(Codice AO-SMD-06) · 2019-11-27 · (Codice AO-SMD-06) Maurizio Artoni CENTRO ALTI STUDI PER LA...
Transcript of (Codice AO-SMD-06) · 2019-11-27 · (Codice AO-SMD-06) Maurizio Artoni CENTRO ALTI STUDI PER LA...
CENTRO ALTI STUDI
PER LA DIFESA CENTRO MILITARE
DI STUDI STRATEGICI
Maurizio Artoni
(Codice AO-SMD-06)
Applicazione, in campo militare, delle tecniche di crittografia quantistica associate alle comunicazioni
satellitari per garantire comunicazioni strategico-operative sicure e capaci di adeguarsi efficacemente
ad un moderno scenario net-centrico
Application, in the military field, of quantum cryptography techniques associated with satellite
communications to guarantee safe strategic-operational communications capable of effectively
adapting to a modern net-centric scenario
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.), costituito nel 1987 e situato presso Palazzo
Salviati a Roma, è diretto da un Generale di Divisione (Direttore), o Ufficiale di grado
equivalente, ed è strutturato su due Dipartimenti (Monitoraggio Strategico - Ricerche) ed un
Ufficio Relazioni Esterne. Le attività sono regolate dal Decreto del Ministro della Difesa del
21 dicembre 2012.
Il Ce.Mi.S.S. svolge attività di studio e ricerca a carattere strategico-politico-militare, per le
esigenze del Ministero della Difesa, contribuendo allo sviluppo della cultura e della
conoscenza, a favore della collettività nazionale.
Le attività condotte dal Ce.Mi.S.S. sono dirette allo studio di fenomeni di natura politica,
economica, sociale, culturale, militare e dell'effetto dell'introduzione di nuove tecnologie,
ovvero dei fenomeni che determinano apprezzabili cambiamenti dello scenario di sicurezza.
Il livello di analisi è prioritariamente quello strategico.
Per lo svolgimento delle attività di studio e ricerca, il Ce.Mi.S.S. impegna:
a) di personale militare e civile del Ministero della Difesa, in possesso di idonea esperienza
e qualifica professionale, all'uopo assegnato al Centro, anche mediante distacchi
temporanei, sulla base di quanto disposto annualmente dal Capo di Stato Maggiore dalla
Difesa, d'intesa con il Segretario Generale della difesa/Direttore Nazionale degli
Armamenti per l'impiego del personale civile;
b) collaboratori non appartenenti all'amministrazione pubblica, (selezionati in conformità alle
vigenti disposizioni fra gli esperti di comprovata specializzazione).
Per lo sviluppo della cultura e della conoscenza di temi di interesse della Difesa, il
Ce.Mi.S.S. instaura collaborazioni con le Università, gli istituti o Centri di Ricerca, italiani o
esteri e rende pubblici gli studi di maggiore interesse.
Il Ministro della Difesa, sentiti il Capo di Stato Maggiore dalla Difesa, d'intesa con il
Segretario Generale della difesa/Direttore Nazionale degli Armamenti, per gli argomenti di
rispettivo interesse, emana le direttive in merito alle attività di ricerca strategica, stabilendo
le lenee guida per l'attività di analisi e di collaborazione con le istituzioni omologhe e
definendo i temi di studio da assegnare al Ce.Mi.S.S..
I ricercatori sono lasciati completamente liberi di esprimere il proprio pensiero sugli
argomenti trattati, il contenuto degli studi pubblicati riflette esclusivamente il pensiero dei
singoli autori, e non quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o
civili alle quali i Ricercatori stessi appartengono.
(Codice AO-SMD-06)
Maurizio Artoni
CENTRO ALTI STUDI
PER LA DIFESA
CENTRO MILITARE
DI STUDI STRATEGICI
Applicazione, in campo militare, delle tecniche di
crittografia quantistica associate alle comunicazioni
satellitari per garantire comunicazioni strategico-
operative sicure e capaci di adeguarsi efficacemente
ad un moderno scenario net-centrico
NOTA DI SALVAGUARDIA
Quanto contenuto in questo volume riflette esclusivamente il pensiero dell’autore, e non
quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o civili alle quali
l’autore stesso appartiene.
NOTE
Le analisi sono sviluppate utilizzando informazioni disponibili su fonti aperte.
Questo volume è stato curato dal Centro Militare di Studi Strategici
Direttore f.f.
Col. AArnn (Pil.) Marco Francesco D’Asta
Vice Direttore - Capo Dipartimento Ricerche Col. c.(li.) s.SM Andrea Carrino
Progetto grafico
Massimo Bilotta - Roberto Bagnato
Autore
Maurizio Artoni
Stampato dalla tipografia del Centro Alti Studi per la Difesa
Centro Militare di Studi Strategici Dipartimento Ricerche
Palazzo Salviati Piazza della Rovere, 83 - 00165 – Roma
tel. 06 4691 3205 - fax 06 6879779 e-mail [email protected]
chiusa a novembre 2019
ISBN 978-88-31203-29-6
Applicazione, in campo militare, delle tecniche di crittografia
quantistica associate alle comunicazioni satellitari per garantire
comunicazioni strategico-operative sicure e capaci di adeguarsi
efficacemente ad un moderno scenario net-centrico
INDICE SOMMARIO 7
ABSTRACT 10
INDICE DELLE FIGURE 13
1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO 14
Bibliografia 1. 21
2. LA CRIPTOGRAFIA 23
2.1. Criptografia convenzionale: Basics. 24
2.2. Criptografia quantistica: Basics. 25
2.3. Criptografia convenzionale vs. quantistica: “la differenza”. 26
2.4. La criptografia quantistica: schemi. 30
2.5. La distribuzione a chiave quantistica (QKD): Il protocollo BB84. 31
2.6. Il protocollo BB84: Sommario. 33
2.7. Un prototipo commerciale QKD. 34
Bibliografia 2. 37
3. Le sfide attuali della distribuzione a chiave quantistica: una panoramica 39
Bibliografia 3. 41
3.1. La distribuzione a chiave quantistica: le sfide. 41
3.2. QKD sicura con dispositivi imperfetti: sorgenti a singolo fotone difettose.
42
Bibliografia 3.2. 43
3.3. QKD sicura con dispositivi imperfetti: Rivelatori di singolo-fotone difettosi.
44
Bibliografia 3.3 45
3.4. Perdite e decoerenza nelle reti in fibra ottica: rete metropolitano e rete
dorsale. 46
Bibliografia 3.4 49
3.5. Perdite e decoerenza nelle reti satellitari: free-space QKD. 50
Bibliografia 3.5 53
4. Difesa e potenziali applicazioni militari della QKD: una prospettiva 54
4.1. L’intercettatore (eavesdropper) può essere individuato. 54
Bibliografia 4.1 55
4.2. Sicurezza incondizionata ed a prova di futuro. 55
Bibliografia 4.2 56
4.3. A prova di criptoanalisi quantistica…. 56
Bibliografia 4.3 57
4.4. La distribuzione a chiave quantistica (QKD) “point-to-point”. 57
Bibliografia 4.4 58
4.5. La distribuzione a chiave quantistica (QKD) “net-centrica”. 58
4.6. La distribuzione a chiave quantistica (QKD) “mobile”. 59
Bibliografia 4.6 60
4.7. Convenienza e praticità della distribuzione a chiave quantistica (QKD). 61
Bibliografia 4.7 62
4.8. Verifica, validazione e conformità d’implementazione. 63
Bibliografia 4.8 64
4.9 Un possibile scenario di QKD mobile e….ulteriori questioni. 65
Bibliografia 4.9 67
5. Una panoramica globale 70
Bibliografia 5. 77
NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE 79
7
SOMMARIO
La criptografia, con cui è possibile codificare un messaggio in modo tale che solo la
persona a cui è indirizzato possa leggerlo, ha inizio almeno 2000 anni fà. Gran parte della
società odierna dipende dalla criptografia per servizi di sicurezza, riservatezza, integrità,
autenticazione etc. ed è quindi ampiamente usata da organizzazioni finanziarie, governi ed
organizzazioni militari. In particolare, comunicazioni militari sicure sono senza dubbio di
cruciale importanza poiché la mancanza di sicurezza può influire su operazioni militari
critiche (comando, controllo, ecc.) alterando in modo inaspettato l’esito di una missione ... o
perfino di un conflitto.
L'arte della criptografia è una battaglia che viene combattuta da secoli tra chi
“codifica” dati e chi li “decifra”. Code-breaking in ambito militare è ben noto come la "nota di
Zimmermann" [3] ed il "codice Enigma" [4], giusto per citare due esempi famosi. Quando il
primo criptogramma ("Zimmermann") fu decifrato (1917), gli Americani appresero che la
Germania ad es. aveva cercato di convincere il Messico ad unirsi al loro fianco, il che
convinse ancor più gli Stati Uniti ad entrare in guerra. L’altro criptogramma ("Enigma"), un
noto brevetto di ingegneri tedeschi verso la fine della prima guerra mondiale che venne
decifrato da una squadra segreta a Bletchley Park (UK), permise agli alleati di leggere la
maggior parte dei messaggi segreti condivisi dagli eserciti Tedeschi e Giapponesi ... con un
significativo impatto sull'esito della guerra!
L'esempio del codice Enigma evidenzia tuttavia una debolezza cruciale ed intrinseca
a "qualsiasi" metodo di criptografia classica, vale a dire, non v'è "alcun modo" di sapere se
una terza parte indesiderata o “intruso” (eavesdropper) stia intercettando la comunicazione.
Un’ulteriore debolezza intrinseca alle tecniche di criptografia classica, come ad es. le forme
più sicure di criptografia a chiave pubblica, è costituita dal computer quantistico (quantum
computer) il cui avvento potrebbe metterle fuori uso in pochissimo tempo. Sebbene il
computer quantistico non sia ancora una realtà assodata, i principi di base sono già stati
dimostrati in vari laboratori con progressi che procedono in modo abbastanza costante.
È di buon auspicio tuttavia sapere che i progressi nel campo delle comunicazioni
quantistiche degli ultimi decenni hanno condotto ad un’importante tecnologia che ci
permette di superare queste due debolezze. Si tratta della “Distribuzione a Chiave
Quantistica” o Quantum Key Distribution (QKD), un metodo di comunicazione sicuro che
implementa un protocollo criptografico che consente a due parti di produrre una chiave
segreta casuale (random secret key), condivisa e nota solo ad entrambe e che verra’ poi
utilizzata per codificare e decifrare i loro messaggi. Le chiavi vengono generate tramite un
8
processo di convergenza di operazioni casuali condotte direttamente dalle stazioni del
mittente e del destinatario in modo che né il mittente né il destinatario possano determinare
quale sarà la chiave fino al completamento dell'intero processo. C'è una caratteristica in più
ed unica della tecnologia QKD, vale a dire, la sicurezza del protocollo viene garantita
“indipendentemente” dalle risorse dell’intruso [1,2]. In effetti, tale intruso può avere una
potenza computazionale illimitata, una memoria di archiviazione illimitata o qualsiasi
dispositivo concepibile ed immaginabile, tuttavia la condivisione della chiave criptografica
segreta viene garantita in modo perfettamente sicuro.
Il settore militare trarrebbe beneficio certo da una tale forma di criptografia ed è
opinione diffusa che essa favorirà applicazioni atte a migliorare le prestazioni di servizi
d’informazioni sicure (secure communications), facilitando anche una migliore condivisone
di situazioni militari sensibili.
Oltre ad un iniziale accenno (i.) all'ambiente della cybersecurity militare ove la
criptografia QKD può essere di sicuro aiuto, l'obiettivo del presente studio è d’illustrare (ii) i
principi di base della criptografia QKD assieme ad un analisi (iii.) di uno schema operativo
ben consolidato della criptografia QKD. Il lavoro comprenderà inoltre (iv.) un prospetto sullo
stato attuale delle implementazioni QKD delineando benefici e svantaggi dal punto di vista
delle operazioni militari, come espressamente richiesto dal “Centro Militare di Studi
Strategici” (CEMISS). Si illustreranno inoltre (v.) le principali sfide pratiche per i nuovi
networks QKD su larga scala, comprese le ultime acquisizioni sui free-space QKD networks.
Quest’ultimi risultano particolarmente adatti alla tecnologia dell'informazione all'interno di
una struttura net-centric delle operazioni militari (net-centric warfare).
Ciascun capitolo si presta ad un lettura sufficientemente indipendente e con una
stesura concepita appositamente per esser d’aiuto anche al lettore che desideri informazioni
su specifici argomenti piuttosto che sull’intero corpo della ricerca. Abbiamo, inoltre, ritenuto
che potesse essere pertinente menzionare le direttive dei principali attori sulla scena e ciò
viene fatto in una (vi.) sezione finale, non per questo meno importante, del lavoro. Diverse
nazioni stanno investendo pesantemente infatti nella tecnologia quantistica onde poter
migliorare il loro potere economico-militare e tra di esse gli Stati Uniti e la Cina si posizionano
di certo come principali fautrici. Il rapido sviluppo della Cina nelle tecnologie quantistiche
potrebbe avere un impatto sul loro futuro equilibrio strategico, forse anche superando i
tradizionali vantaggi militare-tecnologici degli Stati Uniti, che mantiene tuttavia un primato
militare.
Ciò detto ed a latere del punto di vista tecnologico, è altrettanto importante
sottolineare alcuni aspetti della sicurezza. L’analisi della sicurezza costituisce una
9
problematica comune a "qualsiasi" sistema criptografico, indipendentemente dal fatto che
si basi sulla "meccanica quantistica" o sulla "complessità computazionale" [7-9]. In quanto
dispositivi criptografici ad alta sicurezza, un sistema criptografico QKD dovrebbe essere
sottoposto a valutazioni del grado di sicurezza così come a processi di certificazione per
verificare la possibilita’ ad es. di attacchi fisici, di manipolazione dei dati, di analisi delle
perdite, ecc. Tutti aspetti che dovrebbero apparire nella forma di certificazioni internazionali
condivise sulla verifica dei sistemi criptografici e sullo sviluppo di dispositivi, il cui errato
funzionamento potrebbe influire sulla sicurezza delle persone. All'interno della comunità
QKD sembra al momento esserci poca discussione al riguardo mentre il progresso verso
processi di certificazione che siano indipendenti appare lento.
L'ambiziosa missione d’implementare cybersecurity in campo militare via
criptografia-QKD a supporto ad es. del decision-making a tutti i livelli di comando, della
valutazione d’operazioni di dissuasione, del controllo delle informazioni sensibili in un tipico
scenario di warfare, giusto per citare alcuni esempi…, suggerisce che le sfide
dell’Intelligence non siano solo nel concetto ma anche nell'infrastruttura organizzativa.
Affrontare questa missione richiede un’ampia gamma di attività dell’Intelligence ed
un’altrettanta ampia serie di programmi di formazione che contemplino nuovi skills. Far
fronte ai sistemi di gestione di un network quantistico può essere piuttosto costoso e spesso
complesso. La complessità risiede principalmente nei protocolli di gestione di tale network
e nella gestione dati. Ciò richiedera’ formazione, coaching ed orientamento, oltre ad un
miglioramento della consapevolezza e delle capacità non solo di dipendenti, ma anche
appaltatori, fornitori di servizi, partners ed altri, a seconda dei casi. All’altra estremità, ovvero
sulla linea di combattimento, sono altrettanto richiesti cyber-soldati, armati di tastiere, codici
e strumenti elettromagnetici a supporto d’operazioni militari tradizionali. Ancora una volta
sarà necessario personale con formazione specializzata per configurare, mantenere e
utilizzare in modo efficace sistemi d’arma (weapon systems) di nuove generazione e
particolarmente sofisticati.
Un congruo addestramento delle risorse umane unito al progresso tecnologico sono
"entrambi" elementi cruciali nel perseguire l'efficacia di una nuova tecnologia informatica
che è destinata ad essere importante in un quadro moderno e net-centric delle operazioni
militari
10
ABSTRACT
Cryptography began at least 2000 years ago playing an important role ever since [1].
Much of our society relies on cryptography to provide security services, including
confidentiality and integrity, hence it is widely employed by financial organizations [2],
governments and military organizations. Secure military communications, in particular, are
unquestionably important as failures may indeed affect critical military operations
(command, control, etc.) with a concomitant unexpected outcome of a mission…or even of
a conflict.
Cryptography is also a centuries old battle between “code-maker” and “code-breaker”
[1]. Most ubiquitous code breaking include, e.g., the “Zimmermann note” [3] and the ‘Enigma
code” [4]. When the “Zimmermann” cryptogram was broken (1917), Americans learned that
Germany e.g. had tried to convince Mexico to join the war, an event that built on propelling
the U.S. into World War I. The other code (‘Enigma”) [4], a known cryptogram patented by
German engineers at the end of World War I, was broken instead by a secret team at
Bletchley Park (UK) and allowed the allies to read most of the secret messages shared by
the Germans and Japanese armies with a significant effect on the outcome of the war.
The Enigma code example e.g. highlights an inherent and crucial weakness of “any”
classical encryption technique, that is, there is “no way” of knowing that there is unwanted
eavesdropper. Quantum computers hold a further threat to classical encryption techniques,
such as e.g. the most secure forms of public-key cryptograph, which a quantum computer
could break in almost no time. Though quantum computing is not yet a set reality, the basic
principles have been proven in laboratories already and advances are progressing fairly
steadily.
It’s reassuring to know that important advances in quantum communications, namely
Quantum Key Distribution (QKD), just happen to provide us with a new technology to deal
with these two weaknesses. Quantum key distribution (QKD) is a secure communication
method which implements a cryptographic protocol enabling two parties to produce a shared
random secret key known only to them, which can then be used to encrypt and decrypt
messages. The keys are generated from a convergence of random operations conducted at
the sender and the receiver stations so that neither the sender nor the receiver can
determine what the key will be until the entire process has reached completion.
There is an additional and unique feature of QKD namely the protocol security can
be guaranteed regardless of the eavesdropper’s resources [1,2]. An eavesdropper can have
unlimited computational power, unlimited storage memory and any conceivable device yet
11
the transmission of the cryptographic keys through an open channel can be guaranteed to
be perfectly secure.
The military sector would benefit from such a novel form of cryptography and it is a
widespread belief that it will foster applications apt to improve the performance of secure
information services but also ease specific sharing of military situational awarenesses.
After starting with a brief aim at today’s (i.) specific military cybersecurity issues QKD
cryptography may address, the present study intends to analyze (ii.) basic principles of QKD
enabled cryptography along with (iii.) the illustration of a well established operational
scheme of QKD enabled cryptography. The report also encompasses (iv.) an outlook on the
current status of QKD implementations outlining benefits and drawbacks from the
perspective of military operations, as requested by the “Centro Militare di Studi Strategici”
(CEMISS). Major practical challenges (v.) for large-scale quantum key distribution networks
will also be outlined, including the latest breakthroughs on free-space quantum key
distribution networks. These networks are certainly well poised to leverage the power of
information technology within a network-centric framework for military operations (net-
centric warfare) [4].
Last, yet not the least, we felt it could be germane to make a mention of the bearings
of the major key players; several nations are heavily investing on quantum research to
enhance both economic and military dimensions of national power, with U.S. and China
being powerhouses in quantum technologies. This is swiftly done through a (vi.) global
overview ending section. China’s rapid development in quantum technologies could impact
their future strategic balance perhaps even overtaking the traditional military-technological
advantages of the U.S., which maintains however an overall military primacy.
All that being said from a technology point of view, we reckon to likewise important
to stress on “security analysis” issues. This is actually a common tread of “any” crypto-
system regardless of whether it is based on “quantum mechanics” or on “computational
complexity” [7-9]. QKD enabled cryptography, as a high-security crypto system, should
undergo formal security assessments and certification processes to address e.g. physical
attacks, side channel analysis data manipulation, etc. all aspects that ought to be
overviewed by international safety certifications. At the moment within the QKD community
there seem to be a little concern on the matter along with an arguably sluggish progress
towards independent certification processes.
The ambitious tasks of implementing QKD cryptography within the military sector in
support e.g. of decision-making, of assessing deterrence operations, of guiding information
warfare, just to mention a few, suggests that the challenge for the Army Intelligence is not
12
only in the concept but also the organisation infrastructure. The broad range of Intelligence
work that goes into these missions requires equally broad training programs through which
new skills will be thought. Coping with the management of quantum network systems can
be quite expensive and often complex. The complexity mainly arises from the network’s
quantum protocols and data management which will require training, coaching and
guidance, besides enhancing awareness and capability of employees, contractors, service
providers and others, as appropriate. On the opposite side end of the front lines of combat,
cyber soldiers, armed with keyboards, codes and electromagnetic tools to support traditional
military operations are likewise in large request. Again personnel with specialized training to
effectively configure, maintain and operate these ever more sophisticated tools are needed.
Clearly congruous training and technical advances are “both” crucial in pursuing the
effectiveness of a new information technology bound to be relevant for modern network-
centric framework for military operations.
13
INDICE DELLE FIGURE
1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO
Fig. 1 Arte della guerra elettronica (EW) nei conflitti moderni.
Fig. 2 Lo Spettro Elettromagnetico (EMS).
Fig. 3 Software e Componenti IT incorporati in un sistema d’arma.
Fig. 4 Sistemi d'arma collegati a reti che possono connettersi a diversi altri sistemi.
Fig. 5 Possibili interfacce d’accesso al weapon system.
2. LA CRIPTOGRAFIA.
Fig. 1 Comunicazione ed intrusione classica.
Fig. 2 Lo stato di polarizzazione di un singolo-fotone (Principio di misura).
Fig. 3 Meccanismo di funzionamento del PBS (single-photon polarizing beam splitter).
Fig. 4 Non-clonazione.
Fig. 5 Encoding secondo il protocollo BB84.
Fig. 6 Piattaforma criptografica “Plug & Play” modulare Clavis 300.
Tab. 1 Le due basi (⊕ e ⊗) di polarizzazione del fotone per il protocollo BB84.
Tab. 2 Sequenza di generazione di una chiave privata/segreta nel protocollo BB84.
Tab. 3 Piattaforma Clavis 300 (Specs).
3. LE SFIDE ATTUALI DELLA DISTRIBUZIONE A CHIAVE QUANTISTICA: UNA
PANORAMICA.
Fig. 1 La struttura della dorsale QKD (backbone) Pechino-Shanghai.
Fig. 2 Network metropolitano QKD di Jinan.
Fig. 3 Micius il primo satellite quantistico cinese.
Fig. 4 Efficienze a confronto.
Fig. 5 Foto criptata OTP con una chiave sicura (QKD) e condivisa tra Pechino e Vienna.
4. DIFESA E POTENZIALI APPLICAZIONI MILITARI DELLA QKD: UNA PROSPETTIVA.
Fig. 1 Rete QKD mobile (rendering).
Fig. 2 Rete free-space QKD alle grandi distanze (Principio di funzionamento).
Tab. 1 Crittografia a chiave pubblica vs crittografia QKD.
5. UNA PANORAMICA GLOBALE
Tab. 1 Scienza & Tecnologia Quantistica in China (Plans and Policies).
14
1. SICUREZZA INFORMATICA ED AMBIENTE ELETTROMAGNETICO
Quando si parla di un conflitto moderno, la maggior parte degli esperti è concorde nel
ritenere che esso sia combattuto in ogni possibile dimensione ovvero per terra, per mare,
per aria così come nello spazio. Mentre le nazioni continuano a sviluppare armi per
combattere in ognuna di queste dimensioni, la North Atlantic Treaty Organization (NATO)
svolge un compito di sorveglianza sui potenziali pericoli insiti in operazioni militari in ognuna
di queste dimensioni. Il cyberspazio è diventato una nuova ed importante dimensione del
combattimento, ed una su cui la NATO si sta focalizzando con sempre maggior interesse.
Gli eserciti attuali conducono operazioni che dipendono sempre più da sofisticate
strumentazioni atte a guidare armi con sufficiente accuratezza ed il cui funzionamento
dipende spesso o quasi esclusivamente dall’uso di onde elettromagnetiche (segnali).
L’impiego di tali segnali in networks militari sta diventando costantemente sempre più
rilevante e al fine di migliorarne l’abilità di controllo in operazioni militari che coinvolgano
segnali elettromagnetici devono essere introdotti nuovi strumenti e servizi [1,2].
Fig.1 Arte della guerra elettronica (EW) nei conflitti moderni.
15
La guerra elettronica “EW” (Electronic Warfare) è un’azione militare che sfrutta
energia di natura elettromagnetica, sia passiva che attiva, al fine di creare effetti difensivi
ed offensivi. Un tipico scenario è illustrato in Fig.1. Una guerra EW si svolge in un
environment di tipo elettromagnetico “EME” (Electromagnetic Environment) che comporta
sia (i.) vulnerabilità sia (ii.) opportunità. Una tale guerra comporta l'uso militare dell'energia
elettromagnetica per ridurre o prevenire addirittura l'uso dello spettro elettromagnetico
(EMS) da parte del nemico, proteggendone invece l'uso per sé. Poiché le forze militari di
oggi sono tenute ad operare in un ambiente elettromagnetico sempre più complesso,
quest'ultimo è stato riconosciuto a tutti gli effetti come un ambiente operativo militare “OE”
(Operating Environment). L'ambiente operativo OE militare viene definito secondo la NATO
[2] come un insieme di condizioni e circostanze che influenzano l'impiego delle capacità
militari, incluse le decisioni del comandante.
Poiché le operazioni militari vengono eseguite in un ambiente EME sempre più
complicato, la capacità di gestire con successo operazioni di carattere elettromagnetico è
fondamentale per ogni missione militare moderna al fine di mantenere il passo con i vantaggi
avversari. La mancanza o l'insufficiente comprensione e competenza nel comando e
controllo di operazioni di natura elettromagnetica può avere un impatto significativo sull’esito
della missione. Un avversario che riesca ad es. a controllare le proprie comunicazioni o che
Fig. 2 Lo Spettro Elettromagnetico (EMS)
16
riesca ad annientare la propria capacità di comunicare o navigare può rivelarsi una
catastrofe. Allo stesso modo, è altamente indesiderabile che un avversario conosca
posizione e spostamenti delle forze amiche in base alla trasmissione di loro segnali; ciò le
metterebbe in una situazione di grave svantaggio.
