Energy-time attack on detectors in quantum key distribution

Die Studie zeigt, dass eine energieabhängige Verschiebung der Ankunftszeit von Detektor-Klicks in der Quantenschlüsselverteilung ausgenutzt werden kann, um die Sicherheitsschranken zu umgehen und zwei neue Angriffe zu ermöglichen.

Das Wesentliche

Der unsichtbare Hack: Wenn Licht schneller ist als die Uhr

Stell dir vor, du hast ein hochsicheres Schloss, das theoretisch unknackbar ist. Es basiert auf den Gesetzen der Quantenphysik – sozusagen auf den Regeln des Universums selbst. Das ist die Quantenschlüsselverteilung (QKD). Sie soll sicherstellen, dass niemand deine Nachrichten mitliest.

Aber wie bei jedem Schloss gibt es nicht nur die theoretische Theorie, sondern auch das physische Material. Und genau hier liegt das Problem: Die Hardware ist nicht perfekt.

In diesem Papier haben Forscher ein neues, verstecktes Problem in einem bestimmten Bauteil gefunden: dem Einzelphotonendetektor. Das ist das „Auge" des Empfängers, das winzige Lichtteilchen (Photonen) sieht, um den Schlüssel zu erzeugen.

Hier ist die Geschichte, wie sie funktioniert, einfach erklärt:

1. Das Problem: Der Detektor ist nicht nur ein Auge, er ist ein Eilfertiger

Normalerweise erwartet man, dass ein Detektor einfach nur sagt: „Ich habe etwas gesehen!" oder „Ich habe nichts gesehen!". Die Zeit, zu der er „sieht", sollte immer gleich sein, egal wie hell das Licht ist.

Aber die Forscher haben entdeckt, dass dieser Detektor ein seltsames Timing-Problem hat.

• Die Analogie: Stell dir vor, du hast einen Türsteher vor einem Club. Wenn jemand leise klopft (wenig Lichtenergie), braucht der Türsteher eine Weile, um zu reagieren und die Tür zu öffnen. Wenn aber jemand laut und energisch gegen die Tür hämmert (viel Lichtenergie), öffnet der Türsteher die Tür sofort, noch bevor er eigentlich hätte reagieren sollen.
• Der Effekt: Je heller der Lichtblitz ist, desto früher „klickt" der Detektor. In diesem Experiment war der Unterschied riesig: Der Detektor klickte bei hellen Lichtblitzen mehr als 2 Nanosekunden früher als bei schwachen. Das klingt nach wenig, aber in der Welt der Quantenkommunikation ist das eine Ewigkeit. Es ist wie ein Sprinter, der 20 Meter vor dem Startschuss losläuft.

2. Der Hack: Der Dieb nutzt den Zeitunterschied aus

Ein Hacker (in der Fachsprache „Eve") könnte dieses Timing-Problem ausnutzen, um den Schlüssel zu stehlen, ohne dass es bemerkt wird.

Szenario A: Der Trick mit den benachbarten Fächern
Stell dir vor, der Empfänger (Bob) hat einen Briefkasten mit vielen Fächern, die nur für eine winzige Sekunde offen sind. Jedes Fach steht für eine Ziffer des Schlüssels.

• Der Hacker sendet zwei Lichtblitze gleichzeitig.
• Einer ist schwach, einer ist stark.
• Wegen des „Eilfertigen"-Effekts klickt der Detektor für den starken Blitz so früh, dass er in das vorige Fach (den vorherigen Bit-Slot) fällt.
• Der schwache Blitz klickt im richtigen Fach.
• Der Empfänger denkt: „Aha, ich habe zwei Klicks in zwei verschiedenen Fächern gesehen!" und wirft den zweiten Klick weg, weil er denkt, es sei ein Fehler.
• Das Ergebnis: Der Hacker weiß genau, welcher Bit-Wert (0 oder 1) gemeint war, weil er durch die Energie des Lichts das Timing manipuliert hat. Er hat den Schlüssel gestohlen, ohne dass Bob merkt, dass etwas schiefgelaufen ist.

Szenario B: Der Trick mit der „Totzeit"
Detektoren brauchen nach einem Klick eine kurze Pause (Totzeit), bevor sie wieder sehen können.

