europa. Zo kwamen we dan ook terecht bij een projectgroep gesponsord door de Europese Unie genaamd de SECOQC [2].

3.1

Onderzoek bij het CWI

Cryptography in the bounded Quantum-Storage Model Het onderzoek bij het CWI is strikt theoretich van aard. Er is geen gebruik gemaakt van een testopstelling of van één van de beschikbare kwantum netwerkcomponenten van vandaag de dag. Er is wel een bereik opgegeven waarbinnen het onderzoek zich bevind. Het is een onderzoek naar de sterke en zwakke punten binnen de gebruikte protocollen voor kwantum cryptografie. De basis van de cryptografie is te verdelen in twee basis onderdelen. Bit Commitment (BC) en Oblivious transfer (OT). Bij BC, een Committer C verplicht deze zich tot een keuze van een bit b door informatie uit te wisselen met een Verifier V. Het is niet de bedoeling dat V kan achterhalen welke b de committer heeft gekozen (de commitment is hidding), C kan later besluiten om de waarde van b toch vrij te geven (de commitment is binding). Bij OT, verstuurd een Sender S een bit b naar een Reciever R, door het uitvoeren van een protocol, waardoor R b met een waarschijnlijkheid van 1/2 ontvangt, maar dus ook met een waarschijnlijkheid van 1/2 niets ontvangt. S weet niet welke van de twee het geval is. Het probleem bij BC is dat het voor V niet mogelijk is te achterhalen of C daadwerkelijk de waarde van b hanteert, welke deze aan het begin had gekozen, omdat V niet weet wat in b is vastgelegd. C kan zich tijdens het opzetten van de communicatie, verbinden aan een

Pagina 11 van 23


waarde 0 voor b, echter aan het einde kan C toch vertellen dat deze zich had verbonden aan b met waarde 1. Dit is voor V niet te achterhalen. Hierdoor is BC dan ook niet mogelijk bij twee partijen, welke elkaar niet onvoorwaardelijk kunnen geloven. Ook voor OT geldt dat dit een onmogelijke situatie opleverd. Het is binnen de normale communicatie kanalen niet mogelijk om volledige veiligheid van het kanaal te garanderen wanneer niet alle betrokken partijen onvoorwaardelijk kunnen worden vertrouwd. Er zijn echter drie scenarios waarin dit wel bruikbaar is: - Als de betrokken partijen een gelimiteerd computable vermogen bezitten - Als de communicatie noisy is - Als een Eavesdropper een fysieke limitatie heeft. b.v. Een beperkte grootte van het geheugen Het eerste scenario is de basis voor vele bekende crypto oplossingen zoals we deze vandaag de dag kunnen vinden. De kracht zit in de voor de hand liggende, maar onbewezen complexiteit van de factorisatie van priemgetallen. Het tweede scenario is gebruikt om zowel BC en OT protocolen in verschillende modellen m.b.t. noise. Het laatste scenario heeft betrekking op het onderzoek bij het CWI. De afbakening betreft een communicatie tussen twee partijen, welke beide geen kwantum geheugen gebruiken, om de ontvangen qubits op te slaan, alvorens deze te decrypten. Tevens wordt er vanuit gegaan dat een eventuele Eavesdropper slechts over een beperkt kwantum geheugen beschikt. Dit laatste is een van de belangrijkste factoren in dit onderzoek. De toepassingsmogelijkheden van de protocollen welke worden onderzocht, zijn allen bruikbaar binnen de huidige stand van de techniek.