Primissimi casi di electronic warfare (telegrafia senza fili, radio) vengono
contemplati durante la guerra Russia-Giappone (1904), quando i russi riuscirono a bloccare
le comunicazioni della marina giapponese nello scontro a Port Arthur [3] risalendo così fino
alla seconda guerra mondiale quando intensivi attacchi radar, interferenza e distorsione di
onde radio impiegate nei sistemi di comunicazione e di navigazione erano pratiche comuni
sia per le forze Alleate che per quelle dell'Asse [4]. Da allora in poi, ogni conflitto militare ci
ha insegnato che il dominio ed il controllo dell'ambiente elettromagnetico (EME) sono
cruciali per la maggior parte delle operazioni militari. Importanti esempi di guerra elettronica
(EW) si sono verificati durante la guerra del Vietnam [1955-1975], durante la Guerra del
Golfo [1990-1991] fino ai più recenti conflitti in Iraq o in Afghanistan, quando le forze della
coalizione e.g. hanno impiegato la guerra elettronica (EW) principalmente per sconfiggere
la minaccia di dispositivi esplosivi che venivano controllati in remoto. Vale sicuramente la
pena ricordare anche gli attacchi online condotti qualche mese fa dal Cyber Command
statunitense contro un gruppo di intelligence iraniano ritenuto responsabile della
pianificazione degli attacchi contro petroliere…ed anche alla caduta di un DRONE
americano [5].
La capacità di gestire operazioni in un ambiente elettromagnetico (EME) è
fondamentale per le missioni militari a protezione della riservatezza e dell'integrità delle
informazioni sensibili necessarie per portare a compimento la missione. La gestione di tali
operazioni è ancor più cruciale per sistemi d’armi (weapon systems) che si avvalgono di
qualsiasi sistema integrato, solitamente computerizzato, e progettato per controllare le
specifiche sue operazioni. Sebbene alcuni weapon systems siano semplici implementazioni
di architetture IT (Information Technology) altri, al contrario, come alcuni missili e navi non
lo sono. Quest’ultimi a volte vengono anche chiamati “cyber-physical systems" [6]. Tra di
essi si contemplano missili balistici intercontinentali, bombardieri a lungo raggio, missili anti-
ballistici etc. e sono armamenti che vengono definiti di natura “strategica" (strategic weapon
systems). Missili guidati che operano a corto raggio come ad es. armi antiaeree o missili
che operano sul campo di battaglia oppure missili aria-aria o aria-superficie costituiscono
invece armamenti di natura “tattica" (tactical weapon systems) [7]. Attacchi ad armamenti
17
sia strategici che tattici possono avvenire attraverso l'accesso, la modifica o la distruzione
delle informazioni operative e possono colpire qualsiasi sottosistema del sistema d’arma
che dipenda da software. Tali attacchi portano potenzialmente all’impossibilità di completare
la missione militare o addirittura a malfunzionamenti del sistema d’arma. In questo caso gli
attacchi sono chiamati “cyber-attacks" e le conseguenze possono essere più gravi di quelle
derivanti da attacchi ad altri weapon systems. Esempi di funzioni “abilitate” da software —
e potenzialmente suscettibili di manipolazioni — includono l'accensione e lo spegnimento
del sistema d'arma, il puntamento di un missile, il mantenimento dei livelli di ossigeno di un
pilota, etc… L’aggressore malintenzionato potrebbe potenzialmente manipolare i dati gestiti
da questo software onde manipolare il funzionamento delle funzioni abilitate dal software
oppure riuscire ad ottenere un funzionamento imprevisto o non pianificato addirittura. In
generale, attacchi ad un cyber-physical system ha conseguenze fisiche che possono anche
portare alla perdita della vita.
La pratica di proteggere sistemi, networks e programmi da cyber-attacks viene
chiamata “sicurezza informatica” (cyber-security). Poiché i weapon systems sono in realtà
sistemi complessi con una varietà di forme e dimensioni, con funzionalità variabili [8] gli uni
dagli altri, essi mostrano vulnerabilità altamente specifiche cosicché i problemi di sicurezza
informatica possono variare molto da un weapon system all’altro. I moderni sistemi d'arma
mostrano tuttavia qualche similarità; essa consente di classificare [9] in senso lato i problemi
di sicurezza informatica in termini di (i.) vulnerabilità informatica (cyber-vulnerability), ovvero
una debolezza del sistema che potrebbe essere sfruttata per accedere o influenzarne
l’integrità del sistema d’arma, in termini di (ii.) minaccia alla sicurezza informatica (cyber-
security threat), vale a dire qualsiasi cosa che possa sfruttare una vulnerabilità per
danneggiare un sistema (intenzionalmente o accidentalmente) e in termini di (iii.) rischio alla
sicurezza informatica (cyber-security risk), ovvero una conseguenza della minaccia o della
vulnerabilità (intrinseca o introdotta).
18
Numerosi fattori [8] rendono sempre più difficile gestire la cyber-security nei weapon
systems tra cui:
1. La natura sempre più "computerizzata" dei weapon systems, che dipendono sempre più
da software e architetture IT per raggiungere le prestazioni previste. Quasi tutte le loro
funzioni sono controllate da computers e vanno da elementari funzioni di life-support,
come il mantenimento di livelli stabili dell’ossigeno nell’aereo fino all'intercettazione dei
missili in arrivo. La quantità di software nei sistemi d’arma attuali sta crescendo in modo
esponenziale ed è incorporata in un gran numero di sottosistemi tecnologicamente
complessi, che includono sia hardware che una varietà di componenti IT, come illustrato
in Fig. 3. Tale tendenza, che storicamente deriva dallo sforzo verso l'automazione, ha
trasformato le capacità caratteristiche dei sistemi d'arma. Per decenni la Marina Militare
americana, ad es. ha cercato di ridurre le dimensioni dell'equipaggio della nave
basandosi, in parte, sul presupposto che alcuni compiti manuali potevano essere
automatizzati con la conseguente riduzione del personale operativo sulla nave [10].
2. La natura sempre più “in-rete" dei weapon systems, progressivamente sempre più
connessi in rete, che introduce vulnerabilità e rende i sistemi più difficili da difendere. Quasi
ogni componente di un weapon system è collegato ad un fitto set di networks [11] del DOD
(Department of Defence Information Network) e talvolta sono connessi anche a networks
gestiti da appalti esterni al Ministero della Difesa. Il supporto tecnologico, la logistica, il
FIG. 3 SOFTWARE E COMPONENTI IT INCORPORATI IN UN SISTEMA D'ARMA.
19
personale ed altre entità business-related si collegano a volte agli stessi networks usati dai
weapon systems. Quest’ultimi potrebbero addirittura non connettersi in rete ama di altri
sistemi di comunicazione afferenti direttamente alla rete pubblica di internet pubblico, e.g.,
come illustrato nella Fig. 4.
Queste connessioni aiutano a facilitare gli scambi di informazioni a beneficio dei vari
weapon systems e dei loro operatori in vari modi (comando delle armi, controllo delle armi,
comunicazioni, etc.), tuttavia le medesime connessioni possono essere utilizzate come un
“percorso” per un attacco. Se gli aggressori riuscissero ad accedere ad una di queste
connessioni potrebbero poi essere in grado di raggiungerne qualsiasi sistema d’arma
attraverso connessioni già esistenti. Il Defence Science Board (DSB) degli Stati Uniti,
attraverso tests operativi scoprì già diversi anni fa (2013) che alcune reti non erano
“survivable” in caso di guerra informatica (cyber-war) [11,12], sostenendo che "l'avversario
sia già nelle nostre reti". Qualsiasi scambio di informazioni è un potenziale punto di accesso
per l’avversario. Anche i sistemi "air gapped", non collegati direttamente ad internet per
motivi di sicurezza, potrebbero essere potenzialmente accessibili con altri mezzi, come
dispositivi hard (USB, compact disc, etc…).
3. La dipendenza dei weapon systems dal software, con soluzioni software e architetture IT
che si affidano quasi sempre a pacchetti software commerciali ed open source, quindi
soggetti a tutte le vulnerabilità informatiche che ne derivano.
La tendenza in costante crescita rappresentata dai punti 1-3 sopra ha un prezzo!
Fig. 4. Sistemi d'arma collegati a reti che possono connettersi a diversi altri sistemi.
20
La grande varietà di interfacce dei weapon systems, alcuni delle quali non sempre
ovvie ma pur sempre usate dagli avversari come percorsi d’attacco (Vedi Fig. 5) espande
in modo significativo la superficie di attacco. La "superficie di attacco" è la somma dei diversi
punti (attacks vectors) in cui un malintenzionato può tentare di immettersi oppure estrarre
dati sensibili. I weapon systems con grandi superfici di attacco sono più difficili da difendere
perché chiaramente hanno più punti di accesso da proteggere. Dispositivi “intelligenti"
(smart devices), ad es., collegati ad internet, espandono la superficie di attacco. Così come
in una casa… l'inclusione di termostati, forni, televisori e altoparlanti tutti “smart”, ne
espande la superficie di attacco. Spesso anche il software per il controllo della sicurezza ed
altre funzioni rende i weapon systems più vulnerabili agli attacchi [13].
Fig. 5. Possibili interfacce d’accesso al weapon system.
21
4. La dipendenza dei weapon systems da “firewalls” contro gli attacchi informatici. Un
firewall consente oppure blocca il traffico basandosi su un "insieme di regole” pre-fissate.
Poiché è impossibile definire una regola per ogni scenario, gli aggressori cercheranno modi
“non-contemplati” dalle regole per poter accedere. Un esempio a noi tutti familiare è quello
di un firewall che può sistematicamente bloccare il traffico proveniente da uno specifico
Paese, quando gli aggressori possono “apparire” come se si trovassero in un Paese diverso
(non bloccato). Gli aggressori possono utilizzare strumenti per by-passare il firewall, come
incorporare software dannoso in un messaggio di posta elettronica ed attendere che un
utente lo apra ed inavvertitamente lo installi.
5. I controlli di sicurezza sui weapon systems. I controlli di sicurezza sono garanzie o
contromisure per proteggere la riservatezza e l'integrità di un sistema e delle sue
informazioni, ma possono essere aggirati quando il sistema non sia configurato
correttamente. In definitiva i controlli di sicurezza possono potenzialmente essere usati per
perseguire attacchi informatici.
6. Elevato numero di persone che gestiscono i weapon systems. Chiaramente le persone
sono un’ulteriore fonte significativa di vulnerabilità alla cyber-security [14].
7. La dipendenza dei weapon systems da dispositivi esterni, come i sistemi di
posizionamento e navigazione, nonché i dispositivi di comando e controllo ... tutti necessari
allo svolgimento di una missione. Un attacco riuscito a uno di questi sistemi esterni o
sottosistemi può potenzialmente limitare l'efficacia di un weapon system impedendogli di
raggiungere lo scopo della sua missione.
Bibliografia 1.
1. La guerra elettronica (EW) è una delle varie aree in cui la NATO continua con impegno a perseguire i suoi compiti fondamentali garantendo e sostenendo i suoi principi fondatori. Vedi ad es. “The future of electronic warfare in Europe", Army Technology, 13 Jun. 2018 & ”The 106th NATO Electronic Warfare Advisory Committee (NEWAC)", Brussels, 05 Jun. 2019; M. Spreckelsen, “Electronic Warfare–The Forgotten Discipline”, The Journal of the Joint Air Power Competence Centre (JAPCC) January 17, 2019
2. NATO Electronic Warfare Policies, 1956-09-14, Military Committee Series MC 0064, NATO Archives Online. "Future Command and Control of Electronic Warfare", The Journal of the JAPCC, Edition 28, Spring/Summer 2019.
3. “The Russo-Japanese War at Sea 1904-5”: Volume 1-Port Arthur, the Battles of the Yellow Sea and Sea of Japan by Vladimir Semenoff, Leonaur, 2014 (ISBN: 978-1782823414).
4. Nella prima parte della seconda guerra mondiale i Tedeschi iniziarono a usare un sistema di onde radio direzionali (raggi) che avevano iniziato a sviluppare a partire dalla metà degli anni Trenta. Si trattava di un sistema di guida, che utilizzava raggi-radio intersecanti per dirigere gli aeromobili verso un obiettivo ed in particolare in Gran Bretagna. I raggi-radio venivano trasmessi da un sito sulle coste dell'Europa occupata, indicando una città bersaglio in Inghilterra. Un bombardiere poteva volare lungo questo raggio e quando raggiungeva il suo obiettivo un ulteriore raggio (radio) lo segnalava, ed era dove venivano sganciate le bombe. All'inizio del 1940 molte città britanniche furono bombardate con ragionevole precisione causando molti
22
morti e distruzione. Un brillante scienziato (R. Jones) della British Intelligence e responsabile dello studio sull'applicazione tedesca di questo sistema riusci’ a scoprire un modo per contrastare l’aviazione Tedesca, facendo deviare i raggi-radio che segnalavano i bersagli. Winston Churchill si riferiva a tale fase della guerra come la ‘Battle of the Beams’.
5. “U.S. Carried Out Cyberattacks on Iran”, New York Times June 22, 2019. 6. Un sistema cyber-fisico è una rete interagente co-ingegnerizzata con componenti "fisici" e
“computazionali". 7. Un’arma strategica è qualsiasi sistema d'arma progettato per colpire un nemico sia militarmente,
economicamente che politicamente. Ciò significa ad es. distruggere le città, le fabbriche, le basi militari, le infrastrutture di trasporto e di comunicazione di una nazione così come a volte anche la sede del governo. Un'arma tattica invece è progettata per un uso offensivo o difensivo a distanza relativamente breve con conseguenze relativamente immediate. Includono armi usate per assalto anticarro, difesa antiaerea, supporto sul campo di battaglia, combattimento aereo o combattimento navale (Encyclopedia Britannica)
8. Si veda e.g. “Weapon Systems Annual Assessment: Knowledge Gaps Pose Risks to Sustaining Recent Positive Trends”, The U.S. Government Accountability Office (GAO), GAO-18-360SP (Washington, D.C.: April, 2018); “Weapon systems cybersecurity”, GAO-19-128 (Washington, D.C.: October, 2018).
9. Si veda ad es. ”Unclassified terms and definitions from classified report". National Research Council of the National Academies, A Review of U.S. Navy Cyber Defense Capabilities (Washington, D.C.: National Academies Press; 2014).
10. Navy Force Structure: Actions Needed to Ensure Proper Size and Composition of Ship Crews, U.S. Government Accountability Office (GAO), GAO-17-413 (Washington, D.C.: May 18, 2017)
11. Secondo il Defense Science Board (DSB) degli Stati Uniti, quasi ogni possibile componente nel Department of Defense (DOD) è in rete. Vedi ad es “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)
12. “Survivable” significa che una rete è in grado di mantenere le sue capacità critiche sotto l’incombenza di una minaccia. Si parla di un cyber-environment a rischio quando uno o più avversari tentano di cambiare il risultato di una missione negando, degradando, interrompendo o distruggendo le capacità informatiche o alterando l'utilizzo o la nostra fiducia in tali capacità. Si veda ad es. “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)
13. Si veda ad es. Vehicle Cybersecurity: DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack, GAO-16-350 (Washington, D.C.: Mar. 24, 2016)
14. Information Security: Agencies Need to Improve Controls over Selected High- Impact Systems, GAO-16-501 Washington, D.C.: May 18, 2016.
23
2. LA CRIPTOGRAFIA
L'arte della criptografia, attraverso la quale si può codificare un messaggio in modo
tale che solo la persona a cui è indirizzato possa leggerlo, è iniziata almeno 2000 anni fa
[1]. La criptografia è ampiamente utilizzata da organizzazioni finanziarie per prevenire le
frodi nelle transazioni così come da governi ed organizzazioni militari. Oggi gran parte della
società moderna dipende dalla criptografia per fornire servizi di sicurezza tra cui
riservatezza, integrità, autenticazione e non ripudio [2].
Consideriamo il caso di un soldato sul fronte di battaglia che voglia inviare un
importante messaggio al suo quartier generale senza il rischio che il nemico ne apprenda il
contenuto. Non può trasmettere il messaggio in modo semplice poiché il nemico potrà
facilmente capirne il contenuto. Il nemico potrebbe infatti avere un team di criptografi
appositamente addestrati a decifrare codici ed il soldato dovrà pertanto usare i codici in
modo che il nemico troverà molto difficile decifrarli.
Forse uno dei criptogrammi più famosi, la nota "Zimmermann" [3], spinse gli Stati
Uniti a prender parte alla prima guerra mondiale. Quando il criptogramma fu decifrato nel
1917, gli Americani ad es. appresero che la Germania aveva cercato di convincere il
Messico a unirsi ai suoi sforzi bellici promettendo in cambio territori messicani negli Stati
Uniti. Un altro esempio di criptogramma ben noto è il codice "Enigma" [4] brevettato dagli
ingegneri tedeschi alla fine della prima guerra mondiale e messo sul mercato intorno al
1923. Poiché gli avversari avrebbero probabilmente intercettato i segnali radio, i messaggi
dovevano essere protetti con una codifica sicura. Il codice Enigma prevedeva l'uso di una
macchina portatile per generarlo. Esso fu adottato dalla Marina tedesca all'inizio del 1926,
dall’esercito e dell’aeronautica tedesca poco dopo. Fu quindi utilizzato durante la seconda
guerra mondiale divenendo ben noto negli ambienti militari. Queste codifiche non erano
affatto facili da decifrare. In effetti, il compito di decifrare codici sempre più complicati è stato
uno dei fattori che hanno stimolato lo sviluppo dei primi computer elettronici. Come è ormai
noto, tuttavia, una squadra segreta che lavorava a Bletchley Park (UK) riusci’ a decifrare il
codice [5], il che ebbe un effetto significativo sull'esito della guerra. Gli Alleati infatti furono
in grado di leggere la maggior parte dei messaggi segreti trasmessi e condivisi dagli eserciti
tedeschi e giapponesi. Questo esempio, tuttavia, mette in luce una debolezza intrinseca di
qualsiasi metodo di criptografia classica, ovvero "non c'è modo" di sapere se una terza parte
indesiderata abbia una copia del codice.
L'unico modo per il mittente di essere totalmente sicuro che una terza parte non
possa decifrare il messaggio è utilizzare un nuovo codice per ogni messaggio. Uno schema
24
di criptografia basato su questo metodo è chiamato “one-time-pad” ed è stato proposto per
la prima volta da Gilbert Vernam nel 1917 [6]. Esso è anche chiamato cifrario di Vernam. In
questo cifrario il mittente e il destinatario condividono un codice comune chiamato "chiave".
La chiave dovrebbe essere (i.) una sequenza casuale di bit binari (0 "e 1”) utilizzata (ii.) una
sola volta e lunga (iii.) almeno quanto il messaggio stesso. Il testo del messaggio viene
prima tradotto in una stringa binaria con un algoritmo noto dopodiché la chiave viene
aggiunta per produrre una nuova stringa di bit che comprende il messaggio codificato. Il
destinatario deve solo sottrarre la chiave dal messaggio codificato per recuperare il testo
originale. Un semplice esempio [7] può servire a illustrare come funziona questo cifrario.
Il metodo “one-time-pad” è in linea di principio perfettamente sicuro. Non ci sono
schemi che i criptografi possano riconoscere perché la chiave è "casuale" ed "unica" per
ogni messaggio. Tuttavia, il codice one-time-pad non è pratico da usare poiché mittente e
destinatario devono condividere una chiave comune per ogni messaggio. Ciò richiede un
metodo semplice e sicuro per il mittente e il destinatario onde poter scambiare la chiave
senza essere intercettati da (terze) parti indesiderate. Non esiste però un metodo pratico
per scambiare chiavi con i requisiti di cui sopra…ed è probabilmente per questo che soldati
e diplomatici hanno continuato a fare affidamento su cifrari più deboli con chiavi più brevi.
2.1. Criptografia convenzionale: Basics.
Esistono due opzioni elementari per inviare in modo rapido ed efficace un elevato
numero di informazioni sensibili [8].
La prima opzione prevede che il mittente ed il destinatario scambiano una “chiave
segreta” (secret-key) in modo sicuro, ad es. incontrandosi ad una riunione privata, per poi
utilizzarla per tutti i loro messaggi seguenti perlomeno fino a quando non avranno la
possibilità di scambiare una nuova chiave segreta. Ciò è tuttavia destinato a produrre
messaggi non sicuri che possono essere decifrati tramite routines di “pattern-spotting”
causa l'uso ripetuto della stessa chiave.
La seconda opzione consiste nell’uso della criptografia a "chiave pubblica” (Public-
Key Cryptography) (PKC). Ciò comporta in realtà l’uso di due chiavi: una “chiave privata"
(private-key) e una “chiave pubblica” (public-key). La chiave privata è nota solo all'utente
mentre la chiave pubblica è nota a tutti. L'utente genera la chiave privata che viene utilizzata
per generare la chiave pubblica che viene pubblicamente resa nota ed utilizzata per criptare
tutti i messaggi scambiati con l'utente. L’algoritmo di criptografia si basa in genere sul fatto
che alcune funzioni matematiche sono molto difficili da invertire e quindi i messaggi possono
essere facilmente de-criptati solo con l'aiuto della chiave privata. Tuttavia, solo l’utente
25
conosce la chiave privata e solo l’utente potrà quindi invertire facilmente i messaggi criptati
[9].
Lo schema criptografico utilizzato per la sicurezza di Internet, ad es. è un noto
esempio di criptografia a chiave pubblica. L'algoritmo matematico utilizzato per generare la
chiave pubblica potrebbe essere ad es. il prodotto di due “numeri primi” abbastanza grandi
e che comprendono anche la chiave privata nota solo all'utente. La sicurezza dello schema
si basa sul fatto che il tempo impiegato per trovare i fattori primi di un intero di grandi
dimensioni aumenta esponenzialmente con il numero delle cifre, pertanto il processo di
criptografia non può essere invertito rapidamente a meno che questi numeri primi non siano
noti. Il messaggio così criptato è solo difficile da decifrare non impossibile; sebbene non vi
sia alcuna prova matematica che non esista un algoritmo per trovare i fattori primi di un
numero di tante cifre, occorre notare che solo computer quantistici [10], quando
diventeranno operativi, potranno essere in grado di trovare i fattori primi in breve tempo.
2.2. Criptografia quantistica: Basics.
È chiaro che l'intero processo criptografico sarebbe molto più sicuro se le parti
interessate potessero criptare il loro messaggio con una "chiave privata segreta", ovvero
conosciuta "solo" a loro, piuttosto che con una chiave pubblica nota a tutti. È in questo
contesto che la criptografia quantistica entra in gioco fornendo un metodo affidabile per (1.)
“condividere” una chiave segreta e per (2.) “sapere” che nessuno l'ha intercettata. La
distribuzione a chiave quantistica (Quantum Key Distribution-QKD) è un processo che
consente di condividere una tale "chiave segreta privata" in un "modo sicuro".
Una tecnologia criptografica basata sulla distribuzione a chiave quantistica è quindi
importante per organizzazioni governative, militari e finanziarie visto che fornisce un metodo
sicuro per trasmettere chiavi private con la certezza di sapere se vi sono intercettazioni da
parte di terzi. Questo spiega l'interesse che l'argomento ha suscitato negli ultimi anni.
L'archetipo dei dispositivi criptografici quantistici:
(i.) Impiega singoli fotoni di luce [11].
(ii.) Sfrutta il principio di indeterminazione di Heisenberg [12].
i. Singoli fotoni.
I fotoni sono minuscoli pacchetti di radiazione elettromagnetica. Un fotone ha
un’energia che dipende dalla frequenza (colore) della radiazione mentre tutti i fotoni
viaggiano alla stessa velocità della luce. Esistono pertanto fotoni di tutte le
energie…partendo da fotoni molto energetici (raggi gamma, raggi X, etc.), a fotoni di luce
visibile giù fino a fotoni di bassa energia (raggi infrarossi, onde radio, etc.). Il concetto di
26
“fotone”, usato da Einstein per spiegar l'effetto fotoelettrico (1905) ha in effetti origine con
Planck (1900) che postula l’esistenza di pacchetti di energia discreti per spiegare
l’emissione (assorbimento) della radiazione termica di un corpo.
Sorgenti che emettono singoli-fotoni di radiazione sono chiamate sorgenti a singolo
fotone e sono distinte da sorgenti di luce coerente (ad es. laser) e da sorgenti di luce termica
(ad es. lampadina a incandescenza). Un fotone generato da sorgenti a singolo-fotone ha
caratteristiche tipicamente quantistiche ed è a tutti gli effetti un sistema quantistico.
ii. Il principio di indeterminazione.
Secondo il principio di indeterminazione, la misura di un sistema quantistico in
generale lo disturba e fornisce informazioni incomplete sul suo stato "prima" della misura.
L’intrusione su un canale in cui il dato sia codificato e trasmesso da una particella quantistica
(quantum channel) è un tipico esempio di misura di un sistema quantistico ad es. il singolo
fotone e quindi provoca un inevitabile disturbo; è proprio questo che avvisa gli utenti legittimi
dell’intrusione. La criptografia quantistica sfrutta questo effetto per consentire a due parti
“Alice” e “Bob” (utenti legittimi), che non si sono mai incontrati e che non hanno mai
condiviso informazioni segrete prima, di comunicare in assoluta segretezza in presenza di
un intruso.
