Recovery-Induced Erasure Attack on QKD Systems

Diese Studie demonstriert einen neuen Angriff auf Quantenschlüsselverteilungssysteme, der die zählratenabhängige Erholungszeit von Einzelphotonendetektoren ausnutzt, um Basis-abhängige Detektionsunterdrückung zu erzeugen und Quantenbitfehler in Verluste umzuwandeln, wodurch die Fehlerrate unter die Abbruchschwelle gesenkt wird und der Angriff unbemerkt bleibt.

Das Wesentliche

🕵️‍♀️ Der müde Türsteher: Ein neuer Trick für Quanten-Hacker

Stellen Sie sich vor, Sie möchten eine geheime Nachricht über ein Glasfaserkabel an einen Freund senden. Damit niemand mitliest, nutzen Sie Quantenkryptografie. Das ist wie ein Brief, der sich selbst verbrennt, wenn jemand versucht, ihn unterwegs zu öffnen.

In der Theorie ist das unknackbar. Aber in der Praxis gibt es immer kleine Schwachstellen in der Hardware. Genau an einer dieser Schwachstellen hat ein Forschungsteam aus Katar und Polen einen neuen Angriff entdeckt. Sie nennen ihn „Recovery-Induced Erasure Attack" (auf Deutsch etwa: „Angriff durch erzwungene Erholungszeit").

Klingt kompliziert? Lassen Sie uns das mit einem Türsteher-Club vergleichen.

1. Der müde Türsteher (Der Detektor)

In einem Quanten-System empfängt Ihr Freund (nennen wir ihn Bob) einzelne Lichtteilchen (Photonen). Um diese zu sehen, braucht er einen extrem empfindlichen Lichtsensor.

• Die Regel: Nach jedem Lichtblitz, den der Sensor sieht, muss er kurz „atmen". Er braucht eine kurze Pause, um sich zu erholen. In der Fachsprache heißt das Dead Time (Tote Zeit).
• Die Annahme: Bisher dachten die Sicherheits-Experten, diese Pause sei immer gleich lang. Wie ein Timer, der immer 1 Sekunde zählt.

Das Problem: Die Forscher haben herausgefunden, dass der Sensor nicht wie ein Timer funktioniert, sondern wie ein müder Mensch. Wenn er sehr schnell hintereinander viele Lichtblitze abbekommt, wird er schneller müde. Seine Pause wird länger.

2. Der Trick der Hackerin (Eve)

Nun kommt die Hackerin ins Spiel, nennen wir sie Eve. Eve möchte die Nachricht mitlesen, ohne dass Bob und Alice (der Absender) es merken.

Normalerweise würde Eve, wenn sie die Nachricht abfängt, Fehler verursachen. Das ist wie ein Dieb, der beim Einbrechen einen Krach macht. Die Alarmglocke (die Fehlerquote) würde läuten, und Bob würde die Verbindung sofort trennen.

Aber Eve hat einen neuen Plan:

1. Der Vorläufer: Eve sendet vor dem eigentlichen Signal einen sehr hellen, starken Lichtblitz (einen „Pre-Pulse").
2. Die Ermüdung: Dieser helle Blitz trifft den Sensor von Bob. Der Sensor wird dadurch „müde". Seine Erholungszeit verlängert sich von normalen 23 Nanosekunden auf fast 32 Nanosekunden.
3. Die Auswahl: Eve manipuliert das Licht so, dass dieser müde Sensor nur bestimmte Nachrichten ignoriert.
   • Wenn Bob die Nachricht „richtig" misst (im gleichen Code wie Eve), ist der Sensor gerade noch fit genug, um zu klicken.
   • Wenn Bob die Nachricht „falsch" misst (was normalerweise zu einem Fehler führen würde), ist der Sensor zu müde. Er macht keinen Klick.

3. Das Ergebnis: Fehler werden zu Stille

Das ist der geniale Teil des Angriffs.

• Normalerweise: Wenn Eve lauscht, entstehen Fehler (Bob liest etwas Falsches). Das ist ein Alarmzeichen.
• Mit dem Trick: Eve sorgt dafür, dass die Fehler nicht als „Falsches Lesen" erscheinen, sondern als „Nichts gelesen".
  • Der Sensor ist zu müde, um den Fehler zu registrieren. Er ist einfach „ausgefallen".
  • In der Quantenkryptografie gilt: Verlorene Nachrichten (Stille) sind okay. Fehlerhafte Nachrichten sind verboten.

Eve verwandelt also ihre Spuren (Fehler) in harmlose Verluste (Stille). Bob denkt: „Oh, die Leitung ist etwas schlechter, aber die wenigen Nachrichten, die ankommen, sind fehlerfrei." Er bricht die Verbindung nicht ab, und Eve hat die Information gestohlen.

