Recovery-Induced Erasure Attack on QKD Systems

Attraverso caratterizzazione sperimentale, questo studio presenta un nuovo attacco di sicurezza, denominato Recovery-Induced Erasure (RIE), che sfrutta la non linearità del tempo di recupero dei rivelatori a fotone singolo dipendente dal tasso di conteggio per convertire gli errori in perdite, riducendo il tasso di errore quantistico (QBER) osservato e permettendo all'intercettatore di evadere la rilevazione nei sistemi QKD.

L'essenziale

🕵️‍♂️ L'Attacco del "Portiere Stanco": Come Rubare Segreti Quantistici

Immagina che Alice e Bob stiano cercando di scambiarsi un segreto (una chiave crittografica) usando la fisica quantistica. È come se usassero un telefono che non può essere intercettato: se qualcuno prova a origliare, il telefono si rompe e se ne accorgono. Questo sistema si chiama QKD (Distribuzione Quantistica di Chiavi).

Per anni, abbiamo pensato che questo telefono fosse invincibile. Ma questo articolo ci dice che c'è un piccolo difetto nel "ricevitore" (il telefono) che un ladro, chiamato Eve, può sfruttare.

Ecco come funziona, spiegato con delle metafore.

1. Il Sensore: Come un Flash Fotografico

Per leggere i messaggi quantistici, Bob usa dei sensori speciali chiamati SPAD.
Immagina questi sensori come fotocamere super sensibili.

• Quando scattano una foto (rilevano un fotone), il flash si accende.
• Dopo lo scatto, il flash ha bisogno di un attimo per ricaricarsi prima di poter scattare di nuovo. Questo tempo si chiama "tempo morto" (o dead time).

Il vecchio pensiero: Si pensava che questo tempo di ricarica fosse fisso, come un orologio che ticchetta sempre allo stesso ritmo (es. 23 nanosecondi).

La scoperta: Gli scienziati hanno scoperto che il flash si stanca. Se gli fai scattare troppe foto in fretta (alta frequenza di conteggio), la ricarica diventa più lenta (fino a 31 nanosecondi). Il sensore diventa "pigro" quando è sotto stress.

2. L'Attacco: Il "Pre-Pulse" (Il Colpo di Finta)

Eve, l'intercettatrice, vuole rubare la chiave senza farsi scoprire. Di solito, se Eve intercetta un messaggio e lo rimanda, introduce degli errori. Alice e Bob vedono questi errori e si fermano ("Abort").

Ma Eve ha un nuovo trucco, chiamato Attacco di Cancellazione Indotta dal Recupero (RIE).

Immagina che Eve sia un portiere di discoteca che vuole far entrare solo i suoi amici, ma deve farlo sembrare che la discoteca sia piena e caotica.

1. Il Messaggio: Alice invia un segnale debole (il vero messaggio).
2. Il Trucco: Eve invia un segnale molto forte (il "pre-pulse") appena prima del messaggio vero.
3. L'Effetto: Questo segnale forte stancherà il sensore di Bob, facendogli allungare il tempo di ricarica.

3. La Magia: Trasformare gli Errori in "Persi"

Qui sta il genio dell'attacco. Eve non vuole che Bob veda un errore, vuole che Bob veda un messaggio mancante.

• Se Bob indovina la chiave giusta: Il sensore che deve leggere il messaggio non è stato stancato dal segnale di Eve. Funziona bene. Bob riceve il messaggio.
• Se Bob sbaglia la chiave: Eve ha preparato il segnale forte in modo che stanchi entrambi i sensori possibili. Quando arriva il messaggio vero, i sensori sono troppo stanchi per vederlo. Bob non riceve nulla.

Perché è pericoloso?

• Normalmente, se Eve sbaglia, Alice e Bob vedono un errore (il messaggio è cambiato). Questo le fa scoprire.
• Con questo attacco, quando Eve sbaglia, il messaggio scompare (diventa un "buco" o una perdita).
• Per Alice e Bob, un messaggio che manca sembra solo una linea telefonica disturbata o una fibra ottica rotta. Non pensano che ci sia un ladro.

Eve riesce così a nascondere i suoi errori trasformandoli in perdite. Il tasso di errore rimane basso, quindi il sistema pensa che sia tutto sicuro, ma Eve ha già letto la chiave.