2.3. Criptografia convenzionale vs. quantistica: “la differenza”.
Supponiamo ora che Alice voglia inviare un messaggio a Bob usando un sistema di
comunicazione convenzionale ad es. in fibra come mostrato in Fig. 1. I dati potrebbero
essere inviati nella forma di impulsi di luce lungo una fibra ottica. Impulsi forti rappresentano
l’entità binaria "1", mentre gli impulsi deboli, o nessun impulso, rappresentano l’entità binaria
"0". In questo non c'è nulla che Alice e Bob possano fare per impedire a Eva (eavesdropper)
di rubare una copia dei dati mentre vengono trasferiti, ovvero intercettando l’impulso di luce
(segnale) e conservandone una copia senza rivelare la sua presenza a Bob. La Fig. 1
mostra schematicamente che ciò potrebbe essere fatto attraverso un beam-splitter (50/50)
seguito da un amplificatore. Il segnale ricevuto da Bob in questo modo è "inalterato" dalla
presenza di Eva che ha intanto ottenuto una copia del segnale di Alice e che può quindi
elaborare usando il proprio sistema di rilevamento. In linea di principio non è possibile che
Alice e Bob siano consapevoli della presenza di Eva allorché si trasmettano segnali con
canali classici. Questo perché non esiste una legge fisica che ci impedisca di misurare un
segnale classico, farne un duplicato esatto e disturbare il processo di trasmissione.
Al contrario, la meccanica quantistica ci insegna che non è possibile effettuare una
misura su una singola particella quantistica senza alterarne lo stato. Non possiamo pertanto
27
rivelare una particella quantistica come il singolo-fotone, estrarre da esso tutte le
informazioni e poi trasmetterne un altro che sia una copia “esatta” del primo, come fatto nel
caso precedente. Questa fondamentale proprietà della meccanica quantistica va sotto il
nome di teorema della non-clonazione [13] (quantum no-cloning theorem). Qualunque
intruso (Eva) che effettui una misura sulla “particella quantistica” che codifica il dato da
trasmettere paleserà la propria presenza a Bob proprio attraverso la misura che effettua.
Questa è la differenza sostanziale con la criptografia classica.
Possiamo illustrare il principio alla base della criptografia quantistica considerando lo
schema sperimentale di Fig. 2 [11,14-15] ideato per misurare lo stato di polarizzazione di
un singolo fotone. Questo è, infatti, uno dei metodi di codifica dei dati con singoli-fotoni.
L'apparato è costituito da un beam splitter polarizzatore (PBS) (si veda Fig. 3) e due
rivelatori di singolo-fotone D1 e D2. Il beam splitter PBS ha la proprietà di trasmettere la
luce polarizzata verticalmente ma devia la luce polarizzata orizzontalmente di 90 °. Se θ =
0◦ il fotone (polarizzato verticalmente) verrà registrato dal rivelatore D1. Allo stesso modo,
se θ = 90◦, il fotone (polarizzato orizzontalmente) verrà registrato dal rivelatore D2. D'altra
parte, se il fotone in arrivo è polarizzato linearmente con il suo vettore di polarizzazione che
FIG1. (A) COMUNICAZIONE CLASSICA. ALICE INVIA UN MESSAGGIO A BOB TRASMETTENDO IMPULSI DI LUCE AD ALTA POTENZA TRAMITE FIBRA OTTICA. ESSI NON HANNO MODO DI SAPERE SE EVA ABBIA INTERCETTATO IL SEGNALE O MENO. (B) EVA PUÒ RUBARE UNA COPIA DEI DATI SENZA CHE BOB SE NE ACCORGA, USANDO UNO SPLITTER 50: 50 (BS) E UN AMPLIFICATORE OTTICO CON UN GUADAGNO PARI A 2.
28
forma un angolo non noto θ rispetto all'asse
verticale, dovremo risolvere la polarizzazione
(vettore) del fotone nelle sue componenti
orizzontali e verticali. I tre possibili risultati di
misure effettuate sul singolo-fotone sono
schematicamente illustrati nella Fig. 3 [14,17],
dove il cristallo di calcite viene usato come
PBS. Se i simboli | ⇕⟩ e | ⇔⟩ denotano
rispettivamente gli stati di fotoni polarizzati
“verticalmente" ed “orizzontalmente”,
possiamo scrivere lo stato quantistico | θ⟩ di
un singolo-fotone con polarizzazione non nota
θ come sovrapposizione dei due stati
(ortogonali) di polarizzazione secondo:
|θ⟩ = cos θ |↕⟩ + sin θ |↔⟩.
La probabilità che il fotone sia rivelato da D1 è data da:
Pv = |⟨↕ |θ⟩|2
= cos2 θ.
La probabilità che il fotone sia trasmesso su D2 è data da:
Ph = |⟨↔ |θ⟩|2
= sin2 θ.
Fig2. Schema per misurare lo stato di polarizzazione di un singolo fotone. Si usa un beam splitter polarizzatore (PBS) e due single-photon detectors (D1, D2). Il fotone in arrivo ha polarizzazione lineare ove il suo vettore di polarizzazione forma un angolo θ rispetto all'asse verticale.
29
Supponiamo ora che Eva voglia intercettare quanto inviato da Alice. Eva dovrebbe
determinare l’angolo di polarizzazione θ e trasmettere a Bob un altro fotone con lo stesso
angolo di polarizzazione θ. In ciascuna delle misure fatte da Eva, l'unica informazione cui
ella potrà accedere è se il rilevatore D1 o il rilevatore D2 registra un “click”, segnalando così
che il fotone è arrivato. Il rivelatore D1 registrerà un click però con una probabilità uguale a
cos2 θ mentre D2 registrerà un click con una probabilità uguale a sin2 θ. Pertanto la cosa
più sensata che Eva possa fare è di trasmettere a Bob un fotone polarizzato verticalmente
se vede “scattare" il rivelatore D1 oppure un fotone polarizzato orizzontalmente se vede
“scattare" il rivelatore D2. Si noti pertanto che lo stato del (secondo) fotone inviato a Bob
sarà lo stesso del primo fotone ricevuto da Alice “solo” per i casi speciali in cui θ = 0◦ o 90◦.
Per tutti gli altri valori di θ, il (secondo) fotone che Eva trasmetterà a Bob avrà un angolo di
polarizzazione θ ′ diverso dal primo. Ciò implica che lo stato del (secondo) fotone in uscita
Fig3. Meccanismo di funzionamento di un single-photon polarizing beam splitter (PBS). Un cristallo di calcite ad es. puo’ essere usato per selezionare fotoni polarizzati orizzontalmente e verticalmente. I fotoni con polarizzazione orizzontale passano direttamente, mentre i fotoni con polarizzazione verticale vengono deviati. I fotoni con polarizzazione diagonale entrano nel cristallo e vengono ri-polarizzati “a caso” in direzione verticale o orizzontale e pertanto seguono cammini diversi.
30
generato da Eva produrrà nell’apparato di misura di Bob risultati diversi da quelli del fotone
originale inviato da Alice (Si veda Fig. 4).
La conclusione è che non è possibile estrarre l’informazione corretta senza alterare
lo stato del fotone. Questa è una tipica conseguenza della natura “invasiva” di una misura
fatta su una particella quantistica, come il singolo-fotone in questo caso. L’intruso (Eva)
rivela la sua presenza attraverso il disturbo prodotto dalla sua misura e tale disturbo
influenzerà i risultati delle successive misure fatte da Bob. Si noti che per quanto l’intruso
(Eva) possa escogitare un modo più sofisticato per attingere allo stato corretto del fotone,
ella sarà pur sempre soggetta ai principi generali della meccanica quantistica e,
indipendentemente da quanto ci provi, altererà i risultati delle misure di Bob ogniqualvolta
si tratti di una polarizzazione non nota (θ).
2.4. La criptografia quantistica: schemi.
Esistono essenzialmente due schemi per implementare la criptografia quantistica; il
primo si basa sui principi della misura quantistica di single-photons [11], mentre il secondo
si basa sui principi della misura quantistica di entangled-photons [17]. Discuteremo ora del
primo schema poiché esso è il più comune. Abbiamo tipicamente due utenti Alice (A) e Bob
(B) che desiderano scambiare informazioni mentre Eva (E) è l’intruso (eavesdropper) che
vuole intercettare il messaggio, senza rivelare la sua presenza. La criptografia quantistica
non protegge dagli attacchi d’intrusione, ma fornisce un "modo per sapere" quando c’è
l’intruso quando Alice e Bob se ne accorgono essi semplicemente scartano le misure fatte
e ricominceranno tutto da capo. Al contrario, quando sapranno di non essere stati
intercettati, useranno le informazioni scambiate per condividere una chiave privata.
Fig. 4. Per estrarre informazioni utili dai dati codificati da Alice (singolo fotone), Eva (eavesdropper) deve cercare di determinare l'angolo di polarizzazione sconosciuto θ del fotone inviato da Alice ed inviare poi a Bob un secondo fotone con lo "stesso" valore di θ. La meccanica quantistica lo vieta e quindi l'angolo di polarizzazione θ‘ del fotone inviato da Eva a Bob non sarà uguale a θ in generale.
31
Essa potrà essere usata per criptare tutti i messaggi segreti che vorranno trasmettere
attraverso canali pubblici.
In particolare, se fossero così veloci da riuscire a creare una “nuova chiave” privata
per ogni “nuovo messaggio” da trasmettere, utilizzerebbero a tutti gli effetti un encoding del
tipo “one-time-pad” ed in questo modo il loro messaggio sarebbe totalmente sicuro contro
intercettazioni da parte di terzi indesiderati (hackers).
2.5. La distribuzione a chiave quantistica (QKD): Il protocollo BB84.
La tecnologia QKD (Quantum Key Distribution) è adatta a qualsiasi circostanza che
richieda elevati requisiti di sicurezza nella distribuzione di una chiave privata condivisa tra
due parti geograficamente separate [18-19]. Tale distribuzione può essere implementata in
diversi modi e ci limiteremo nel seguito ad illustrarne uno di essi, il protocollo Bennett-
Brassard 84 (BB84), sufficiente per spiegare i principi di base della Quantum Key
Distribution [14].
L’idea iniziale risale a S. Wiesner, che sviluppò la tecnica del “quantum conjugate
coding” alla fine degli anni '60 [20]. Il suo approccio utilizza fotoni polarizzati in basi
coniugate come qubit (quantum bit) per codificare le informazioni da trasmettere [21].
La tecnica di Wiesner porta Charles Bennett e Giles Brassard a ideare un sistema
criptografico basato sulle leggi della meccanica quantistica [15] ovvero il protocollo BB84
ove i dati da trasmettere sono codificati come "stati di polarizzazione" di un singolo-fotone.
Se θ indica l'angolo di polarizzazione di un singolo fotone (Si veda Fig. 4), si potrebbe
associare alla polarizzazione verticale (θ = 0) il binario '1' ed alla polarizzazione orizzontale
il binario '0' (θ = 90◦). Nel protocollo BB84 vengono utilizzati due "sets" di stati di
polarizzazione ortogonale chiamati
(Tab. 1):
• Base ⊕: Binario “1” e “0”
corrispondono a fotoni con angoli di
polarizzazione 0◦ e 90◦. Denotiamo gli
stati delle due polarizzazioni con | ↕⟩
and | ↔⟩.
• Base ⊗ : Binario “1” e “0”
corrispondono a fotoni con angoli di
polarizzazione 45◦ and 135◦.
TAB.1. LE DUE BASI (⊕ E ⊗) DI POLARIZZAZIONE DEL FOTONE USATE PER IL PROTOCOLLO BB84. Θ E’ L’ANGOLO DI POLARIZZAZIONE DEL FOTONE DEFINITO IN FIG.2
32
Denotiamo gli stati delle due polarizzazioni con | ↗⟩ and | ↘⟩.
Il protocollo BB84 con codifica (Alice) e decodifica (Bob) è mostrato in Fig. 5, dove
l'apparato di Alice è costituito da una sorgente di fotoni polarizzati verticalmente ed una cella
di Pockels (PC1) [11,15]. Alice sincronizza la sua cella Pockels con la sorgente a singolo
fotone per generare fotoni con angoli di polarizzazione (θ) di 0◦, 45◦, 90◦ o 135◦ scelti peroò
“a caso”. In questo modo Alice può inviare una stringa di dati binari codificata in una delle
due basi di polarizzazione (⊕ o ⊗).
I fotoni inviati da Alice vengono ricevuti da Bob che ne misura la polarizzazione con
un apparato simile. L'apparato di Bob comprende una seconda cella di Pockels (PC2) posta
di fronte al beam splitter polarizzatore (PBS). Bob usa questa cella per ruotare il vettore di
polarizzazione del fotone in arrivo di 0◦ o −45◦, dove 0◦ equivale a rilevare nella base ⊕ e
−45◦ nella base ⊗. È importante notare che Bob “non conosce” la base con cui Alice ha
scelto di codificare i singoli-fotoni, quindi sceglie “a caso” tra le due basi ⊕ e ⊗. Se Bob
“indovina” la base giusta registrerà il risultato corretto. Ciò si verifica quando Alice sceglie
la base ⊕ e Bob sceglie di misurare l'angolo di 0◦ ed anche quando Alice sceglie la base ⊗
e Bob sceglie l'angolo −45◦. Se la scelta della base da parte di Alice è casuale, questa
Fig. 5. Encoding dei dati secondo il protocollo BB84. Alice ha una sorgente di fotoni con polarizzazione verticale. La Pockels cell (PC1) ruota per ogni fotone il vettore di polarizzazione di un angolo di 0◦, 45◦, 90◦ o 135◦ a caso. Il fotone viene quindi trasmesso a Bob che lo rileva utilizzando un beam-splitter polarizzatore (PBS) e due single-photon detectors D1 e D2 simili a quelli in Fig.2. L'apparato di Bob include una seconda Pockels cell (PC2) che può ruotare il vettore di polarizzazione del fotone in arrivo di un angolo di 0◦ o −45◦ a scelta di Bob.
33
corrispondenza corretta delle basi avverrà in media il 50% delle volte. Per il restante 50%
delle volte Bob rileverà la base sbagliata e quindi registrerà un risultato non corretto [22].
2.6. Il protocollo BB84: Sommario.
Riassumiamo il protocollo BB84 nella Tabella 2 [11,14-15]. Si delineano inoltre i
passaggi principali sotto.
Step 1: Alice genera e invia dati (riga da 1 a 3).
Un bit (cifra binaria), la più piccola unità di dati, ha un singolo valore binario (0 o 1) e qui
corrisponde all'angolo di polarizzazione (θ) di un fotone secondo i criteri della Tabella 1.
Alice genera una sequenza di bit (prima riga), alternando casualmente tra le basi ⊗ e ⊗
(seconda riga). Viene inoltre mostrata la codifica nell’angolo (θ) corrispondente alla
polarizzazione di ciascun singolo fotone inviato (terza riga). Alice trasmette ogni fotone a
Bob a "intervalli di tempo" regolari. A questo punto Alice non dice a nessuno cosa sta
facendo.
Step 2: Bob riceve i dati (riga da 4 a 5).
Bob riceve i fotoni di Alice. Bob registra i risultati della misura di polarizzazione
usando una scelta "casuale" delle basi di rilevamento ⊕ e ⊗ (4a fila) [23]. A priori, Bob “non
sa” quale base abbia scelto Alice e può solo scegliere "casualmente" una delle due
possibilità ⊕ e ⊗. I dati misurati di Bob (5a fila) coincideranno "in media" con i dati di Alice
per la metà delle volte. In questi casi Bob registrerà il risultato corretto, a condizione che
non sia presente alcun intruso (Eva).
TAB. 2. SEQUENZA DI GENERAZIONE DI UNA CHIAVE SEGRETA NEL PROTOCOLLO
BB84. Θ È L'ANGOLO DI POLARIZZAZIONE SECONDO LO SCHEMA DI CODIFICA
RIPORTATO NELLA TAB. 1.
34
Step 3: Bob e Alice confrontano le loro basi (riga da 6 a 7).
Bob annuncia ad Alice su un canale pubblico la sua “scelta di basi”, senza rivelare i
risultati della sua misura. Alice “confronta” le scelte di basi di Bob rispetto alle sue ed
identifica le volte in cui entrambi hanno scelto la stessa base. Indica a Bob sul canale
pubblico quali degli "intervalli di tempo" hanno la stessa scelta di base, identificata con
l'etichetta "y" (riga 6). Sia Alice che Bob scartano gli altri casi mentre ciò che rimane ad
entrambi sono i “sifted bits” o “sifted key” (Riga 7).
Step 4: Analisi errori e chiave segreta (riga da 8 a 9)
Bob ora invia un "sottoinsieme" dei suoi “sifted bits” ad Alice, ad es. invia solo quelli
“alterni” (nona riga) cosicché Alice può confrontarli (sulla propria lista) ed eseguire un'analisi
d’errori. Questo è il punto in cui l’intruso rivela la sua presenza! Se il tasso di errore è
inferiore al 25% [24], Alice deduce che non si è verificata alcuna intercettazione da parte di
Eva e che pertanto la comunicazione quantistica è sicura. Alice e Bob sono quindi in grado
di conservare i bit rimanenti come "chiave privata".
2.7. Un prototipo commerciale QKD.
I sistemi criptografici commerciali utilizzano in genere QKD come mezzo per produrre
chiavi segrete/private condivise
necessarie negli algoritmi di
criptografia simmetrica di massa,
come ad es. Advanced Encryption
Standard (AES). Nella maggior parte
dei casi, la chiave generata tramite
QKD viene aggiornata
frequentemente; sebbene gli utenti
considerino aggiornamenti frequenti
delle chiavi un miglioramento rispetto
ai tipici aggiornamenti che avvengono
giornalmente (o mensilmente), i sistemi criptografici commerciali basate su QKD non sono
“unconditionally sicure”. Sistemi commerciali QKD sono disponibili presso i rivenditori in
Europa (ad es. ID Quantique-IDQ, SeQureNet, etc.), in Australia (Quintessence Labs), in
Nord America (MagiQ), in Asia (Quantum Communication Technology Co., Ltd.) ... ecc.
Anche settori più istituzionali hanno da tempo aderito in tutto il mondo a missioni di National
Security basate sulla criptografia quantistica mettendo a punto sistemi criptografici QKD
FIG. 6. PIATTAFORMA CRIPTOGRAFICA “PLUG
& PLAY” MODULARE CLAVIS 300 (ID QUANTIQUE)
35
particolarmente avanzati come è avvenuto ad es. al Quantum Institute del Los Alamos
National Laboratory (U.S.) [25].
Oltre alle soluzioni commerciali, sono disponibili anche protocolli e architetture QKD
che forniscono una distribuzione delle chiavi "unconditionally secure". Un dispositivo "plug
& play" ad es. è stato proposto, costruito e distribuito con successo per una distribuzione di
chiavi incondizionatamente sicure tra due centri di ricerca collegati per molti mesi attraverso
un lago in Svizzera già all'inizio degli anni 2000. Ancora in Svizzera (2001) “ID Quantique
(IDQ)” ha offerto e venduto il primo sistema QKD disponibile in commercio. Questo fu al
tempo uno sviluppo significativo poiché chiunque poteva acquistare un sistema criptografico
“unconditionally secure” per circa mezzo milione di dollari. Oggi IDQ è uno dei leader
mondiali nelle soluzioni di criptografia quantistiche sicure, fornendo “quantum-safe network
encryption” e “QKD Service & Solutions” per l'industria finanziaria, le imprese e le
organizzazioni governative di tutto il mondo.
La Fig. 6 mostra una tipica piattaforma criptografica "plug & play" completa
(Clavis300
) che esegue QKD "punto a punto" modulare o QKD a “lungo raggio” con “relais-
nodes”. Si riescono a distribuire chiavi sicure con rates di generazione fino a 10 kb/s (o più)
e perdite di collegamento di 10 dB (link loss) che corrisponde a circa 100 km di distanza a
seconda della qualità delle fibre. Nell'elaborazione criptografica gli intervalli morti
(encryption processing latency) sono inferiori a 10 microsecondi mentre le chiavi possono
essere distribuite fino a un massimo di 80 utenti. L’algoritmo di codifica Korean LEA (Light
Encryption Algorithm) consente un encryption rate di 4x10 Gbps [26]. Le piattaforme
criptografiche quantistiche commerciali sono progettate con configurazioni variabili a
seconda dello specifico task criptografico richiesto. Le specifiche di una tipica piattaforma
Clavis300
sono riportate in Tab. 3 a titolo illustrativo.
36
Tab.3 Piattaforma Clavis 300 (Specs)
37
Bibliografia 2.
1. Simon Singh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)
2. Elaine B. Barker, William C. Barker, Guideline for Using Cryptographic Standards in the Federal Government: Directives, Mandates and Policies, Special Publication (NIST SP) - 800-175A Report Number: 800-175A, Published: August 22, 2016
3. Il messaggio sotto forma di un telegramma in codice fu inviato da Arthur Zimmermann, allora funzionario al Ministero degli Esteri dell'Impero tedesco. Si veda ad es. Katz, Friedrich, The Secret War in Mexico: Europe, the United States, and the Mexican Revolution, University of Chicago Press (1984) (ISBN 978-0226425894)
4. La macchina “Enigma” era un dispositivo criptografico utilizzato per proteggere le comunicazioni commerciali, diplomatiche e militari. Fu ampiamente impiegato dalla Germania nazista durante la seconda guerra mondiale, in tutti i settori dell'esercito tedesco. Vi furono altre macchine di cifratura tedesche come ad es. il “Lorenz cipher” usata nella seconda guerra mondiale per criptare i messaggi di alto livello del personale. Si veda [1].
5. I matematici e i criptografi polacchi (Polish Cipher Bureau) per primi usarono la teoria delle permutazioni e dei difetti per decifrare le chiavi dei messaggi criptati dai militari tedeschi con Enigma. Più tardi, un massiccio sforzo intrapreso dal British Government Code e la Cypher School di Bletchley Park (U.K.) permise la decodifica dei cifrari tedeschi Enigma e Lorenz utilizzate per le comunicazioni segrete delle Potenze dell'Asse.
6. In questo periodo Gilbert S. Vernam dell’American Telephone and Telegraph Company e il maggiore Joseph O. Mauborgne del Unites States Army Signal Corps svilupparono il primo codice davvero inattaccabile chiamato "Vernam cipher" [S. Vernam, brevetto USA 1.310.719, Secret Signaling System (1918) e brevetto USA 1.416.765, Ciphering Device (1920)].
7. Si consideri un codice elementare in cui le lettere sono rappresentate da numeri binari “a cinque bit” da 1 a 26 secondo la sequenza dell'alfabeto. Quindi A è 00001, B è 00010 e Z è 11010. Il processo di criptografia è l'aggiunta modulo 2 e la chiave casuale è "111011000111001". Ad esempio, il messaggio "110111111000001" può essere decodificato eseguendo la sottrazione modulo 2: 110111111000001 ⊖ 111011000111001 001100111111000. I primi cinque bit del messaggio decifrato sono 00110, che riconosciamo come "F", la sesta lettera dell'alfabeto. Allo stesso modo, i secondi cinque bit sono 01111 = 15 che riconosciamo come "O", ecc. Una caratteristica distintiva del codice è la necessità di una chiave che non sia "mai riutilizzata" per inviare un altro messaggio; ecco perché si chiama "one-time-pad".
8. W. Stallings, “Cryptography and Network Security: Principles and Practice”. Prentice Hall. p. 165 (1990). (ISBN 9780138690175).
9. I crypto-sistemi a chiave pubblica sono particolarmente adatti per criptare la posta elettronica e le transazioni commerciali, che spesso si verificano tra parti che, a differenza di diplomatici e spie, non hanno anticipato la necessità di comunicare in segreto. L'idea di PKC (Public Key Cryptography) è che un utente, che chiamiamo "Alice", scelga casualmente una coppia di trasformazioni matematiche reciprocamente inverse da utilizzare per la criptare e de-criptare (decodifica). Alice pubblica quindi le istruzioni per criptare ma non la "decodifica". Un altro utente, Bob, può utilizzare l'algoritmo di criptografia pubblica di Alice per preparare un messaggio che solo Alice può peroò de-codificare. Si veda ad es. E. Rieffel, “Quantum computing” in The Handbook of Technology Management, Vol III, 1st ed., H. Bidgoli, Ed. Wiley, 2009 .
10. Arute, F., Arya, K., Babbush, R. et al. Quantum supremacy using a programmable superconducting processor. Nature 574, 505–510 (2019) doi:10.1038/s41586-019-1666-5
11. See e.g. M. Fox, ”Quantum Optics: An Introduction”, Oxford Master Series in Physics, OUP Oxford, 2006 (ISBN-13: 978-0198566731) and also F. Kaneda, P. G. Kwiat, “High-efficiency single-photon generation via large-scale active time multiplexing”, Sci. Adv.5, eaaw 8586 (2019).
12. L.D. Landau, E. M. Lifshitz (1977). “Quantum Mechanics: Non-Relativistic Theory”. Vol. 3 (3rd ed.). Pergamon Press. (ISBN 978-0-08-020940-1)
13. W. K. Wootters & W. H. Zurek, “A single quantum cannot be cloned”, Nature volume 299, pages802–803 (1982)
38
14. C. H. Bennett, G. Brassard and A. K. Ekert, “Quantum Cryptography,” Sci Am, vol. 1, pp. 50-57, 1992.
15. Nielson, Michael A. and Chuang, Issac L. (2000). “Quantum computation and quantum information”. Cambridge University Press, Cambridge. Hughes, R. J., Alda, D. M., Dyer, P., Luther, G. G., Morgan, G. L., and Schauer, M. (1995). “Quantum cryptography”. Contemp. Phys. 36, 149–63. Hughes R. and Nordholt J. (1999) & “Quantum cryptography takes to the air”,Phys. World 12(5), 31–5.
