31.12.2009 15:58
26C3: Forscher demonstrieren genialen Quanten-Hack
Zwei Forscher demonstrierten, wie sie die beweisbar sichere Quanten-Schlüsselverteilung unbemerkt belauschen können. Natürlich haben Qin Liu und Sebastien Sauge dabei die Gesetze der Quantenphysik nicht außer Kraft gesetzt. Statt dessen haben sie in typischer Hackermanier den schwächsten Punkt einer realen und deshalb nicht perfekten Implementierung eines Systems zur Quanten-Schlüsselverteilung erfolgreich attackiert.
Quantum Key Distribution (QKD) soll den absolut sicheren Austausch geheimer Schlüssel ermöglichen. Es beruht (stark vereinfacht) darauf, dass zwei quantenmechanisch miteinander verschränkte Photonen zu Alice und Bob transportiert werden, die bei einer Messung den Wert 0 oder 1 ergeben. Doch bis einer der beiden den Zustand tatsächlich misst, ist er unbestimmt. Sicher ist nur, dass wenn Alice irgendwann eine 1 misst, wird Bob später ebenfalls eine 1 messen. Sollte die böse Eve die Übertragung abfangen, kann sie zwar den Wert auslesen, aber sie hat gemäß der Heisenbergschen Unschärferelation keine Möglichkeit, ein Photon zu erzeugen, das die gleichen Eigenschaften aufweist. Bob könnte den Eingriff also entdecken.
Und genau hier versagen viele der realen und zum Teil auch bereits im Handel befindlichen QKD-Systeme. Ihre Detektoren zur Messung eines einzelnen Photons sind nämlich eigentlich makroskopische Systeme. Liu und Sauge haben in Berlin live demonstriert, dass sie den Detektor eines typischen QKD-Systems mit einem hellen Lichtstrahl so blenden können, dass er auf einzelne Photonen nicht mehr anspricht. Durch gezielte, intensive Pulse lässt er sich jedoch immer noch auslösen. Statt als quantenmechanisches Messinstrument benutzen sie also Bobs Detektor quasi als makroskopischen Schalter, den sie "von Hand" betätigen und damit Bob ein Photon mit einem bestimmten (Polarisations-)Wert vortäuschen.
Konkret hat das Forschungsteam auf diesem Weg bereits ein reales QKD-System belauscht, das Schlüssel via Lichtleiter über 290 Meter verteilt hat. Eve hat sich in den Übertragungsweg eingeklinkt und konnte so den kompletten geheimen Schlüssel ausspähen, ohne dass Alice oder Bob dies bemerken konnten.
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Ganze zwölf Sicherheitslücken soll die neue Quicktime-Version für Windows beseitigen - allesamt kritischer Natur. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