3.2

Onderzoek binnen de Europese Unie

De Europese Unie heeft een budget van 11 miljoen Euro vrij gemaakt, voor onderzoek naar de mogelijkheden van kwantum cryptografie. Dit is mede gekomen door afluistersystemen als Echelon, één van de security systemen van de NSA in Amerika. Met dit systeem kunnen vrijwel alle communicatiekanalen over de wereld worden afgeluisterd. Met dit nieuwe onderzoek, wil de Europese Unie een stap zetten naar een communicatiekanaal dat door niemand kan worden afgeluisterd. Zelfs niet door een Echelon! Het onderzoek wordt binnen de Europese Unie uitgevoerd door meerdere lidstaten van de EU. Het zal worden uitgevoerd onder de gezamelijke naam SECOQC, een projectgroep welke speciaal hiervoor is opgericht. Nederland zal hier, zover bekend, echter geen deel aan nemen. Het onderzoek spitst zich vooral toe tot het uitbreiden van de huidige kwantum cryptografie techniek. Het is tot op heden niet mogelijk om deze techniek toe te passen Pagina 12 van 23


over grotere afstanden. De Europese Unie wil middels dit onderzoek een nieuwe methoden zoeken om deze gelimiteerde afstanden te vergroten. De gebruikte techniek zal niet worden opgezet voor data transmissie, maar alleen voor het creren en uitwisselen van encryptie sleutels. De encrypte data zal vervolgens via normale communicatie kanalen moeten verlopen. De komende 18 maanden zullen, door de verschillende deelnemers, meerdere oplossingen worden onderzocht, en zal gekeken worden naar welke oplossing het meest haalbaar lijkt voor de toekomst. Pas later zal er worden gekeken naar het ontwikkelen van een daadwerkelijke product. De technische uitdagingen binnen dit project is vooral het ontwikkelen van de sensoren, welke in staat moeten zijn binnengekomen fotonen, waar te nemen op hoge snelheden. Daarnaast is het ontwikkelen van de foton-generators, welke losse fotonen moeten kunnen genereren, een grote technische uitdaging. Het is cruciaal dat niet meerdere fotonen worden gecreërd met dezelfde informatie, omdat dit de communicatie gevoelig maakt voor afluisteren. Als dit onderzoek daadwerkelijk bruikbare resultaten opleverd, is er een markt gemoeid met dit onderzoek, van meerdere miljoenen gebruikers. Hierbij moet vooral worden gedacht aan overheden, Defensie, en Justitie. Later misschien zelfs commercile gebruikers. Echter dit laatste is nog niet duidelijk, in verband met terrorisme en criminaliteit. Het is niet de bedoeling dat deze techniek kan worden misbruikt.

Pagina 13 van 23


4

Kwantum hardware

Het belangrijkste proces binnen de cryptografie is het uitwisselen van sleutels (keys). De traditionele vormen van cryptografie maken gebruik van de distributie van publieke sleutels of door de sleutels handmatig uit te wisselen. Deze vormen van distributie zijn niet geheel veilig, omdat iemand kan ‘meeluisteren’ en op die manier achter de sleutel kan komen, zonder dat men hier iets van in de gaten heeft. Binnen de kwantum cryptografie is dit beter geregeld. De Quantum Key Distribution (QKD) maakt gebruik van de kwantum eigenschappen van een foton om sleutels uit te wisselen. De ontvanger van de sleutel kan daardoor meteen zien of iemand heeft ‘meegeluiserd’ en als dat zo is, kan een nieuwe QKD plaatsvinden. Om kwantum cryptografie te kunnen implementeren is het voor ABN Amro van belang dat men over de juiste hardware beschikt om een beveiligde verbinding tot stand te brengen. Er zijn meerdere leveranciers op de markt die hardware voor kwantum cryptografie aanbieden. Een aantal hiervan zijn: • id Quantique • Magiq Technologies • Toshiba Een onderzoek naar de verschillende netwerkcomponenten per leverancier is uitgevoerd. De resultaten van dit onderzoek zullen in de volgende paragrafen nader worden omschreven. Tijdens het onderzoek is rekening gehouden met de eisen (afstand, kosten) waaraan een kwantum component volgens ABN Amro moet voldoen. Andere organisaties die bezig zijn met onderzoek te verrichten naar kwantum cryptografie zijn: NEC [3], IBM [4] and Fujitsu [5].

