Energy-time attack on detectors in quantum key distribution

Deze paper beschrijft een kwetsbaarheid in quantumkeydistribution waarbij de tijdstip van detectorprikken afhankelijk is van de energie van het binnenkomende lichtpuls, wat een aanval mogelijk maakt die de veiligheid van de sleutelgeneratie ondermijnt.

De kern

Hier is een uitleg van het wetenschappelijke artikel in eenvoudig Nederlands, met behulp van alledaagse vergelijkingen.

De Kern: Een Nieuw Hapje in de Quantum-Wereld

Stel je voor dat Quantum Key Distribution (QKD) een onbreekbare, magische kluis is. In theorie is deze kluis zo veilig dat niemand hem kan openen zonder dat je het merkt, dankzij de wetten van de natuurkunde. Maar in de praktijk wordt deze kluis gebouwd met echte, fysieke onderdelen (zoals lichtdetectoren), en die onderdelen zijn niet perfect.

Deze paper vertelt het verhaal van een nieuw gevonden "lek" in die onderdelen. Het gaat over een specifiek type detector die gebruikt wordt om lichtdeeltjes (fotonen) te tellen. De onderzoekers hebben ontdekt dat deze detector zich gedraagt als een gevoelige weegschaal die ook een klok is.

1. Het Probleem: De "Snellere Loper" (Het Energie-Tijd Effect)

Normaal gesproken zou een detector denken: "Ik zie een lichtpuls, ik druk op de knop, en ik telt één klik." Het maakt niet uit hoe fel dat licht is; het zou op hetzelfde moment moeten klikken.

Maar de onderzoekers ontdekten iets vreemds bij deze specifieke detector:

• Zwak licht: De detector is traag. Het duurt even voordat hij "klik" zegt.
• Fel licht: De detector wordt plotseling supersnel. Hij drukt de knop veel eerder dan bij zwak licht.

De Analogie:
Stel je voor dat je een deurwachter hebt bij een club.

• Als je een zachte fluistering (zwak licht) gebruikt om binnen te komen, moet de deurwachter eerst goed luisteren en nadenken voordat hij de deur opent. Dat duurt even.
• Als je echter een luid geschreeuw (fel licht) gebruikt, schrikt de deurwachter zich een hoedje en opent hij de deur direct, bijna onmiddellijk.

Het verschil in tijd dat de onderzoekers zagen, was meer dan 2 nanoseconden. Dat klinkt als niets, maar in de wereld van quantumcomputers is dat als een eeuwigheid. Het is genoeg tijd om een hele andere deur te openen.

2. De Hack: De Dief die de Klok Hanteert

Deze "tijd-verschuiving" is een droom voor een hacker (in de quantumwereld noemen we hem Eve).

Hoe werkt de aanval?
Stel je voor dat Alice (de verzender) en Bob (de ontvanger) een geheime code uitwisselen. Ze werken met heel korte tijdvensters, zeg maar sloten in een tijdlijn.

• Slot 1: 0 tot 10 nanoseconden.
• Slot 2: 10 tot 20 nanoseconden.

Normaal gesproken zou een lichtpuls in Slot 1 vallen en daar een klik veroorzaken.
Maar Eve kan nu een trucje uithalen:

1. Ze stuurt een heel fel lichtpuls naar Bob.
2. Omdat het licht fel is, reageert de detector zo snel dat de "klik" niet in Slot 1 valt, maar verspringt naar Slot 0 (of een ander slot).
3. Bob denkt: "Ah, dit is een geldige bit in Slot 0!" en slaat het op in zijn geheime sleutel.
4. Eve weet precies welke bit Bob heeft gekozen, omdat zij de kracht van het licht heeft bepaald. Ze kan dus de hele sleutel stelen zonder dat Bob het merkt.

De Metafoor:
Het is alsof Eve een postbode is die de post niet in de juiste brievenbus doet.

• Normaal: Een brief gaat in brievenbus A.
• Eve's truc: Ze duwt de brief zo hard tegen de brievenbus aan dat deze door de trilling in brievenbus B terechtkomt.
• De eigenaar van brievenbus B (Bob) denkt: "Oh, dit is mijn post!" en leest het. Maar de eigenaar van brievenbus A (de echte eigenaar) ziet het niet. Eve weet precies wat er in die brief stond.

3. De Tweede Vondst: Het Geheugen van de Detector

Naast de snelheid ontdekten ze ook dat de detector een korte termijn geheugen heeft.
Als de detector net een flits heeft gezien, is hij even "verward" en reageert hij anders op de volgende flits. Dit is als een deurwachter die nog even van zijn schrik moet bekomen na een luid geluid, en daardoor de volgende persoon anders behandelt. Dit maakt het voor hackers nog lastiger om te voorspellen, maar ook nog gevaarlijker als ze dit kunnen manipuleren.

