Kuantum Kriptografi ve Anahtar Dağıtım Protokolleri - Akademik ...

Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri2 - 4 Şubat 2011 İnönü Üniversitesi, MalatyaKuantum Kriptografi ve Anahtar Dağıtım ProtokolleriErgün Gümüşİstanbul Üniversitesi, Bilgisayar Mühendisliği Bölümü, İstanbulegumus@istanbul.edu.trÖzet: Günümüze kadar verinin gizliliğini sağlamak amacıyla pek çok matematiksel yöntem önesürülmüştür. Bu yöntemlerin şifreleme gücü, dayandıkları algoritmanın çözümü için gerekli süreyledoğru orantılıdır. Dolayısıyla bu yöntemler verinin güvenliğini sadece sınırlı bir süre boyuncagaranti edebilmektedir ve bu süre her geçen gün gelişen bilgisayar sistemleriyle kısalmaktadır.Veriyi elektriksel işaretler yerine foton olarak adlandırılan ışık tanecikleriyle tanımlayıp işleyebilenkuantum bilgisayarların kullanılmasıyla söz konusu sürenin artık veri güvenliğini sağlayamayacakkadar kısalması öngörülmektedir. Bu noktada, artık verinin saklanmasından ziyadegüvenli bir şekilde iletildiğinden emin olunabilecek yöntemler aranmaya başlanmıştır. Kuantumkriptografi, matematik kuralları yerine fizik kurallarına dayandığından bu yönde iyi bir aday olarakön plana çıkmaktadır. Bu çalışmada kuantum kriptografinin dayandığı ilkeler, anahtar dağıtımve oluşturma yöntemleri işlenmiştir.Anahtar Sözcükler: Kuantum Kriptografi, Kuantum Anahtar Dağıtım Protokolleri,Optik Ağlar, BB84, B92, SARGQuantum Cryptography and Key Distribution ProtocolsAbstract: Till present day, many mathematical approaches have been proposed in order to providedata privacy. Encryption power of these techniques is positively correlated with the timerequired to break them. Thus, they guarantee data security only for a limited period of time whichhas been getting shorter because of developing computer systems. It is foreseen that this periodof time will not be long enough to provide data security after usage of quantum computers whichexpress data as light particles called photons instead of electrical signals. At this point a searchfor new techniques that guarantees private data transfer rather than encryption has been initiated.Quantum cryptography is a good candidate for this search because it is based on physics lawsinstead of mathematics. In this study, principles of quantum cryptography, key distribution andformation techniques have been explained.Keywords: Quantum Cryptography, Quantum Key Distribution Protocols, Optical Networks,BB84, B92, SARG1. GirişVeri gizliliği tarih boyunca önemini korumuşbir kavramdır. Bu amaçla matematikçiler, Sezarşifresinden günümüze kadar hesaplamakarmaşıklığına dayanan pek çok şifrelemeyöntemi geliştirmişlerdir. Söz gelimi bu yöntemlerdenRSA, çok büyük sayıların asal bileşenanalizinin zorluğuna[1] dayanırken, Eliptik547eğri şifreleme yöntemi ayrık logaritma problemininçözümünün zorluğuna dayanmaktadır.On yıl önce, bu yöntemlerle şifrelenmiş verininistenmeyen kişilerin eline geçmesinin teorik olarakyüz binlerce yıl süreceği düşünülmekteydi.Çünkü işlemciler ne kadar hızlanırsa hızlansın,sistemler ne kadar dağıtılmış olursa olsunmevcut donanım elektrik sinyallerinin iletimine

