AmphiKey: A Dual-Mode Secure Authenticated Key Encapsulation Protocol for Smart Grid

AmphiKey is een hybride post-kwantum en klassiek beveiligingsprotocol voor slimme netwerken dat twee modi biedt: een geverifieerde modus met sterke authenticiteit en een onontkenbare modus voor privacy, waarbij de prestaties op zowel krachtige servers als beperkte apparaten zoals de Raspberry Pi zijn geoptimaliseerd.

De kern

Stel je voor dat het elektriciteitsnet van de toekomst (het "Smart Grid") een enorme, slimme stad is. In deze stad sturen computers de lichten aan, regelen ze de laadpalen voor elektrische auto's en houden ze de stroomtoevoer in de gaten. Maar net als in een echte stad, zijn er ook dieven en hackers die proberen de deuren open te breken, de lichten te stelen of valse instructies te geven.

De onderzoekers van dit paper, AmphiKey, hebben een nieuwe, superveilige sleutel ontwikkeld om deze stad te beschermen. Ze noemen hun uitvinding een "twee-in-één" sleutel, omdat hij twee verschillende manieren van werken heeft, afhankelijk van de situatie.

Hier is de uitleg in simpele taal, met een paar creatieve vergelijkingen:

1. Het Probleem: Drie soorten dieven

De auteurs zeggen dat er drie soorten gevaren zijn voor het elektriciteitsnet:

• De Klassieke Dief: Iemand die probeert de code te kraken met een normale computer.
• De Quantum-Dief: Een toekomstige supercomputer (een "Quantum-computer") die binnenkort alle huidige codes in seconden kan kraken.
• De Fysieke Dief: Iemand die daadwerkelijk naar de meterkast loopt en met speciale apparatuur probeert te "luisteren" naar het energieverbruik van de computer om de geheime sleutels te stelen.

De meeste bestaande systemen beschermen tegen één of twee van deze, maar AmphiKey wil tegen alles tegelijk beschermen.

2. De Oplossing: De Twee-Modus Sleutel

AmphiKey heeft twee standen, net als een auto met een "Sport" en een "Eco"-stand.

Stand A: De "Onweerlegbare" Stand (Authenticated Mode)

• Wanneer gebruik je dit? Als je iets heel belangrijks doet, zoals een beveiligingsinstructie sturen naar een hoogspanningsstation of een firmware-update doen.
• Hoe werkt het? Stel je voor dat je een brief verstuurt. In deze stand stuur je niet alleen de brief, maar ook een handtekening van een notaris en een stempel van de post.
  • De brief is versleuteld met twee verschillende sloten (één oud, één nieuw en quantum-proof). Als één slot breekt, is de brief nog steeds veilig dankzij het andere.
  • De handtekening (van een speciaal algoritme genaamd Raccoon DSA) zorgt ervoor dat niemand kan ontkennen dat hij de brief heeft gestuurd. Het is als een juridisch geldige handtekening.
  • Het speciale trucje: De handtekening is gemaakt met een techniek die "maskeren" heet. Dit is alsof de notaris zijn handtekening zet terwijl hij een dikke, ondoorzichtige handschoen draagt. Zelfs als een dief luistert naar de beweging van zijn hand (energieverbruik), kan hij de handtekening niet zien.
• Nadeel: Het is zwaar. De "brief" is groot en het kost de computer (zoals een Raspberry Pi) even om de handtekening te zetten.

Stand B: De "Anonieme" Stand (Deniable Mode)

• Wanneer gebruik je dit? Als je gewoon de energiestand van een huismeter verstuurt. Je wilt dat de data veilig is, maar je wilt niet dat iemand kan bewijzen wie de data precies heeft verstuurd (privacy).
• Hoe werkt het? Stel je voor dat je een anonieme brief in een bus doet. Je gebruikt geen handtekening van een notaris. In plaats daarvan gebruik je een geheime code die alleen jij en de ontvanger hebben, gebaseerd op een tijdelijke afspraak.
  • Als een hacker later de brief pakt en zegt: "Kijk, deze brief is van meneer Jansen!", kan Jansen zeggen: "Nee, dat is onmogelijk te bewijzen. Iedereen had die code kunnen hebben."
  • Dit heet ontkenbaarheid. De ontvanger weet zeker dat de brief veilig is, maar een derde partij (de rechter of de hacker) kan niet bewijzen wie de afzender was.
  • Het voordeel: Het is supersnel en heel licht. Het kost 93% minder energie dan de zware stand.

3. De "Valstrik" (Downgrade Protection)

Een slimme hacker zou kunnen proberen de computer te dwingen om de snelle, lichte stand te gebruiken in plaats van de zware, veilige stand.