4. Wat betekent dit voor de veiligheid?

De paper concludeert dat:

1. De theorie klopt nog steeds: De wiskundige bewijzen zeggen dat QKD veilig is.
2. De praktijk is kwetsbaar: De hardware (de echte apparaten) heeft een zwakke plek die in die bewijzen niet werd meegenomen.
3. Oplossingen zijn nodig: De onderzoekers stellen voor om de software van de systemen aan te passen. Bijvoorbeeld: als twee detectoren bijna tegelijk klikken (wat gebeurt bij deze aanval), moet het systeem die klikken verwerpen of als "willekeurig" behandelen, in plaats van ze als geldige code te gebruiken.

Samenvatting in één zin

De onderzoekers hebben ontdekt dat bepaalde quantum-detectoren sneller reageren op fel licht dan op zwak licht, en dat hackers deze snelheidsverschillen kunnen gebruiken om de tijdsloten van een geheime code te manipuleren en zo de geheime sleutel te stelen.

Het is een herinnering aan het oude gezegde: "De ketting is net zo sterk als het zwakste schakel." In dit geval was dat schakel de snelheid van een elektronische knop.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Energy–time attack on detectors in quantum key distribution" in het Nederlands.

Titel: Energie-tijd aanval op detectoren in Quantum Key Distribution (QKD)

Auteurs: Konstantin Zaitsev, Vladimir Bizin, Dmitriy Kuzmin en Vadim Makarov.
Datum: 8 maart 2026 (voorgesteld in het artikel).

---

1. Het Probleem

Hoewel Quantum Key Distribution (QKD) theoretisch onbreekbaar is gebaseerd op de wetten van de kwantummechanica, zijn de praktische implementaties kwetsbaar door imperfecties in de hardware. Bestaande beveiligingsbewijzen en certificeringsstandaarden gaan vaak uit van ideale detectoren of nemen bekende imperfecties (zoals blinding-aanvallen) in overweging, maar missen specifieke dynamische effecten.

De auteurs identificeren een nieuw, onbekend lek in sinusoidaal-gateerde avalanche-fotodiodes (SPD's):

• Superlineariteit: De kans op een "click" (detectie) stijgt sneller dan lineair met het aantal fotonen in een lichtpuls.
• Energie-tijd effect (de kernvinding): De tijdstip waarop een detector klikt, hangt sterk af van de energie van de binnenkomende puls. Hogere energie leidt tot een snellere avalanche-start, waardoor de click vroeger plaatsvindt.
• Gevolg: Een aanvalster (Eve) kan deze tijdsverschuiving gebruiken om te manipuleren in welk "bit-slot" (tijdsvenster) een detectie wordt geregistreerd. Dit ondermijdt een impliciete aanname in bestaande beveiligingsbewijzen: dat de tijdsregistratie onafhankelijk is van de pulsenergie.

2. Methodologie

De auteurs hebben twee identieke prototype-detectoren (ontwikkeld door QRate) getest met de volgende opstelling:

• Detector: InGaAs/InP single-photon avalanche diodes (SPAD) met passief-actieve quenching, sinusoidaal gegaat op 312,5 MHz (periode 3,2 ns).
• Opstelling: Een laserdiode (1551 nm) genereert pulsen met een breedte van 269 ps. De energie van deze pulsen wordt gevarieerd over een bereik van 50 dB (tot wel 120 dB verzwakking).
• Meetprocedure:
  • De pulsen werden op 8 verschillende tijdstippen binnen het gate-venster van de detector geprojecteerd.
  • Er werd gemeten: (1) de detectie-efficiëntie (superlineariteit) en (2) de tijdsverdeling van de clicks (click time shift) ten opzichte van de laserpuls.
  • Een nieuwe definitie voor superlineariteit werd geïntroduceerd om de effectiviteit beter te kwantificeren dan eerdere methoden.
  • Er werd gekeken naar een "memory effect" waarbij de geschiedenis van eerdere clicks de huidige respons beïnvloedt.

3. Belangrijkste Resultaten

A. Superlineariteit

De detectoren vertoonden een matige superlineariteit. De detectie-efficiëntie ($\eta$) nam toe met de gemiddelde fotonenper-puls ($\mu$).

• De kwantificering ($S = \partial \ln \eta / \partial \ln \mu$) gaf een maximumwaarde van ongeveer 0,86 - 0,90.
• Dit betekent dat bij een verdubbeling van de energie, de efficiëntie met een factor van ongeveer 1,8 tot 1,9 toeneemt.
• Hoewel dit superlineair is, was het op zich niet voldoende om een succesvolle aanval te garanderen zonder het energie-tijd effect.

