Recovery-Induced Erasure Attack on QKD Systems

Deze studie demonstreert een Recovery-Induced Erasure-aanval op QKD-systemen waarbij een afluisteraar de telkans-afhankelijke hersteltijd van SPADs exploiteert om fouten in verliezen om te zetten, waardoor de QBER onder de abortdrempel wordt gehouden en de aanval onopgemerkt blijft.

De kern

Stel je voor dat Alice en Bob een geheime boodschap willen versturen. Ze gebruiken geen gewone envelop, maar een kwantumsleutel. Dit is een soort magisch slot dat, volgens de wetten van de natuurkunde, onkraakbaar is. Als iemand (laten we haar Eve noemen) probeert mee te luisteren, verandert dat de boodschap en slaat het alarm af.

Maar, zoals bij elk nieuw systeem, zijn er altijd kleine zwakke plekken in de hardware. Dit artikel gaat over een nieuwe, slimme manier om die zwakke plekken te vinden en misbruiken.

Hier is de uitleg, vertaald naar alledaagse taal:

1. De Camera die even moet rusten

De sleutel tot dit systeem ligt bij de detectoren. Dit zijn supergevoelige camera's die één enkel lichtdeeltje (een foton) kunnen zien.

• Hoe het werkt: Zodra zo'n camera een lichtdeeltje ziet, moet hij even "rusten" voordat hij het volgende kan zien. Dit noemen ze de dode tijd (dead time).
• De oude gedachte: Wetenschappers dachten altijd: "Die rusttijd is altijd hetzelfde, net als een stopwatch."
• De nieuwe ontdekking: Dit artikel laat zien dat die rusttijd niet altijd hetzelfde is. Als er heel veel lichtdeeltjes tegelijk binnenkomen, wordt de camera moe. Hij moet dan langer rusten dan gepland.

2. De Hacker (Eve) en het Vermoeiende Trucje

Eve wil de geheime sleutel stelen zonder dat Alice en Bob het merken. Normaal gesproken maakt Eve fouten als ze probeert te afluisteren. Die fouten worden gezien als "ruis" en laten het alarm afgaan.

Maar Eve gebruikt nu de moeheid van de camera in haar voordeel.

• Het plan: Eve stuurt een sterke, valse lichtflits (een "pre-pulse") net voordat de echte boodschap arriveert.
• Het effect: Deze valse flits maakt de camera tijdelijk moe. Hij is even niet klaar om te werken.
• De slimme twist: Eve regelt het zo dat de camera alleen moe is als hij een verkeerde boodschap zou moeten ontvangen. Als hij een goede boodschap moet ontvangen, is hij nog wel wakker.

3. Fouten veranderen in Verlies

Dit is het meest belangrijke deel van de truc.

• Normaal: Als Eve de verkeerde boodschap probeert te lezen, ontstaat er een fout. Alice en Bob zien: "Oh, er is iets mis, iemand luistert mee!" -> Alarm.
• Met de truc: Omdat de camera moe is bij de verkeerde boodschap, gebeurt er niets. Er is geen klik, geen lichtsignaal. Het lijkt alsof de boodschap gewoon verloren is gegaan in de kabel.
• Het resultaat: In plaats van een fout (gevaarlijk), krijgt Alice en Bob een verlies (veilig). Ze denken: "Oh, de verbinding is slecht vandaag," en niet: "Oh, Eve is hier!"

Je kunt het vergelijken met een deurwaarder in een club:

• Normaal: Als er een onbekende binnenkomt, roept de deurwaarder: "Stop! Dit is niet goed!" (Fout/Alarm).
• De Hack: Eve maakt de deurwaarder zo moe dat hij op dat moment in slaap valt. Als de onbekende binnenkomt, gebeurt er niets. De deurwaarder slaapt gewoon door. De clubbaas denkt: "Niemand is binnengekomen," terwijl Eve stiekem toch naar binnen is geluisterd.

4. Waarom is dit gevaarlijk?

In de wereld van kwantumcommunicatie wordt "verlies" (niet kunnen ontvangen) vaak gezien als normaal, zoals regen die je telefoon nat maakt. Maar "fouten" (verkeerde cijfers) zijn het teken van een hacker.
Deze aanval verandert de fouten in verlies. Hierdoor blijft het foutenpercentage laag, en denkt het systeem dat alles veilig is, terwijl Eve eigenlijk de geheime sleutel heeft gekraakt.