4. Der Beweis im Labor

Die Forscher haben das nicht nur theoretisch berechnet. Sie haben einen echten Lichtsensor (ein SPAD) in ein Labor genommen und ihn mit unterschiedlich starkem Licht bombardiert.

• Ergebnis: Je mehr Licht sie hineingeworfen haben, desto länger wurde die Pause des Sensors.
• Sie haben bestätigt: Der Sensor wird bei hohem Lichtdruck tatsächlich träger, als die Sicherheitsmodelle bisher annahmen.

5. Was bedeutet das für die Sicherheit?

Bisher haben Sicherheits-Systeme versucht, Angriffe zu stoppen, indem sie auf Zeit achten (z. B. „Der Lichtblitz kam zu spät, also ist er verdächtig").

• Der neue Angriff: Hier ist die Zeit nicht das Problem. Das Problem ist die Müdigkeit des Sensors.
• Die Lösung: Man kann nicht einfach den Zeitfenster vergrößern. Stattdessen müssen die Systeme den Zustand des Sensors überwachen.
  • Wenn der Sensor plötzlich zu viele Lichtblitze pro Sekunde bekommt, muss das System Alarm schlagen.
  • Man muss den Sensor „müde machen" verhindern, indem man die Lichtstärke am Eingang überwacht.

Zusammenfassung

Stellen Sie sich vor, Sie wollen sicher sein, dass niemand Ihr Briefschloss knackt. Bisher haben Sie darauf geachtet, dass niemand zu lange am Schloss dreht (Zeit-Überwachung).
Diese Studie zeigt nun: Jemand kann das Schloss vorher so stark aufheizen, dass es klemmt. Wenn es klemmt, öffnet es sich gar nicht mehr (Stille), statt falsch zu öffnen (Fehler). Da Sie nur auf das falsche Öffnen achten, merken Sie nicht, dass das Schloss manipuliert wurde.

Die Lehre: In der Quantensicherheit reicht es nicht, nur auf die Daten zu schauen. Man muss auch genau beobachten, wie müde die „Augen" des Empfängers sind.

Technische Zusammenfassung

Titel: Recovery-Induced Erasure Attack on QKD Systems (Angriff durch durch Erholung induzierte Löschung auf QKD-Systeme)

1. Problemstellung

In der Sicherheitstheorie der Quantenschlüsselverteilung (QKD) wird die Totzeit (Dead Time) von Single-Photonen-Avalanche-Photodioden (SPADs) typischerweise als fester, unveränderlicher Parameter behandelt. In der Praxis hängt die effektive Erholungszeit der Detektoren jedoch von der einfallenden Zählrate ab (count-rate-dependent recovery).
Das Papier identifiziert diese Nichtlinearität als bisher unmodellierte physikalische Schwachstelle. Herkömmliche Angriffe (wie Blinding-Attacks oder Detektor-Effizienz-Mismatch) nutzen entweder deterministische Kontrolle oder statische Hardware-Asymmetrien aus. Der hier vorgestellte Angriff nutzt die dynamische Abhängigkeit der Totzeit von der Zählrate aus, um die Sicherheit des Systems zu untergraben, ohne dass die Detektoren vollständig geblendet werden müssen.

2. Methodik und Angriffsprinzip

Der vorgestellte Angriff wird als Recovery-Induced Erasure (RIE) Attack bezeichnet. Er basiert auf einer Intercept-Resend-Strategie mit einer speziellen Vorlage (Pre-Pulse).

• Angriffsmechanismus:
  • Eve (der Angreifer) fängt das Signal ab, misst es und sendet ein neues Signal an Bob.
  • Zusätzlich sendet Eve einen starken optischen Pre-Pulse kurz vor dem resent Signal.
  • Dieser Pre-Pulse ist in derselben Basis wie Eves Messung vorbereitet, trägt aber den entgegengesetzten Bitwert.
  • Basis-Match (Parallele Basis): Wenn Bobs Messbasis mit Eves übereinstimmt, trifft der Pre-Pulse den "falschen" Detektor, während das Signal den "richtigen" Detektor trifft. Der Detektor für das Signal bleibt verfügbar ($p_{\parallel}$).
  • Basis-Mismatch (Orthogonale Basis): Wenn Bobs Basis orthogonal zu Eves ist, wird der Pre-Pulse auf beide Detektoren verteilt. Dies erhöht die Wahrscheinlichkeit, dass beide Detektoren sich im Totzeit-Zustand befinden, wenn das Signal ankommt. Die Detektion wird unterdrückt ($p_{\perp}$).
• Ziel: Eve erzeugt eine Asymmetrie, bei der $p_{\perp} < p_{\parallel}$.
• Effekt: Ereignisse, die normalerweise als Quantenbitfehler (QBER) zählen würden (wegen Basis-Mismatch), werden in Löschungen (Erasures) umgewandelt (kein Klick). Da QKD-Protokolle Verluste als harmlos betrachten, sinkt die beobachtete QBER unter die Abbruchschwelle, während die Verlustrate steigt. Eve gewinnt Information, ohne entdeckt zu werden.