• Der Hacker kann durch geschicktes Timing und Energie-Manipulation den Detektor dazu bringen, in einem falschen Fach zu klicken.
• Dadurch wird die „Totzeit" des Empfängers verlängert.
• Der Hacker kann dann die nächsten Fächer manipulieren, während der Empfänger noch „blind" ist.

3. Warum ist das wichtig?

Bisher haben die Sicherheitsregeln (die mathematischen Beweise) angenommen, dass ein Detektor immer fair und pünktlich ist. Sie haben diesen „Energie-Zeit-Effekt" nicht berücksichtigt.

Das ist wie bei einem Bank-Sicherheitssystem, das annimmt, dass ein Dieb nur die Tür aufbrechen kann, aber nicht bedenkt, dass der Dieb auch die Uhr des Sicherheitsdienstes manipulieren kann. Wenn die Uhr falsch läuft, öffnet sich die Tür zur falschen Zeit.

4. Was tun die Forscher?

Die Autoren schlagen vor:

1. Testen: Wir müssen alle Detektoren auf diesen „Energie-Zeit-Effekt" testen.
2. Zählen: Wenn zwei Detektoren fast gleichzeitig klicken, aber einer davon wegen eines hellen Blitzes zu früh war, sollten wir diese Klicks als verdächtig behandeln und den Schlüssel verwerfen.
3. Neue Technik: Vielleicht brauchen wir neue Arten von Detektoren oder neue Protokolle, die diesen Effekt ignorieren können (wie die „messgeräteunabhängige QKD").

Fazit

Dieses Papier zeigt, dass die Quantenkryptografie zwar in der Theorie unzerstörbar ist, aber in der Praxis durch kleine, unvorhergesehene Macken in der Hardware angegriffen werden kann. Es ist eine Erinnerung daran: Selbst die sicherste Theorie nützt nichts, wenn das Material, aus dem sie gebaut ist, nicht perfekt ist.

Die Forscher haben einen neuen „Schlüssel" gefunden, mit dem Hacker die Zeit manipulieren können – und jetzt müssen wir lernen, wie wir dieses Schloss reparieren.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Energy–time attack on detectors in quantum key distribution" auf Deutsch:

Titel: Energie-Zeit-Angriff auf Detektoren in der Quantenschlüsselverteilung (QKD)

Autoren: Konstantin Zaitsev et al. (Vigo Quantum Communication Center, Russian Quantum Center, QRate, etc.)
Datum: 8. März 2026

---

1. Problemstellung

Quantenschlüsselverteilung (QKD) ist theoretisch unknackbar, da ihre Sicherheit auf den Gesetzen der Quantenmechanik basiert. In der Praxis hängt die Sicherheit jedoch von der Perfektion der Hardware-Implementierung ab. Bekannte Angriffe nutzen Schwachstellen wie Detektor-Effizienz-Mismatch oder Blinding-Angriffe aus.

Ein spezifisches, bisher unzureichend untersuchtes Problem ist das superlineare Verhalten von Einzelphotonendetektoren (SPD). Dabei steigt die Klick-Wahrscheinlichkeit schneller als linear mit der Anzahl der Photonen in einem Lichtpuls an. Während dies bereits bekannt ist, identifizierten die Autoren einen neuen, kritischen Effekt: Die Energie-Zeit-Abhängigkeit.

• Kernproblem: Die Ankunftszeit eines Detektorklicks hängt stark von der Energie des eingehenden optischen Pulses ab. Höhere Energien führen zu früheren Klicks.
• Sicherheitslücke: Dieser Effekt wird in aktuellen Sicherheitsbeweisen, Zertifizierungsstandards und Sicherheitsanalysen (z. B. für das QRate-System) nicht berücksichtigt. Ein Angreifer (Eve) könnte diese Verschiebung nutzen, um Klicks bedingt zwischen benachbarten Zeitfenstern (Bit-Slots) zu manipulieren und so die Annahmen der Sicherheitsbeweise zu verletzen.