4.1

id Quantique

id Quantinque [6] houdt zich bezig met het voorzien van innovatieve en kosteffectieve oplossingen sleuteldistributie door gebruik te maken van de mogelijkheden van kwantum eigenschappen. Hierdoor heeft id Quantinque een aantal hardware componenten ontwikkelt, die gebruikt kunnen worden voor end-to-end kwantum cryptografie. id Quantique bestaat nu ongeveer vijf jaar en heeft een bepaalde visie met betrekking tot kwantum cryptografie. id Quantique houdt zich bijvoorbeeld bezig met Europese Secoq [7] onderzoeksprogramma’s naar kwantum cryptography om op de hoogte te blijven van de lopende ontwikkelingen. Vandaar ook dat id Quantique samenwerkt met bijvoorbeeld de universiteit van Genève en probeert id Quantique samen te werken met grote beveiligingsorganistaties.

Pagina 14 van 23


id Quantique heeft al een aantal awards gewonnen voor haar werk op het gebied van Research & Development ten aanzien van kwantum cryptografie. De kwantum cryptografie netwerkcomponenten, die id Quantique op dit moment op de markt heeft gebracht, zijn: • Vectis: Quantum Cryptography appliance commercial applications Vectis is de component die ontwikkeld om real-life in te zetten in real-time bedrijfsnetwerken • Clavis: Quantum Key Distribution system for research applications Clavis werd ontwikkeld voor onderzoeks- en ontwikkelingsdoeleinden Clavis is de netwerkcomponent die gebruikt wordt voor onderzoeks- en ontwikkelingsdoeleinden en niet bedoeld is voor het bedrijfsleven. Vectis daarentegen is wel ontwikkeld voor het bedrijfsleven en is voorgekomen uit de onderzoeken verricht met behulp van Clavis. Meer eigenschappen van Vectis en Clavis zullen in de twee volgende paragrafen worden omschreven. 4.1.1

Vectis

Vectis is een kwantum cryptografie netwerkcomponent, welke geschikt is voor de versleuteling van point-to-point wire-speed verbindingen. Vectis zorgt voor een combinatie van Quantum Key Distribution (QKD) en Advanced Encryption Standard (AES) versleuteling binnen één enkele component. Deze component werkt op laag 2 van OSI model en is geschikt voor het verbinden (bridging) van twee Fast Ethernet (IEEE 802.3u) glasvezel (fiber optic) netwerken. Vectis kan tot op heden afstanden bereiken tot ongeveer 100 km. Het QKD mechanisme binnen Vectis zorgt voor een constante uitwisseling van nieuwe versleutelde sleutels over een point-to-point glasvezel verbinding, zodat data snel en versleuteld over de verbinding kan worden verzonden. Dit uitwisselen van sleutels kan wel 100 keer per seconde plaatsvinden. Voor het uiteindelijke versleutelen van de data wordt gebruikt gemaakt van het AES [8] mechanisme. AES is een symmetrische vorm van versleuteling en is een verbeterde vorm van DES [9]. AES, binnen Vectis, is een laag 2 versleutelingsmechanisme dat gebruik kan maken van 128, 192 of 256 bits. Gehele data frames worden in één keer versleuteld. Dit betekent dat ook de payload en de headers van een frame versleuteld worden. De lage refresh-timer voor het uitwisselen van nieuwe sleutels, en het direct kunnen detecteren van een eventuele afluisteraar, zorgen ervoor dat Vectis een absoluut beveiligde verbinding kan opzetten op een point-to-point glasvezel verbinding met een lengte tot ongeveer 100 km. Deze 100 km zullen een bottleneck zijn voor de vestiging in Cookeville, Tennesse. Pagina 15 van 23


Verder is Vectis te beheren met behulp van een touch panel of met behulp van een web interface. Vectis biedt tevens ondersteuning aan het Simple Network Management Protocol (SNMP v3), om op deze manier centraal beheer mogelijk te maken en om rapportages van bijvoorbeeld beschikbaarheid en processorgebruik te kunnen genereren. 4.1.2

Clavis

Clavis is de eigenlijke voorganger van de Vectis. Clavis is afgeleid van het Latijnse woord clavis dat sleutel betekent. Clavis wordt tegenwoordig voornamelijk gebruikt voor onderzoeksdoeleinden. Het gaat hier om onderzoeken die te maken hebben met het veilig uitwisselen van sleutels.