• De oplossing: AmphiKey heeft een onzichtbare "stempel" op de brief die zegt: "Dit is Stand A" of "Dit is Stand B". Als de hacker probeert dit te veranderen, breekt de hele vergrendeling en weigert de computer de brief. Het is alsof je een brief in een envelop stopt met een speciaal inktje: als je de envelop probeert te openen en te herschrijven, wordt de inkt rood en is de brief ongeldig.

4. Wat hebben ze getest?

De onderzoekers hebben dit getest op echte apparaten:

• Een krachtige server (zoals een supercomputer in een kantoor).
• Een kleine Raspberry Pi (zoals een slimme meter in je huis).

De resultaten:

• In de snelle stand (voor meters) duurt het verbindingsproces slechts 0,41 milliseconden. Dat is sneller dan het knipperen van een oog.
• In de zware stand (voor beveiliging) duurt het iets langer (4,8 ms op de kleine computer), maar dat is nog steeds razendsnel voor menselijke maatstaven.
• De kleine computer (Raspberry Pi) verbruikt in de snelle stand 93% minder energie. Dit is cruciaal voor batterijgestuurde apparaten die jarenlang moeten meegaan.

Conclusie

AmphiKey is als een slimme, tweeledige slotenmaker voor het elektriciteitsnet.

1. Als je bewijs nodig hebt (bijv. "Ik heb dit commando gegeven"), gebruikt hij de zware, onweerlegbare stand met een onzichtbare handschoen voor de handtekening.
2. Als je snelheid en privacy nodig hebt (bijv. "Ik stuur gewoon mijn energieverbruik"), gebruikt hij de snelle, anonieme stand.

Het is de eerste keer dat één systeem alle drie de gevaren (hackers, quantum-computers en fysieke dieven) aanpakt, terwijl het tegelijkertijd snel genoeg is voor de kleinste apparaten in onze huizen.

Technische samenvatting

Titel: AmphiKey: Een Dual-Mode Veilig Gecertificeerd Sleutel-Encapsulatieprotocol voor Smart Grids

1. Probleemstelling

Smart grids vertegenwoordigen een transitie van traditionele elektriciteitsnetwerken naar geïntegreerde digitale infrastructuur, maar dit vergroot het aanvalsoppervlak aanzienlijk. Het paper identificeert drie kritieke bedreigingslagen die momenteel niet gelijktijdig worden aangepakt door bestaande protocollen:

• Kwantumbedreigingen: De komst van grote kwantumcomputers (via Shor's algoritme) zal klassieke cryptografie (RSA, ECC) breken. Bestaande "harvest now, decrypt later"-aanvallen op langdurige grid-infrastructuur (levensduur 20-30 jaar) vormen een acuut risico.
• Fysieke Side-Channel Attacks (SCA): Smart grid-apparaten (zoals slimme meters en PMU's) staan vaak fysiek toegankelijk in de veldomgeving. Aanvallers kunnen cryptografische sleutels extraheren via vermogensanalyse (DPA/SPA) of elektromagnetische analyse. Bestaande roostergebaseerde (lattice) signatuurschema's (zoals Dilithium) vereisen bij masking (een SCA-bescherming) een onaanvaardbare overhead (>200x), waardoor ze onbruikbaar zijn voor beperkte apparaten.
• Privacy vs. Non-repudiatie: Er is een behoefte aan protocollen die zowel niet-ontkenbare authenticatie (voor auditable commando's) als ontkennbare authenticatie (voor privacygevoelige telemetrie) kunnen bieden, zonder dat dit ten koste gaat van de veiligheid of prestaties.

2. Methodologie: AmphiKey Protocol

AmphiKey is een hybride (Post-Quantum / Klassiek) Authenticated Key Encapsulation Mechanism (AKEM) dat twee operationele modi biedt, beschermd door een cryptografisch gebonden MODE-vlag om downgrade-aanvallen te voorkomen.

A. Gecombineerde Cryptografie:
Het protocol combineert:

• ML-KEM-768: Een NIST-gestandaardiseerd post-quantum KEM (op basis van Module-LWE).
• X25519: Klassieke Diffie-Hellman (Curve25519), geïmplementeerd via HPKE DHKEM voor IND-CCA2 beveiliging.
• Raccoon DSA: Een roostergebaseerd signatuurschema dat architecturaal is ontworpen voor efficiënte masking (SCA-resistentie) zonder afwijzing (rejection sampling).

B. De Twee Modi:

1. Gecertificeerde Modus (Authenticated Mode):

   • Doel: Voor veiligheidskritische, auditable verkeersstromen (bijv. SCADA-commando's, firmware-updates).
   • Mechanisme: Combineert ML-KEM-768 en X25519 voor sleuteluitwisseling ("OR"-confidentialiteit: de sleutel is veilig als minstens één KEM veilig is). Authenticatie wordt bereikt via Raccoon DSA-signalen van zowel de server als de client ("AND"-authenticiteit).
   • SCA: De lange-termijn Raccoon-sleutels zijn beschermd tegen side-channel aanvallen dankzij het masking-vriendelijke ontwerp.
   • Nadeel: Grote payload (~12.644 bytes) door de signatuur, wat geschikt is voor bedrade/wifi-verbindingen maar minder voor LPWAN.