16. C. H. Bennett and G. Brassard. "Quantum cryptography: Public key distribution and coin tossing". In Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, volume 175, page 8. New York, (1984). Il protocollo BB84, sviluppato da Charles Bennett e Gilles Brassard nel 1984, è il primo protocollo conosciuto di criptografia quantistica QKD.
17. Bouwmeester, D. et al. (2000). “Quantum cryptography with entangled photons” Phys. Rev. Lett. 84, 4729–32.
18. M. R. Grimaila, J. D. Morris and D. Hodson, “Quantum key distribution, a revolutionary security technology” The ISSA Journal, vol. 27, pp. 20-27, 2012.
19. Altri protocolli importanti possono essere implementati come ad es. il protocollo Bennett 92 (B92). Vedi ad es.C. H. Bennett, Phys. Rev. Lett,68, 3121 (1992).
20. S.J. Wiesner, "Conjugate Coding", SIGACT News 15:1, pp. 78–88, (1983). Sebbene questo lavoro sia rimasto inedito per oltre un decennio, il manoscritto aveva una circolazione sufficiente per stimolare l'emergere della scienza dell'informazione quantistica intorno agli anni '80 e ’90.
21. J. D. Morris et al., “A survey of quantum key distribution (qkd) technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013, pp. 141.
22. Ad esempio, se il fotone in arrivo è polarizzato a + 45◦ e Bob sta rilevando sulla base ⊕ (angolo di rotazione = 0◦), registrerà i risultati su uno dei suoi rivelatori con una probabilità uguale del 50%.
23. Questo viene fatto scegliendo “casualmente” l'angolo di rotazione di una cella di Pockels (Vedi Fig. 5) per cui l'angolo di rotazione 0◦ corrisponde alla base ⊕ e la rotazione −45◦ corrisponde alla base ⊗
24. Eva potrebbe rivelare i fotoni di Alice (usando una copia dell'apparato di Bob) e trasmettere nuovi fotoni a Bob (usando una copia dell'apparato di Alice). Poiché Eva non può sapere quale base stia usando Alice, deve scegliere la sua base "a caso". La metà delle volte Eva indovinerà "correttamente", ma per la metà delle volte indovinerà "in modo errato". In un caso Eva determina il corretto stato di polarizzazione del fotone ovvero invierà a Bob un fotone polarizzato in modo identico a quello che avrebbe inviato Alice senza che nessuno se ne accorga. Nell'altro caso indovinerà "in modo errato" e invierà quindi a Bob un fotone polarizzato diversamente da quello di Alice. Poiché Eva sceglie in modo errato il 50% delle volte (in media), ella modificherà l'angolo di polarizzazione del fotone per il 50% delle volte. Quando Bob ha scelto la "stessa" base di Alice mentre Eva hanno scelto "in modo errato", Bob registrerà risultati casuali sui suoi rilevatori con una probabilità del 50%. La probabilità complessiva di errore è:
25. Nel 2014, Los Alamos National Laboratory ha concesso in licenza i risultati dei loro 20 anni di
ricerca sulla criptografia quantistica a Whitewood Encryption Systems, Inc. principalmente per “quantum-based encryption systems” and “random number generators” necessari a generare le “random keys”.
26. L’ “encryption rate” è il tempo di elaborazione richiesto dall'algoritmo per criptare i dati. Esso dipende dalla dimensione dei dati, dalla velocità del processore, dalla complessità dell'algoritmo ecc.
39
3. LE SFIDE ATTUALI DELLA DISTRIBUZIONE A CHIAVE
QUANTISTICA: UNA PANORAMICA
La criptografia è una battaglia secolare tra creatore di codice e decodificatore [1].
Come si evince dai capitoli precedenti, la combinazione tra Quantum Key Distribution (a.) e
metodi One-Time-Pad (OTP) (b.) fornisce un metodo di comunicazione sicuro.
(a) In realtà, solo gli algoritmi OTP (chiave simmetrica) producono realmente "informazioni
sicure", mentre tutti gli altri sistemi criptografici sono decifrabili da un avversario che
disponga di una quantità sufficiente di testo cifrato, risorse computazionali e tempo.
Malgrado siano sicuri, tuttavia, i metodi OTP non sono comunemente usati, a causa di
alcuni problemi nella generazione e nella distribuzione delle chiavi sicure. Queste ultime
dovrebbero essere casuali, di lunghezza pari al messaggio, e non dovrebbero mai
essere riutilizzate. Tali requisiti pongono limitazioni significative alla maggior parte delle
implementazioni pratiche dell’algoritmo One-Time-Pad.
(b) A differenza degli algoritmi OTP, ben consolidati sin dalle prime applicazioni del cifrario
di Vernam, la Quantum Key Distribution (QKD) è un'area di ricerca emergente e
piuttosto complessa [2]. Gli schemi QKD assicurano la segretezza della chiave generata
e fanno sì che eventuali intercettazioni da parte di terzi introducano errori rilevabili.
Per elaborare le informazioni, questi metodi sfruttano la meccanica quantistica anziché
la meccanica classica, con conseguenze potenzialmente rivoluzionarie per le tecnologie
informatiche, di comunicazione e criptografiche su cui fanno affidamento le
organizzazioni che lavorano con stringenti requisiti di sicurezza. La QKD ha già trovato
applicazione, ad esempio, nelle transazioni finanziarie e nelle comunicazioni elettorali,
con un ventaglio di altri possibili utilizzi in ambito governativo e militare.
(c) In questo contesto il Quantum Computing (QC), uno dei più importanti traguardi
tecnologici del nostro tempo, può fornire ulteriori sviluppi in grado di incidere sulla
sicurezza militare strategica. In effetti, la capacità dei computer quantistici di effettuare
ricerche in modo efficiente in elenchi di dati di grandi dimensioni può consentire a ogni
sistema che utilizza database o metodi di archiviazioni di dati di ridurre i "tempi di
risposta" e di valutare "maggiori quantità" di dati con efficienza superiore. Ovviamente,
tutto ciò è ancora più importante quando si tratta di archiviazione di dati nel cloud. In
generale, qualsiasi processo che richiede grandi quantità di tempo di elaborazione o
massicce ricerche di dati (data search) può trarre beneficio dallo sviluppo dei computer
quantistici.
40
D’altro canto, l’implementazione dei computer quantistici comporterà un gran
numero di rischi in termini di sicurezza, dato che il calcolo quantistico sarebbe in grado di
decifrare i sistemi di criptografia odierni praticamente in tempo reale. Ogni organizzazione
che abbia requisiti di sicurezza dovrà quindi premunirsi rispetto all’avvento di una potenza
di calcolo in grado di rendere obsoleti gli attuali algoritmi di criptografia. In campo militare,
ciò può tradursi nella pratica a dover costringere amici e avversari ad investire nello sviluppo
di protocolli di criptografia capaci di resistere al calcolo quantistico.
La combinazione di Quantum Key Distribution (a.) e metodi One-Time-Pad (OTP)
(b.) può rivelarsi vantaggiosa per operazioni di tipo militare. In particolare, lo sviluppo di un
sistema di distribuzione di chiavi quantistiche che si traducesse in un sistema criptografico
pratico da utilizzare e sicuro su ampia scala potrebbe condurre a tecnologie innovative per
le guerre che vengono combattute nell’era moderna dell'informazione.
In linea di principio, i canali di comunicazione protetti da QKD potrebbero collegare
nodi di comando e di controllo, mettendo in contatto i comandanti con altri alti ufficiali delle
forze armate ed a loro volta col loro staff sia attraverso (i.) circuiti terrestri ad es. reti di "fibre"
ottiche, sia attraverso (ii.) circuiti terra-spazio ad es. "satelliti" che si muovono su orbite
terrestri basse e collegati a stazioni a terra. I satelliti, che trasportano dispositivi QKD, in
questo caso distribuirebbero nuove chiavi private a contingenti di ufficiali così come a
personale predisposto alla supervisione delle operazioni di campo purchè situati in qualsiasi
punto del campo visivo delle piattaforme. Ad esempio, nel caso di Micius, il primo satellite
quantistico cinese (si veda omonimo paragrafo), sono state create delle chiavi segrete tra
Cina ed Europa in posizioni distanti circa 7000 km l'una dall'altra per mezzo di un network
satellitare (civile) per la crittografia QKD intercontinentale [3]. I futuri tentativi di realizzare
una rete QKD "globale" [4] sfrutteranno senza dubbio la potenza della tecnologia
dell'informazione in un quadro di operazioni militari incentrate sulla rete (net-centric warfare)
[5].
In teoria, i metodi QKD possono anche rappresentare una protezione contro le
capacità di decodifica di un computer quantistico. Per esempio, aumentando la velocità di
generazione delle chiavi nei sistemi QKD fino a valori compatibili con la criptografia OTP, si
potrebbe sventare il rischio di decodifica da parte dei computer quantistici. Poiché la velocità
di generazione dell'ordine dei kbps (kilo bit al secondo) sufficienti per la codifica OTP sono
già raggiungibili [6] (Si veda anche “Clavis𝟑𝟎𝟎
"), l’attuale tecnologia QKD è potenzialmente
41
in grado di sviluppare un metodo criptografico resistente agli attacchi dei computer
quantistici.
In pratica, comunque, tutto ciò richiederebbe la messa in opera di una nuova
generazione di hardware criptografico in tutto l'esercito, con canali di comunicazione protetti
da crittografia QKD.
Bibliografia 3.
1. Simon Singh, “The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography”, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)
2. J. D. Morris et al., “A survey of quantum key distribution technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013.
3. Un tale risultato pone chiaramente le basi per un’efficiente rete quantistica globale a “doppio-uso” (dual-use), il che significa che può essere di supporto per applicazioni sia militari che civili.
4. Q. Zhang et al., Large scale quantum key distribution: challenges and solutions, Optics Express 24261, Vol. 26, No. 18 (2018)
5. Negli anni '90, il Dipartimento della Difesa degli Stati Uniti (DoD) apri’ ad un approccio di guerra basato sulla rete (Net-centric warfare) ovvero ad una guerra network-centrica … o anche guerra digitale. Esso contemplava l’impiego dell’informatica onde ottenere un vantaggio militare competitivo nei confronti del nemico. Un tale approccio, che inizialmente contemplava reti di computers efficientemente connessi tra forze geograficamente disperse e ben informate, ha col tempo acquisito il significato più generale della capacità di raggiungere una superiorità derivante dai vantaggi della tecnologia informatica onde dominare lo spazio di battaglia a partire dalle operazioni di pace fino all'applicazione diretta del potere militare.
6. H.-L. Yin, et al.“Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).
3.1. La distribuzione a chiave quantistica: le sfide.
Sebbene negli ultimi decenni siano stati fatti progressi significativi, le reti di
distribuzione di chiavi quantistiche su larga scala hanno ancora alcuni ostacoli davanti a sè.
I più rilevanti per le applicazioni militari saranno esaminati nei prossimi paragrafi, seguiti da
una panoramica delle possibili applicazioni. Verranno anche tratteggiati vantaggi e
svantaggi della distribuzione di chiavi quantistiche dal punto di vista delle operazioni militari.
Il primo ostacolo da superare è il divario tra teoria e pratica nelle attuali
implementazioni della QKD [1], che è idealmente sicura solo quando utilizza sorgenti a
singolo fotone ideali e rivelatori “ideali”. Purtroppo nella realtà i dispositivi ideali non
esistono: le loro imperfezioni possono quindi aprire falle di sicurezza o canali secondari,
compromettendo all’atto pratico la sicurezza di un protocollo QKD [2-4]. Sono stati proposti
diversi protocolli QKD che non risentono delle imperfezioni del dispositivo [5,6] ed alcuni
sono già stati dimostrati con esperimenti di successo e riguardano metodi QKD "con stato
42
esca" (decoy state) [7,8] e metodi QKD "indipendenti dal dispositivo di misura”
(Measurement Device Independent-MDI) [9].
3.2. QKD sicura con dispositivi imperfetti: sorgenti a singolo fotone difettose.
Il protocollo QKD più noto è il BB84, in cui Alice (mittente) codifica i suoi numeri
casuali in una sequenza di singoli fotoni preparati in basi di polarizzazione scelte a caso e
Bob (ricevitore) misura ogni singolo fotone in ingresso utilizzando una delle due basi,
anch’essa scelta a caso. Successivamente, durante la riconciliazione delle basi, Alice e Bob
sacrificano una porzione scelta in modo casuale dei dati rimanenti per stimare il tasso di
errore del bit quantistico (QBER). Se quest’errore è maggiore di un valore-soglia
predeterminato, interrompono il protocollo, altrimenti usano le classiche tecniche di post-
selezione per generare una chiave segreta. Nelle implementazioni reali, è strato dimostrato
inoltre che la criptografia QKD è sicura per mittente e destinatario a condizione che i
dispositivi da essi utilizzati siano gli stessi del modello teorico. In pratica, tuttavia, il modello
potrebbe non essere soddisfatto, lasciando a Eva scappatoie per fare “hacking" sui canali
di comunicazione QKD.
La prima strategia nota per l'hacking quantistico è l'attacco “photon number splitting"
(PNS) [10]. Il protocollo BB84 richiede una sorgente a singolo fotone, che tuttavia con la
tecnologia attuale non è "ideale". Inoltre le attuali sorgenti a singolo fotone generalmente
sono voluminose, costose e poco efficienti, perciò per le implementazioni pratiche della QKD
vengono usati impulsi coerenti deboli prodotti da laser fortemente attenuati. Poiché anche
in un impulso di intensitàà molto bassa esiste una probabilità non nulla di trovare 2 o più
fotoni, Eva può trattenere una parte dell'impulso a più fotoni ed inviare l'altra parte a Bob. In
questo modo durante il processo di riconciliazione delle basi, Alice e Bob non possono
accorgersi dell'esistenza di Eva!
In pratica, l'attacco PNS limita la distanza per una QKD sicura a meno di 30 km [11].
Alcuni gruppi [12] hanno implementato la QKD con impulsi coerenti deboli fino a 100 km,
ma questi sistemi QKD non sono sicuri sotto un attacco PNS. Per contrastare questo tipo di
attacco, negli scorsi decenni sono stati proposti numerosi protocolli QKD e, in particolare,
quello basato sul cosiddetto “decoy state” [13] (stato esca). In questo metodo, oltre al
normale stato del segnale, Alice prepara alcuni decoy states. Gli stati esca sono “uguali"
allo stato del segnale, ad eccezione del numero previsto di fotoni. Questi decoy states
aggiuntivi vengono usati solo per rilevare gli attacchi di Eva, mentre gli stati di segnale
servono per generare la chiave privata. A “ciascun impulso” generato da Alice è assegnato
lo "stato di segnale" o lo “stato esca" in modo casuale dopodiché Alice modula l'intensità di
43
ogni impulso e lo invia a Bob. Allorché Bob annuncia di aver ricevuto tutti i segnali, Alice gli
comunica mediante un canale classico quali sono gli stati di “segnale".
Diversi esperimenti hanno dimostrato che il BB84 con decoy state è sicuro e può
essere applicato in condizioni realistiche. Rosenberg et al. [14] e Peng et al. [15] hanno
implementato la decoy state QKD attraverso 100 km di fibra, superando per la prima volta
i 30 km previsti come distanza-limite per rimanere indenni da un attacco PNS. In seguito,
Schmitt-Manderbach et al. sono riusciti a realizzare una decoy state QKD su 144 km nello
spazio [16]. Altri test sperimentali su questo tipo di QKD sono stati effettuati coinvolgendo
vari laboratori ed eseguendo varie prove sul campo [17]. Alla luce di questi risultati, la
comunità di criptografia quantistica ha maturato la convinzione che sia possibile rendere
sicura la distribuzione delle chiavi quantistiche anche se si dispone di dispositivi imperfetti
[18].
Bibliografia 3.2.
1. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution”, Nat. Photonics 8(8), 595–604 (2014).
2. 1. Y. Zhao, C. Fung, B. Qi, C. Chen, and H.-K. Lo, “Quantum hacking: experimental demonstration of time-shift attack against practical quantum-key-distribution systems”, Phys. Rev. A 78(4), 042333 (2008).
3. 3. N. Jain, et al.“Device calibration impacts security of quantum key distribution” Phys. Rev. Lett. 107(11), 110501 (2011).
4. 4. Y.-L. et al., “Source attack of decoy-state quantum key distribution using phase information” Phys. Rev. A 88(2), 022308 (2013).
5. 5. V. Scarani, A. Acín, G. Ribordy, and N. Gisin, “Quantum cryptography protocols robust against photon number splitting attacks for weak laser pulse implementations” Phys. Rev. Lett. 92(5), 057901 (2004).
6. 6. D.Gottesman, H.-K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004).
7. A.Acín, N.Brunner, N.Gisin, S.Massar, S.Pironio and V.Scarani, “Device-independent security of quantum cryptography against collective attacks” Phys. Rev. Lett. 98(23), 230501 (2007).
8. 21. H.-K.Lo, X.Ma and K.Chen, “Decoy state quantum key distribution”, Phys.Rev.Lett.94 (23), 230504 (2005).
9. 22. H.-K. Lo, M. Curty, and B. Qi, “Measurement-device-independent quantum key distribution”, Phys. Rev. Lett. 108(13), 130503 (2012).
10. G.Brassard, N.Lütkenhaus, T.Mor and B.C.Sanders, “Limitations on practical quantum cryptography”, Phys. Rev. Lett. 85 (6), 1330 (2000).
11. D.Gottesman, H.K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004), pp. 136.
12. 13. C.Gobby, Z.L.Yuan and A.J.Shields, “Quantum key distribution over 122 km of standard telecom fiber”, Appl. Phys. Lett. 84(19), 3762–3764 (2004).
13. 14. X.-B.Wang,“Beating the photon-number splitting attack in practical quantum cryptography”, Phys.Rev.Lett. 94(23), 230503 (2005).
14. D. Rosenberg et. al, “Long-distance decoy-state quantum key distribution in optical fiber”, Phys. Rev. Lett. 98(1), 010503 (2007).
44
15. C.-Z. Peng, et al., “Experimental long-distance decoy-state quantum key distribution based on polarization encoding”, Phys. Rev. Lett. 98(1), 010505 (2007).
16. T.Schmitt-Manderbach et al. “Experimental demonstration of free-space decoy-state quantum key distribution over 144 km”, Phys. Rev. Lett. 98(1), 010504 (2007).
17. A. R. Dixon, Z. L. Yuan, J. F. Dynes, A. W. Sharpe, and A. J. Shields, “Gigahertz decoy quantum key distribution with 1 Mbit/s secure key rate”, Opt. Express 16(23), 18790–18797 (2008).
18. Q. Zhang et al., Large scale quantum key distribution: challenges and solutions, Optics Express 24261, Vol. 26, No. 18 (2018)
3.3. QKD sicura con dispositivi imperfetti: Rivelatori di singolo-fotone difettosi.
Delle falle di sicurezza si possono aprire anche sul fronte della misura (detection).
L’esistenza di numerose possibilità di attacco a rivelatori di sistemi QKD sia sviluppati a
scopo di ricerca che commerciali è stata dimostrata sperimentalmente più di dieci anni fa
(2008-2011). A titolo di esempio, citiamo brevemente il cosiddetto attacco di “accecamento
del rivelatore” [1] (blinding), tralasciando diversi altri tipi ben noti d’attacco [2].
I rivelatori più utilizzati da Bob sono diodi a valanga a singolo-fotone (Single Photon
Avalanche Diode o “SPAD”). Quando l'intensità in ingresso è a livello di singolo fotone il
rivelatore funziona correttamente, ma all’aumentare dell'intensità diventa "cieco" e inizia a
funzionare in modo diverso: l'uscita sarà direttamente proporzionale alla potenza ottica in
ingresso (regime lineare). Di conseguenza Eva può effettuare un attacco di "intercettazione
e rinvio", intercettando gli impulsi di Alice e misurandoli. Dopodiché, prima invia una luce
intensa per accecare tutti i rivelatori di Bob e poi, basandosi sulle misure effettuate, gli invia
un'altra luce di intensità opportunamente calibrata in modo che i suoi rivelatori possano
scattare solo quando seleziona la stessa base di Eva. In questo modo Eva è in grado di
rubare le informazioni chiave senza farsi scoprire.
Una soluzione praticabile per difendersi dagli attacchi sulla misura è offerta dai
metodi QKD “indipendenti dal dispositivo di misurazione” (Measurement Device
Independent o “MDI”). Secondo la procedura MDI, sia Alice sia Bob sono mittenti e
trasmettono segnali a una terza persona non affidabile, Eva, che in questo caso dovrebbe
effettuare una misura specifica (“stato di Bell”). Tale misura fornisce un risultato che potrà
essere verificato da Alice e da Bob. Pertanto, la MDI-QKD riesce ad eliminare canali
secondari di perdite nella fase del processo di misura. Per maggiori dettagli sui metodi QKD
indipendenti dal dispositivo di misurazione rimandiamo il lettore ad alcuni lavori recenti
sull'argomento [3-6].
A partire dal 2013, vari gruppi di ricerca hanno implementato con successo la MDI-
QKD [3]. Ai fini dell’utilizzo pratico del sistema sono particolarmente importanti le
dimostrazioni condotte da Liu et al con stati esca [4] e da Tang et al con fonti imperfette [5].
45
L’importanza della MDI-QKD risiede non solo nel fatto che è sicura nei confronti degli
attacchi in fase di misura, ma anche nella sua praticità. Infatti può essere implementata con
laser coerenti deboli facilmente disponibili, è in grado di resistere a elevate perdite durante
la comunicazione che pertanto rimane efficace anche sulle lunghe distanze. Recenti studi
hanno dimostrato la possibilità di realizzare protocolli MDI-QKD che utilizzano una fibra a
bassa perdita (0,16 dB / km) su una distanza di 400 km [6]. È importante sottolineare che la
velocità di generazione delle chiavi raggiunta in questo esperimento è di circa 3 kbps a una
distanza di circa 100 km, sufficiente ad es. per la codifica One Time Pad di un messaggio
vocale. Nel frattempo, anche tentativi di raggiungere una velocità di 1 Mbps utilizzando un
protocollo QKD-MDI hanno avuto esito positivo. Date le distanze coinvolte, tutti questi
esperimenti dimostrano che la QKD-MDI è adatta a una rete QKD metropolitana [7].
Bibliografia 3.3
1. L. Lydersen, C. Wiechers, C. Wittmann, D. Elser, J. Skaar, and V. Makarov, “Hacking commercial quantum cryptography systems by tailored bright illumination” Nat. Photonics 4(10), 686–689 (2010).
2. Altre tipologie di attacchi includono ad es. “time-shift” attack, “dead-time” attack etc. 3. T. F. da Silva, et al, “Proof-of- principle demonstration of measurement-device-independent
quantum key distribution using polarization qubits” Phys. Rev. A 88(5), 052303 (2013). 4. Y. Liu et al., “Experimental measurement-device-independent quantum key distribution” Phys.
Rev. Lett. 111(13), 130502 (2013). 5. Z. Tang, K. Wei, O. Bedroya, L. Qian, and H.-K. Lo, “Experimental measurement-device-
independent quantum key distribution with imperfect sources” Phys. Rev. A 93(4), 042308 (2016).
6. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).
7. L. C. Comandar et al., “Quantum key distribution without detector vulnerabilities using optically seeded lasers” Nat. Photonics 10(5), 312–315 (2016).
Il secondo ostacolo è il decadimento del rate con cui si generano le chiavi private
nelle realizzazioni pratiche della QKD. Sebbene l'attuale record di distanza in fibra per la
QKD sia di circa 400 km [1] e la proposta di un nuovo protocollo per estenderla di altri 100
km [2] sia già stata avanzata, la velocità di generazione delle chiavi private in fibra cala
drasticamente su lunghe distanze. Una soluzione è rappresentata dal ripetitore quantistico,
benché la sua applicazione pratica risenta ancora delle prestazioni limitate delle memorie
quantistiche [3]. In attesa che questo inconveniente venga superato, al posto del ripetitore
quantistico si può utilizzare lo schema del relè affidabile (trusted relay), esso può essere
implementato nella tecnologia attuale ma che richiede una "protezione" su tutti i nodi di relè
[4].
46
3.4. Perdite e decoerenza nelle reti in fibra ottica: rete metropolitano e rete dorsale.
Storicamente, la prima prova sul campo documentata per la QKD con fibre ottiche è
stata eseguita nel 1965 dal British Telecom Lab, nel Suffolk (UK) [5]. Il test prevedeva la
partecipazione di quattro utenti, un’Alice e tre Bob, e l’utilizzo di un impulso coerente debole.
La lunghezza del collegamento in fibra era di diverse centinaia di chilometri, con un rate di
generazione di chiavi sicure di circa 1
kbps. Un altro risultato di rilievo fu messo
a segno dal DARPA a Boston (USA). In
questo caso la rete è un “mix” di BB4 con
impulsi coerenti deboli e di protocolli
basati sull’entanglement. Molti anni dopo,
a Vienna è stata creata una rete QKD
europea basata su fibra (2009), seguita da
un’altra rete analoga a Tokyo (2011) [7].
Più o meno nello stesso periodo (2009-
2011) è stata costruita una rete QKD per
applicazioni civili nella città di Hefei, in
Cina [8], in cui il segnale telefonico vocale
veniva codificato e decodificato da chiavi
quantistiche abbinate al metodo OTP. Reti
quantistiche sono state costruite anche a
Ginevra (2011) e a Durban, in Sudafrica
(2010), sulla base di protocolli QKD “plug
& play” BB84.
Oltre alla criptografia OTP, la generazione di chiavi quantistiche è stata anche
combinata con il sistema Advanced Encryption Standard (ASE) per aumentare la velocità
di comunicazione, anche se al prezzo di una minore sicurezza rispetto alla criptografia OTP.