Figuur 4: Clavis

Ook Clavis heeft tot op heden een reikwijdte van ongeveer 100 km. Dit betekent dat Clavis, net als Vectis, niet in aanmerking kan komen voor de ABN Amro vestiging in Cookeville, Tennessee. Verder is Clavis puur ontwikkeld voor onderzoeks- en ontwikkelingsdoeleinden voor het uitwisselen van sleutels. Clavis beschikt daarom niet over een algoritme voor het versleutelen van data. 4.1.3

Vergelijking

Zowel Vectis als ook Clavis maken gebruik van een tweetal protocollen voor het uitwisselen van sleutels. Deze protocollen zijn BB84 [10] en SARG en helpen bij het ontdekken van indringer. Het uitwisselen van de sleutels gebeurt ongeveer 100 keer per seconde. Verder hebben beide componenten een bereik tot ongeveer 100 km. Een verschil tussen Vectis en Clavis is het feit dat Vectis ook zorgt voor de versleuteling van de verstuurde datapakketten met behulp van AES. Clavis zorgt alleen voor het uitwisselen van versleutelde sleutels en niet voor het versleutelen van de verstuurde datapakketten. Pagina 16 van 23


4.2

Magiq Technologies

Magiq Technologies [11] is een tweede aanbieder van hardware voor het implementeren van kwantum cryptografie. Magiq legt zich toe op een aantal verschillende soorten van organisaties, zoals de overheid, defensie en grotere bedrijven. Ook Magiq Technologies is zich ervan bewust dat de veiligheid van kwantum cryptografie terug te vinden is in het uitwisselen van de versleutelde sleutels. Magiq Technologies heeft tot op heden één product voor kwantum cryptografie op de markt gebracht. Dit product heeft Magiq QPN. 4.2.1

Magiq QPN

Magiq QPN is een netwerkcomponent die vergelijken kan worden met Vectis van id Quantique. Magiq Technologies probeert via Magiq QPN de volgende services aan te bieden: • Real-time genereren van sleutels • Veilige uitwisseling van sleutels • Versleutelen en ontsleutelen van verstuurde data Magiq QPN maakt, net als Vectis, gebruik van QKD en de huidige cryptografie algoritmes voor het opzetten van een beveiligde verbinding. Het genereren van sleutels gebeurt ook door Magiq QPN met een gemiddelde snelheid van 100 sleutels per seconde. De kracht ligt echter in de Quantum Key Distribution, oftewel het veilige uitwisselen van sleutels tussen twee locaties. De sleutels worden foton voor foton gecodeerd.

Figuur 5: Quantum Key Distribution

Kwantum eigenschappen zorgen er nu voor dat de foton eigenschappen van een sleutel veranderen op het moment dat iemand de sleutel onoderschept. Hierdoor wordt meteen duidelijk dat iemand op de verbinding aan het meeluisteren is. Deze eigenschappen zorgen ervoor dat de sleutel niet kan worden gelezen, gewijzigd en/of gekopieërd zonder dat het wordt opgemerkt. Magiq QPN is een embedded systeem, dat zowel onder Windows alsook Linux kan draaien, voor QKD doeleinden. Magiq QPN ondersteunt een brede range van netwerk architecturen, maar de kwantum cryptografie wordt toegepast op een point-to-point glasvezel verbinding. Pagina 17 van 23


Over de reikwijdte van Magiq QPN is niks terug te vinden op de website van Magiq Technologies. Verder reageren ze ook niet op herhaaldelijk verstuurde e-mails waarin we vragen voor een offerte en voor meer technische specificaties. Wij gaan er echter van uit dat de gemiddelde reikwijdte van de Magiq QPN ook rond de 100 km zal liggen.

