Qin Liu er medlem av «hackergruppa» ved NTNU. Han har til oppgave å finne sikkerhetshull i kvantekryptografiske systemer. Til hjelp har han en «spionkoffert». (Foto: Vadim Makarov)

Lager hackemat av kryptering

Verdens sikreste datakryptering er knekt. For å bedre sikkerheten.

NTNUs eget «hackerteam» har knekt gullstandarden innenfor datasikkerhet – den teoretisk ubrytelige kvantekrypteringen. Teamet har funnet at flere kommersielle kvantekryptografisystemer har svært alvorlige sikkerhetshull.

– Vi har vist at det er mulig å avlytte kodede meldinger uten å bli oppdaget, forteller stipendiat Lars Lydersen.

– Naturlovene tilsier at avlyttere vil avsløres. Men vi fant en svakhet i mottakerutstyret, som kan utnyttes til å ta en perfekt kopi av meldingen uten å etterlate spor.

Kunsten å kode

Kryptografi er kunsten å kode meldinger slik at de ikke er leselige for noen andre enn avsenderen og mottakeren. Kvantekryptografi er en metode for at to parter kan utveksle en hemmelig, tilfeldig nøkkel – en kode som senere kan brukes til å kryptere informasjon.

Har du koden, så har du åpen dør inn til all informasjon. Det er som om BankID-brikken, den personlige koden og påloggingsinfo skulle bli utlevert til noen du ikke kjenner.

Men dette handler ikke om nettbanker. Det handler om sikkerhetsnivået over.

Sikkerhetshull

Selve bærebjelken i kvantekryptering er at ethvert forsøk på å måle kvantesignalene, og dermed fange opp koden, vil endre selve signalene og dermed etterlate spor.

– Vi må huske på at vi ikke snakker om bare ett-tall og nuller, slik vi normalt gjør når vi sender data over nettet, forklarer stipendiaten. – Det som sendes, er kodede enkeltlyspartikler med forskjellige faser. Det er målingen av lyspartiklene som gjør det umulig å avlytte uten å bli avslørt.

Men det er også teknologien for måling av disse kodede lysglimtene, som skaper sikkerhetshullet. Det viste seg nemlig at måleapparatene lot seg diktere av noen kraftige lasere.

En liten, gul koffert

Kvantehacker-gruppen ved NTNU har som mål å gjøre praktiske kvantekryptografisystemer sikre. De jobber ved å være «den onde hackeren», og finner sikkerhetshull ved å utnytte utstyrets svakheter. Deretter forsøker de å sikre systemene gjennom ny teori, og/eller å foreslå endringer i utstyret som benyttes.

Til avlyttingen bruker forskerne en gul koffert full av lasere og annen elektronikk. Det er rett og slett et mobilt laboratorium som er bygget for å kunne gå som håndbagasje på fly.

– Kofferten er en avlyttingsstasjon som måler kvantesignalene, og dermed koden, forklarer Lydersen.

– Deretter sendes falske signaler som lurer mottakeren til å tro at ingen har målt koden. Det kalles et «man-in-the-middle-attack». For mottakeren framstår den tilsendte koden som autentisk og sikker, men samtidig har vi en perfekt kopi av de hemmelige kodene som skal brukes for å kryptere informasjon senere.

Altså: Selv om naturlovene gjør innbrudd umulige, så gjør menneskeskapt utstyr dem mulige.

– Teorien viser at kvantekryptografi er sikkert, sier Lydersen, – men implementeringen kan være usikker. Dette er det behov for videre forskning på. Datakriminalitet bare øker i omfang, så vi må stå på for å ligge i forkant av dem med uredelige hensikter.

Kunne endret alt

De færreste kvantekryptografileverandører har behov for publisitet omkring systemene sine. Så kundelistene holdes hemmelige. Likevel reklamerer bedriftene MagiQ og ID Quantique på egne hjemmesider med kunder som NASA, US Marines, sveitsiske valg og fotball-VM. Det er produkter fra disse to leverandørene som har vist seg å være avlyttbare.

Forskerne mener de kunne gjort hva de ville med informasjonen som sikres med disse krypteringssystemene.

– I prinsippet kunne vi avlyttet og endret hva som helst av innhold i en kvantekryptert sending som er sikret med en av de boksene vi har sjekket, sier Lydersen.

– Men vi gjør jo dette for å bedre sikkerheten.

Resultatene er nylig publisert i Nature Photonics. Men først ble leverandørene varslet og gitt tid til å tette sikkerhetshullene.

Referanse:

Lydersen m.fl.: Hacking commercial quantum cryptography systems by tailored bright illumination, Nature Photonics, Published online: 29 August 2010, doi:10.1038/nphoton.2010.214.