3. Experimentelle Validierung

Die Autoren charakterisierten experimentell die Totzeit eines freien-running SPADs (Excelitas SPCM-AQRH-14-FC) unter kontrollierter Breitband-Belastung.

• Messung: Die effektive Totzeit wurde aus der Inter-Ankunftszeit-Histogramm-Verteilung extrahiert.
• Ergebnis: Die Totzeit ist nicht konstant. Bei niedrigen Raten (< 4 Mcps) liegt sie bei ca. **23,3 ns**. Bei hohen Zählraten (> 25 Mcps) steigt sie signifikant auf ca. 31,5 ns an.
• Busy Fraction: Der Anteil der Zeit, in dem der Detektor aufgrund der Erholungsphase unempfindlich ist ($\lambda t_d$), steigt mit der Rate und übersteigt bei hohen Raten 0,9.
• Dies bestätigt die physikalische Grundlage des Angriffs: Die Totzeit verschiebt sich dynamisch mit der Last.

4. Ergebnisse und Sicherheitsanalyse

• Schwellenwerte: Um unter der QBER-Abbruchschwelle von 11 % (für BBM92) zu bleiben, muss das Verhältnis der Klickwahrscheinlichkeiten $r = p_{\perp} / p_{\parallel} < 0,282$ betragen.
• Informationstheorie: Die Analyse der gegenseitigen Information ($I(A;E)$ vs. $I(A;B)$) zeigt, dass Eve die Bedingung $I(A;E) > I(A;B)$ erfüllen kann, während sie gleichzeitig die QBER niedrig hält.
• Stealth-Regime: Selbst unter konservativen Annahmen (nicht-deterministischer Pre-Pulse, z.B. thermisches Licht) ist ein Bereich von Parametern identifiziert worden, in dem der Angriff erfolgreich und unentdeckt bleibt.
• Unterschied zu anderen Angriffen: Im Gegensatz zum "Dead-Time Attack" von Weier et al., der eine passive Basiswahl und deterministische Totzeit annimmt, nutzt RIE die Nichtlinearität der Erholung selbst als Angriffsprimitive.

5. Bedeutung und Gegenmaßnahmen

• Sicherheitsimplikation: Die Studie etabliert die zählratenabhängige Detektor-Erholung als eine relevante Sicherheitslücke. Standard-Sicherheitsmodelle, die Totzeit als statisch betrachten, sind unzureichend.
• Versagen bestehender Gegenmaßnahmen:
  • Die Vergrößerung des Koinzidenzfensters (üblich gegen Timing-Shift-Angriffe) hilft hier nicht. Da es sich um physisch fehlende Klicks (Erasures) handelt und nicht um zeitlich verschobene Klicks, kann ein größeres Fenster die unterdrückten Ereignisse nicht wiederherstellen.
• Gegenmaßnahmen:
  • Überwachung: Kontinuierliche Überwachung der Detektor-Einzelsignale und der Erholungsstatistik (Inter-Ankunftszeiten).
  • Schwellenwerte: Strenge Obergrenzen für zulässige Zählraten und Abbruch bei Abweichungen vom erwarteten Detektorverhalten.
  • Hardware: Detektor-Multiplexing (parallele SPADs pro Kanal), um die effektive "Busy Fraction" zu senken.
• MDI-QKD: Bei messgeräteunabhängiger QKD (MDI-QKD) ist die direkte Gefahr geringer, da Detektoren als nicht vertrauenswürdig gelten. Jedoch könnte die Nichtlinearität die Parameterschätzung (z.B. bei Dekoy-Zuständen) verfälschen und die Systemleistung beeinträchtigen.

Fazit

Das Paper demonstriert, dass physikalische Nichtlinearitäten in der Detektor-Erholung genutzt werden können, um QKD-Protokolle zu kompromittieren, indem Fehler in Verluste umgewandelt werden. Dies erfordert eine explizite Integration der Detektor-Dynamik in praktische Sicherheitsmodelle und neue Überwachungsstrategien, die über reine Timing-Analysen hinausgehen.