Figuur 6: Magiq QPN

Dit gegeven zorgt ervoor dat Magiq QPN door ABN Amro gebruikt kan worden voor hun verbinding tussen Amsterdam en Weesp en dat Magiq QPN niet in aanmerking komt voor de verbinding tussen Amsterdam en Cookeville, Tennessee. Over de prijs van Magiq QPN kunnen we geen mededelingen doen, omdat deze namelijk niet op de website te vinden is en Magiq Technologies niet op onze e-mails reageert.

4.3

Toshiba

Toshiba is een derde speler op de markt van kwantum cryptografie. De afdeling Toshiba Quantum Information Group [12] houdt zich bezig met het ontwikkelen en onderzoeken van kwantum cryptografie. Toshiba heeft het Toshiba Quantum Crypto Systeem ontwikkelt voor veilige kwantum verbindingen tussen twee locaties 4.3.1

Quantum Crypto Systeem

Net als alle andere kwantum cryptografie oplossingen, werkt ook het Quantum Crypto Systeem alleen via point-to-point glasvezel verbindingen. Toshiba is echter een stapje verder in de ontwikkeling. De maximaal bereikte reikwijdte van het Quantum Crypto Systeem voor het volledig uitwisselen van sleutels is 122 km. Dit is op dit moment een wereldrecord. De werking achter het Quantum Crypto Systeem is gelijk aan de andere kwantum componenten. Door de kwantum eigenschappen van een foton is het voor een afluisteraar onmogelijk om onopgemerkt een stukje van de verstuurde sleutel te lezen,

Pagina 18 van 23


wijzigen en/of kopieëren. Deze eigenschap zorgt voor de veiligheid die door kwantum cryptografie geboden wordt. Naast het installeren en configureren van een Quantum Crypto Systeem, speelt beheer een belangrijke rol. Toshiba is bezig met het wikkelen van een nieuwe management functies. Dit zou ervoor moeten zorgen, dan een Quantum Crypto Systeem zonder menselijke tussenkomst zou moeten kunnen blijven functioneren. Tests tot op heden, hebben aangetoond dat een Quantum Crypto Systeem een week lang sessies heeft kunnen initieëren zonder menselijke tussenkomst. Dit zou ervoor kunnen zorgen dat minder tijd aan de verbinding besteedt kan worden en dat meer tijd overblijft voor andere werkzaamheden.

Figuur 7: Quantum Crypto Systeem

Pagina 19 van 23


5

Conclusie

ABN Armo is op zoek naar een manier om de dataverbindingen tussen de locaties Amsterdam, Weesp en Cookeville, Tennessee beter te beveiligen. Hiervoor is een onderzoek ingesteld naar de mogelijkheden van kwantum cryptografie. Kwantum cryptografie is nog steeds in ontwikkeling, maar er zijn al een aantal belangrijke stappen genomen in het beveiligen van verbindingen met behulp van deze manier cryptografie. Kwantum cryptografie kan op dit moment alleen worden ge¨ımplementeerd op point-to-point glasvezel verbindingen en heeft een reikwijdte rond de 100 km. Dit zorgt ervoor dat een kwantum cryptografie beveiligde verbinding tussen Amsterdam en Weesp mogelijk is, maar een verbinding tussen Amsterdam en Cookeville, Tennessee in principe niet mogelijk zou zijn. Een oplossing hiervoor zou het gebruik van trusted netwerken kunnen zijn. Dit betekent dat om de ongeveer 100 km een trusted netwerk van ABN Amro zou moeten liggen. Op deze manier wordt het verkeer van trusted netwerk naar trusted netwerk door gesluisd (zie figuur Bridging).

