Experimental demonstration of a coherent detector blinding attack on a real CV-QKD system

Dit artikel demonstreert experimenteel een nieuwe coherente detector-verblindingsaanval op een echt continu-variabel kwantum-sleuteldistributiesysteem, waarbij wordt aangetoond dat een afluisteraar succesvol extra ruis van meer dan 2,5 shot noise units kan verbergen om detectie te ontlopen, terwijl er wordt ingegaan op mogelijke verbeteringen en tegenmaatregelen.

De kern

Stel je een high-tech bankkluis (het CV-QKD-systeem) voor die is ontworpen om geheime codes te delen tussen twee personen, Alice en Bob. De kluis is theoretisch onkraakbaar omdat deze steunt op de wetten van de natuurkunde. Echter, het artikel betoogt dat hoewel de wiskunde perfect is, de machinerie binnenin de kluis een zwakke plek heeft.

Hier is een eenvoudige uiteenzetting van wat de onderzoekers deden, met behulp van alledaagse analogieën.

1. De Opzet: De "Perfecte" Kluis

In dit systeem stuurt Alice lichtsignalen naar Bob om een geheime sleutel te creëren. Om zeker te weten dat niemand meeluistert, controleert Bob voortdurend de "ruis" in het signaal.

• De Analogie: Stel je voor dat Bob probeert een fluistering te horen in een stille kamer. Als de kamer plotseling luidruchtig wordt (statische ruis), weet Bob dat iemand zich bemoeit. In de kwantumfysica heet deze "ruis" excess noise (extra ruis). Als de ruis te hoog is, gaat Bob ervan uit dat een afluisteraar (Eve) luistert en stopt hij de transactie om veilig te blijven.

2. Het Probleem: De "Blinde" Ontvanger

De onderzoekers ontdekten dat Bobs luisterapparaat (de coherente detector) een limiet heeft. Het werkt uitstekend voor fluisteringen en normaal gesprek, maar als je er tegen schreeuwt, stopt het met correct werken.

• De Analogie: Denk aan een microfoon die is aangesloten op een luidspreker. Als je muziek op een normaal volume afspeelt, werkt de luidspreker perfect. Maar als je direct in de microfoon schreeuwt, raakt de luidspreker "blind" of "verzadigd". Het stopt met reageren op de nuances van het geluid en geeft alleen een vlakke, maximale volume-output. Het kan niet langer het verschil maken tussen een fluistering en een schreeuw.

3. De Aanval: De "Dubbel-Blinde" Truc

De onderzoekers demonstreerden een tweestapsaanval om het systeem te bedriegen:

Stap A: Het Blinden (De "Flashbang")
Eve stuurt een zeer sterk, specifiek lichtsignaal naar Bobs detector.

• De Analogie: Eve schijnt een fel, flitsend stroboscooplicht recht in Bobs ogen. Omdat het licht zo fel is en zo snel flitst, raken Bobs ogen (de detector) overweldigd en stoppen ze met reageren op de echte wereld. Ze zijn "blind".
• De Twist: De onderzoekers moesten slim zijn. Hun systeem gebruikte een speciaal type detector dat constant licht negeert (zoals een camera met een filter dat stabiele stralen blokkeert). Dus, Eve schijnde niet zomaar een constant licht; ze flitste het heel snel aan en uit (zoals een stroboscoop) om het filter te omzeilen en de detector toch te blinderen.

Stap B: Het Verbergen (De "Dekking")
Zodra de detector verblind is, voert Eve haar daadwerkelijke afluistering uit. Ze introduceert veel "ruis" (statische ruis) in het signaal, wat normaal Bob zou moeten waarschuwen.

• De Analogie: Nu Bobs ogen verblind zijn door het stroboscooplicht, begint Eve veel lawaai te maken in de kamer. Omdat Bobs ogen verblind zijn, kan zijn brein (de computer die de data verwerkt) de ruis niet correct meten. In plaats van "Hoge Ruis = Gevaar" te zien, rapporteert de verblinde detector "Lage Ruis = Veilig".
• Het Resultaat: Eve kan een enorme hoeveelheid interferentie verbergen (tot 2,5 keer de normale limiet) zonder dat Bob het ooit merkt. Bob denkt dat de lijn helder is en blijft de geheime sleutel delen, maar Eve heeft de hele tijd geluisterd.

4. Het Experiment

Het team bouwde een echte versie van dit scenario in een laboratorium.