È pure possibile integrare sistemi crittografici QKD in una rete di telecomunicazione a fibra
singola per dati classici; questa possibilità consente di ridurre significativamente i costi,
aumentando al contempo la robustezza e la praticità della crittografia QKD [9]. Di recente
(2018) in Cina è stata dimostrata la possibilità di realizzare una QKD integrata con dati di
comunicazione in fibra ottica convenzionale con un traffico dati da 3,6 Tbps su una distanza
di 66 km [10].
Anche se la tendenza attuale è quella di voler integrare la criptografia QKD con reti
standard di comunicazione ottica in fibra per trasmissioni di dati sicuri su larga scala, la
FIG. 1 LA STRUTTURA DELLA DORSALE QKD (BACKBONE) PECHINO-SHANGHAI (~ 2000 KM)
47
perdite e decoerenza tipiche delle fibre ottiche riducono tuttavia esponenzialmente non solo
l'intensità ma anche la fedeltà del segnale quantistico. A differenza di un segnale ottico
classico, infatti, il segnale quantistico non può essere né clonato perfettamente (teorema di
non clonazione) né amplificato senza introdurre errori. In tal senso, il metodo del ripetitore
ottico classico non funziona per canali di comunicazione quantistica. Di conseguenza, la
realizzazione di una rete QKD a lunga distanza rappresenta tuttora una sfida difficile da
vincere. Si elencano di seguito alcune soluzioni.
• “Quantum repeaters”. Una via percorribile può essere quella di utilizzare dei "ripetitori
quantistici" [11]. Per quanto siano stati fatti enormi progressi in questa direzione, la
realizzazione pratica di un ripetitore quantistico è ancora fuori dalla portata dell'attuale
tecnologia [12].
• “Trusted relays”. Una soluzione più praticabile per realizzare reti in fibra ottica che
colleghino utenti remoti può essere quella di usare “relè affidabili (trusted relays). In questo
caso, Alice e Bob condividono una chiave segreta mediante un trusted relay centrale, che
annuncerà pubblicamente i risultati di entrambe le chiavi (XOR-gate [13]), in modo che Alice
e Bob possano conoscere l’uno la chiave dell’altro. Lo svantaggio di questo metodo è che
sia Alice sia Bob devono "fidarsi" del relay che, per garantire una comunicazione sicura,
dovrebbe essere fisicamente "ben isolato". Il vantaggio consiste nella riduzione dei costi e
della complessità rispetto ad una configurazione punto-punto (point-to-point). Il metodo dei
trusted relays permette inoltre d’estendere la distanza di trasmissione.
FIG. 2. NETWORK METROPOLITANO QKD DI JINAN
48
È importante notare che la Cina ha costruito la rete “dorsale” di comunicazione
quantistica (backbone) sicura più lunga del mondo, da Pechino a Shanghai (Si veda Fig. 1),
con una distanza in fibra superiore a 2000 km [4]. Tale network include 32 nodi e collega
quattro reti metropolitane: Pechino, Jinan, Hefei e Shanghai. Ciascuna di esse ha più di 10
nodi con topologie diverse. Ad esempio, la topologia della rete dorsale QKD (backbone QKD
network) di Jinan è illustrata in Fig. 2. Durante il funzionamento della rete dorsale di Pechino-
Shanghai, la QKD viene implementata tra “ogni coppia di nodi adiacenti”, senza la necessità
di ripetitori quantistici né di memorie quantistiche. Tutti e 32 i nodi sono "nodi fidati", cosicché
in ciascuno di essi la chiave quantistica viene ricevuta e trasmessa lungo la linea dorsale
mediante un'operazione XOR [13]. La rete dorsale di Pechino-Shanghai, insieme alle
quattro reti metropolitane, si è rivelata utile ai fini di molte applicazioni pratiche nel settore
bancario, finanziario e assicurativo che sono attualmente già in fase di collaudo. Tutte le reti
QKD metropolitane e dorsali prese in esame fino ad ora si basano su trusted relays e di
conseguenza la sicurezza dipende in modo cruciale dal fatto che ciascun nodo di relay sia
affidabile mentre verrebbe meno se uno di essi dovesse dimostrarsi inaffidabile o
compromesso.
• “Untrusted relays”. Relays non-affidabili sono una soluzione molto più promettente e di
ampia portata per la realizzazione di una futura rete QKD. Il protocollo MDI-QKD descritto
in precedenza è intrinsecamente adatto a un'architettura di rete di telecomunicazione “a
stella” (star network) in cui i dispositivi di misurazione sono posizionati sul relay centrale
"non affidabile", ovvero un server di rete a cui tutti gli utenti circostanti semplicemente
trasmettono segnali quantistici [14]. Ogni coppia di utenti che vuole condividere chiavi
segrete tramite QKD verrà indirizzata al relay centrale "non affidabile", che su loro richiesta
eseguirà una specifica misura [15].
Tipicamente, la parte più costosa di un sistema QKD è rappresentata dai rivelatori a
singolo fotone (ricevitore). Per aumentare la scalabilitàà della rete, spesso le architetture
sono condivise, e una rete a stella viene progettata in modo da poter condividere i rivelatori
(a singolo fotone), ovvero la risorsa più costosa. I nodi della rete MDI-QKD diventano quindi
"mittenti", con la riduzione del costo dell'intero sistema. Con una tale struttura "topologica"
diventa semplice aggiungere direttamente più utenti, mantenendo al contempo bassi
requisiti hardware.
Ad esempio, Tang et al. hanno eseguito nella cittàà di Hefei la prima
implementazione di una rete MDI-QKD di questo tipo [16] con una topologia star network a
quattro nodi, di cui uno “di relay” e gli altri tre “di utente”. Non è necessario che il nodo
49
centrale di relay sia affidabile [17]. La rete a stella per la distribuzione di chiave quantistica
indipendente dal dispositivo di misurazione è stata costruita su un'area metropolitana di 200
chilometri quadrati. In tutti i test effettuati sul campo, lo schema criptografico ha funzionato
continuativamente per una settimana con una velocità di generazione di chiavi sicure 10
volte maggiore rispetto ai risultati ottenuti in precedenza. Nel complesso questi risultati
dimostrano che, tra i vari tipi di possibili protocolli QKD, le reti MDI-QKD coniugano
sicurezza e praticitàà e costituiscono una soluzione allettante per proteggere comunicazioni
metropolitane.
Bibliografia 3.4
1. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber”, Phys. Rev. Lett. 117(19), 190501 (2016).
2. M. Lucamarini, Z. L. Yuan, J. F. Dynes, and A. J. Shields, “Overcoming the rate-distance limit of quantum key distribution without quantum repeaters” Nature 557 (7705), 400–403 (2018).
3. N.Sangouard, C.Simon, H.DeRiedmatten and N.Gisin, “Quantum repeaters based on atomic ensembles and linear optics” Rev. Mod. Phys. 83(1), 33–80 (2011).
4. J.Qiu, “Quantum communications leap out of the lab”, Nature 508 (7497), 441–442(2014). 5. P.D.Townsend, S.J.D. Phoenix,K.J.Blow, and S.M.Barnett, “Design of quantum cryptography
systems for passive optical networks” Electron. Lett. 30(22), 1875–1877 (1994). 6. C.Elliott, A.Colvin, D.Pearson, O.Pikalo, J.Schlafer and H.Yeh “Current status of the DARPA
quantum network” in Quantum Information and Computation III 5815, 138–150 (2005)
7. Entrambi networks comprendono 6 nodi e contengono protocolli QKD di diverso tipo, tra cui ad es. il “plug & play”, il “decoy-state BB84”, protocolli basati sull “entanglement”, il “coherent one way (COW)”, il “differential phase shift (DPS)” così come protocolli a “variabile continua (CV)”.…
8. T.-Y. Chen et al., “Metropolitan all-pass and inter-city quantum communication network” Opt. Express 18(26), 27217–27225 (2010).
9. L’idea di adattare schemi di criptografia QKD alle linee convenzionali di trasmissione dati è stato introdotto per la prima volta da Townsend nel 1997. Si veda PD Townsend, “Simultaneous quantum cryptographic key distribution and conventional data transmission over installed fibre using wavelength-division multiplexing” Electronics Letters 33(3), 188 (1997). Successivamente, diversi esperimenti QKD hanno dimostrato la fattibilità dell'integrazione di vari protocolli QKD con i canali di telecomunicazione classici.
10. Y. Mao, B.-X et al, “Integrating quantum key distribution with classical communications in backbone fiber network”, Opt. Express 26(5), 6010–6020 (2018).
11. H.-J. Briegel, W. Dür, J. I. Cirac, and P. Zoller, “Quantum repeaters: the role of imperfect local operations in quantum communication”, Phys. Rev. Lett. 81(26), 5932–5935 (1998).
12. S. Muralidharan, L. Li, J. Kim, N. Lütkenhaus, M. D. Lukin, and L. Jiang, “Optimal architectures for long distance quantum communication”, Sci. Rep. 6(1), 20463 (2016).
13. Questo può essere fatto con una porta XOR (Exclusive or or exclusive disjunction), un’operazione logica che fornisce uscite "corrette" solo quando gli ingressi differiscono (….il numero di ingressi è dispari).
14. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution”, Nat. Photonics 8(8), 595–604 (2014).
15. Il relay centrale fara’ una misura di uno stato di Bell (Bell state measurement). Si veda ad es. [4].
16. Y.-L. Tang et al., “Measurement-device- independent quantum key distribution over un-thrustful metropolitan network” Phys. Rev. X 6(1), 011024 (2016).
50
17. In pratica, quando il relè (relay) centrale può essere considerato “attendibile”, si può anche riconfigurare la rete MDI-QKD per adattarla a protocolli diversi di comunicazione quantistica.
3.5. Perdite e decoerenza nelle reti satellitari: free-space QKD.
In generale, il rate di generazione delle chiavi segrete in fibra diminuisce linearmente
con la trasmissione lungo la fibra, il che rappresenta una grave limitazione su distanze molto
lunghe. Nell’atmosfera l'attenuazione è molto minore che in fibra ottica, con perdita di canale
e decoerenza notevolmente inferiori, cosicché la comunicazione quantistica basata su
satellite risulta essere una soluzione più promettente. L’attenuazione nella regione del vuoto
al di sopra dell'atmosfera terrestre (il cui spessore verticale effettivo è di circa 5-10 km da
terra) è invece trascurabile. Di conseguenza, è possibile utilizzare i satelliti come nodi
intermedi affidabili per la comunicazione tra postazioni a terra. Entro il limite di
sopravvivenza dei singoli fotoni una volta penetrati nell'atmosfera terrestre, i collegamenti
QKD di tipo terra-satellite possono essere di gran lunga più efficienti dei collegamenti in
fibra! È un campo straordinariamente promettente per la comunicazione quantistica su scala
globale, nel quale recentemente sono stati fatti notevoli progressi [1,2].
Perdite per assorbimento da parte dell’atmosfera.
Il primo esperimento in cui sia mai stato verificato il principio della free-space QKD è
stato effettuato su un collegamento di 32 cm (1992), mentre per la dimostrazione della
fattibilità della QKD nello spazio su distanze dell’ordine dei chilometri si sono dovuti
aspettare ancora diversi anni (1998-2002). Ad ogni modo, la maggior parte di quei primi
tests ha dimostrato che gli stati quantistici possono sopravvivere alla propagazione
nell’atmosfera, confermando così la fattibilità della comunicazione quantistica nello spazio
basata ad es. su satelliti terrestri. Prima di lanciare un satellite è stata effettuata anche
un’importante serie di prove a terra, come ad es. la distribuzione di chiavi (QKD) con decoy
states su un collegamento free-space di 144 km (2007) [3], con una velocità di generazione
delle chiavi sicure di 12,8 bit/s, un'attenuazione di circa 35 dB su una distanza di oltre 100
km (2012) [4].
Sebbene tali esperimenti dimostrino che la QKD è in grado di sopravvivere
all'assorbimento dell'atmosfera, non simulano tuttavia un reale collegamento tra un satellite
"in rapido movimento" ed una stazione terrestre. Una seconda generazione di esperimenti
[5] ha pertanto impiegato un apparato criptografico montato su piattaforme girevoli o
addirittura una mongolfiera testando in tal modo le prestazioni di comunicazione criptata
(QKD) in condizioni di rapido movimento, brusche variazioni di altitudine, vibrazioni,
movimento casuale dei satelliti ecc. tutte circostanze che corrispondono a parametri
51
realistici di comunicazione con satelliti in basse orbite terrestri (LEO) (Vedi anche il
paragrafo: "Micius; il primo satellite quantistico cinese"). Nel frattempo è stata fornita
un’eclatante prova di criptografia QKD tra un aereo ed una stazione terrestre [6] così come
di una dimostrazione della trasmissione diretta terra-satellite di una sorgente a quasi-
singolo-fotone (weak laser pulse) generata e riflessa sulla terra da un retro-riflettore posto
su un satellite [7].
Perdite geometriche e di accoppiamento.
Oltre alle perdite per assorbimento, esistono anche perdite geometriche, ottiche,
di/per accoppiamento etc., che si traducono in una perdita di canale complessiva tra un
satellite LEO e la Terra, o tra satelliti LEO, di circa 40-45 dB [8]. I parametri tipici per questi
tipi di perdite sono riportati nel prossimo paragrafo (Micius).
3.6 Micius: Il primo satellite quantistico cinese.
Il primo satellite quantistico “Micius” è stato lanciato a Jiuquan (Cina) nel 2016.
Si tratta di un satellite LEO in orbita ad un'altitudine di circa 500 km (Si veda Fig. 3).
Un trasmettitore QKD con stato esca (decoy) viene installato su uno dei payload satellitari
di Micius che esegue il downlink QKD inviando i segnali quantistici al ricevitore di Xinglong
(stazione a terra). La possibilità di decoy-state QKD è stata dimostrata con codifica di
polarizzazione dal satellite a terra, con una velocità di 1 kbps su una distanza fino a 1200
km [1]. Il test QKD è stato ripetuto 23 volte in giorni sempre diversi, ed è stato riscontrato
FIG. 3. LE TRE STAZIONI DI TERRA (GRAZ, NANSHAN E XINGLONG) CONNESSE DAL SATELLITE MICIUS. SONO ELENCATI I PERCORSI UTILIZZATI PER LA GENERAZIONE DELLA CHIAVE PRIVATA E LA CORRISPONDENTE LUNGHEZZA FINALE DELLA CHIAVE.
52
che i tassi di errore dei bit quantistici e il rate di generazione delle chiavi sicure variavano al
variare della distanza e delle condizioni
meteorologiche. In Fig.4 è mostrata
l'efficienza del collegamento QKD terra-
satellite per distanze tra 645 e 1200 km e
confrontate col metodo convenzionale
tramite fibre ottiche. Nonostante il breve
tempo di copertura (273 secondi al giorno) e
la necessitàà di condizioni meteorologiche
ragionevolmente buone, il satellite Micius
garantisce un enorme miglioramento
dell'efficienza rispetto alle fibre. A 1200 km
di distanza, l'efficienza del canale
quantistico nei 273 secondi di copertura
supera di circa 20 ordini di grandezza
quanto riportato in precedenza per la QKD.
Successivamente, il satellite Micius è stato utilizzato come trusted relay per distribuire
chiavi private tra più postazioni remote in Cina e in Europa [9]. Cina e Austria hanno
utilizzato questo collegamento QKD quantistico per scambiare dati criptografati con One
Time Pad, trasferendo immagini (Si veda Fig. 5) dalla Cina all'Austria e viceversa. Le tre
stazioni terrestri che hanno collaborato erano situate a Xinglong, Nanshan e Graz; le prime
due città (Xinglong-Nanshan) si trovano a 2500 km di distanza, mentre le altre due
(Nanshan-Graz) distano 7600 km. In questo esperimento Micius seguiva un'orbita
sincronizzata con il Sole, ruotando attorno alla Terra ogni 94 minuti. Ogni notte, a partire
dalle 0:50 circa (ora locale), il satellite passava sopra le tre stazioni terrestri consentendo
d’effettuare un downlink QKD per una durata di ~300 s. In condizioni meteorologiche
ragionevolmente buone, si sono potute ottenere sistematicamente chiavi (sifted keys) a ~3
kbps per ~1000 km di distanza di separazione fisica e a ~9 kbps per circa 600 km di distanza
FIG. 4. EFFICIENZE A CONFRONTO. TRASMISSIONE DIRETTA VIA FIBRA OTTICA (ROSSO) E VIA TERRA-SATELLITE (BLUE).
53
(al massimo angolo di
elevazione). La prima
comunicazione quantistica
intercontinentale è stata
quindi portata a termine con
successo usando il satellite
Micius come trusted relay.
Bibliografia 3.5
1. S.-K. Liao, et al. “Satellite-to-ground quantum key distribution”, Nature 549 (7670), 43 (2017). 2. J.-G. Ren, et al., “Ground-to-satellite quantum teleportation”, Nature 549 (7670), 70 (2017). 3. R. Ursin, et al., “Entanglement-based quantum communication over 144 km” Nat. Phys. 3(7),
481 (2007). 4. J. Yin et al. “Quantum teleportation and entanglement distribution over 100-kilometre free-
space channels” Nature 488 (7410), 185 (2012). 5. J.-Y. Wang et al. “Direct and full-scale experimental verifications towards ground-satellite
quantum key distribution”, Nat. Photonics 7(5), 387 (2013). 6. S. Nauerth et al., “Air-to-ground quantum communication”, Nat. Photonics 7(5), 382 (2013). 7. J. Yin et al., “Experimental quasi-single-photon transmission from satellite to earth”, Opt.
Express 21(17), 20032 (2013). 8. M. Pfennigbauer, W. R. Leeb, M. Aspelmeyer, T. Jennewein, and A. Zeilinger, “Free-space
optical quantum key distribution using inter-satellite links” in Proceedings of the CNES - Intersatellite Link Workshop, (2003).
9. S.-K. Liao, et al., “Satellite-relayed intercontinental quantum network”, Phys. Rev. Lett. 120(3), 030501 (2018).
FIG. 5. Una foto JPG di Micius (filosofo) e Schrödinger (fisico), criptata OTP con una chiave sicura (5,34 o 4,9 kB) garantendo una sicurezza incondizionata, è stata condivisa tra Pechino e Vienna. Immagine binaria delle foto e delle chiavi. Le immagini sono state criptate (de-cifrate) sia a Pechino che a Vienna con una operazione operazione XOR.
54
4. DIFESA E POTENZIALI APPLICAZIONI MILITARI DELLA QKD: UNA
PROSPETTIVA
Nuovi sviluppi nel settore militare e della difesa in genere sono attesi dalla scienza
dell'informazione quantistica. Anche se tali applicazioni vengono definite “quantistiche” in
generale meritano tuttavia un’analisi più specifica. In particolare, la distribuzione a chiave
quantistica (Quantum Key Distribution o QKD) e la criptoanalisi quantistica sono destinate
ad influenzare significativamente la sicurezza militare strategica in vari modi.
Lo scopo di questa sezione è di riassumere lo stato attuale della “sicurezza
dell’informazione” in uno schema criptografico QKD per un pubblico di non specialisti,
descrivendo le migliori pratiche da adottare nel settore militare, inteso nella accezione più
ampia del termine come richiesto dal CEMISS. Per preservare la leggibilità del testo,
chiariremo in che modo l'implementazione possa influire sulla sicurezza senza fornirne
un'analisi dettagliata, per la quale si rimanda il lettore ai capitoli precedenti. Alla fine della
sezione viene presentato, sotto forma di tabella (Si veda Tab. 1) anche un confronto con un
protocollo criptografico standard.
4.1. L’intercettatore (eavesdropper) può essere individuato.
La criptografia QKD è protetta dalle leggi della fisica quantistica e garantisce
che "qualsiasi" intercettazione verrà rilevata. Una criptografia di questo tipo è
particolarmente importante in campo militare, per impedire che vengano intercettate
informazioni riservate.
In una situazione tipica, in cui due elementi distanti (Alice e Bob) usano i loro
dispositivi criptografici QKD per ottenere una stringa di bit (chiave), un intercettatore (Eva)
può tentare di ricavare informazioni sui bits misurando i segnali che viaggiano lungo il canale
di comunicazione che collega Alice e Bob. Poiché nella fisica classica non c'è nulla che
impedisca ad Eva di copiare il segnale classico (chiave) durante il suo passaggio da Alice
a Bob, tutti i metodi classici per distribuire una chiave sicura sono "intrinsecamente" insicuri.
Quando invece Eva legge il segnale inviato attraverso il canale criptografico QKD di
Alice nel tentativo di copiarne la chiave, ella aggiungerà inevitabilmente rumore alla
trasmissione del segnale stesso, proprio in virtu’ della natura quantistica del segnale che
viene impiegato. Misurando tale rumore Alice e Bob possono stimare la massima quantità
di informazioni che Eva ha acquisito sulla serie di bit e quindi possono rilevare la presenza
di Eva. Di conseguenza la QKD consente a Bob e Alice di appurare se la loro chiave
55
condivisa sia “assolutamente sicura” o se Eva sta “origliando”, nel qual caso non la
useranno.
Un'altra caratteristica unica della QKD è che la sicurezza del protocollo è garantita
indipendentemente dalle risorse a disposizione di Eva [1,2]: anche se ella disponesse di
potenza computazionale illimitata, memoria di archiviazione illimitata e ogni dispositivo
possibile e immaginabile, in questo tipo di criptografia la trasmissione delle chiavi potrebbe
avvenire in modo assolutamente sicuro mediante un qualsiasi canale aperto, perfino se
fosse totalmente controllato da Eva.
È il caso di sottolineare, comunque, che la criptografia QKD non risolve altri aspetti
cruciali della sicurezza, come la verifica dell'identità o il controllo dell'accesso [3]. Rispetto
alle firme digitali convenzionali, le firme digitali quantistiche sono note [4] e vengono
utilizzate nel trasferimento dei dati per impedire il disconoscimento e la manomissione dei
messaggi, con la sicurezza garantita dai limiti teorici della meccanica quantistica.
Bibliografia 4.1
1. Alléaume, et al., “Using quantum key distribution for cryptographic purposes: A survey”. Theoretical Computer Science, 560 (2014).
2. Government Office for Science. “The Quantum Age: technological opportunities” (The Blackett Review of quantum technologies). 2016.
3. European Telecommunications Standards Institute. “Implementation Security of Quantum Cryptography: Introduction, challenges, solutions”. ETSI, 2018.
4. Tests preliminari in cui vengono distribuite firme quantistiche (quantum signatures) ad es. da un mittente a due destinatari si sono rivelati a prova di falsificazione. Si veda ad es. P.J. Clarke et al., "Experimental demonstration of quantum digital signatures using phase-encoded coherent states of light", Nat. Commun. 3, 1174 (2012).
4.2. Sicurezza incondizionata ed a prova di futuro.
La criptografia QKD offre una sicurezza "teorica delle informazioni” assoluta.
Attualmente l’One Time Pad (OTP) è l'unico schema di criptografia non de-codificabile
conosciuto e la criptografia QKD, sfruttando le leggi della meccanica quantistica, è l'unica
in grado di produrre quantità illimitate di materiale di codifica simmetrico necessario per
utilizzare efficacemente un cripto-sistema OTP. Di conseguenza, la QKD è in grado di
garantire una sicurezza teorica delle informazioni molto superiore a quella offerta dalle
tecniche di criptografia classiche, basate sulla complessità computazionale. La sicurezza
teorica delle informazioni è di estrema importanza per la segretezza di dati militari sensibili.
La QKD ha anche il vantaggio di essere “a prova di futuro” [1] (future proof security).
Infatti, a differenza di quanto avviene nel caso di una distribuzione classica delle chiavi, il
56
teorema di non clonazione quantistica [2,3] impedisce a un intercettatore di "conservare"
una trascrizione delle informazioni che sono state codificate mediante un processo QKD.
Ciò rende la criptografia QKD un elemento imprescindibile di qualsiasi infrastruttura di
archiviazione di dati militari segreti di cui si voglia garantire la sicurezza nel futuro.
Per questo motivo la QKD si è imposta a livello mondiale come principale forma di
criptografia quantistica e come tecnologia emergente per la sicurezza informatica.
Bibliografia 4.2
1. D. Unruh, IACR Cryptology ePrint Archive p. 177 (2012). 2. W. K. Wootters and W. H. Zurek, “A single quantum cannot be cloned”, Nature 299, 802 (1982). 3. D. Dieks, “Communication by EPR devices”,Phys. Lett. 92A, 271 (1982).
4.3. A prova di criptoanalisi quantistica….
Come abbiamo già detto, il calcolo quantistico potrebbe decodificare praticamente in
tempo reale i messaggi cifrati con tecniche di criptografia tradizionali basate sulla
complessità computazionale, come le forme più sicure di criptografia a chiave pubblica. Gli
attuali standard criptografici per la codifica dei dati si basano su algoritmi matematici
effettivamente inviolabili su un periodo di tempo ragionevole. La criptografia AES (Advanced
Encryption Standard) a 256 bit, adottata dall’esercito degli Stati Uniti [1], teoricamente
richiederebbe miliardi di anni perché i computer attuali riuscissero a decifrare il codice
utilizzando metodi basati sulla “forza bruta”, ovvero procedendo per "tentativi ed errori" alla
ricerca di tutte le possibili soluzioni. I computer quantistici, invece, sostituendo i metodi
sequenziali di tentativi ed errori con tecniche alternative, saranno in grado di effettuare la
decodifica in pochissimo tempo [2]. La criptografia QKD fornisce una protezione contro le
capacità di decodifica degli attuali algoritmi matematici, di nuovi algoritmi più potenti e dei
computer di prossima generazione, tra cui, in particolare, i computer quantistici attesi nel
prossimo futuro.
L’avvento della criptoanalisi quantistica [3] avrà pesanti ripercussioni sulle relazioni
internazionali, dal momento che le comunicazioni intercettate diventeranno decifrabili [4].
