En gruppe forskere fra Norges teknisk-naturvidenskabelige universitet (NTNU) har knækket guldstandarden inden for datasikkerhed – den teoretisk ubrydelige kvantekryptering.
Forskerne har nemlig opdaget, at flere kommercielle kvantekryptografisystemer har meget alvorlige huller i sikkerheden.
»Vi har vist, at det er muligt at aflytte kodede beskeder uden at blive opdaget,« fortæller ph.d.-studerende Lars Lydersen.
»Ifølge naturlovene vil smuglyttere blive afsløret. Men vi fandt en svaghed i modtagerudstyret, som kan udnyttes til at tage en perfekt kopi af beskeden uden at efterlade spor,« siger han.
Kunsten at kode
Kryptografi er kunsten at kode beskeder således, at de ikke kan læses af nogen andre end afsenderen og modtageren. Kvantekryptografi er en metode, hvor to parter kan udveksle en hemmelig, tilfældig nøgle – en kode, som senere kan bruges til at kryptere information.
Har du koden, har du en åben dør til al information. Det svarer lidt til, at din sikkerhedsnøgle, din personlige pinkode og alle loginoplysninger til banken bliver udleveret til nogen, du ikke kender.
Men dette handler ikke om netbank. Det handler om sikkerhedsniveauet over.
Et hul i sikkerheden
Selve fundamentet i kvantekryptering er, at ethvert forsøg på at måle kvantesignalerne og dermed opfange koden, vil ændre selve signalerne og dermed efterlade spor.
»Vi må huske på, at vi ikke bare snakker om et-taller og nuller, som vi ellers normalt gør, når vi sender data over nettet,« forklarer Lars Lydersen.
»Det, der sendes, er kodede lyspartikler med forskellige faser. Det er målingen af lyspartiklerne, som gør det umuligt at aflytte uden at blive afsløret.«
Men det er også teknologien til målingen af disse kodede lysglimt, som skaber sikkerhedshullet. Det viste sig nemlig, at måleapparaterne lod sig diktere af nogle kraftige lasere.
En lille gul kuffert
Kvantehackergruppen fra NTNU har som mål at gøre praktiske kvantekryptografisystemer sikre. Deres arbejde består at spille ‘den onde hacker’, som finder sikkerhedshuller ved at udnytte udstyrets svagheder. Derefter forsøger de at sikre systemerne via en ny teori og/eller foreslå ændringer i det benyttede udstyr.
Til aflytningen bruger forskerne en gul kuffert fuld af lasere og anden elektronik. Det er ganske enkelt et mobilt laboratorium, som er bygget, så det kan tages med i et fly som håndbagage.
»Kufferten er en aflytningsstation, som måler kvantesignalerne og dermed koden,« forklarer Lars Lydersen.
»Derefter sendes falske signaler, som narrer modtageren til at tro, at ingen har målt koden. Det kaldes et ‘man-in-the-middle-attack’. For modtageren fremstår den tilsendte kode som autentisk og sikker, men samtidig har vi en perfekt kopi af de hemmelige koder, som skal bruges til at kryptere information senere.«
Altså: selv om naturlovene gør indbrud umulige, gør menneskeskabt udstyr dem mulige.
»Teorien viser, at kvantekryptografi er sikkert. Men implementeringen kan være usikker,« siger Lars Lydersen.
»Der er behov for at forske videre på dette område. Omfanget af datakriminalitet er kun på vej op, så vi må være klar til at være foran dem med uredelige hensigter,« siger han.
Kunne have ændret alt
De færreste kvantekryptografileverandører har behov for opmærksomhed omkring deres systemer. Så kundelisterne holdes hemmelige. Alligevel reklamerer virksomhederne MagiQ og ID Quantique på deres egne hjemmesider med kunder som NASA, US Marines, det schweiziske valg og VM i fodbold.
Det er produkter fra disse to leverandører, som har vist sig at kunne aflyttes.
Forskerne mener, at de kunne have gjort, hvad de ville med informationerne, som sikres med disse krypteringssystemer.
»I princippet kunne vi have aflyttet og ændret hvilket som helst indhold i en kvantekrypteret besked, som er sikret med en af de bokse, vi har tjekket,« siger Lars Lydersen.
»Men vi gør jo det her for at forbedre sikkerheden.«
Resultaterne er for nylig offentliggjort i tidsskriftet Nature Photonics. Men først blev leverandørerne advaret og fik tid til at rette sikkerhedshullerne.
© forskning.no. Oversat af Magnus Brandt Tingstrøm