• Ze bouwden een "Ruismachine" om Eve's interferentie te simuleren.
• Ze bouwden een "Blindmachine" (een laser die op een specifieke frequentie flitst) om de ontvanger te blinderen.
• Het Resultaat: Ze bewezen dat wanneer ze de blindmachine inschakelden, de ontvanger stopte met het detecteren van de ruis van de Ruismachine. Zelfs toen ze enorme hoeveelheden nep-ruis toevoegden, rapporteerde de ontvanger dat alles in orde was.

5. De Oplossing: Hoe de Kluis te Repareren

Het artikel suggereert dat we de hele kluis niet hoeven te vervangen om dit op te lossen. We hoeven alleen maar de "ogen" nauwkeuriger te bewaken.

• De Analogie: Als je merkt dat iemands ogen leeg starend zijn of vreemd reageren op een stroboscooplicht, weet je dat er iets mis is.
• De Oplossing: De onderzoekers suggereren om de output van de detector te monitoren op "vreemde" signalen (zoals het specifieke flitspatroon dat Eve gebruikte) of te controleren of het signaal de maximale mogelijke limiet bereikt (verzadiging). Als de detector zijn plafond raakt, wordt hij verblind en moet het systeem worden afgesloten.

Samenvatting

Het artikel toont aan dat zelfs een theoretisch onkraakbaar kwantumsysteem gehackt kan worden als de fysieke hardware wordt bedrogen om "blind te gaan". Door een specifiek licht op de ontvanger te flitsen, kan een aanvaller zijn aanwezigheid verbergen en geheimen stelen zonder dat het systeem beseft dat de lijn is gecompromitteerd. De oplossing bestaat uit het toevoegen van eenvoudige controles om te zien of de detector overweldigd wordt.

Technische samenvatting

Technische Samenvatting: Experimentele Demonstratie van een Coherent Detector Blinding-aanval op een Real CV-QKD Systeem

Probleemstelling
Continuous-Variable Quantum Key Distribution (CV-QKD) biedt theoretisch onvoorwaardelijke beveiliging voor symmetrische sleutelverdeling met gebruik van telecommunicatie-compatibele apparatuur. Echter, praktische implementaties vertrouwen op imperfecte apparaten, wat kwetsbaarheden creëert voor side-channel-aanvallen. Een kritieke aanname in CV-QKD-beveiligingsbewijzen is dat de ontvanger lineair werkt, wat een nauwkeurige schatting van kanaalparameters (transmissie en extra ruis) mogelijk maakt. Als een afluisteraar (Eve) de ontvanger kan dwingen in een niet-lineair regime, kan zij deze parameterschattingen manipuleren en zo de aanwezigheid van haar aanval verbergen. Hoewel "verzadigings"- of "blinding"-aanvallen zijn getheoretiseerd en gedeeltelijk zijn gedemonstreerd in discrete-variabele systemen, was een volledige experimentele demonstratie tegen een compleet CV-QKD-ontvanger, specifiek een die in staat is om gemeenschappelijke AC-koppeling-verdedigingen te omzeilen, nog niet bereikt.

Methodologie
De auteurs bouwden een experimentele opstelling die gericht was op een echte CV-QKD-ontvanger (Bob) zonder de zender (Alice) aan te tasten. De aanvalsstrategie bestaat uit twee fasen:

1. Inschakelingsfase (Blinding): De tegenstander injecteert een sterk optisch signaal om de gebalanceerde coherent detector in een niet-lineair regime te dwingen. Om de AC-koppeling van de ontvanger (die constante DC-signalen filtert) te overwinnen, gebruikten de auteurs een gemoduleerde blinding-bron. Een 1344 nm laserdiode werd direct gemoduleerd met een 10 MHz vierkante golf. Deze frequentie werd gekozen om ruim boven de 300 kHz DC-cut-off van de ontvanger te liggen, maar vereiste zorgvuldige spectrale vorming om interferentie met het CV-QKD-signaal en piloottonen te voorkomen. Het blinding-signaal werd via een Wavelength Division Multiplexer (WDM) gecombineerd met het signaalpad en gepolarisatie-gestuurd om een differentiële belichting van de gebalanceerde fotodiodes te garanderen, waarbij gebruik werd gemaakt van de golflengte-afhankelijkheid van de interne 50/50 beam splitters.
2. Exploitatiefase (Ruisinjectie): Om een collectieve aanval te simuleren, werd een gecontroleerde ruisbron samengesteld met behulp van een Erbium-Doped Fibre Amplifier (EDFA) die werkte in de Amplified Spontaneous Emission (ASE)-modus. Het ruisvermogen werd nauwkeurig verzwakt en in het signaalpad geïnjecteerd.