2. Methodik und Experimenteller Aufbau

Die Autoren untersuchten zwei identische Prototyp-Detektoren (SPD1 und SPD2) des Herstellers QRate, die auf InGaAs/InP-Single-Photon-Avalanche-Dioden (SPAD) basieren.

• Betriebsbedingungen: Die Detektoren wurden sinusförmig mit einer Frequenz von 312,5 MHz (Periode 3,2 ns) getaktet.
• Aufbau: Ein Signalgenerator diente als Taktgeber. Ein Laserdiode (1551 nm) erzeugte Pulse mit einer Breite von 269 ps. Diese wurden über variable optische Dämpfer (VOA) stark abgeschwächt (bis zu 120 dB), um die Energie über einen weiten Bereich zu variieren.
• Messung: Die Detektoren wurden an 8 verschiedenen Zeitpunkten innerhalb des Gate-Fensters getestet. Die Energie der Pulse wurde schrittweise erhöht (bis zu 102 dB Bereich).
• Gemessene Parameter:
  1. Klick-Rate: Zur Charakterisierung der Superlinearität.
  2. Klick-Zeitverschiebung: Die zeitliche Verschiebung des Klicks relativ zum Zeitpunkt des Pulseinfalls in Abhängigkeit von der Pulsenergie.
• Verbesserte Definition: Die Autoren entwickelten eine neue Definition und Metrik ($S$) für Superlinearität, die robuster ist als frühere Ansätze und auch nicht-monotone Effekte erfasst.

3. Wichtige Ergebnisse

A. Superlinearität

Die Detektoren zeigten ein moderat superlineares Verhalten. Die Effizienz $\eta$ steigt mit der mittleren Photonenzahl $\mu$.

• Der berechnete Faktor $S$ (partielle Ableitung von $\ln \eta$ nach $\ln \mu$) erreichte Maximalwerte von ca. 0,86 bis 0,90.
• Dies bedeutet, dass bei einer Verdopplung der Pulsenergie die Detektionseffizienz um den Faktor $2^{0,86} \approx 1,8$ steigt.
• Für sich allein genommen war dieser Effekt für einen erfolgreichen Angriff im Rahmen eines klassischen PNS-Angriffs (Photon Number Splitting) nicht ausreichend, da der resultierende Quantenbitfehler (QBER) zu hoch (>16,7 %) wäre.

B. Der Energie-Zeit-Effekt (Energy-Time Effect)

Dies ist die zentrale Entdeckung des Papers:

• Beobachtung: Mit steigender Pulsenergie verschiebt sich der Klickzeitpunkt des Detektors nach vorne (früher).
• Ausmaß: Die Verschiebung beträgt über einen weiten Energiebereich (50 dB) mehr als 2 Nanosekunden.
• Mechanismus: Der Effekt ist wahrscheinlich elektrischer Natur. Bei höheren Energien (Multi-Photonen-Pulsen) startet die Avalanche schneller, durchläuft den Diskriminator-Schwellwert früher und weist weniger Timing-Jitter auf.
• Reichweite: Der Effekt beginnt bei einigen hundert Photonen pro Puls und setzt sich über Millionen von Photonen fort. Er ist nicht gesättigt, was auf eine noch größere Verschiebung bei höheren Energien hindeutet.

C. Memory-Effekt

Die Autoren entdeckten einen weiteren Effekt: Die Detektionseffizienz und die Zeitverschiebung hängen stark von der Historie vorheriger Klicks und der Bestrahlungsgeschichte ab.

• Bei hohen Wiederholraten (z. B. 100 kHz) verstärkt dieser Memory-Effekt die Superlinearität dramatisch (Faktor $S$ steigt auf 3,01).
• Dies könnte Eve ermöglichen, die Parameter des Detektors in einem Zwischentakt zu manipulieren.