Kuantum Kriptografi ve Anahtar Dağıtım ProtokolleriErgün Gümüşdayanmaktaydı. Veriyi ifade etmek için elektriksinyallerinin yerine evrende bilinen en hızlıenerji olan ışığın kullanılması fikri “kuantumhesaplama” kavramını doğurmuş ve eski donanımlarlaçözümü binlerce yıl sürecek olan problemlerinkuantum bilgisayarlar ile saatler içindeçözülebileceği görülmüştür. Bu durum, ilgiyi verininşifrelenmesinden ziyade güvenli bir şekildeiletilmesine kaydırmıştır. Bu noktada mevcutşifreleme yöntemleri için bir tehdit haline gelenkuantum mekaniği çözümü de “Kuantum Kriptografi”kavramı ile beraberinde getirmiştir.Montreal üniversitesinden Gilles Brassard tarafındanöne sürülmüştür. Bu nedenle literatürdekendisinden sonra önerilen diğer protokollerleen fazla karşılaştırılan protokoldür.Bu protokolde anahtar iletimi için dört farklı tiptepolarizasyon açısına sahip fotonlar kullanılmaktadır.Şekil 1’de görülen bu dört polarizasyonaçısı iki farklı kubit değerini simgelemektedir.Kuantum kriptografi, temel bir fizik kanunuolan Heisenberg’in belirsizlik ilkesine dayanmaktadır.Bu ilkeye göre, kuantum fiziğinde birnesnenin (foton) aynı anda iki özelliği (konumve momentum) birden ölçülemez ve bu özelliklerdenbiri için sırayla yapılan ilk ölçüm ikinciölçümün sonucunu belirsiz hale getirir. Bu ilke,optik hatlar üzerinden iletilen en küçük ışıkparçacığı olan fotonun, polarizasyonuna bağlıolarak taşıdığı verinin (kubit) arka arkaya yapılacakölçümler (okumalar) ile bozulacağını önesürmektedir. Hatasız iletim hatlarında kaynaktanhedefe iletilmekte olan verinin bozulması,arada istenmeyen bir şahıs tarafından verininokunmaya çalışıldığı anlamına gelir. Bu durumdaalıcı ve gönderici taraflar hattın dinlenipdinlemediğinden emin olabilir. Ancak günümüzteknolojisiyle optik hatlar üzerinde hatasız veri(kuantum kriptografi için “anahtar”) iletimimümkün değildir. Bu nedenle hat üzerinden iletilenanahtarın kabulü ve düzeltilmesi için çeşitlianahtar dağıtım protokolleri öne sürülmüştür.Bu protokoller ikinci bölümde incelenmiştir.2. Kuantum Anahtar Dağıtım ProtokolleriGünümüze kadar kuantum kriptografi’de kullanılmaküzere pek çok anahtar dağıtım yöntemiöne sürülmüştür. Bu protokollerin başlıcaörnekleri şu şekildedir:2.1 BB84 (Bennett&Brassard 1984)İlk anahtar dağıtım protokolü olan BB84, IBMaraştırma bölümünden Charles Bennett ve548Şekil 1. BB84 protokolü için polarizasyonkubitdeğeri eşleşmesi45º ve 90º polarizasyona sahip fotonların0 anlamlı bir kubit bilgisini taşıdığı,0º ve 135º polarizasyona sahip fotonların da1 anlamlı kubit bilgisini taşıdığı görülmektedir.Bu seçim isteğe göre düzenlenebilir. Ancakbu eşleşme doğru gönderim/okuma işlemi içinhem gönderici hem de alıcı tarafta aynı şekildebelirlenmelidir.Sistemde fotonlar – , /, | , \ tipinde 4 farklıpolarizasyon temelinden geçirilerek sırasıyla0º, 45º, 90º ve 135º polarizasyonlarasahip olmakta ve yine bu fotonlar+ (düz) veya × (köşegen) tipte ikili filtrelerdengeçirilerek okunmaktadır[2]. Düz ve köşegenfiltrelerin ikisi de 0 ve 1 değerli kubit’leri okuyacakyapıya sahiptir.Anahtar iletimi sonunda gönderici ve alıcı açıkbir kanaldan iletişime geçerek her bit için sıraylakullandıkları filtrelerin tipini birbirleriylepaylaşmakta ve gönderim ve alım sırasındaaynı tipte filtre kullanılmayan bitleri kalıcı olarakelemektedir.Bu protokol “araya giren” (man in the middle)ve “foton kopyalama” (photon number split-

Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri2 - 4 Şubat 2011 İnönü Üniversitesi, Malatyating) tipi saldırılara açıktır. Çünkü alıcı okumaişlemi sırasında kullandığı filtrelerin tipiniaçıklamaktadır.2.2 B92 (Bennett 1992)BB84’ün geliştiricilerinden Charles Bennetttarafından öne sürülmüştür. Bu protokolde herkubit Şekil 2’de görüldüğü gibi 0º veya 45º polarizasyonlaifade edilir[3].