Figuur 8: Bridging Het zal echter moeilijk zijn om een trusted netwerk in de Grote Oceaan tot stand te brengen. Bridging is tevens een zeer dure oplossing, omdat elk trusted netwerk twee kwantum netwerkcomponenten moet bezitten. We hebben de precieze prijs van een netwerkcomponent niet kunnen vaststellen. Dit geldt voor alle leveranciers. We hebben herhaaldelijk e-mails naar de verschillende leveranciers gestuurd om een offerte en om meer technische specificaties per netwerkcomponent op te vragen. Hier is echter nooit door de verschillende leveranciers op gereageerd. Wij gaan daarom van een prijs rond de 50.000 Euro per component uit, onafhankelijk van de leverancier. De bridging oplossing voor de locaties Amsterdam en Cookeville, Tennessee raden wij ABN Amro af, omdat deze oplossing erg duur zal zijn (twee netwerkcomponenten per verbinding en uitwisselen van sleutels per verbinding) en ABN Amro zeker moet weten Pagina 20 van 23


dat de tussenliggende netwerken te vertrouwen zijn. Dit is moeilijk te controleren en kan een bedreiging voor de veiligheid van informatie betekenen. Verder is het moeilijk om een trusted netwerk in de Grote Oceaan aan te leggen. Een, met kwantum cryptografie, beveiligde verbinding tussen Amsterdam en Weesp is wel mogelijk. Voor deze verbinding zullen twee netwerkcomponenten moeten worden aangeschaft. Er van uitgaande dat een netwerkcomponent rond de 50.000 Euro zal liggen, komt niet op een aanschaf prijs van 100.000 Euro. Naast de netwerkcomponenten zal ook een glasvezel verbinding tussen de locaties tot stand moeten worden gebracht. Kwantum cryptografie werkt op het moment namelijk alleen over point-to-point glasvezel verbindingen. Als de netwerkcomponenten en de verbinding aangeschaft worden, zullen deze ook nog moeten worden ge¨ınstalleerd en moeten worden geconfigureerd. Het is aan ABN Amro om te bepalen of dit door de eigen IT afdeling wordt gedaan of dat deze klus wordt uitbesteedt. Besluit men de installatie, configuratie en/of beheer uit te besteden, zal dit ook kosten met zich mee brengen waar ABN Amro rekening mee zal moeten houden. Als installatie, configuratie en/of beheer in eigen handen blijft, kan het zijn dat medewerkers extra scholing moeten ondergaan voor de configuratie en beheer van de netwerkcomponenten. Ook dit zal extra kosten met zich meebrengen. Puur naar de netwerkcomponenten van de verschillende leveranciers kijkend, zijn we tot de conclusie gekomen dat ABN Amro een keuze zou kunnen maken tussen Vectis van id Quantique, Magiq QPN van Magiq Technologies en Toshiba’s Quantum Crypto Systeem. Alleen de aanschaf en implementatie van Clavis wordt afgeraden, omdat Clavis specifiek ontwikkeld is voor onderzoeksdoeleinden en zich specifiek toesplitst op het uitwisselen van versleutelde informatie. Naast het uitwisselen van sleutels, is het versleutelt uitwisselen van gegevens net zo belangrijk. Clavis biedt geen mogelijkheden om de datapakketten afzonderlijk te versleutelen. Alle andere netwerkcomponenten doen dit wel door bijvoorbeeld gebruik te maken van het AES algoritme. De kosten voor het implementeren van kwantum cryptografie zouden hoog op kunnen lopen en een verbinding kan alleen tot stand worden gebracht tussen Amsterdam en Weesp. Wij raden ABN Amro om nog geen gebruik van kwantum cryptografie te maken, maar om gebruik van de traditionele cryptografische oplossing. Hierbij is bijvoorbeeld een combinatie tussen asymmetrische en symmetrische cryptografie mogelijk. Dit advies is gebaseerd op een aantal punten: • Kwantum cryptografie is nog steeds in ontwikkeling. Dit kan betekenen dat nog een aantal kinderziektes (bugs) in de techniek zitten. Verder kan kwantum cryptografie op dit moment alleen worden ge¨ımplementeerd op point-to-point glasvezel verbindingen en wordt nog onderzocht of het ook mogelijk is om kwantum cryptografie te implementeren op satellietverbindingen. • De kosten voor het implementeren van kwantum cryptografie kunnen hoog oplopen. Pagina 21 van 23