De doelontvanger maakte gebruik van een polarisatiediverse architectuur met Wieserlabs gebalanceerde optische ontvangers (1,6 GHz bandbreedte) en een 3,2 GHz ADC. De Digital Signal Processing (DSP)-keten werd voor het experiment vereenvoudigd, met focus op frequentieherstel, filtering en variantieberekening om kanaalparameters te schatten.

Belangrijkste Bijdragen

• Nieuwe Blinding-implementatie: Het artikel presenteert de eerste experimentele demonstratie van een coherent detector blinding-aanval op een compleet CV-QKD-ontvanger. Cruciaal is dat wordt aangetoond dat AC-gekoppelde ontvangers, die vaak worden beschouwd als verdediging tegen eenvoudige blinding, kunnen worden verzadigd met een hoogfrequente gemoduleerd signaal.
• Gecontroleerde Ruis-simulatie: De auteurs ontwikkelden een reproduceerbare ruisbron die in staat is specifieke hoeveelheden extra ruis (tot ongeveer 2,5 Shot Noise Units, SNU) in te brengen om de impact van een collectieve aanval na te bootsen.
• Spectrale Mitigatie: De studie beschrijft hoe de modulatie van het blinding-signaal kan worden aangepast (bijvoorbeeld door digitale filtering of fase-modulatie) om spectrale overlapping met het CV-QKD-signaal en piloottonen te vermijden, waardoor de sluipende aard van de aanval behouden blijft.

Resultaten
Het experiment slaagde erin aan te tonen dat de blinding-bron aanzienlijke extra ruis kon verbergen:

• Lineairheidsstoring: Naarmate het blinding-vermogen toenam (gesweept van -15,6 dBm tot -12,5 dBm), begon de uitgangsspanning van de ontvanger te clippen bij de ADC-limieten (springend tussen -2048 en 2048), wat verzadiging aangeeft.
• Falen van Parameterschatting: Eenmaal verblind, weken de schattingen van extra ruis ($\tilde{\epsilon}$) van de ontvanger significant af van de werkelijk ingebrachte ruis.
• Verbergingsvermogen: De aanval slaagde erin extra ruiswaarden in het bereik van 0,86 SNU tot 2,49 SNU te verbergen. Specifiek, met blinding-vermogens tussen -13,33 dBm en -12,69 dBm, schatte de ontvanger de extra ruis onder de beveiligingsdrempel (0,126 SNU voor de specifieke gebruikte 64-QAM-modulatie), zelfs wanneer de werkelijke ruis veel hoger was.
• Sluipend: De aanval liet het systeem toe een positieve beveiligde sleutelrate te rapporteren terwijl de werkelijke kanaalcondities (met de ingebrachte ruis) zouden leiden tot een beveiligde sleutelrate van nul, waardoor een afluisteraar effectief informatie kon extraheren zonder detectie.

Betekenis en Claims
De auteurs claimen dat hun werk de haalbaarheid demonstreert van een "coherent detector blinding-aanval" als een levensvatbare inschakelingsfase voor geavanceerdere afluisterstrategieën. De betekenis ligt in het bewijzen dat:

1. AC-koppeling geen voldoende tegenmaatregel is tegen blinding als de aanvalspeler gebruik maakt van passende modulatie.
2. Extra ruis die 2,5 SNU overschrijdt betrouwbaar kan worden verborgen, waardoor de standaard beveiligingsparameterschatting ongeldig wordt.
3. De aanval kan worden aangepast aan verschillende systemen door het modulatiepatroon aan te passen om specifieke frequentiebanden te vermijden.

Het artikel concludeert met het voorstellen van tegenmaatregelen die geen nieuwe hardware vereisen, zoals het bewaken van de ontvangeruitgangen op verzadigingswaarden of het controleren op frequentiecomponenten buiten de verwachte signaalbandbreedte. De auteurs benadrukken dat hun werk, hoewel het de kwetsbaarheid demonstreert, ook een pad biedt voor de ontwikkeling van robuuste detectiemechanismen.