Per i paesi che garantiscono la sicurezza delle proprie operazioni militari o della
comunicazione di dati diplomatici sensibili per mezzo della criptografia standard, ciò
segnerà una svolta epocale: la criptografia QKD sarà allora un metodo efficace per
continuare a proteggere operazioni e dati.
Inoltre, esistono dati riservati che devono essere tenuti segreti per decenni [5]. I dati
trasmessi nel 2019 ad es. sono "vulnerabili" ai progressi tecnologici futuri: Eva potrebbe
57
semplicemente infatti salvarne le trascrizioni in memoria e aspettare il momento in cui verrà
costruito un computer quantistico capace di decifrarli, magari tra dieci anni! Ciò è altamente
probabile [6]. I dati criptati mediante QKD invece non sono accessibili e resteranno sicuri
anche a distanza di decenni.
Bibliografia 4.3
1. "Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms” Elaine Barker, NIST Special Publication 800-175B (July 2019)
2. Anche se ancora non sappiamo quando saranno disponibili i computer quantistici, alcuni malintenzionati “gamblers” stanno già raccogliendo dati che accumulano aspettando il giorno in cui un computer quantistico sarà in grado di de-cifrare in pochi minuti gli attuali standard di criptografia. Gartner stima che entro il 2023, il 20% di tutte le organizzazioni avrà già investito in comunicazioni di criptografia quantistica e che il mercato globale delle “quantum cryptography communications” crescerà fino a $ 24,75 miliardi nel 2025 (Market Research Media). Si veda ad es. ”Quantum Xchange breaks final barriers to make QKD commercially viable with launch of Phio TX”, Press release from Quantum Xchange, September 9th 2019.
3. La “Criptoanalisi quantistica” è l'uso del computer quantistico specificatamente per de-cifrare messaggio criptati.
4. La promessa della criptoanalisi quantistica è così allettante che in alcune nazioni si stanno già raccogliendo comunicazioni militari sensibili criptate di altri nazioni con l'aspettativa di essere poi in grado di decifrarne il contenuto in un futuro non lontano.
5. Dati segreti come ad es. i dati del censimento in Canada vengono depositati negli archivi nazionali solo dopo 92 anni dalla data di raccolta. Si veda ad es. “Release of personal data after 92 years” in http://www12.statcan.gc.ca/census-recensement/2011/ref/about-apropos/personal- personnels-eng.cfm
6. La NSA degli Stai Uniti (U.S. National Security Agency) ha preso sul serio la minaccia del quantum computing ed ha recentemente annunciato piani di transizione verso algoritmi “quantum-resistant”.
4.4. La distribuzione a chiave quantistica (QKD) “point-to-point”.
Come si è già detto, le comunicazioni cifrate mediante QKD sono iniziate tempo
addietro (1992) con un collegamento free-space “punto-punto" lungo 30 cm...e ci sono voluti
ben due decenni prima che si riuscisse a estenderlo a distanze di chilometri! In effetti,
l’estensione della distanza dei collegamenti QKD è potuta avvenire solo grazie a eclatanti
sviluppi tecnologici. Attualmente, uno dei fattori critici per le implementazioni pratiche dei
collegamenti punto-punto è il "livello di rumore" dei rivelatori a singolo fotone [1]. I rivelatori
a singolo fotone a nanofili (nanowire) superconduttori [2,3], operano con un'elevata
efficienza quantica (93%) alle lunghezze d'onda delle telecomunicazioni e con perdite
relativamente basse (72 dB) [4]. Ciò consente di garantire la sicurezza dei collegamenti di
comunicazione fino a una distanza di 360 km in fibra monomodale standard o di circa 450
km in fibre a bassissima perdita. Vale la pena di notare, tuttavia, che estendere ulteriormente
la distanza punto-punto, per quanto tecnologicamente possibile, non è interessante ai fini
58
pratici, perché la perdita del canale ridurrebbe inevitabilmente la velocità di generazione
delle chiavi, rendendola di scarsa utilità. Infatti la distanza di comunicazione e la velocità di
generazione delle chiavi sono inversamente proporzionali: maggiore è la distanza tra
mittente e destinatario, minore sarà la velocità di generazione delle chiavi.
Fondamentalmente, i protocolli di comunicazione QKD punto-punto sono progettati
per funzionare solo per due utenti, perciò sono perfetti per un collegamento tra due siti in
modo da criptare, ad es., le comunicazioni vocali tra un’unità di governo ed un'unità militare,
o tra due unità militari. Benché la criptografia punto-punto QKD sia irrealizzabile tra due
unità distanti, è possibile utilizzare collegamenti QKD punto-punto per creare connessioni
tra più di due siti non troppo distanti, in modo da formare una piccola rete. La prima rete
QKD in assoluto è stata realizzata sfruttando la rete commerciale in fibra di China Netcom
Company a Pechino (2007) e ha consentito di effettuare comunicazioni quantistiche sicure
tra i quattro elementi (utenti) della rete.
Bibliografia 4.4
1. B. Korzh et al. “Provably Secure and Practical Quantum Key Distribution over 307 km of Optical Fibre”, Nature Photon. 9, 163 (2015).
2. F. Marsili et al., “Detecting Single Infrared Photons with 93% System Efficiency”, Nature Photon. 7, 210 (2013
3. L.C.Comandar et al. “Gigahertz-gated InGaAs/InP single-photon detector with detection efficiency exceeding 55% at 1550 nm”, J. Appl. Phys. 117, 083109 (2015).
4. H. Shibaba, T. Honjo, and K. Shimizu, “Ultimate low system dark-count rate for superconducting nanowire single-photon detector”,Opt. Lett. 39, 5078 (2014).
4.5. La distribuzione a chiave quantistica (QKD) “net-centrica”.
I collegamenti QKD punto-punto diventano ingredienti essenziali per
l'implementazione della criptografia QKD su larga scala, purché sia possibile creare una
topologia di rete (network topology) in grado di consentire l'accesso di molti utenti, come ad
es. la rete QKD completata nel 2012 a Hefei [1], che collega 40 telefoni e 16 videocamere
installate presso uffici municipali, dipartimenti militari e istituti finanziari [2]. Una rete civile
analoga, completata nel 2014, collega circa 90 utenti a Jinan. Le strutture con “topologia a
stella” (star network) sono le più adatte per la realizzazione di reti QKD di questo tipo e ne
sono state date diverse dimostrazioni sperimentali utilizzando fibre ottiche [3] o relè affidabili
(trusted relays) nello spazio. Soprattutto, le reti a stella hanno permesso di rendere più
ampia la copertura geografica.
Infatti, installando nodi affidabili, diciamo ogni 50 km, per "trasmettere" informazioni
segrete è possibile ottenere comunicazioni sicure su grandi distanze [4]. La rete QKD tra
59
Shanghai e Pechino è un esempio di tale approccio ed è la più lunga e sofisticata del mondo.
Serve come collegamento portante tra quattro reti quantistiche a Pechino, Shanghai, Jinan
(provincia dello Shandong) e Hefei (provincia dell’Anhui).
Varie prove di QKD terra-satellite [5], in cui uno (o alcuni) satelliti affidabili (trusted)
sono stati utilizzati con successo come stazioni di trasmissione, hanno dimostrato che è
possibile raggiungere distanze ancora maggiori, estendendo la sicurezza della crittografia
QKD su scala "globale". A questo scopo, sono state realizzate diverse comunicazioni QKD
nello spazio tra la terra e satelliti in basse orbite terrestri (LEO), per mezzo di una tecnologia
in cui la Cina è ora leader mondiale, a partire dal lancio del proprio satellite nell'agosto 2016
[6,7].
Questi successi hanno impartito una brusca accelerazione allo sviluppo di sistemi di
distribuzione a chiave quantistica terra-satellite, e altre nazioni, tra cui UE, Canada e Stati
Uniti, sono attualmente impegnati in progetti a lungo termine altrettanto ambiziosi che
coinvolgono comunicazioni criptografiche quantistiche ultra-sicure via satelliti LEO.
La criptografia QKD implementata su satelliti è potenzialmente in grado di favorire
l’affermazione di una rete quantistica su scala globale, con un sostanziale cambiamento
d’approccio nelle modalità di comunicazione, a favore di connessioni sicure in rete. In termini
operativi, l’implementazione su satelliti necessita di un servizio in cui le informazioni
possano essere indirizzate e raccolte in modo efficiente, resiliente e sicuro così da garantire
sia la gestione che la distribuzione delle chiavi tra tutti i partecipanti della rete che vogliano
"inviare" e "ricevere" dati critici (ad es. tra aeromobili, aeromobili e terra, aeromobili e risorse
spaziali ecc.). Ciò prevede che unità operative con requisiti di sicurezza stringenti, come
settori militari e governativi, o anche fornitori di infrastrutture critiche, collaborassero con
una strategia di informazione incentrata sulla rete, il che migliorerebbe non solo la sicurezza
dei servizi d’informazione ma anche la gestione delle prestazioni.
4.6. La distribuzione a chiave quantistica (QKD) “mobile”.
La maggior parte delle reti quantistiche sviluppate fino ad ora possiedono canali
cablati (fibre) e nodi in posizioni fisse. D'altra parte, terminali mobili come satelliti, droni,
automobili, ecc. recentemente hanno fatto notevoli progressi. Piccoli veicoli aerei senza
equipaggio (Unmanned Aerial Vehicles o “UAV”) come ad es. i droni, grazie alla loro
capacità di muoversi in ogni direzione o addirittura di restare fermi a mezz’aria, prospettano
la possibilità di realizzare una connettività on-demand economicamente vantaggiosa
all'interno di reti flessibili. UAV di dimensioni maggiori, che continuano a volare nella
stratosfera per molti anni sfruttando l'energia solare, hanno già consentito di realizzare
60
piattaforme ad alta quota (High Altitude Platforms o “HAP”) dedicate al rilevamento e alla
comunicazione. La disponibilità di satelliti di piccole dimensioni e poco costosi, unita alla
possibilità di effettuare lanci a basso costo, ha condotto da tempo ad un aumento di
programmi satellitari per analoghi scopi di comunicazione e rilevamento.
In un momento in cui la trasmissione di dati mediante bande RF congestionate si sta
facendo sempre più difficile, i sistemi di gestione dei big data montati su un terminale mobile
e coadiuvati da sistemi di comunicazione ottica nello spazio (Free-Space Optical o “FSO”)
dovrebbero produrre un throughput elevato ed adatto a collegamenti dati satellite-satellite,
collegamenti dati terra-satellite e anche collegamenti dati ad hoc tra piccoli UAV (droni).
Se generatori di numeri casuali con scambio di chiavi segrete ad alta velocità potessero
inoltre essere implementati in terminali QKD mobili…quest’ultimi potrebbero effettivamente
motivare la realizzazione di reti wireless quantistiche. L'integrazione di "nodi QKD mobili"
per la distribuzione di chiavi segrete impartirebbe sicuramente una grande flessibilità alle
connessioni di una rete criptografica QKD [8].
In ambito militare, tutto ciò può
risultare utile per molte applicazioni, come le
comunicazioni tra una nave e l’altra, o tra
veicoli militari che hanno bisogno di inviare e
ricevere dati critici. In questo caso, la
mobilità delle piattaforme QKD può
richiedere una rete altamente riconfigurabile,
nel senso che gli utenti QKD dovrebbero
essere in grado di determinare
automaticamente la rotta QKD ottimale in
tempo reale in base alla loro posizione [9].
Rappresentiamo in Fig. 1 un’ipotetica rete
QKD di questo tipo, che dovrebbe garantire
una copertura geografica ancora più
capillare, impossibile da ottenere mediante
una rete in fibra.
Bibliografia 4.6
1. Wang, S. et al., ‘Field and long-term demonstration of a wide area quantum key distribution network’, Optics Express Vol. 22, Issue 18, pp. 21739-21756, (2014)
2. The declared cost for the Hefei network’s was around 9 million USD!
FIG. 1. Rendering ipotetico di una rete QKD mobile. Satelliti, HAP, UAV, droni ecc. incorporano nodi QKD mobili per la distribuzione di chiavi private.
61
3. Y.-L. Tang et al. “Measurement-Device-Independent Quantum Key Distribution over Untrustful Metropolitan Network”, Phys. Rev. X 6, 011024 (2016).
4. M. Sasaki, et al, “Field test of quantum key distribution in the Tokyo QKD Network”, Optics Express Vol. 19, Issue 11, pp. 10387-10409 (2011)
5. Wang J, et al. “Direct and full-scale experimental verifications towards ground-satellite quantum key distribution”, Nat Photonics 2013;7(5):38793.
6. Gibney, E. “One giant step for quantum internet”, Nature News, 27 July 2016. 7. Qiu, J, ”Quantum communications leap out of the lab: China begins work on super-secure
network as ‘real-world’ trial successfully sends quantum keys and data”, Nature, 508, 7497 (2014).
8. Eleni Diamanti, Hoi-Kwong Lo, Bing Qi & Zhiliang Yuan, “Practical challenges in quantum key distribution”, npc Quantum Information, volume 2, 16025 (2016). Poiché la rete mobile QKD (mobile QKD network) è particolarmente adatta allo scambio di chiavi-private su (i.) lunghe distanze e ad (ii.) alta-velocità, potrebbe anche esserne appropriato l’uso per la criptografia multipla, ovvero il processo di criptare una o più volte ancora un messaggio già criptato, utilizzando lo stesso oppure un diverso algoritmo (physical layer cryptography).
9. Sistemi di tracciamento rapido (beam tracking), la cui tecnologia è disponibile, sono necessari in questo caso.
4.7. Convenienza e praticità della distribuzione a chiave quantistica (QKD).
Sembra alquanto improbabile che si riesca a contenere o ridurre il costo degli attuali
sistemi criptografici QKD, per quanto la tecnologia impiegata sia già piuttosto ben
consolidata. Diversi governi già attivi nello sviluppo di una tale criptografia (government
security centers) pubblicano reviews ove si raccomanda di perseguire ricerca e sviluppo nel
campo della criptografia quantistica mirate a garantire applicazioni che da un lato riducano
i costi e dall’altro ne aumentino la praticità d’implementazione [1].
Nel lungo termine ogni utente di un network QKD potrebbe ad es. usare un "semplice
trasmettitore" e rilegare tutti i complicati dispositivi necessari per il controllo e misura ad un
operatore di rete…possibilmente anche untrusted [2] (untrusted network operator). Poiché
per una tale configurazione risulterebbe necessario un set unico di dispositivi per la misura,
il costo per utente a fronte di un numero elevato di utenti, potrebbe essere mantenuto
relativamente basso. D'altra parte, il fornitore della rete (network provider) sarebbe in una
posizione più vantaggiosa per poter investire in tecnologie all'avanguardia onde migliorare
sia (i) le prestazioni che (ii.) le attivitàà di gestione del network.
Sforzi in questa direzione sono particolarmente evidenti nel settore dalle fotonica [3],
ben nota per essere un ottimo compromesso tra costi ed possibilità d'integrazione su chips.
Chiaramente, ciò richiamerebbe un alto livello di miniaturizzazione con il conseguente
risultato di moduli QKD compatti e leggeri da poter essere prodotti in serie (basso costo).
Le principali piattaforme di integrazione attualmente in fase di studio sono il silicio (Si) [4] e
il fosfuro di indio (InP) [5]. “Chips trasmettitori” per protocolli criptografici QKD, riconfigurabili
in modo da potersi adattare alla preparazione di stati quantistici di fotoni per diversi protocolli
(decoy-state BB84, COW e DPS, etc.) sono stati recentemente sviluppati con successo
62
utilizzando InP [6]. Anche lo sviluppo di “chips ricevitori" per la rivelazione di singoli fotoni
nei protocolli QKD sta progredendo in modo rilevante. Si sono integrati con successo ad es.
rivelatori a singolo-fotone in circuiti planari (PLC) a basse perdite impiegando lo state of the
art della tecnologia silica-on-silicon [7].
Anche se lo sviluppo di piattaforme QKD su chip è ancora in una fase iniziale, esse
rimangono la strada maestra onde poter accedere a sistemi completamente integrati ed a
basso costo. Tali sforzi contribuiranno a rendere più pratica la criptografia QKD.
Bibliografia 4.7
1. Una “review” del governo britannico (2106) sulle tecnologie quantistiche, ad es. raccomanda che i gruppi di ricerca sulle comunicazioni e criptografia quantistica dovrebbero lavorare uniti portando a sviluppi tecnici congiunti della criptografia quantistica QKD così come ad altri usi
Tab 1. crittografia a chiave pubblica vs crittografia QKD
QKD Public Key
CON Richiede “ad hoc” hardware, linee
di comunicazione, etc.
Standard hardware, linee, etc sono
sufficienti PRO
PRO La sicurezza si basa su principi che non richiedono cambiamenti in futuro
Richiede l'uso di chiavi sempre piu’ complesse all'aumentare della potenza dei computers
CON
PRO
La sicurezza del protocollo è garantita indipendentemente dalle risorse di Eva (potenza computazionale, memoria di archiviazione, ecc.)
La sicurezza del protocollo dipende dalle risorse di Eva (potenza di calcolo, memoria di archiviazione, ecc.)
CON
PRO Sicuro sulla base di leggi di fisica ben consolidate
Basato su algoritmi che non possono essere facilmente risolti, cui tuttavia è possibile trovare una soluzione
CON
CON Per ora costoso... ma migliorerà Sostanzialmente a disposizione di chiunque
PRO
PRO Sarà sicuro anche quando verrà costruito un computer quantistico
Un computer quantistico, sarà in grado di decifrare qualsiasi codice in pochissimo tempo
CON
CON Tecnologia ancora in forte sviluppo…
Tecniche comprovate da tempo… PRO
? Il rate con cui si generano le chiavi-private continua ad aumentare….
Richiede una notevole quantità di potenza di calcolo, funziona bene dati con “standard” chiavi-private, ma poco pratico con dati “più grandi”…
CON
CON Ad oggi funziona solo in networks specifici..
Funziona con networks comuni PRO
PRO Può essere utilizzato con One-Time-Pad (OTP), l'unico algoritmo crittografico sicuro…
Non può essere utilizzato con One-Time-Pad… CON
63
della tecnologia quantistica. La suddetta review è pubblicata in: Government Office for Science. The Quantum Age: technological opportunities (The Blackett Review of quantum technologies) 2016.
2. “Untrusted networks” hanno l’importante vantaggio che il gestore del network può non essere “affidabile” senza con questo compromettere la sicurezza dell’intero network. Untrusted networks vengono usati ad es. nei network con topologia a “stella” in cui vi sia al massimo un nodo intermedio tra due utenti qualsiasi. Un tale approccio è già stato dimostrato. Si ved ad es. il protocollo MDI-QKD al par. Metropolitan e Backbone.
3. R. J. Hughes et al. “Alternative techniques include lithium niobate (LiNbO3) integration and glass waveguide technologies” arXiv:1305.0305 [quant-ph] (2013).
4. A. E.-J. Lim, J. Song, Q. Fang, C. Li, X. Tu, N. Duan, K. K. Chen, R. P.-C. Tern, and T.-Y. Liow, IEEE J. Sel. Topics Quantum Electron. 20, 405 (2014).
5. M. Smit et al., “An introduction to InP-based generic integration technology”, Semicond. Sci. Technol. 29, 083001 (2014).
6. P. Sibson et al., “Chip-based Quantum Key Distribution”, Nature Communications, Vol. 8, 13984 (2017).
7. Y. Nambu, K. Yoshino, and A. Tomita, “Quantum encoder and decoder for practical quantum key distribution using a planar lightwave circuit”, J. Mod. Opt. 55, 1953 (2008).
4.8. Verifica, validazione e conformità d’implementazione.
La sicurezza di un sistema criptografico può avere delle falle quando la sua
implementazione si discosta significativamente dai modelli ideali utilizzati per l'analisi della
sicurezza. Anche per la criptografia QKD [1,2], per quanto essa sia incondizionatamente
sicura da un punto di vista “teorico” (information-theoretic security), la sicurezza dal punto
di vista “pratico" (information-practical security) dipende da una sua corretta
implementazione. Quest’ultima è fortemente soggetta ad es. all’hardware che viene
impiegato, il che chiaramente offre a qualunque avversario tutta una serie di possibili canali
d’attacco (eavesdropper), alcuni dei quali già ben noti da quasi un decennio. Come visto in
precedenza, questo hardware "non ideale" include emettitori on-demand a singolo-fotone,
links fotonici tra mittente e destinatario, rilevatori di singoli fotoni, allineamento (ottico) della
base mittente-destinatario, etc ... Tali "non idealità" [3] portano a problemi di sicurezza
dell’informazione chiamati col nome generico di "hacking quantico” (quantum hacking).
Pertanto, se l'analisi della sicurezza nell'implementazione di un sistema criptografico
(implementation security) è importante, questo vale ancor di più per la criptografia QKD ove
la sicurezza dipende in gran parte dall’apparecchiatura locale degli utenti
(mittente/destinatario). Compito fondamentale dell’implementation security nella criptografia
quantistica QKD è quello di stimare la quantità di informazione che trapela ad un potenziale
avversario attraverso tale apparecchiatura. Quando le perdite rimangono al di sotto di una
determinata soglia, è possibile fare un assessment della sicurezza [4,5]. I problemi relativi
alla sicurezza dell’implementazione devono essere ben studiati e valutati attraverso
consolidati principi di progettazione e di disegno, progetti verificabili ed infine attraverso
64
configurazioni garantite a fornire un sistema criptografico affidabile ed operativo per
“qualunque utente”.
A tal fine è comunque altrettanto importante sottolineare che l'analisi della sicurezza
resta tuttavia una minaccia comune a "qualsiasi" sistema criptografico, indipendentemente
dal fatto che si basi sulla "meccanica quantistica" o sulla "complessità computazionale" [6-
8]. Come per tutti i dispositivi criptografici ad alta sicurezza, anche i sistemi criptografici QKD
dovrebbero quindi essere sottoposti a valutazioni formali della sicurezza con processi di
certificazione che permettano di poter fare un assessment delle vulnerabilità attraverso
l'analisi dei canali di perdita dati e manipolazione dati. Al momento non sembra esserci una
sufficiente discussione al riguardo all'interno della comunitàà criptografia QKD…mentre
appare ancora lento il progresso verso processi indipendenti di certificazione.
L’adeguata caratterizzazione di un sistema criptografico realistico è cruciale per
garantire un livello di sicurezza quanto più prossimo al valore atteso del protocollo teorico.
Un'attenta analisi del livello di sicurezza (security statement) di un sistema di criptografia
QKD risulta essere specificatamente rilevante in quanto esso non cambia con l’avanzare
dei progressi tecnologici e, alla pari di altre tecnologie quantistiche, la criptografia
quantistica QKD è "a duplice uso", nel senso che ha applicazioni sia militari che civili. Questo
richiama pertanto ad un buon coordinamento tra queste due controparti con la possibilità di
poter dotare ogni protocollo QKD di una "validazione" indipendente [9].
Una tale convalida (validation) dovrebbe inoltre inglobare i principi di "innovazione
responsabile" [10]. Per alcuni governi, le tecnologie quantistiche occupano un posto
speciale in tema d'innovazione responsabile, poiché esse sono nuove ed ancora emergenti.
Bibliografia 4.8
1. V. Scarani, H. Bechmann-Pasquinucci, N. J. Cerf, M. Dušek, N. Lütkenhaus and M. Peev, “The security of practical quantum key distribution”, Rev. Mod. Phys. 81, 1301 (2009).
2. V. Scarani and C. Kurtsiefer, “The black paper of quantum cryptography: real implementation problems”, Theor. Comput. Sci. 560, 27 (2014).
3. “Quantum key distribution”, White paper on quantum key distribution (QKD). National Cyber Security Centre Quantum key distribution, 2016.
4. “Public attitudes to quantum technology”, Sciencewise (2014). 5. Una sequenza di bit parzialmente segreta può essere ad es. compressa in una chiave sicura.
In questo caso il grado di compressione dipende dalla perdita stimata d’informazioni (amplificazione della privacy).
6. I “timing attacks” ad es. possono essere un pericolo per sistemi sia quantici che non quantistici. 7. Si veda ad es. P. Kocher, “Timing attacks on implementations of Diffie-Hellman, RSA, DSS and
other systems”. CRYPTO’96, LNCS, vol. 1109, pp. 104–113 (1996) for the non-quantum case 8. Si veda ad es. Qi, B., et al., “Time-Shift Attack in Practical Quantum Crypto-systems”, Quantum
Information Computation, 7, (2007) 73-82 for the quantum case. 9. Vale la pena notare che il ”Quantum Communications Hub (York)“ attualmente ha una
Partnership Resource che lavora esattamente su tale validazione ad es. per i “Quantum
65
Random Number Generators”. Tale partnership coinvolge il National Physical Laboratory (NPL), un organismo di validazione indipendente, e la British Telecom (BT) con supervisione da parte del National Cyber Security Centre (NCSC).
10. ”Innovazione responsabile” (Responsible Innovation) consiste in un insieme di pratiche che sono state sviluppate per aiutare tutte le parti interessate a considerare questioni sociali ed etiche di una nuova tecnologia, onde garantire che esse vengano sviluppate nell'interesse pubblico, siano eticamente accettabili, economicamente, socialmente e ambientalmente sostenibili.
4.9 Un possibile scenario di QKD mobile e….ulteriori questioni.
La discussione dei paragrafi precedenti (§ 4.1-4.8) sembra indicare che la criptografia
QKD possa offrire un vantaggio a breve termine e piuttosto realistico sulla sicurezza nelle
comunicazioni militari di natura sensibile. Al fine di poter illustrarne i meriti descriviamo di
seguito un semplice esempio di best-practice d’impiego della criptografia QKD in campo
militare. Lo scenario descritto è chiaramente ipotetico ed inteso per un audience piuttosto
generica [1].
