פרויקט נטו-מאובטח (חלק 3/3): תוצר אירופי של חלוקת מפתח QUANTUM

05 / 04 / 21
להלן החלק השלישי והאחרון בסדרת המאמרים בנושא הצפנה קוונטית, שהחל בשני המאמרים הקודמים, שם הוצגו היסודות הבסיסיים של מה שמכונה איום קוונטי. בחלק האחרון הזה מוצג בפירוט פרויקט Q-Secure Net, שהוצג כבר בחלק 1.
לפני שתמשיך, אנו ממליצים לך לקרוא מחדש את המאמרים הקודמים בקישורים הבאים:

אתגר חלוקת המפתח הקוונטי (QKD)

פרויקט Quantum-Secure Net (Q-Secure Net) הוא פרויקט במימון של המכון האירופי לטכנולוגיה דיגיטלית (EIT Digital) שמטרתו לפתח ולהביא לשוק מוצר אירופאי לחלוטין דור חדש ומוצרי רשת מהדור החדש, המבוסס על טכנולוגיית QKD (Quantum Key Distribution), שהיא בר קיימא מבחינת עלות ותואמת פעולה עם מערכות קיימות אחרות. מטרת הפרויקט היא לספק פיתרון מוכן לטלקומוניקציה, המשולב בתפעול וניהול רשתות, כדי להבטיח תקשורת מאובטחת מקצה לקצה (E2E) ברמה קוונטית בהגדרות אבטחה גבוהה.

המוצעת כבר בתחילת שנות השמונים, QKD היא טכנולוגיה הקשורה למחשוב קוונטי בשל העובדה שהיא משתמשת באותה "טרמינולוגיה" מתמטית: ניתן לומר שבמקרה זה אנו מדברים על "קוונטים" ללא תכונת "המחשוב". לטכנולוגיה נדרשו כמעט 1980 שנה להתפתח, אולם כיום מדובר בתחום עיקרי של תחרות טכנולוגית בין מדינות מעבר ל- 40G, כולל סין, קוריאה וארצות הברית. QKD בפרט משתמש בתכונות הקוואנטיות של פוטונים להחלפת מפתח קריפטוגרפי סימטרי, אשר באמצעותו ניתן להצפין הודעות אשר מוחלפות לאחר מכן דרך ערוץ "מסורתי". האבטחה של QKD מבוססת על חוקי טבע בסיסיים, שאינם רגישים להגברת כוח המחשוב, אלגוריתמי התקפה חדשים או מחשבים קוונטיים. מערכת זו מאפשרת, לאחר שהוצגה, לצייד את תשתיות הרשת המאובטחות ביותר בתקשורת מאובטחת ללא תנאי.

פרויקט ה- Q-Secure נט

פרויקט Q-Secure Net מטרתו לספק פתרון חסכוני וגמיש עבור שירותי תקשורת מבוססי QKD מאובטחים ללא תנאי העובדים עם רשתות מטרופולין קיימות בסיבים אופטיים. ראש הפרויקט הוא איטלטל. בין השותפים, עקף פריאל אחרי שניים מתרחישים של יישומים, פוליטקניקו די מילאנו ו- CNR פיתחו את טכנולוגיית QKD ופרוטוקולי תיקון שגיאות, האוניברסיטה הפוליטכנית במדריד וטלפוניקה השתתפו בהגדרת המוצר ובבדיקות ברשת הסיבים האופטיים המטרופולינים.

במהלך הפרויקט פותחו שני יישומי אב-טיפוס, שמטרתם להדגים את השימוש בהם בהקשר Blockchain ו- SSL, ולהראות כיצד ניתן ליישם את טכנולוגיית QKD הן על השוק הפיננסי והן על מנת להבטיח תקשורת IoT (Internet of Things) ו- IIoT. ( IoT תעשייתי). המוצר מתאים לכל שירות הדורש מפתח הצפנה סימטרי, ונפתח לאינספור יישומים ומקרי שימוש.

תרחיש ה- SSL + PSK

היישום הראשון שפותח מקושר לפרוטוקול SSL / TLS. פרוטוקולים אלה מאפשרים תקשורת מאובטחת בין שתי ישויות על ידי פעולה מעל שכבת התחבורה. בדרך כלל, SSL משתמש באישורי מפתח ציבורי לצורך אימות. במיוחד, לעומת זאת, התקן כבר מספק תצורה מיוחדת (SSL + PSK Pre-Shared Keys) המשתמשת במפתחות סימטריים, המשותפים מראש מראש בין הצדדים המתקשרים, כדי ליצור חיבור SSL. תצורה המיושמת, למשל, לתמיכה במקרים בהם הצדדים המתקשרים אינם יכולים להשתמש בהצפנה א-סימטרית משום שהיא יקרה מבחינת קישוריות או חישוב (למשל IoT) או מכיוון שהצדדים כבר "מוסמכים" (למשל צבא).