5. Wat moeten we doen?

De auteurs zeggen dat we niet meer mogen vertrouwen op de "standaard instellingen" van de camera's.

• Oplossing: We moeten de camera's in de gaten houden. Kijken ze echt wakker? Of zijn ze moe?
• Nieuwe regels: Als de camera's te moe worden (te veel licht binnenkrijgen), moeten we het systeem stoppen in plaats van doorgaan.

Samenvatting

Dit artikel waarschuwt dat de hardware van kwantumcomputers kwetsbaarder is dan we dachten. Een hacker kan de "rusttijd" van de sensoren manipuleren om zijn eigen fouten te verbergen. Het is alsof een dief zijn eigen voetstappen verwijdert in plaats van ze te verbergen; de bewakingscamera ziet dan niets, maar de inbraak is wel gebeurd.

De boodschap is duidelijk: vertrouw niet blind op de apparatuur, maar houd de gezondheid van de sensoren zelf in de gaten.

Technische samenvatting

Titel: Herstel-Geïnduceerde Erasure-aanval op QKD-systemen

Auteur(s): Hashir Kuniyil et al. (Qatar Center for Quantum Computing & STARTOVA UMK)
Publicatiedatum: 3 maart 2026 (arXiv)

---

1. Probleemstelling

In de huidige beveiligingsanalyses van Quantum Key Distribution (QKD) wordt de "dode tijd" (dead time) van single-photon avalanche photodiodes (SPADs) doorgaans behandeld als een vaste, statische parameter. In de praktijk is de effectieve hersteltijd van deze detectoren echter afhankelijk van de incidente telfrequentie (count rate).

De auteurs identificeren een veiligheidslek: de niet-lineariteit in het herstelgedrag van detectoren bij hoge telfrequenties. Bestaande kwantumaanvallen (zoals detector-blinding of efficiency-mismatch) vertrouwen op deterministische controle of statische hardware-asymmetrieën. Deze paper introduceert een nieuw aanvalsprimitief dat gebruikmaakt van de dynamische, frequentie-afhankelijke herstelkarakteristieken om detectieprobabiliteiten basis-afhankelijk te onderdrukken. Het doel is om kwantumbitfouten (QBER) om te zetten in kanaalverlies (erasure), waardoor de eavesdropper (Eve) onopgemerkt blijft terwijl ze informatie verwerft.

2. Methodologie

De auteurs presenteren een Recovery-Induced Erasure (RIE) aanval en valideren deze zowel theoretisch als experimenteel.

• Aanvalsstrategie (Intercept-Resend):

  • Eve voert een standaard intercept-resend aanval uit op een actief-basis QKD-systeem (bijv. BBM92 of BB84).
  • Pre-pulse: Voor het verzenden van het zwakke signaalpuls, zendt Eve een sterke "pre-pulse" uit. Deze pre-pulse is voorbereid in Eve's meetbasis maar draagt de tegenovergestelde bitwaarde.
  • Mechanisme: De pre-pulse laadt de detector die overeenkomt met de verkeerde bitwaarde, waardoor deze in de dode tijd terechtkomt. Wanneer het daadwerkelijke signaal arriveert, is de detector nog niet hersteld.
  • Basis-afhankelijkheid:
    • Als Bob in dezelfde basis meet als Eve, wordt het signaal naar de onbelaste detector geleid (hoge detectiekans, $p_\parallel$).
    • Als Bob in de orthogonale basis meet, wordt het signaal over beide detectoren verdeeld. De pre-pulse heeft echter waarschijnlijk beide detectoren geladen, waardoor de kans op een klik sterk daalt (lage detectiekans, $p_\perp$).
  • Resultaat: Dit creëert een asymmetrie ($p_\perp < p_\parallel$). Fouten (mismatches) worden omgezet in verlies (geen klik), waardoor de waargenomen QBER daalt onder de abortdrempel.