2. Ontkenbare Modus (Deniable Mode):

   • Doel: Voor privacygevoelige, hoogfrequente telemetrie (bijv. meterdata, EV-laadsessies).
   • Mechanisme: Vervangt de zware digitale handtekening door een lichtgewicht HMAC-tag, afgeleid van de tijdelijke (ephemeral) KEM-geheime sleutels.
   • Veiligheid: Biedt formele bewijzen voor ontkenbaarheid (sender deniability). Een derde partij kan niet bewijzen wie de afzender was, omdat de ontvanger zelf een transcript kan simuleren.
   • Replay-resistentie: Gebruikt een door de server gegenereerde nonce ($r_s$) in de HMAC en sleutelafleiding.
   • Prestatie: Zeer laag rekenverbruik en kleine payload (~1.152 bytes).

C. Beveiligingsanalyse:
Het paper presenteert volledige formele beveiligingsbewijzen (via een "sequence-of-games" methode) voor beide modi. Dit bewijst IND-CCA2 beveiliging (confidentialiteit) en, voor de Deniable Mode, formele ontkennbaarheid onder een corruptiemodel waarbij de lange-termijn sleutels van de afzender na de sessie kunnen worden gelekt.

3. Belangrijkste Bijdragen

1. Eerste Dual-Mode AKEM voor Smart Grids: Een enkel protocol dat hybride PQ/classical confidentialiteit, formele ontkennbaarheid, SCA-resistente authenticatie en downgrade-bescherming combineert.
2. SCA-Resistentie door Ontwerp: Gebruik van Raccoon DSA, dat masking als architecturale prioriteit heeft, in plaats van post-hoc masking op bestaande schema's.
3. Formele Bewijzen: Complexe reducties die de veiligheid van beide modi onderbouwen, inclusief een simulator voor ontkennbaarheid.
4. Expliciete SCA Scope: Het paper maakt een duidelijk onderscheid tussen componenten die protocol-niveau bescherming hebben (Raccoon signing) en componenten die extra implementatie-maatregelen vereisen (ML-KEM en X25519).
5. Heterogene Evaluatie: Uitgebreide benchmarks op een server (AMD Ryzen 5) en een beperkt IoT-apparaat (Raspberry Pi 500).

4. Resultaten en Prestaties

De evaluatie toont aanzienlijke verschillen tussen de twee modi, afgestemd op hun gebruiksscenario's:

• Gecertificeerde Modus (Authenticated):

  • Latenheid: ~4,8 ms op de Raspberry Pi (voornamelijk door het ondertekenen met Raccoon).
  • Payload: 12.644 bytes (groot door de Raccoon-signatuur).
  • Gebruik: Geschikt voor infrequente, kritieke commando's.
  • Non-repudiatie: Biedt wettelijk bindende authenticatie.

• Ontkenbare Modus (Deniable):

  • Latenheid: ~0,41 ms op de Raspberry Pi (en 0,15 ms op de server).
  • Payload: 1.152 bytes (compatibel met LPWAN na fragmentatie).
  • Efficiëntie: 93% minder CPU-cycli vergeleken met de Gecertificeerde Modus.
  • Throughput: In een massale herconnectie-scenario (na een stroomuitval) kan de Deniable Modus ~2.439 sessies/seconde verwerken op een Pi, tegenover ~208 voor de Auth Modus. Dit is cruciaal om cascaderende storingen te voorkomen.

• Vergelijking met State-of-the-Art:
  AmphiKey overtreft protocollen zoals X-Wing en Shadowfax door de integratie van SCA-resistentie en formele ontkennbaarheid in één framework, terwijl het de payloadgrootte van Shadowfax (1.781 bytes) benadert in de Deniable Modus.

5. Significatie

AmphiKey is een doorbraak voor de beveiliging van smart grids omdat het de kloof sluit tussen theoretische post-quantum veiligheid en praktische fysieke implementatie-eisen.

• Veiligheid: Het biedt een robuuste verdediging tegen zowel toekomstige kwantumcomputers als huidige fysieke aanvalstechnieken.
• Flexibiliteit: Door twee modi te bieden, kunnen netbeheerders de juiste balans kiezen tussen auditvereisten (non-repudiatie) en privacy/efficiëntie (ontkenbaarheid).
• Implementatieklaarheid: De prestaties op beperkte hardware (Raspberry Pi) bewijzen dat deze geavanceerde cryptografie haalbaar is voor real-world IoT-deployments in de energievoorziening.

Het paper concludeert dat AmphiKey een essentieel fundament legt voor de volgende generatie beveiligde communicatie in kritieke infrastructuur, met een duidelijke route naar integratie in bestaande standaarden zoals ANSI C12.22 en TLS 1.3.