Scenario:
“Immaginiamo una crisi che colpisca gli Stati Uniti nel prossimo futuro. Il presidente
entra nel suo centro di comando, ricevendo informazioni da tutto il mondo trasmesse da
satelliti. Prese le decisioni, il presidente e collaboratori passano al Pentagono le istruzioni
segrete ove vengono criptate da dispositivi QKD con chiavi private (secret-keys) ottenute
con dispositivi di rete a criptografia veloce (large-bit network encryptors). Questi dispositivi
cambiano le loro “secret keys” più volte al secondo, rendendo praticamente impossibile per
i cyber-avversari decodificarne i messaggi.
Le istruzioni segrete, una volta giunte al Pentagono, sono coordinate attraverso piani
di emergenza che generano ordini per i contingenti militari sparsi sui diversi fronti di
battaglia. Una volta che tali ordini e piani saranno pronti, le informazioni verranno criptate,
usando di nuovo circuiti protetti con criptografia QKD, ed inviate. I collegamenti terra-satellite
saranno difficili da intercettare in quanto i dati (sensibili) vengono criptati utilizzando gli stessi
network encryptors così come i messaggi inviati dai satelliti verso terra. Sul campo, gli
avversari potranno ascoltare le comunicazioni “spazio-terra”, ma con la chiave criptografica
(secret-key) così lunga e che cambia così rapidamente, è impossibile de-cifrarne il
contenuto.
La natura incondizionatamente sicura delle chiavi generate con criptografia-QKD
rende quest’ultima attraente per gli elevati requisiti di sicurezza che spesso s’incontrano nel
settore militare”.
66
Principio di funzionamento alle grandi distanze:
La natura “free-space” dei moderni networks QKD rende la criptografia-QKD
particolarmente attraente per le grandi distanze d’operazione che spesso separano non solo
i vari contingenti operativi tra loro ma anche dal centro decisionale. Mirando di nuovo ad un
pubblico generico, illustriamo di seguito l’essenziale di un archetipo di criptografia di dati
sicuri su grandi distanze.
Le stazioni di terra A e B, con requisiti di sicurezza molto elevati, rappresentano due
nodi “distanti” del network (Fig. 2). Un satellite passa sopra A e B una volta al giorno e
consente loro di condividere un segreto comune che verrà quindi utilizzato in uno schema
(simmetrico) di criptografia per garantire la trasmissione dei dati tra loro nonostante la
grande separazione geografica.
I due siti remoti [2] sono serviti, uno dopo l'altro, tramite un collegamento free-space
QKD ad es. da un aereo [3] o anche da un satellite che si muova su orbite relativamente
basse (LEO) [4] facilitato dal fatto che l'attenuazione è significativamente più bassa nello
spazio libero rispetto all'atmosfera terrestre. Una variante di questa configurazione potrebbe
coinvolgere anche più di un satellite LEO, purché interconnessi tramite collegamenti “free-
space" e in grado di scambiare in modo efficiente chiavi-private a velocità molto elevate.
Piattaforme mobili HAP (high altitude platforms) che funzionano come nodi QKD volanti
(flying QKD nodes) potrebbero rappresentare un’ulteriore variante [4].
A e B sono inoltre dotati di telescopi direzionali mobili in grado di puntare e localizzare
un bersaglio C che si muove nel cielo e trasporta un sistema QKD “affidabile e sicuro” (Flying
trusted node). “Prima”, C passa sopra la stazione di terra A e scambia una chiave “a” (mutual
symmetric) con A (Fig. 2a). Successivamente, C passa sopra la stazione B e fa altrettanto
ovvero scambia un’altra chiave "b" (mutual symmetric) con B (Fig. 2b). Quindi C usa “b” per
criptare (One-Time-Pad) la chiave segreta (“a”) precedentemente scambiata con A e passa
il criptogramma (a xor b) a B attraverso un canale di comunicazione classico convenzionale.
A questo punto B può recuperare la chiave segreta "a" che A già possiede (Fig.2c).
Le stazioni di terra A e B ora condividono una chiave segreta comune (“a”) che possono
utilizzare per criptare qualsiasi comunicazione (Fig.2d).
Vantaggi.
L'operazione consente la distribuzione di una chiave privata (secret key) con (i.)
massima sicurezza, (ii.) tra siti remoti (A e B) posti a distanze “arbitrarie" e (iii.) senza la
necessità di svariati nodi intermedi. In linea di principio, le stazioni possono infatti trovarsi in
67
“qualsiasi” punto sulla superficie terrestre, possono anche essere "stazionarie" o "in
movimento" sulla superficie, purché coperte dal target C.
Nella fattispecie A e B, con requisiti di sicurezza molto elevati, possono essere
“qualsiasi” due contingenti militari, un contingente ed un centro di comando etc. o possono
essere due unità appartenenti ad un settore governativo, militare, etc.
ll target (C) potrebbe anche non appartenere a settori istituzionali ma potrebbe essere
ad es. un fornitore di infrastrutture critiche, un fornitore di servizi (service provider, operatore
etc…).
Qualità del servizio.
L'indice di rifrazione dell'aria nell'atmosfera varia poiché esistono strati di diversa
temperatura e di diversa umiditàà oppure varia a causa di condizioni meteorologiche
avverse, a causa dell’inquinamento, etc… La criptografia free-space QKD è suscettibile alle
condizioni atmosferiche. La forte luce dell’ambiente ostacola inoltre la misura di segnali
estremamente deboli (singoli-fotoni). Questi fenomeni possono ridurre significativamente
l’efficienza ed il rate di generazione delle chiavi-private. Anche il "movimento rapido" del
target (C) potrebbe influire sulla efficacia di generazione.
In un free-space QKD network la difficoltà d’accesso al target C sarebbe un’ulteriore
svantaggio ad es. in caso di guasti che richiedano riparazioni mentre la disponibilitàà di
canali aggiuntivi all’interno di un network QKD a lunga distanza (long-haul), ovviamente
“indispensabili” nel caso di operazioni militari, dovrebbe essere garantita nel caso di un
eventuale “fall-back”.
Bibliografia 4.9
1. J. D. Morris et al., “A military QKD usage scenario”, in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Morgan Kaufmann Publishing, Waltham, MA (2013). 4.9.2 Bibliografia.
2. Si fa riferimento qui a due “utenti remoti” a differenza del caso in cui le parti comunicanti sono direttamente connesse tramite collegamenti QKD o tramite un'infrastruttura di rete intermedia per la distribuzione delle chiavi.
68
Fig. 2a: A e C scambiano una chiave segreta “a” (secret key)
Fig. 2b: B e C scambiano una chiave segreta “b”
Fig. 2c: C scambia (One-Time-Pad-encryption) la chiave “A” con B attraverso un canale classico (“A” xor “B”).
Fig. 2d: A e B condividono la chiave segreta “A”.
69
3. Si possono invece usare aerei o eventualmente piattaforme ad alta quota HAP (high altitude platforms) come ad es. velivoli con raggio di crociera limitato che operano ad altezze di circa 10-20 km. Gli HAP possono “servire” una tipica area metropolitana fornendo chiavi-private dall'alto, così coprendo un'area potenzialmente più ampia di quella che si potrebbe ottenere sulla superficie dell’area (direct line of sight).
4. I satelliti LEO (Low Earth Orbit) sono utilizzati per reti pubbliche e per scopi scientifici. La comunicazione via satellite inizia solo quando il satellite si trova nella loro “regione di visibilità “delle stazioni terrestri e ad un’altitudine di circa 300-1000 chilometri. La durata della visibilità e della comunicazione non è mai stessa ma varia per ciascun passaggio del satellite sulla stazione. L’area di copertura del satellite è definita come una regione della Terra in cui il satellite è visto con un angolo di elevazione “minimo” predefinito. Satelliti geostazionari, d’altra parte, non sono una soluzione in quanto orbitano ad un’altitudine compresa tra 36 000 km (orbita circolare) e 42000 km (orbita inclinata) il che richiederebbe telescopi ottici con aperture impraticabili di circa 10 metri.
70
5. UNA PANORAMICA GLOBALE
Le sviluppo delle tecnologie quantistiche è ancora abbastanza “in salita” e restano
quindi aperte ad una serie di futuri possibili, alcuni più alettanti di altri. È quindi questo il
momento più opportuno per soffermarsi sul potenziale impatto di tali tecnologie nel settore
militare e nella sicurezza nazionale, sebbene previsioni troppo precise non siano al
momento possibili. Quando si considera il futuro impatto di una nuova tecnologia, esiste
inoltre sempre un dilemma [1] vale a dire è difficile prevederne l’impatto, in quanto non
ancora ampiamente sviluppata ed utilizzata, mentre al contrario cambiamenti diventano
difficili una volta che la tecnologia si sia radicata.
Inutile dire che l'integrazione delle tecnologie quantistiche rappresenta attualmente
per le forze armate uno dei progressi più attesi. La generazione di una chiave casuale OTP
(One Time Pad) mediante Quantum Key Distribution (QKD) rappresenta un sistema
criptografico inattaccabile; esso offre la massima protezione disponibile con comprovata
sicurezza anche contro il computer quantistico [2]. Questa nuova forma di criptografia
quantistica si adatta tuttavia a fatica all'interno delle comuni infrastrutture delle reti di
comunicazione.
A tal fine sono stati creati con successo networks di nuova generazione ove si possa
sfruttare la moderna criptografia QKD tramite fibre ottiche a bassissime perdite o terminali
(mobili) dei nuovi networks free-space. Come illustrato nei capitoli precedenti, gli ultimi
decenni hanno visto risultati straordinari che porteranno certamente nuove soluzioni anche
per i futuri sistemi di comunicazione militare. Vista la velocità con cui avvengono tali
progressi, ci sono pochi dubbi, sostengono gli esperti della sicurezza, che la criptografia
quantistica QKD avrà un effetto dirompente allorché verrà impiegata a regime. Le principali
potenze militari del mondo si stanno preparando a questi importanti cambiamenti, spesso
con ingenti investimenti, onde ottenerne un vantaggio sia economico che militare e di cui
faremo nel seguito una breve panoramica.
Gli Stati Uniti e la Cina si posizionano come principali potenze nelle tecnologie
quantistiche. Sebbene esse continuino ad accumulare capacità militari offensive sempre più
sofisticate, i recenti progressi della Cina potrebbero comunque avere un impatto sul futuro
equilibrio strategico delle due super-potenze, forse anche superando i tradizionali vantaggi
71
militare-tecnologici degli Stati Uniti, che mantengono pur tuttavia un primato militare
complessivo.
Negli ultimi anni, infatti, i ricercatori cinesi hanno conseguito una serie di progressi
consistenti nel campo della criptografia quantistica. Molte di queste scoperte sono il frutto
di una complessa agenda di ricerca e sviluppo [3] (si veda Tab. 1) che ha visto una
straordinaria dedizione ai migliori talenti oltre che ad ingenti finanziamenti. La lunga ascesa
della Cina è stata coronata dal lancio (2016) del primo satellite quantistico "Micius" (Mozi,
墨子). La Cina ha inoltre realizzato il primo collegamento di comunicazione quantistica
“terrestre” a lunga distanza tra Pechino e Shanghai (2017). Il completamento del laboratorio
nazionale per le scienze dell'informazione quantistica a Hefei, nella provincia di Anhui e con
un costo complessivo di 10 miliardi di dollari, testimonia l'impegno della nazione per le
tecnologie quantistiche. Gli importanti successi cinesi nella scienza dell'informazione
quantistica [4], hanno motivato il lancio di ulteriori "mega-progetti" nazionali nelle
comunicazioni quantistiche con l'obiettivo di raggiungere importanti traguardi entro il 2030.
Tali sforzi chiaramente sottolineano l’altissima priorità che Pechino pone nell'innovazione di
tecnologie atte a rafforzare le capacità militari della Cina. Rappresentano peraltro iniziative
di riferimento a garanzia della sicurezza nazionale ed, in particolare, della privacy del
governo contro l’ingerenza straniera.
72
Già nel 2015 McKinsey & Company collocava la Cina tra i principali investitori in
tecnologie quantistica “non-classified”, seconda solo agli Stati Uniti, ma davanti a Canada,
Australia, Giappone e Russia [4]. Sempre nel 2015, la Cina è stata prima al mondo per
applicazioni di brevetti per la criptografia quantistica (367 applicazioni) pur essendo secondi
solo agli Stati Uniti per brevetti di sensori quantistici e tuttavia quinta per quanto riguarda i
brevetti che riguardavano il computer quantistico [4]. I finanziamenti in Cina sembrano
essere sostanzialmente in aumento dal 2015 e questo sforzo non è limitato al governo.
Tab. 1. Scienza & Tecnologia Quantistica in China (Plans and Policies).
73
Anche il settore privato cinese sta infatti investendo in tecnologie quantistiche, tra cui ad es.
Alibaba Quantum Computing Lab, che nasce (2015) da una collaborazione congiunta tra il
cloud computing di Alibaba Group (Aliyun) e l'Accademia Cinese delle Scienze (CAS) per
esplorare e sviluppare applicazioni commerciali di calcolo quantistico [5].
I leader politici cinesi d’altronde sono ben consci del potenziale strategico che le
scienze e le tecnologia quantistiche rivestono per il potere militare ed economico della
nazione. Il Presidente Xi Jinping ha recentemente sottolineato l'importanza strategica di tali
tecnologie per la sicurezza nazionale e, in particolare, per la sicurezza informatica [6].
Questa attenzione di alto livello ha dimostrato il chiaro riconoscimento da parte di Pechino
delle potenziali implicazioni strategiche delle tecnologie quantistiche per il futuro campo di
battaglia in rete (networked battlefield) [6]. Gli strateghi cinesi sembrano fiduciosi che le
comunicazioni quantistiche possano essere dispiegate anche per "guerre locali" come ad
es. nei mari vicini, sebbene in questa fase sia chiaramente prematuro predire la traiettoria
completa delle capacità quantistiche della Cina [7].
Al contrario, gli Stati Uniti e l'Esercito americano non sembrano aver ancora fatto
altrettanti significativi investimenti nello sviluppo dei sistemi di comunicazione quantistica,
con il presupposto apparente che questa tecnologia non possa migliorare significativamente
la sicurezza della comunicazione [8]. Secondo una percezione diffusa, la sicurezza
incondizionata promessa dalla criptografia quantistica potrebbe non essere realizzabile in
pratica [8]. Rimpiazzare i sistemi criptografici convenzionali con la criptografia QKD non
eliminerebbe, secondo tale percezione, altre debolezze e vulnerabilità nella sicurezza.
Date le notevoli difficoltà logistiche e tecnologiche, la criptografia QKD, secondo la
valutazione iniziale di un Scientific Advisory Board dell'Aeronautica statunitense (U.S. Air
Force), non sembra conferire un vantaggio di sicurezza sufficiente a giustificare la
complessità aggiuntiva necessaria per il suo utilizzo, relativamente al migliori alternative
classiche disponibili [8,9].
A sostegno di tale percezione, i più diffidenti segnalano anche una serie di sfide
pratiche d’implementazione che la criptografia QKD ha affrontato [10] così come alcune
dimostrazioni di pirateria (hacking) per falsificare o interferire con sistemi di criptografia
quantistica commerciale, come ad es. attraverso attacchi del tipo side-channel, attacchi
d’intercettazione che rimangono al di sotto della soglia di errore prevista, attacchi con
74
repliche nascoste di dati etc. [11]. La percezione che la promessa di "perfetta" sicurezza
non possa essere realizzata appieno ha fatto sì che sostanziali finanziamenti per ricerche
di tecnologia quantistica da parte dall’Army Research Office ad es. siano iniziati solo da
poco!
Recente è pure l’intenzione del DoD (Department of Defense) d’intraprendere ad es.
un analisi dell'utilità delle attuali forme di criptografia quantistica e comunicazioni per
proteggere i sistemi di informazione militari con l’auspicio che man mano che i risultati
diventano più maturi, sia presa nella dovuta considerazione la sperimentazione di queste
tecnologie [3]. È sempre abbastanza recente l’espressa volontà che gli Stati Uniti hanno di
valutare costi e tempi associati ad una transizione a livello militare-governativo dalle forme
di criptografia attuali ad un nuovo regime, anche se ciò potrebbe richiedere notevoli
modifiche alle varie infrastrutture di comunicazione. Identica volontà è stata espressa per la
navigazione quantistica (quantum navigation) ovvero radar quantistici (quantum radar),
imaging quantistici (quantum imaging), rilevamento quantico (quantum sensing) etc. [3]
È altresì vero che la navigazione basata su criptografia e computazione quantistica
(quantum navigation) potrebbe consentire alla Cina una maggiore indipendenza dai sistemi
spaziali mentre l’avvento di radar quantistici, imaging quantistico e rilevamento quantico etc.
potrebbe migliorare la procedura di targeting. Numerosi analisti esterni hanno avvertito che
i progressi della Cina nell’ambito della tecnologia quantistica per uso militare potrebbe forse
esporre le comunicazioni militari statunitensi a nuove vulnerabilità in tempo di pace
anticipando, a loro volta, che durante un conflitto o una crisi queste vulnerabilità potrebbero
rendere l'equilibrio di informazioni asimmetrico in favore di Pechino [12-13]. Allo stesso
modo, se la Cina dovesse diventare un leader indiscusso nel campo del computer
quantistico, il possesso di tali immense capacità di calcolo potrebbe portare un vantaggio
strategico. È stato anche drasticamente affermato [14] che se la Cina diventasse la prima
potenza quantistica del mondo metterebbe a rischio i sistemi di informazione sensibili,
sfidando al contempo il dominio tecnologico degli Stati Uniti in tutte le forme di guerra in rete
(info-centric networked warfare) ed, in particolare, le reti satellitari militari [13-14].
Un funzionario della Casa Bianca ha recentemente ammonito che le “ways of war"
incentrate sull'informazione in America sono sempre più sotto assedio dai progressi della
75
tecnologia quantistica della Cina, minacciando di compensare il vantaggio militare e
tecnologico degli Stati Uniti [13-14].
È tuttavia importante sottolineare che gli Stati Uniti hanno comunque una lunga storia
di ricerca ed innovazione nell'area delle informazione quantistica, in particolare della
criptografia quantistica. I ricercatori del Los Alamos National Laboratory, infatti, furono i primi
ad inviare una chiave quantistica lungo una fibra ottica di 31 miglia, nel lontano 1999!
Gli stessi ricercatori svilupparono anche un sistema di criptografia quantistica free-space in
grado di inviare chiavi a distanze fino a 10 miglia [15]. Apparentemente anche gli Stati Uniti
hanno fatto progressi sostanziali nella scienza dell'informazione quantistica ed un recente
rapporto della “Science, Homeland and National Security” sottolinea che il progresso della
scienza dell'informazione quantistica rimane una priorità per investimenti federali [16].
Alcune agenzie federali statunitensi hanno effettivamente sviluppato programmi di ricerca
nelle tecnologie quantistiche per oltre due decenni con finanziamenti annuali di circa 200
milioni di dollari per la ricerca di base e applicata [16]. Il Dipartimento della Difesa degli Stati
Uniti attraverso la Defense Advanced Research Projects Agency (DARPA) e il National
Institute of Standards and Technology (NIST) hanno finanziato la ricerca di base (2018) per
la scienza dell'informazione quantistica mentre il Department of Energy (DOE) e la National
Science Foundation (NSF) hanno finanziato ulteriori $ 250 milioni per ricerche sul
rilevamento quantistico, l'informatica e le comunicazioni sotto forma di grants quinquennali
oltre ad integrare risorse esistenti all'interno del governo, del mondo accademico e
dell'industria nell'ambito della National Strategic Computing Initiative [17].
Inoltre, alcuni colossi nel settore privato, come ad es. IBM, hanno più di trent'anni di
esperienza in ricerca nelle tecnologie quantistiche, mentre giganti come Google, Microsoft
e Intel stanno attualmente investendo abbondantemente in scienze quantistiche
dell'informazione e tecnologie correlate. In Occidente, compagnie private come ad es. D-
Wave Systems (Canada) stanno guidando lo sviluppo di computer quantistici che
potrebbero far funzionare le piattaforme militari del futuro. Non c'è dubbio che gli Stati Uniti
godano di un fertile ecosistema innovativo [18] che manca invece alla Cina e che a lungo
termine il successo della Cina dipenderà dalla sua capacità di sviluppare un ecosistema più
forte e con il coinvolgimento del mondo accademico ed industriale, oltre al saldo sostegno
del governo.
76
Gli Stati Uniti e la Cina non sono chiaramente gli unici attori in questo enorme sforzo.
Collettivamente, le nazioni europee hanno una riconosciuta eccellenza scientifica nelle
tecnologie quantistiche con una competenza tecnica di livello mondiale come si può
dimostrare ad es. dal numero di pubblicazioni di alto livello. Tale eccellenza è stata
promossa da programmi come ad es. l'iniziativa “Future and Emerging Technologies"
dell'Unione europea, a sostegno della ricerca sulle tecnologie quantistiche dal Quinto
Programma Quadro (1998). Negli ultimi due decenni, il finanziamento totale in questo
settore ha raggiunto quasi 550 milioni di euro [19]. Il programma "Quantum-Technologies
Flagship" (2018) della Commissione europea [20] è un'altra iniziativa di ricerca su larga
scala che comporta fondi di gran lunga superiori a 1 miliardo di euro su un arco di dieci anni.
L'iniziativa è concentrata su quattro principali aree della tecnologia quantistica:
comunicazione, calcolo, simulazione e rilevamento e chiaramente mira a rafforzare
l'eccellenza scientifica europea nella ricerca e nelle tecnologie quantistiche.
Il Regno Unito ha invece impegnato £ 270 milioni per un programma nazionale
quinquennale sulle tecnologie quantistiche (2013) [21] destinato a costruire quattro nuovi
hubs per sensori e metrologia, imaging quantistico, tecnologie di informazione quantistica
in rete e tecnologie di comunicazione quantistica [22]. Questo programma dovrebbe anche
capitalizzare sulla duplice esperienza del mondo accademico e dell'industria onde garantire
che i risultati dei laboratori di ricerca vengano trasformati in prodotti industriali.
Tale programma è stato anche oggetto di un’interessante indagine parlamentare nel Regno
Unito (fine 2018).
Il presidente francese Macron ha firmato un memorandum d'intesa (2018) con l'allora
primo ministro australiano Turnbull in una joint-venture per lo sviluppo e la
commercializzazione di un circuito integrato al silicio per tecnologie quantistiche e che
combina gli sforzi del Silicon Quantum Computing (Australia) e del Commissariat à l’Énergie
Atomique et aux Énergies Alternatives (CEA-France).
Infine, la Germania ha annunciato nuovi finanziamenti (2018) per la ricerca sulle
tecnologie quantistiche per un valore di 650 milioni di euro per il periodo 2018-2022.
Anche la Russia sta investendo in tecnologia quantistica ma non ha impegnato lo
stesso livello di risorse di altre nazioni e chiaramente in ritardo rispetto a Cina e Stati Uniti.
Ciò potrebbe essere parzialmente correlato al declino generale della capacità di ricerca
77
scientifica russa dagli anni '90, nonostante il presidente Putin abbia di recente aumentato la
spesa nazionale in ricerca e sviluppo (R&S) all’1% del prodotto interno lordo della Russia
($ 3 miliardi) nel 2018.
Bibliografia 5.
1. Questo è indicato come il "dilemma di Collingridge" in base al quale gli sforzi per influenzare o controllare l'ulteriore sviluppo della tecnologia vanno incontro ad un problema a doppio vincolo. Vedi ad es. Collingridge, D., “The social control of technology”. Pinter, London, (1980).
2. “Quantum Technology Is Beginning to Come into Its Own” The Economist, October 8 (2017). I. Friedson, “The Quantum Computer Revolution Is Closer than You May Think” National Review, May 2, (2017). Arute, F., Arya, K., Babbush, R. et al. Quantum supremacy using a programmable superconducting processor. Nature 574, 505–510 (2019) doi:10.1038/s41586-019-1666-5.
3. Elsa B. Kania & John K. Costello, “Quantum Hegemony? China’s Ambitions and the Challenge to U.S. Innovation Leadership”, September 2018.
4. Sei veda e.g J. Costello e E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science, China Brief 16, no. 18 (2016), 11–6. La scienza dell'informazione quantistica comprende non solo la criptografia quantistica ma anche la navigazione quantistica (quantum navigation) i cui progressi sono ben noti nel campo del radar quantistico, il rilevamento quantistico, l'imaging quantistico etc.. Gli sforzi cinesi nella direzione della quantum information ed artificial intelligence (AI) sono aumentati di importanza in seguito alle vicende di Edward Snowden presso la National Security Agency (NSA) e Central Intelligence Agency (CIA), vicende che hanno mostrato la disparità in termini di cyber-war tra le capacità offensive dell’esercito popolare di liberazione cinese (PLA) e gli Stati Uniti.
5. “Aliyun and Chinese Academy of Sciences Sign MoU for Quantum Computing Laboratory” Alibaba Group press release, July 30, (2015).
6. Nel 2013 e.g. President Xi ha visitato Anhui Quantum Communication Technology Co. Ltd. per una sessione di studio. Lì incontrò Pan Jianwei, il vice direttore del nuovo Northern Theatre Command del PLA [5-bis]. Vedi ad es. “Anhui Quantum Communication Innovation Achievement Debut: Central Politburo Team Learning Event” QuantumCTek, September, (2013). Successivamente (2015) durante il 5 ° Plenum del 18 ° Congresso del Partito Cinese (China’s 18th Party Congress’ 5th Plenum), Xi ha incluso la comunicazione quantistica come obiettivo strategico di ricerca prioritaria per "major breakthroughs" entro il 2030. Vedi ad es. J. Costello, and E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science” China Brief 16, no. 18 (2016), 11–6. [5-bis]. L'esercito popolare di liberazione cinese (PLA) è un'organizzazione unificata delle forze militari terrestri, marittime ed aeree della Cina. Il PLA risale al 1927 ed è una delle più grandi forze militari del mondo (britannica.com).