4. Vorgeschlagene Angriffe

Basierend auf dem Energie-Zeit-Effekt schlagen die Autoren zwei Angriffsvektoren vor:

A. Intermediate-Basis-Angriff (für einfache BB84-Systeme)

• Prinzip: Eve nutzt einen Zwischenbasis-Angriff. Wenn sie zwei Photonen detektiert, weiß sie den Zustand mit sehr hoher Wahrscheinlichkeit (>97 %).
• Ausnutzung des Effekts: Eve sendet einen hellen klassischen Puls zurück an Bob. Die Energie wird so aufgeteilt, dass ein Detektor deutlich mehr Energie erhält als der andere (Faktor ~5,8).
• Mechanismus: Der Detektor mit höherer Energie klickt aufgrund des Energie-Zeit-Effekts so viel früher (ca. 1,9 ns), dass der Klick in das aktuelle Bit-Fenster fällt, während der andere Detektor erst im nächsten Bit-Fenster klickt.
• Ergebnis: Bob akzeptiert den ersten Klick als gültigen Schlüsselbit und verwirft den zweiten (um Deadtime-Angriffe zu vermeiden). Eve kennt das Bit, verursacht aber einen sehr geringen QBER (<3 %).

B. Manipulation der Synchronisation und Deadtime (für komplexe Systeme mit vier Zuständen)

• Ziel: Ein industrielles Prototyp-System (wie von QRate), das bereits Gegenmaßnahmen wie "Four-State Bob" und gleichzeitige Deadtime-Verarbeitung nutzt.
• Taktik: Eve manipuliert die Kalibrierung von Bob, um die Zeitfenster zu verschieben. Sie sendet helle Pulse, die so getimed sind, dass sie die Deadtime von Bobs Detektoren gezielt manipulieren.
• Mechanismus: Durch die Energie-Zeit-Verschiebung kann Eve sicherstellen, dass ein Klick in einem bestimmten Bit-Fenster (z. B. $N$) registriert wird, während ein zweiter Klick (durch den gleichen Puls ausgelöst) in ein benachbartes Fenster (z. B. $N+1$) fällt, das als Deadtime verworfen wird.
• Ergebnis: Eve kann die Schlüsselgenerierung kontrollieren, ohne dass Bob dies bemerkt, selbst wenn das System gegen andere bekannte Angriffe (wie Blinding) gesichert ist.

5. Gegenmaßnahmen und Bedeutung

Gegenmaßnahmen:

1. Überwachung von Koinzidenzen: Wenn zwei Detektoren innerhalb des Zeitfensters des Energie-Zeit-Effekts klicken, sollten diese als "Double Clicks" behandelt und zufällig zugewiesen werden.
2. Photostrom-Überwachung: Die Messung des Photostroms im Detektor könnte starke Zeitverschiebungen durch Multi-Photonen-Pulse erkennen (wie bereits in QRate-Systemen teilweise implementiert).
3. Protokoll-Änderungen: Bei Systemen mit hohen Datenraten könnten mehrere Bit-Fenster nach einem Klick verworfen werden müssen.
4. Architektur-Wechsel: Der Übergang zu Measurement-Device-Independent (MDI) oder Twin-Field QKD, die prinzipiell immun gegen Detektor-Schwachstellen sind.

Bedeutung und Fazit:

• Sicherheitslücke: Der Energie-Zeit-Effekt stellt eine fundamentale Lücke in der Sicherheitsanalyse bestehender QKD-Systeme dar. Er zeigt, dass selbst bei korrekter Implementierung von Protokollen Hardware-Imperfektionen neue Angriffsvektoren eröffnen können.
• Standardisierung: Aktuelle Zertifizierungsstandards (z. B. ISO/IEC 23837) müssen diesen Effekt bei der Charakterisierung von Detektoren berücksichtigen.
• Validierung: Der Effekt wurde an sieben Proben dreier verschiedener Detektormodelle bestätigt, was auf eine systemische Eigenschaft sinusförmig getakteter SPADs hindeutet.
• Zukunft: Die Autoren fordern theoretiker, Ingenieure und Tester auf, diesen Effekt in zukünftigen Sicherheitsbeweisen und Tests zu integrieren.

Zusammenfassend demonstriert das Paper, dass die Sicherheit von QKD nicht nur von der Quantenphysik, sondern auch von der präzisen physikalischen Modellierung der Detektorantwort auf verschiedene Pulsenergien abhängt. Der Energie-Zeit-Effekt ist ein kritisches Detail, das bisher übersehen wurde und die Sicherheit kommerzieller Systeme gefährden könnte.