4. La Prova Sperimentale

Gli autori non hanno solo teorizzato questo. Hanno preso un vero sensore (un Excelitas SPCM-AQRH-14-FC) e lo hanno bombardato con luce.
Hanno misurato che:

• A bassa luce: Il sensore recupera in 23,3 nanosecondi.
• Ad alta luce: Il sensore recupera in 31,5 nanosecondi.

Hanno dimostrato che il sensore diventa effettivamente più lento quando è stressato, confermando che l'attacco è fisicamente possibile.

5. Come Difendersi?

Se il vecchio sistema di sicurezza controllava solo "quanti errori ci sono", ora dobbiamo controllare anche "quanto è stanco il sensore".

Le difese suggerite sono:

1. Monitorare il battito cardiaco: Controllare costantemente la velocità a cui il sensore riceve segnali. Se il ritmo cambia improvvisamente, potrebbe esserci un attacco.
2. Non fidarsi ciecamente: Non trattare il "tempo morto" come un numero fisso, ma come una variabile che può essere manipolata.

In Sintesi

Questa ricerca ci dice che i sistemi di sicurezza quantistica sono sicuri in teoria, ma i loro "occhi" (i sensori) hanno dei limiti fisici. Un ladro intelligente può stancare questi occhi per farli chiudere al momento sbagliato, nascondendo il furto dietro a un semplice "messaggio non ricevuto". È come se un ladro non rubasse il portafoglio, ma lo nascondesse in modo che tu pensi di averlo semplicemente perso.

La lezione: In un mondo quantistico, anche il modo in cui un sensore "respira" dopo aver visto qualcosa può essere usato contro di noi.

Sommario tecnico

Titolo

Attacco di Cancellazione Indotta dal Recupero (RIE) sui Sistemi di Distribuzione Quantistica di Chiavi (QKD)

1. Il Problema

Nelle analisi di sicurezza standard per la Distribuzione Quantistica di Chiavi (QKD), il tempo morto (dead time) dei rivelatori a singolo fotone (SPAD - Single-Photon Avalanche Photodiodes) è tipicamente trattato come un parametro fisso e ben noto. Tuttavia, in pratica, il tempo di recupero effettivo degli SPAD dipende dal tasso di conteggio incidente.
Questa non-linearità nel recupero del rivelatore, dipendente dal tasso di conteggio, costituisce una vulnerabilità fisica precedentemente non modellata. Gli attacchi QKD convenzionali (come l'attacco di accecamento o il mismatch di efficienza) si basano su asimmetrie statiche o sul controllo deterministico dello stato del rivelatore. Questo lavoro identifica che la variazione dinamica del tempo morto può essere sfruttata per convertire gli errori quantistici in perdite di canale (cancellazioni), permettendo a un eavesdropper (Eva) di nascondere la propria presenza.

2. Metodologia e Strategia di Attacco

Gli autori propongono una strategia di attacco "Intercept-Resend" (Intercetta e Reinvia) basata su due componenti principali:

1. Modellazione Teorica: Viene definito un canale di cancellazione avversario. La probabilità di clic del rivelatore è modellata come $p_{click} = p_0 \exp(-\lambda t_d(\lambda))$, dove $t_d(\lambda)$ è il tempo morto dipendente dal tasso di conteggio $\lambda$.
2. Schema di Attacco (RIE):
   • Pre-pulse (Impulso Preliminare): Eva invia un impulso ottico forte (pre-pulse) immediatamente prima del segnale re-inviato. Questo impulso è preparato nella stessa base di misura di Eva ma con il valore di bit opposto.
   • Meccanismo di Caricamento: Il pre-pulse carica il rivelatore specifico associato al bit opposto, aumentandone il tempo di recupero effettivo a causa della non-linearità di recupero (accumulo di carica e effetti termici).
   • Asimmetria di Base:
     • Se Bob misura nella stessa base di Eva ($B_b = E_b$), il pre-pulse colpisce il rivelatore "sbagliato", lasciando il rivelatore per il segnale disponibile. La probabilità di clic è alta ($p_\parallel$).
     • Se Bob misura nella base ortogonale ($B_b \neq E_b$), lo stato di polarizzazione si divide tra entrambi i rivelatori. Il pre-pulse aumenta la probabilità che entrambi i rivelatori siano in tempo morto al momento dell'arrivo del segnale. La probabilità di clic è soppressa ($p_\perp$).
   • Obiettivo: Creare un'asimmetria tale che $p_\perp < p_\parallel$. Questo trasforma gli eventi di errore (mismatch di base) in cancellazioni (no-click), riducendo il Quantum Bit Error Rate (QBER) osservato al di sotto della soglia di abortimento (tipicamente 11% per BBM92), pur aumentando la perdita di segnale.