שלבי התקשורת המפורטים עבור SSL + PSK הם כדלקמן, בהשראת ישירות מתכנית Diffie-Hellman המוצעת עבור PKI.

  1. אליס ובוב מקבלים את אותו מפתח הצפנה (סימטרי) בקישור QKD

  2. אליס משתמשת במפתח הסימטרי QKD כדי להצפין מפתח הפעלה זמני, שנוצר באופן אקראי, בעל אורך חיים מוגבל ושולח אותו לבוב, בערוץ לא מאובטח (Ethernet)

  3. בוב מקבל את ההודעה ומפענח אותה כדי לקבל את מפתח ההפעלה הזמני.

  4. אליס ובוב משתמשים במקש ההפעלה הזמני עם AES כדי להצפין את ההודעות שלהם דרך ה- Ethernet עד שתוקפו יפוג (ואז חוזר שלב 2). במקרה של התקפה דרך קישור ה- QKD, אליס ובוב יכולים לבקש מפתח QKD מאובטח נוסף.

התרחיש מאפשר שירותי VPN ו- IPSEC עם QKD.

תרחיש האוצר המבוזר

טכנולוגיות הבלוקצ'יין נולדו בסוף שנת 2009 עם כניסתו של פרוטוקול הביטקוין ומתפתחות עד עצם היום הזה במשפחה של פרוטוקולים ומערכות SW ובעצם במטרה ליצור רשת (עמית לעמית) של "עמיתים" המסוגלים להחליף ערך עסקה (מטבע, נכס עם ערך, הסמכה) ישירות, ללא צד ג 'נאמן. ובכך ביטול, באמצעות מנגנון של הסכמה משותפת, את הצורך בקבלת צדדים שלישיים והפעלת חילופי ישיר של סחורות ושירותים. למערכות אלו יש יישום בתחום הפיננסי, הן בתהליכים בין-בנקאיים, למשל בתרחישי מעקב אחר נכסים ובתרחישים של מחזור חיים כמו למשל חשבוניות (למשל, הנחת חשבוניות) והן בתהליכים ושירותים שניתן ליצור מסימונים (מה שמוליד את התופעה. של מימון מבוזר).

בפרט, ב מימון מבוזר (Defi), אחד ההיבטים המרכזיים הוא יכולת פעולה הדדית של מערכות והחלפת אסימונים ומטבעות קריפטוגרפיים, בכפוף לאתגרי אבטחה ידועים וניכרים. כיום ישנם עשרות אלפי אסימונים נגזרים של Ethereum, והם "מבחינה טכנית" פועלים זה עם זה, כלומר יישומים שונים יכולים להחליף אסימונים אלה ממש כמו החלפת מטבעות או מניות בבורסות המסחר. פעולות אלה מופקדות כיום בבורסות ריכוזיות אשר לעיתים קרובות נתונות לבעיות אבטחה ומייצגות את האלמנט היחיד שעדיין מרוכז במערכות אשר, עם זאת, לחלוטין peer-to-peer.

בהקשר "פיננסי" זה, תמיד יש "צומת" ברשת, שנקרא בארנק בעגה הטכנית (ארנק) שמאפשר להחליף את הערך, כלומר האסימון. לצומת זה יש מידע ספציפי שמאפשר לו לבצע את העסקה.

יתר על כן, בתרחישים הנוכחיים של פינטק, יש מספר מטבעות קריפטוגרפיים ורשתות, חולשה מוכרת. "המעבר" מקריפטו אחד למשנהו, מאסימון אחד למשנהו, בין שתי מערכות לשניים ארנק, מחייב מעבר לצד שלישי מהימן, הסותר את פרדיגמת הביזור. מצב זה, למשל בהקשר של אתריום, נפתר על ידי העברה, במקרים מסוימים, כפי שהוצע לאחרונה, דרך המנגנון שלהחלפה אטומית. L "החלפה אטומית הוא אחד הפתרונות האפשריים המוצעים כדי לגרום לרשתות בלוקצ'יין שונות לקיים אינטראקציה, והיא "מערכת" למעבר מאובטח ישירות בין צמתים המשתתפים ברשתות בלוקצ'יין שונות, של מידע (hashlock o נעילת זמן*) נדרש לביטול המרת המטבע.