B. Het Energie-tijd Effect (Kernvinding)

Dit is de meest kritieke bevinding:

• De click-timing verschuift significant naarmate de pulsenergie toeneemt.
• Bij een energieverschil van 50 dB verschuift de gemiddelde click-tijd met meer dan 2 nanoseconde.
• Dit is cruciaal omdat de tijdsvensters (bit-slots) in QKD-systemen vaak slechts enkele nanoseconden breed zijn (bijv. 3,2 ns periode).
• Een puls met lage energie kan een click veroorzaken in bit-slot $N$, terwijl een puls met hoge energie (van dezelfde bron) een click veroorzaakt in bit-slot $N-1$ (of $N+1$), puur door de snellere avalanche-start.

C. Memory Effect

Er werd ontdekt dat de detectie-efficiëntie en de tijdsverschuiving afhankelijk zijn van de recente geschiedenis van clicks (op tijdschalen van microseconden). Bij hogere herhalingsfrequenties (bijv. 100 kHz) kan dit het superlineaire gedrag versterken, wat de kwantumbit-foutratio (QBER) verlaagt en aanvallen mogelijk maakt.

4. Voorgestelde Aanvallen

De auteurs presenteren twee theoretische aanvallen die dit lek exploiteren:

A. Intermediate-basis aanval (voor niet-decoy BB84)

• Methode: Eve onderschept het signaal, meet in een tussenliggende basis en zendt een heldere klassieke puls terug.
• Exploitatie: Ze stuurt de puls zodanig dat de energie ongelijk verdeeld wordt over Bob's twee detectoren (bijv. 7,7 dB verschil).
• Resultaat: De detector met de hogere energie klikt eerder (door het energie-tijd effect) en wordt geregistreerd in het juiste bit-slot. De andere detector klikt later en valt in het volgende bit-slot (en wordt verworpen door Bob om "deadtime"-aanvallen te voorkomen).
• Impact: Eve kan de geheime sleutel stelen met een QBER van minder dan 3%, wat onder de drempel voor detectie ligt.

B. Manipulatie van synchronisatie en deadtime (voor decoy-state BB84)

• Context: Dit richt zich op geavanceerde systemen (zoals die van QRate) met vier-toestanden en software-gestuurde deadtime-beveiliging.
• Methode: Eve manipuleert de kalibratie van Bob's timing en zendt faked states.
• Exploitatie: Door gebruik te maken van het energie-tijd effect, zorgt Eve ervoor dat clicks in de "verkeerde" detector precies op het moment vallen dat de deadtime van de vorige click is verstreken, of juist binnen de deadtime valt om clicks te onderdrukken.
• Resultaat: Bob registreert een schijnbaar willekeurige sleutel die volledig door Eve is bepaald, terwijl de QBER laag blijft. Ironisch genoeg maakt de "four-state Bob" (ontworpen om andere lekken te dichten) het systeem hier kwetsbaar voor deze specifieke timing-manipulatie.

5. Significantie en Conclusie

• Beveiligingsimplicaties: Het energie-tijd effect is niet opgenomen in bestaande QKD-beveiligingsbewijzen, noch in huidige certificeringsstandaarden (zoals ISO/IEC 23837-2). Dit betekent dat systemen die als veilig worden gecertificeerd, mogelijk kwetsbaar zijn.
• Nieuwe Paradigma: Het bewijst dat de timing van een detector niet statisch is, maar dynamisch reageert op de intensiteit van het licht. Dit vereist een herziening van hoe QKD-systemen worden gemodelleerd.
• Tegenmaatregelen:
  • Detectoren moeten getest worden op dit effect.
  • Het monitoren van gelijktijdige clicks in korte tijdsintervallen (als dubbel-clicks behandelen).
  • Het toewijzen van willekeurige bit-waarden aan clicks die direct na een deadtimeperiode vallen.
  • Overgang naar Measurement-Device-Independent (MDI) QKD of Twin-Field QKD, die in principe immuun zijn voor detector-fouten.
• Toekomst: De auteurs benadrukken dat dit effect elektrisch van aard is en ook bij andere detectormodellen (tot 1,25 GHz) is waargenomen, wat suggereert dat het een breed probleem is in de huidige QKD-hardware.

Samenvattend: Dit artikel onthult een fundamenteel fysiek lek in de timing van single-photon detectoren. Door de relatie tussen pulsenergie en detectietijd te exploiteren, kan een aanvaller de registratie van bits manipuleren zonder de foutenratio significant te verhogen, waardoor bestaande beveiligingsbewijzen ongeldig worden voor deze specifieke hardware-implementaties.