• Experimentele Opstelling:

  • Detector: Excelitas SPCM-AQRH-14-FC (vrijlopende SPAD).
  • Lichtbron: Thorlabs SLS201L/M (breedbandig thermisch licht) om de telfrequentie gecontroleerd te variëren.
  • Meting: Tijdstempels werden geregistreerd met een time-tagging module (8 ps resolutie) om de inter-arrival-tijd histogrammen te analyseren en de effectieve dode tijd af te leiden.

3. Belangrijkste Bijdragen

1. Nieuw Aanvalsprimitief: De paper definieert "count-rate-dependent recovery nonlinearity" als een distincte kwantumaanval, los van bestaande methoden zoals blinding of time-shift attacks.
2. Formele Modellering: De auteurs modelleren het herstelmechanisme als een "adversarial erasure channel". Ze leiden conservatieve grenzen af voor de signaal-detectiekans onder belasting en formuleren de wederzijdse informatie ($I(A;E)$ vs $I(A;B)$).
3. Experimentele Validatie: Voor het eerst wordt de dode-tijdverschuiving van een SPAD experimenteel gekarakteriseerd onder gecontroleerde breedbandige belasting, wat de fysische basis van de aanval bevestigt.
4. Veiligheidsanalyse: De paper toont aan dat bestaande tegenmaatregelen (zoals het vergroten van het coincidence-venster) niet effectief zijn tegen deze specifieke aanval, omdat er sprake is van fysiek ontbrekende klikken in plaats van tijdsverschillen.

4. Resultaten

• Dode Tijd Verschuiving: Experimentele metingen tonen aan dat de effectieve dode tijd ($t_d$) toeneemt van de nominale 23,3 ns naar ongeveer 31,5 ns bij hoge telfrequenties (>25 Mcps).
• Busy Fraction: Het percentage tijd dat de detector in herstelmodus is (busy fraction) stijgt snel en overschrijdt 0,9 bij hoge frequenties.
• QBER Suppressie: De aanval kan de waargenomen QBER onder de abortdrempel (11% voor BBM92) houden door de ratio $r = p_\perp / p_\parallel$ te verlagen onder 0,282.
• Informatie-voordeel: Onder de condities van de aanval kan Eve meer wederzijdse informatie met Alice hebben dan Bob ($I(A;E) > I(A;B)$), terwijl ze onopgemerkt blijft omdat de QBER laag blijft.
• Deterministisch vs. Niet-deterministisch: Zelfs met een conservatief, niet-deterministisch pre-pulse model (thermisch licht zonder precieze timing) is de aanval haalbaar. Met een deterministische pre-pulse zou de onderdrukking nog sterker zijn.

5. Betekenis en Implicaties

• Beveiligingsmodellen: De resultaten tonen aan dat detector-dode tijd niet als een onschuldig, vast parameter mag worden beschouwd in praktische QKD-beveiligingsanalyses. Herstel-dynamiek moet expliciet worden opgenomen in de modellen.
• Tegenmaatregelen:
  • Het vergroten van het coincidence-venster (een standaard oplossing voor efficiency-mismatch) helpt hier niet, omdat er geen klik is om te detecteren.
  • Effectieve mitigatie vereist monitoring van de detector-singles rates en herstelstatistieken in real-time.
  • Het handhaven van strikte bovengrenzen voor telfrequenties en het afbreken van de operatie bij afwijkingen kan de aanval voorkomen.
  • Hardware-technisch kan detector-multiplexing (parallelle SPADs) de kwetsbaarheid voor dode-tijdsaturatie verminderen.
• MDI-QKD: Hoewel Measurement-Device-Independent QKD (MDI-QKD) minder direct kwetsbaar is omdat de detectoren onbetrouwbaar worden verondersteld, kan deze niet-lineariteit indirect de parameterschatting en prestaties beïnvloeden.

Conclusie:
De paper vestigt de aandacht op een tot nu toe ongemodelleerde fysieke kwetsbaarheid in QKD-systemen. De Recovery-Induced Erasure (RIE) aanval demonstreert hoe dynamische detectorherstelkarakteristieken kunnen worden uitgebuit om de statistieken van de sleutel te manipuleren zonder de foutenrate te verhogen. Dit onderstreept de noodzaak om hardware-dynamiek dieper te integreren in de implementatie-veiligheid van kwantumcommunicatie.