3. Risultati Sperimentali

Per validare la base fisica dell'attacco, gli autori hanno caratterizzato sperimentalmente un rivelatore SPAD libero (Excelitas SPCM-AQRH-14-FC) in modalità free-running.

• Setup: Iniezione di luce termica a banda larga (Thorlabs SLS201L/M) per variare il tasso di conteggio su diversi ordini di grandezza.
• Misura del Tempo Morto: Utilizzando un time-tagger ad alta risoluzione (8 ps), è stato misurato il tempo morto effettivo $t_d$ in funzione del tasso di conteggio osservato.
• Dati Chiave:
  • A bassi tassi di conteggio (< 4 Mcps), il tempo morto è vicino al valore nominale di 23,3 ns.
  • Ad alti tassi di conteggio (> 25 Mcps), il tempo morto aumenta significativamente fino a circa 31,5 ns.
  • La "frazione di occupazione" (busy fraction, $\lambda t_d$) supera 0,9 a tassi elevati, indicando che il rivelatore è insensibile per la maggior parte del tempo.
• Fattibilità: L'analisi mostra che l'attacco è fattibile anche con un modello pre-pulse non deterministico (come luce termica), confermando che l'attacco non richiede un controllo temporale perfetto per essere efficace.

4. Contributi Chiave

1. Nuovo Primitivo di Attacco: Identificazione della "Recovery-Induced Erasure" (RIE) come una vulnerabilità distinta rispetto agli attacchi di accecamento o mismatch di efficienza. Non richiede l'accecamento completo del rivelatore né la conoscenza in tempo reale della base di Bob.
2. Validazione Sperimentale: Dimostrazione fisica che il tempo morto degli SPAD non è binario o fisso, ma varia dinamicamente con il carico di fotoni, fornendo la base empirica per l'attacco.
3. Analisi dell'Informazione: Derivazione delle formule per l'informazione reciproca $I(A;E)$ e $I(A;B)$. Si dimostra che Eva può soddisfare la condizione $I(A;E) > I(A;B)$ (vantaggio informativo) mantenendo il QBER sotto la soglia di sicurezza.
4. Distinzione dalle Contromisure Esistenti: Si evidenzia che le contromisure tradizionali per il mismatch di efficienza (come l'allargamento della finestra di coincidenza) sono inefficaci contro l'RIE. Poiché l'attacco RIE causa la mancanza fisica di un clic (cancellazione) e non uno spostamento temporale, allargare la finestra temporale non recupera i dati persi e potrebbe anzi aumentare il QBER accidentale.

5. Significato e Implicazioni per la Sicurezza

• Vulnerabilità dei Modelli Attuali: I modelli di sicurezza QKD pratici devono incorporare esplicitamente la dinamica di recupero del rivelatore. Trattare il tempo morto come un parametro fisso e benigno è insufficiente.
• Limiti delle Difese Correnti: Le difese basate sulla sorveglianza della potenza ottica o sull'analisi delle finestre temporali non rilevano direttamente l'asimmetria indotta dal recupero.
• Strategie di Mitigazione:
  • Monitoraggio continuo dei tassi di conteggio singoli e delle statistiche di recupero.
  • Imposizione di limiti superiori rigorosi sui tassi di conteggio consentiti.
  • Implementazione di multiplexing dei rivelatori (uso di SPAD paralleli per canale logico) per ridurre la frazione di occupazione.
• Applicabilità: L'attacco è applicabile a protocolli come BB84 e BBM92 (sia attivi che passivi) e a sistemi che utilizzano rivelatori a valanga liberi (free-running). I sistemi MDI-QKD (Measurement-Device-Independent) sono meno vulnerabili direttamente poiché i rivelatori sono in un nodo non fidato, ma potrebbero subire impatti sulla stima dei parametri.

Conclusione

Questo lavoro stabilisce che la non-linearità del recupero del rivelatore dipendente dal tasso di conteggio è una vulnerabilità critica nella QKD pratica. L'attacco RIE permette di sopprimere il QBER osservato convertendo errori in perdite, rendendo l'eavesdropping indetectabile dai parametri standard. Le conclusioni sottolineano l'urgenza di aggiornare i modelli di sicurezza per includere la dinamica di recupero dei rivelatori e sviluppare contromisure specifiche per la sorveglianza dello stato di recupero.