Şekil 3. B92 protokolü için okuma basamağındapolarizasyon-kubit değeri eşleşmesiŞekil 2. B92 protokolü için polarizasyonkubitdeğeri eşleşmesi0º polarizasyona sahip fotonlar 0 kubit anlamını45º polarizasyona sahip fotonlar ise 1 kubitanlamını taşımaktadır.Alıcı gönderilen fotonları okumak için BB84protokolünde olduğu gibi düz ve köşegenfiltreler kullanır. Ancak polarizasyonunu 0ºveya 45º olarak okuduğu fotonları eleyerekanahtara dahil etmez. 90º ve 135º açıya sahipokumaları geçerli kabul eder. Bu durumŞekil 3’de görülmektedir.Görüldüğü üzere, BB84 protokolünde alıcı vegöndericinin aynı tip filtre kullanmamasınabağlı olarak bir fotonun geçerli kabul edilmeolasılığı %50 iken B92 protokolünde bu oran%33’e inmektedir. Bu da söz konusu iki protokolkıyaslandığında eşit uzunlukta anahtarlarınoluşturulabilmesi için B92 protokolüyleyapılan iletimin BB84 protokolüne göre dahauzun sürmesi gerektiği anlamına gelmektedir.B92 protokolü bu yönden dezavantaja sahipken“araya giren” (man in the middle) tipisaldırılarda daha yüksek dinleme tespit oranısağlayarak güvenlik açısından bir avantaj eldeetmektedir. Bu durum Tablo 2’de görülmektedir.Buna göre BB84 protokolünde geçerlikabul edilen bitlerin %40’ının dinlendiği anlaşılırkenB92 protokolünde bu oran %50’yeçıkmaktadır.Bu durumda Tablo 1’de görülen polarizasyon vefiltre eşleşmeleri için ilgili sonuçlar oluşacaktır.YollananKubitFotonPolarizasyonuOkumaFiltresiOkunanPolarizasyonOkunanDeğerSonuç1 / × / ? Geçersiz0 – + – ? Geçersiz1 / + | 1 Geçerli1 / + – ? Geçersiz0 – × / ? Geçersiz0 – × \ 0 GeçerliTablo 1. İletimleri B92 protokolüyle yapılan altı kubit için olası okuma sonuçları549

Akademik Bilişim’11 - XIII. Akademik Bilişim Konferansı Bildirileri2 - 4 Şubat 2011 İnönü Üniversitesi, MalatyaGönderimPolarizasyonuAçıklananPol. ÇiftiOkumaFiltresiOkunanPolarizasyonKabulDurumu– / – + – Geçersiz– / – × / GeçersizKubit Değeri– / – × \ Geçerli 0– \ – + – Geçersiz– \ – × / Geçerli 0– \ – × \ GeçersizTablo 3. 0º polarizasyona sahip bir fotonun SARG protokolüyle olası altı farklı iletimi3. Kuantum Anahtar OluşturmaBasamaklarıOptik hat üzerinden yapılan iletim sonucundatoplanan kubit’ler dört ana basamaktan geçtiktensonra şifreleme işleminde kullanılacak olanasıl anahtar elde edilir. Bu basamaklar şu şekildesıralanabilir:3.1 Ham Anahtar Çıkarımı(Raw Key Extraction)Bu basamak, telefon, faks, internet vb. açıkhatlar üzerinden gerçekleştirilir ve farklı gönderilen/alınankubit’lerin elenmesini sağlar.BB84 protokolü kullanıldığında bu basamaktaalıcı okuma işleminde kullandığı filtreleri,gönderici de gönderim işleminde kullandığıbazı içeren filtre tipini açıklar. Aynı bit için taraflarfarklı filtreler kullanmışsa ilgili bit kalıcıolarak elenir.B92 protokolünde gönderici sadece iki baz kullandığındankullandığı filtreleri açıklaması sözkonusu değildir. Bunun yerine sadece alıcı, geçerliolarak okuduğu bitlerin indislerini göndericiyeyollar ve kalan bitler iptal edilmiş olur.SARG protokolünde ise gönderici gönderdiğiher bit için iki farklı polarizasyon açıklar, alıcıda bunlardan geçerli saydıklarının bit pozisyonlarınıaçıklar.hattaki fiziksel gürültüden de kaynaklanabilir.Bu basamakta hat gürültüsünün ardına saklananbir saldırganın tespit edilmesi ön görülmektedir.Bunun için taraflar önceden hattındinlenmediğinden emin oldukları bir andaanahtar iletimi gerçekleştirip bu iletimde hatgürültüsü nedeniyle hatalı iletilen kubit’lerinsayısından bir Rmax hata oranı belirler. Dahasonraki iletimlerde de elde ettikleri ham anahtardanrastgele seçilen bit pozisyonlarındakibitleri karşılaştırıp R hata değerini belirler veR ≤ Rmax için hattın dinlenmediğinden eminolurlar.3.3 Anahtar Uzlaşımı (Key Reconciliation)Taraflar hattın dinlenmediğinden emin olsalarbile fiziksel gürültü nedeniyle ellerindeki bitlerinbir