מידע סימטרי זה מאפשר לקשר בין רשתות שונות, ולכן, לאור התפתחותן של רשתות הבלוקצ'יין בהקשרים פיננסיים, חשוב לשמור על אבטחתן.

באובייקט התצורה הניסיוני של הפרויקט,החלפה אטומית מתרחש כבר לא ברשת טלקומוניקציה "משותפת", אלא משתמש בקישור QKD, המאפשר את פרמטר ההעברה של hashlock / timelock בין שני צמתים של רשת אלגורנד (שימו לב שבעגה אלגורנד המונח העברות אטומיות). פיתרון זה מגביר את הבטיחות המהותית של המרכזיה ולכן מאפשר להשתמש בה החלפה אטומית אפילו עם מטבעות קריפטוגרפיים.

התפתחויות צפויות

פרויקט Q-Secure Net הוביל בשנה אחת ליצירת מוצר מוכן ליישומי השוק הראשונים, אך יש בו פוטנציאל לנצל את ההזדמנויות משוק שצומח במהירות. במאמר הוזכר תרחיש טבעי ראשון של שימוש ב- QKD, עבור חיבורים עם דרישות בטיחות גבוהות או כאשר המקומות בהם אבטחה נצחית.

רשתות של מכשירים המצוידים ב- QKD Link מעניינות אף הן. ארכיטקטורת רשת הופ-על-הופ הראשונה הודגמה באירופה בשנת 2008 על ידי פרויקט SECOQC; ברשתות כאלה ההודעות עוברות דרך צמתים ממסרים שונים המחוברים באמצעות קישור QKD. במקרה זה הפענוח / קידוד והעברת המסר מתבצע בכל צומת ביניים עם מקשי QKD שונים (ראה איור 1).

איור 1 - ברשת "hop-by-hop", הנתונים עוקבים אחר נתיב המורכב מצמתי ממסר "מהימנים", המחוברים באמצעות קישור QKD. פענוח / קידוד מחדש של ההודעה נעשה בכל צומת ביניים, באמצעות קידוד המשטח החד פעמי בין המפתח המקומי, המופץ על ידי ה- QKD, לבין ההודעה הסודית M, המפענחת באופן מקומי על ידי החיבור הקודם. אסוציאציות המפתח השונות מסומלות בצבעים שונים.
  
אנריקו חיטה*נדיה פבריציו*פאולו מריה קומי+

* CEFRIEL Polytechnic of Milan, Viale Sarca 226 - 20126 Milan

+ Italtel, Via Reiss Romoli - loc. קסטלטו - 20019 סטימו מילאנוזה (מי)

עבודות מצוטטות


[1]

Digital Tech, "גיליון עובדי Q-Secure Net", 2019. [מקוון]. זמין: https://www.eitdigital.eu/fileadmin/files/2020/factsheets/digital-tech/E....

[2]

R. Alléaume, C. Branciard, J. Bouda, T. Debuisschert, M. Dianati, N. Gisin, M. Godfrey, P. Grangier, T. Länger, N. Lütkenhaus, C. Monyk, P. Painchault, M. Peev, A. Poppe, T. Pornin, J. Rarity, R. Renner, G. Ribordy, M. Riguidel, L. Salvail, A. Shields, H. Weinfurter and A. Zeilinger, "שימוש בהפצת מפתח קוונטי למטרות הצפנה : סקר, " מדעי המחשב התיאורטיים, כרך א ' 560, עמ ' 62-81, 2014.

[3]

W. Diffie ו- M. Hellman, "כיוונים חדשים בקריפטוגרפיה," עסקאות IEEE על תורת המידע, כרך א ' 22, עמ ' 644-654, 1976.

[4]

מ 'הרליהי, "החלפות שרשרת אטומיות", ב סימפוזיון ACM על עקרונות מחשוב מבוזר 2018.

[5]

S. Micali, "הטכנולוגיה הקרובה של אלגורנד," 26 5 2019. [Online]. זמין: https://medium.com/algorand/algorands-forthcoming-technology-bcd17989c874.

[6]

CORDIS, "פיתוח רשת גלובלית לתקשורת מאובטחת המבוססת על קריפטוגרפיה קוונטית", 2008. [Online]. זמין: https://cordis.europa.eu/project/id/506813.

* ניתן להגדיר את שירות Atomic Swap בשתי דרכים: hashlock או timelock. Hashlock הוא פונקציה המגבילה את הוצאת הכספים עד לפרסום נתונים מסוימים (כהוכחה קריפטוגרפית. Timelock מגביל את הוצאות הכספים עד לזמן מסוים בעתיד.