Naast het aanschaffen van de netwerkcomponenten, moet ook een glasvezel verbinding aanwezig zijn en moet rekening worden gehouden met de installatie, configuratie en het beheer van deze verbinding. • Verbinding beveiligt met kwantum cryptografie hebben tot op heden een reikwijdte van rond de 100 km. Dit betekent dat voor de verbinding tussen Amsterdam en Cookeville, Tennessee een andere oplossing zou moeten worden gezocht. Dit betekent dat er twee verschillende oplossingen door ABN Amro in gebruik worden genomen. Dit zou weer extra kosten met zich mee kunnen brengen voor installatie, configuratie en/of beheer. Verder gaan we ervan uit dat ABN Amro dezelfde verbinding tussen alle locaties wil hebben om zo een duidelijkere en overzichtelijkere architectuur te behouden. • Traditionele cryptografie, zoals RSA en AES, zijn goede algoritmes voor het beveiligen van sleuteldistributie en voor het versleutelen van data, mits op de goede manier ge¨ımplementeerd. • AES en RSA zijn met de huidige technologieën moeilijk te kraken. Met de komst van een eventuele kwantum computer zou dit kunnen veranderen. De verwachting is echter dat deze kwantum computer in de nabije toekomst nog niet beschikbaar zal zijn. Dit is mede gebaseerd op de uitspraken van Serge Fehr, kwantum cryptografisch onderzoeker aan het CWI in Amsterdam. Dit zijn de redenen waarom wij adviseren om kwantum cryptografie nog niet te implementeren. Besluit ABN Amro echter om kwantum cryptografie wel te implementeren, dan is dit met de huidige technieken mogelijk voor een verbinding tussen Amsterdam en Weesp en is dit nog niet mogelijk voor een verbinding tussen Amsterdam en Cookeville, Tennessee.

Pagina 22 van 23

Referenties

Referenties [1] U-M develops scalable and mass- producible quantum computer chip http://www.umich.edu/news/index.html?Releases/2005/Dec05/r121205b [2] SECOQC: Secure Communication based on Quantum Cryptography http://www.secoqc.net/ [3] NEC Press Release, 31 mei 2005 http://www.nec.co.jp/press/en/0505/3101.html [4] IBM Quantum Information http://www.research.ibm.com/quantuminfo/ [5] Fujitsu Press Release, 15 juli 2004 http://www.fujitsu.com/global/news/pr/archives/month/2004/20040715-01.html [6] id Quantique http://www.idquantique.com [7] Secoq program, a 11 mio. Euro European research program on Quantum Cryptography http://www.secoqc.net [8] Wikipedia definition of Advanced Encryption Standard http://en.wikipedia.org/wiki/AES [9] Wikipedia definition of Data Encryption Standard http://en.wikipedia.org/wiki/Data Encryption Standard [10] BB84, developed by Charles Bennett and Gilles Brassard in 1984 Charles Bennett: http://www.research.ibm.com/people/b/bennetc/home.html Gilles Brassard: http://www.inexistant.net/Gilles/ [11] Magiq Technologies http://www.magiqtech.com [12] Toshiba Quantum Information Group http://www.toshiba-europe.com/research/crl/QIG/index.html

Pagina 23 van 23

Kwantum Cryptografie

Recommend Documents