kısmı hatalı olabilir. Bu basamakta buhataların elenmesi hedeflenir.Bu amaçla taraflar anahtarlarındaki hatalı bitlerintüm anahtar boyunca eşit yoğunlukta dağıldığındanemin olmak için anahtarlarını öncedenbelirledikleri bir permütasyona göre yenidensıralar. Sonrasında anahtarlarını k bitlikalt bloklara bölüp her bloğun eşlik bitini yayınlarlar.Eşlik biti farklı olan her blok ikili arama(binary search) yöntemi ile alt bloklara bölünürve bu alt blokların eşlik bitleri karşılaştırılır[7].Bu işlemler iki taraf da anahtarın doğruluğundanemin oluncaya dek daha büyük k değerleriiçin tekrarlanır.3.2 Hata Oranı Tespiti (Error Estimation)Optik hatlarda hatalı kubit iletimi sadece hattıdinleyen bir saldırgandan değil aynı zamanda5513.4 Gizlilik Artırımı (Privacy Amplification)Bu basamak, saldırganın anahtarda bildiği bitsayısını en aza indirgemek için uygulanır. Bu

Kuantum Kriptografi ve Anahtar Dağıtım ProtokolleriErgün Gümüşamaçla anahtar, taraflarca önceden belirlenensayıda alt bloğa bölünür ve blokların eşlik bitideğerlerinin birleşimi şifreleme algoritmasıiçin yeni anahtar olarak kabul edilir.4. SonuçBu çalışmada kuantum kriptografi’nin matematikselşifreleme yöntemlerine göre avantajınadeğinilmiş ve mevcut anahtar dağıtım protokolleriincelenmiştir. Bu protokollerin zamaniçerisindeki değişimi sürekli olarak donanımdakigelişime ve kusurlardan kaynaklanabilecekolası saldırılara bağlı olmuştur.70’li yıllarda Stephen Wiesner’in “Eşlenik kodlama”[8] isimli kuantum bilgi saklama sistemikuantum anahtar dağıtımı için öncü olmuş,laboratuar ortamında birkaç santimetre mesafedenyapılan denemeler takip eden yıllardabilgi güvenliği alanında hizmet sunan firmalarca(ID Quantique, MagiQ Technologies gibi)yüz kilometrelerle ifade edilen optik hatlardaçalışan ticari uygulamalara dönüşmüştür. Gelişenfoto dedektör ve optik yineleyici teknolojisisayesinde bu mesafenin artışı kaçınılmazolacaktır. 2003 yılında ABD savunma bakanlığıncakurulan altı düğümlü ilk kuantum kriptografibilgisayar ağı [9] ve Avrupa Birliğinindesteğiyle 2004 yılında çalışmalarına başlananve 2008 yılında Viyana’da uygulaması yapılanSECOQC (Secure Communication based onQuantum Cryptography) projesi bu gelişiminen heyecan verici sonuçlarındandır.5. Kaynaklar[1] R. Rivest, A. Shamir, L. Adleman, “A methodfor obtaining Digital Signatures and PublicKey Cryptosystems”, Communications of theACM, Feb. 1978 21(2) p: 120-126[2] C. H. Bennett & G. Brassard, “QuantumCryptography: Public key distribution andcoin tossing”, in Proceedings of the IEEEInternational Conference on Computers,Systems, and Signal Processing, Bangalore,p. 175 (1984)[3] C. H. Bennett, “Quantum Cryptography:Uncertainty in the Service of Privacy”, Science,vol. 257, p. 752-753 (1992)[4] CLAVIS 2 URL:http://www.idquantique.com/images/stories/PDF/clavis2-quantum-key-distribution/clavis2-specs.pdf[5] Valerio Scarani, Antonio Acin, Gregoire Ribordy,Nicolas Gisin, “Quantum cryptographyprotocols robust against photon number splittingattacks for weak laser pulses implementations”,Quantum Physics, Phys. Rev. Lett. 92,057901 (2004)[6] Morgan P. Hedges, Jevon J. Longdell,Yongmin Li, Matthew J. Sellars, “Efficient quantummemory for light”, Nature, Vol: 465, p:1052–1056, 2010[7] N. K. Papanikolaou, “Techniques for designand validation of quantum protocols”, Master’sthesis, Department of Computer Science, Universityof Warwick, 2005.[8] Wiesner S., “Conjugate Coding”, SigactNews, Vol: 15, No: 1, p: 78-88, 1983[9] Press Releases, “BBN Technologies UnveilsWorld’s First Quantum Cryptography Network”,2004552