7. Nel 2017, il DoD degli Stati Uniti ha riferito che la Cina ha fatto "notevoli progressi nella ricerca sulla criptografia", il che avrebbe implicazioni significative per l'esercito cinese, in particolare per le comunicazioni sicure. Si veda Military and security developments involving the Peoplès Republic of China, Office of the Secretary of Defense, U.S. Department of Defense, 2017, 34.
8. Il valore della criptografia quantistica per uso militare è stato soggetti di alcuni dibattiti: la sostituzione della tecnologia di criptografia standard con varianti quantistiche non rimuove le vulnerabilità di base inerenti ai sistemi di comunicazione. Si veda ad es. Mehta, A. “Air force study shows potential limits of quantum technology”, Defense News, 9 August 2015.
9. USAF Scientific Advisory Board, “Utility of Quantum Systems for the Air Force” August 19, (2016).
10. Si veda ad es. E. Diamanti et al., “Practical challenges in quantum key distribution,” Quantum Information, November 8, (2016) [https://www.nature.com/articles/npjqi201625].
11. “Canadian researchers claim Chinese quantum network might not be hack proof after all” in South China Morning Post, June 12, (2017).Si veda anche “Commercial Quantum Cryptography System Hacked” MIT Technology Review, May 17 (2010).
78
12. Si veda e.g. J. Wang, “Quantum Technology: Informatization and the Changing face of Warfare” PLA Press, September 27, 2015.
13. M. Ravindranath, “America’s lead in quantum computing is ’under siege” Defense One, December 7 (2106).
14. J. Costello, and E. Kania, “Quantum Leap (Part 2): The Strategic Implications of Quantum Technologies” China Brief 16, no. 19 (2016).
15. “Quantum Cryptography,” Los Alamos National Laboratory, accessed January 24, (2018). 16. “Advancing Quantum Information Science: National Challenges and Opportunities”, joint report
of the Committee on Science and Committee on Homeland, National Security of the National Science and Technology Council, Washington, DC, July (2016).
17. “The National Strategic Computing Initiative” Networking and Information Technology Research and Development Program, accessed January 24 (2018).
18. Durante una recente sessione del Defense Innovation Board (DIB) parte del DoD, è stato lanciato un appello per una maggiore collaborazione tra i settori privato-governativo per lo studio di nuove tecnologie innovative all'avanguardia per applicazioni militari ed in particolare su artificial-intelligence (AI) e Machine Learning (ML). Si veda ad es. C. Pellerin, “Defense Innovation Board Makes Interim Recommendations” DoD News, Defense Media Activity, October 5, (2016).
19. “Commission Staff Working Document on Quantum Technologies” COM (2016) 178 (European Commission, Brussels), 4.
20. “European Commission Will Launch €1 Billion Quantum Technologies Flagship,” European Commission, May (2016).
21. “Overview of Programme,” UK National Quantum Technologies Programme, accessed January 24, (2018).
22. “UK National Quantum Technologies Programme”, January 24, (2018)
79
NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE
Ce.Mi.S.S.1
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) è l'Organismo che gestisce, nell'ambito e
per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.
Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria
opera valendosi si esperti civili e militari, italiani ed esteri, in piena libertà di espressione di
pensiero.
Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del
Ricercatore e non quella del Ministero della Difesa.
Maurizio ARTONI (*)
M. Artoni, Ph.D. The City University (New York, 1990), National Academy of Science Fellow
& Goddard Space Flight Center (NASA, Washington, 1991-93), Research Officer (1993-99)
The University of Essex (UK) e Consejo Superior de Investigationes Cientificas (Spagna),
Laboratorio Europeo di Spettroscopia non Lineare (LENS, 2000-02), Professore (2002,
Università di Brescia), Ricercatore associato (LENS ed Istituto nazionale di ottica (2005).
I suoi interessi fino ad oggi includono l'ottica quantistica, coerenza quantistica in strutture
atomiche e fotoniche a bassa dimensionalità, aree di ricerca svolte in collaborazione con
teams nazionali e internazionali (Scuola Normale Superiore (Pisa), Essex, St. Andrews,
Exeter e York University (UK), Universitat Autonoma de Barcelona (Spagna), Jilin University
e Center for Quantum Sciences (Cina) etc.). Ha coordinato progetti nazionali (PRIN-MIUR,
PAISS-INFM”, etc…) e progetti internazionali (“Action Integrada” Italia-Spagna, “CRUI-
British Council”, progetti Grande Rilevanza Italia-Cina del Ministero degli Affari Esteri
italiano e della National Science Foundation of China, etc…). Responsabile esterno nella
valutazione della ricerca per principali iniziative scientifiche e tecnologiche nazionali e
internazionali (Comissió d'Avaluació de la Recerca a AQU Catalunya (Spagna), John D. e
Catherine T. MacArthur Foundation (US), NASA-Goddard Space Flight Center (US),
l'Istituto Nazionale di Scienze dell'Educazione e della Ricerca (NISER) del Governo
dell’India, Ministero dell'Istruzione, dell'Università e della Ricerca (MIUR) etc.)
(*) Per maggiori dettagli si rimanda al sito ugov dell'unibsphotos.
1 http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pagine/default.aspx
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.), costituito nel 1987 e situato presso Palazzo
Salviati a Roma, è diretto da un Generale di Divisione (Direttore), o Ufficiale di grado
equivalente, ed è strutturato su due Dipartimenti (Monitoraggio Strategico - Ricerche) ed un
Ufficio Relazioni Esterne. Le attività sono regolate dal Decreto del Ministro della Difesa del
21 dicembre 2012.
Il Ce.Mi.S.S. svolge attività di studio e ricerca a carattere strategico-politico-militare, per le
esigenze del Ministero della Difesa, contribuendo allo sviluppo della cultura e della
conoscenza, a favore della collettività nazionale.
Le attività condotte dal Ce.Mi.S.S. sono dirette allo studio di fenomeni di natura politica,
economica, sociale, culturale, militare e dell'effetto dell'introduzione di nuove tecnologie,
ovvero dei fenomeni che determinano apprezzabili cambiamenti dello scenario di sicurezza.
Il livello di analisi è prioritariamente quello strategico.
Per lo svolgimento delle attività di studio e ricerca, il Ce.Mi.S.S. impegna:
a) di personale militare e civile del Ministero della Difesa, in possesso di idonea esperienza
e qualifica professionale, all'uopo assegnato al Centro, anche mediante distacchi
temporanei, sulla base di quanto disposto annualmente dal Capo di Stato Maggiore dalla
Difesa, d'intesa con il Segretario Generale della difesa/Direttore Nazionale degli
Armamenti per l'impiego del personale civile;
b) collaboratori non appartenenti all'amministrazione pubblica, (selezionati in conformità alle
vigenti disposizioni fra gli esperti di comprovata specializzazione).
Per lo sviluppo della cultura e della conoscenza di temi di interesse della Difesa, il
Ce.Mi.S.S. instaura collaborazioni con le Università, gli istituti o Centri di Ricerca, italiani o
esteri e rende pubblici gli studi di maggiore interesse.
Il Ministro della Difesa, sentiti il Capo di Stato Maggiore dalla Difesa, d'intesa con il
Segretario Generale della difesa/Direttore Nazionale degli Armamenti, per gli argomenti di
rispettivo interesse, emana le direttive in merito alle attività di ricerca strategica, stabilendo
le lenee guida per l'attività di analisi e di collaborazione con le istituzioni omologhe e
definendo i temi di studio da assegnare al Ce.Mi.S.S..
I ricercatori sono lasciati completamente liberi di esprimere il proprio pensiero sugli
argomenti trattati, il contenuto degli studi pubblicati riflette esclusivamente il pensiero dei
singoli autori, e non quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o
civili alle quali i Ricercatori stessi appartengono.
CENTRO ALTI STUDI
PER LA DIFESA
CENTRO MILITARE
DI STUDI STRATEGICI
Maurizio Artoni
Application, in the military field, of quantum
cryptography techniques associated with satellite
communications to guarantee safe strategic-
operational communications capable of effectively
adapting to a modern net-centric scenario
(Code AO-SMD-06)
)
The Military Center for Strategic Studies (Ce.MI.S.S.), founded in 1987 and located at
Palazzo Salviati in Rome, is headed by a Major General (Director) or an Officer of equivalent
rank. The Center is organized on two departments (Strategic Monitoring-Research) and an
External Relations Office. The activities are regulated by the Decree of the Minister of
Defense 21 December 2012.
The Ce.Mi.S.S. carries out study and research activities on strategic, political and military
matters for the needs of the Ministry of Defense. It contributes to the development of culture
and knowledge in favor of the Italian national community.
The activities conducted by Ce.Mi.S.S. are focused to the study of political, economic,
cultural, social and military phenomena and on the effect of the introduction of new
technologies, or phenomena that determine appreciable changes in the security scenario.
The level of analysis is strategic.
For the conduct of study and research activities, Ce.Mi.S.S. employs:
a) military and civilian personnel of the Ministry of Defense with suitable experience and
professional qualification. These personnel is employed by means of temporary postings,
on the basis of the provisions given by the Chief of Defense on an annual basis, after
consultation with the Secretary General of the Defense / National Director of Armaments;
b) collaborators not belonging to the public administration, (selected in compliance with
specific provisions established on the basis of the subject of the study among experts of
proven specialization).
For the development of culture and knowledge of matters of interest to the Defense,
Ce.Mi.S.S. establishes collaborations with universities, institutes and research centers,
Italian or foreign, and publishes the studies of greater interest.
The Minister of Defense, after consulting the Chief of Defense, in agreement with the
Secretary General of the Defense / National Director of Armaments, for the themes of
respective interest, issues the directives regarding strategic research activities, establishing
the general guidance for the analysis and collaboration activities with the homologous
institutions and defining the study subjects for the Ce.Mi.SS.
The researchers are free to express their thoughts on the topics. The content of the
published studies reflects exclusively the thinking of individual authors, not official position
of the Ministry of Defense or of any military and / or civil institutions to which the researchers
themselves belong.
(Code AO-SMD-06)
CENTRO ALTI STUDI
PER LA DIFESA
CENTRO MILITARE
DI STUDI STRATEGICI
Maurizio Artoni
Application, in the military field, of quantum
cryptography techniques associated with satellite
communications to guarantee safe strategic-
operational communications capable of effectively
adapting to a modern net-centric scenario
DISCLAIMER
The opinions expressed in this volume are of the Authors; they do not reflect the official
opinion of the Italian Ministry of Defence or of the Organizations to which the Authors belong.
NOTES
The researches are written using open source informations.
Editing by
Military Center for Strategic Studies
Director
Col. A.F. Marco Francesco D’Asta
Deputy Director – Chief Studies Department Col. c.(li.) s.SM Andrea Carrino
Graphic and layout
Massimo Bilotta - Roberto Bagnato
Author
Maurizio Artoni
Printing by Typography of the Center for Advanced Defence Studies
Military Center for Strategic Studies Studies Department
Palazzo Salviati Piazza della Rovere, 83 - 00165 – Roma – ITALY
tel. 06 4691 3205 - fax 06 6879779 e-mail [email protected]
closed: november 2019
ISBN 978-88-31203-29-6
Application, in the military field, of quantum cryptography
techniques associated with satellite communications to guarantee
safe strategic-operational communications capable of effectively
adapting to a modern net-centric scenario
5
INDEX
ABSTRACT 6
1. CYBER-SECURITY AND THE ELECTROMAGNETIC ENVIRONMENT. 9
2. CRYPTOGRAPHY. 18
3. QUANTUM KEY DISTRIBUTION’S CURRENT CHALLENGES: AN OVERVIEW. 33
4. DEFENSE AND POTENTIAL MILITARY APPLICATIONS OF QKD: AN OUTLOOK. 47
5. A POSSIBLE SCENARIO AND ISSUES. 55
6. A GLOBAL OVERVIEW. 64
NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE 72
6
ABSTRACT
Cryptography began at least 2000 years ago playing an important role ever since [1].
Much of our society relies on cryptography to provide security services, including
confidentiality and integrity, hence it is widely employed by financial organizations [2],
governments and military organizations. Secure military communications, in particular, are
unquestionably important as failures may indeed affect critical military operations
(command, control, etc.) with a concomitant unexpected outcome of a mission…or even of
a conflict.
Cryptography is also a centuries old battle between “code-maker” and “code-breaker”
[1]. Most ubiquitous code breaking include, e.g., the “Zimmermann note” [3] and the ‘Enigma
code” [4]. When the “Zimmermann” cryptogram was broken (1917), Americans learned that
Germany e.g. had tried to convince Mexico to join the war, an event that built on propelling
the U.S. into World War I. The other code (‘Enigma”) [4], a known cryptogram patented by
German engineers at the end of World War I, was broken instead by a secret team at
Bletchley Park (UK) and allowed the allies to read most of the secret messages shared by
the Germans and Japanese armies with a significant effect on the outcome of the war.
The Enigma code example e.g. highlights an inherent and crucial weakness of “any”
classical encryption technique, that is, there is “no way” of knowing that there is unwanted
eavesdropper. Quantum computers hold a further threat to classical encryption techniques,
such as e.g. the most secure forms of public-key cryptograph, which a quantum computer
could break in almost no time. Though quantum computing is not yet a set reality, the basic
principles have been proven in laboratories already and advances are progressing fairly
steadily.
It’s reassuring to know that important advances in quantum communications, namely
Quantum Key Distribution (QKD), just happen to provide us with a new technology to deal
with these two weaknesses. Quantum key distribution (QKD) is a secure communication
method which implements a cryptographic protocol enabling two parties to produce a shared
random secret key known only to them, which can then be used to encrypt and decrypt
messages. The keys are generated from a convergence of random operations conducted at
the sender and the receiver stations so that neither the sender nor the receiver can
determine what the key will be until the entire process has reached completion.
There is an additional and unique feature of QKD namely the protocol security can
be guaranteed regardless of the eavesdropper’s resources [1,2]. An eavesdropper can have
unlimited computational power, unlimited storage memory and any conceivable device yet
7
the transmission of the cryptographic keys through an open channel can be guaranteed to
be perfectly secure.
The military sector would benefit from such a novel form of cryptography and it is a
widespread belief that it will foster applications apt to improve the performance of secure
information services but also ease specific sharing of military situational awarenesses.
After starting with a brief aim at today’s (i.) specific military cybersecurity issues QKD
cryptography may address, the present study intends to analyze (ii.) basic principles of QKD
enabled cryptography along with (iii.) the illustration of a well established operational
scheme of QKD enabled cryptography. The report also encompasses (iv.) an outlook on the
current status of QKD implementations outlining benefits and drawbacks from the
perspective of military operations, as requested by the “Centro Militare di Studi Strategici”
(CEMISS). Major practical challenges (v.) for large-scale quantum key distribution networks
will also be outlined, including the latest breakthroughs on free-space quantum key
distribution networks. These networks are certainly well poised to leverage the power of
information technology within a network-centric framework for military operations (net-
centric warfare) [4].
Last, yet not the least, we felt it could be germane to make a mention of the bearings
of the major key players; several nations are heavily investing on quantum research to
enhance both economic and military dimensions of national power, with U.S. and China
being powerhouses in quantum technologies. This is swiftly done through a (vi.) global
overview ending section. China’s rapid development in quantum technologies could impact
their future strategic balance perhaps even overtaking the traditional military-technological
advantages of the U.S., which maintains however an overall military primacy.
All that being said from a technology point of view, we reckon to likewise important
to stress on “security analysis” issues. This is actually a common tread of “any” crypto-
system regardless of whether it is based on “quantum mechanics” or on “computational
complexity” [7-9]. QKD enabled cryptography, as a high-security crypto system, should
undergo formal security assessments and certification processes to address e.g. physical
attacks, side channel analysis data manipulation, etc. all aspects that ought to be
overviewed by international safety certifications. At the moment within the QKD community
there seem to be a little concern on the matter along with an arguably sluggish progress
towards independent certification processes.
The ambitious tasks of implementing QKD cryptography within the military sector in
support e.g. of decision-making, of assessing deterrence operations, of guiding information
warfare, just to mention a few, suggests that the challenge for the Army Intelligence is not
8
only in the concept but also the organisation infrastructure. The broad range of Intelligence
work that goes into these missions requires equally broad training programs through which
new skills will be thought. Coping with the management of quantum network systems can
be quite expensive and often complex. The complexity mainly arises from the network’s
quantum protocols and data management which will require training, coaching and
guidance, besides enhancing awareness and capability of employees, contractors, service
providers and others, as appropriate. On the opposite side end of the front lines of combat,
cyber soldiers, armed with keyboards, codes and electromagnetic tools to support traditional
military operations are likewise in large request. Again personnel with specialized training to
effectively configure, maintain and operate these ever more sophisticated tools are needed.
Clearly congruous training and technical advances are “both” crucial in pursuing the
effectiveness of a new information technology bound to be relevant for modern network-
centric framework for military operations.
9
1. CYBER-SECURITY AND THE ELECTROMAGNETIC ENVIRONMENT.
When talking about a modern conflict, most agree that such a conflict will be fought
in all possible dimensions namely on land, on and below the sea, in the air, and in space.
While nations continue to develop new weapons to operate in all of these dimensions, the
North Atlantic Treaty Organization (NATO) e.g. provides good supervision on threats one
might encounter when conducting military operation in each of these dimensions.
Cyberspace, in addition, has increasingly become a new important dimension, and one
which has become a bright focus area for NATO.
Today’s modern forces conduct operations that depend on communication, sensing
and guidance of weapon devices, whose function heavily depends upon the use of
electromagnetic waves (signals). Mastering of the electromagnetic picture and associated
platforms in networks devised and implemented by military organizations is steadily more
and more important. In order to enhance the ability of military forces to effectively command
and control electromagnetic operations, for instance, new tools and functional services are
being introduced. [1,2]
Fig.1 Electronic Warfare in today’s military environment.
10
Needless to say that the recognized need for military forces to access and utilize
the Electromagnetic Environment (EME) creates both (i.) vulnerabilities and (ii.)
opportunities for Electronic Warfare (EW). Electronic Warfare is a military action that exploits
electromagnetic energy, both actively and passively, to provide situational awareness and
create offensive and defensive effects (See Fig.1).
Warfare within the Electromagnetic Spectrum (EMS) (See Fig. 2) involves the military use
of electromagnetic energy to prevent or reduce an enemy’s effective use of the EMS while
protecting its use for friendly forces. Because today’s military forces are required to operate
within an increasingly complex electromagnetic environment, the latter has been recognized
as an effective military operating environment (OE). According to NATO [2] e.g. the
Operating Environment is a composite of the conditions, circumstances and influences that
affect the employment of capabilities and bear on the decisions of the commander. B y all
means NATO then recognizes the Electromagnetic Environment (EME) as an operating
environment.
Fig. 2 The Electromagnetic Spectrum (EMS)
11
Because military operations are executed in an (electromagnetic) information
environment increasingly complicated, the ability to successfully manage electromagnetic
operations is critical to every modern military mission in order to catch up and keep up with
(peer) adversary advantages. The lack or insufficient understanding and expertise in the
command and control electromagnetic operations can have significant (mission) impact. For
example, having an adversary monitor one’s communications or eliminate one’s ability to
communicate or navigate may turn out to be catastrophic. Likewise, having an adversary to
know the location of friendly forces based on their electronic transmissions is highly
undesirable and can put those forces at a substantial disadvantage.
Most ubiquitous cases have been reported over the course of history spanning from
very early instances of wireless telegraphy (radio) during the Russia-Japanese war (1904),
when the Russians successfully jammed Japanese naval signals communication being used
to correct naval gunfire at Port Arthur [3] up to World War II, when extensive radars attacks,
jamming and distortion of radio waves employed in communications and navigation systems
were common practice for both the Allied and Axis Powers [4]. Similar examples of electronic
warfare occurred during the Vietnam War [1955-1975] through the Gulf War [1990-1991].
Every conflict since, military forces have proven that dominance and control of the
electromagnetic environment (EME) is crucial for most military operations as for instance in
the recent Iraq or Afghanistan conflicts, when the coalition forces employed electronic
warfare primarily to defeat the threat of remote-controlled unexpected explosive devices. It
is also worth mentioning the recent online attacks conducted by the US Cyber Command
against an Iranian intelligence group that US officials believe helped to plan the attacks
against oil tankers [5]…as a direct response to both the tanker attacks and the downing of
an American drone.
The ability to manage electromagnetic operations, strictly speaking, is critical to
military missions as it provides safeguard and protection of the confidentiality and integrity
of sensitive informations required to reach successful completion of a planned mission.
Managing of electromagnetic operations is far more crucial to weapon systems that
represent any integrated system usually computerized and designed to control the specific
operations of a weapon. Although some weapon systems are straightforward
implementations of information technology (IT) architectures some others on the contrary
like missiles and ships are not. The latter sometimes are also referred to as “cyber-physical
systems” [6]. Among these intercontinental ballistic missiles, long-range bombers, and
12
antiballistic missiles are the weaponry of the “strategic” weapons system. Guided missiles
operating at shorter range such as e.g. anti-aircraft or battlefield weapons and air-to-air or
air-to-surface attack-type missiles, constitute instead a “tactical“ weapons system [7].
Attacks to either strategic or tactical weapons systems may occur through accessing,
changing, or destroying the operation information and can target any weapon subsystem
that depends on software. Such attacks potentially lead to the inability to complete the
military mission or even to weapon’s malfunctions. In this case the attacks are called “cyber-
attacks” and their consequences may be greater than those arising from attacks on other
types of weapon systems. Examples of functions enabled by software—and potentially
susceptible to manipulations—include powering a system on and off, targeting a missile,
maintaining a pilot’s oxygen levels, and flying aircraft, etc.. An attacker could potentially
manipulate data in these systems, prevent components or systems from operating, or cause
them to function in unexpected or unplanned ways. An attack on a cyber-physical systems
could have physical consequences that may even result in loss of life.
Clearly the practice of protecting systems, networks, and programs from digital
attacks is called “cyber-security”. Because weapon systems are unique in so many ways,
they often face different vulnerabilities and therefore cybersecurity issues can vary a lot
within the different types of weapon systems. These are in fact complex systems that have
a variety of shapes and sizes, with varying functionality [8]. Despite obvious differences in
form, function and complexity, weapon systems are however somewhat similar in some
important, if not obvious, ways. This enables one to classify [9] in a broad sense
cybersecurity issues in terms of (i.) a cyber vulnerability, i.e., a weakness in a system that
could be exploited to gain access or otherwise affect the system’s confidentiality and
integrity, in terms of (ii.) a cybersecurity threat, i.e., anything that can exploit a vulnerability
to harm a system (intentionally or by accident) and in terms of a (iii.) cybersecurity risk, i.e.
a consequence (fixable or fatal) of the threat or vulnerability (inherent or introduced).
13
Multiple factors [8] make weapon systems cybersecurity increasingly difficult including:
1. The increasingly “computerized” nature of weapons systems, which are ever more
dependent on software and IT architectures to achieve their intended performance. Nearly
all weapon system functions are enabled by computers—ranging from basic life support
functions, such as maintaining stable oxygen levels in the aircraft, to intercepting incoming
missiles. The amount of software in today’s weapon systems is growing exponentially and
is embedded in a large number of technologically complex subsystems, which include
hardware and a variety of IT components, as sketched in Fig. 3. Such a trend, which
historically arises from an effort to seek automation into weapon systems, has transformed
weapon capabilities and has become a basic enabler of every modern country military
capabilities. For decades the U.S. Navy e.g. has sought to reduce the ship crew size based,
in part, on the assumption that some manual tasks could be automated and fewer people
would be needed to operate a ship [10].
2. The increasingly “networked” nature of weapons systems, progressively more
connected than ever before, which introduces vulnerabilities and make systems more
difficult to defend. Nearly every conceivable component is networked [11]. Weapon systems
FIG. 3 EMBEDDED SOFTWARE AND INFORMATION TECHNOLOGY ARE PERVASIVE IN
WEAPON SYSTEMS.
14
connect to DOD’s extensive set of networks—called the Department of Defense (DOD)
Information Network—and sometimes to external networks, such as those of defense
contractors. Technology supports, logistics, personnel, and other business-related systems
sometimes connect to the same networks as weapon systems. Furthermore, some weapon
systems may not connect directly to a network, but may connect to other systems that may
connect directly to the public Internet, as is sketched in Fig. 4.
These connections help facilitate information exchanges that benefit weapon
systems and their operators in many ways—such as e.g. command and control of the
weapons, communications, and battlespace awareness. Nonetheless networks can be used
as a pathway to attack other systems. If attackers can access one of those systems, in fact,
they may be able to reach any of the others through well sought connections. Furthermore,
the networks themselves are vulnerable; the Defense Science Board (DSB) through
Operational Tests and Evaluations found already in 2013 that some networks were not
survivable in a cyber-contested environment [12], claiming that “the adversary is in our
networks”. This arises in part from the fact that the DOD historically focused on the
cybersecurity of its networks without placing priority on cybersecurity in weapon systems
acquisitions. Any exchange of information is a potential access point for an adversary. Even
“air gapped” systems, not directly connected to the Internet for security reasons, could
potentially be accessed by other means, such as USB devices and compact discs.
Fig. 4. Weapon systems connected to networks that may connect to many other systems.
15
3. The dependence of weapon systems on software, with software solutions and IT
architectures that rely more than ever before on commercial and open source software
hence subject to any cyber vulnerabilities that come with them.
All in all, the steadily growing trend depicted points 1-3 above comes at a price.
Weapon systems have in fact a wide variety of interfaces, some of which are not obvious,
and could be used as pathways for adversaries to access the systems (See Fig. 5). This in
the end will significantly expand the weapons’ attack surface. The “attack surface” is sum of
different points (the "attack vectors") where an attacker can try to enter or extract data from
an environment. Systems with large attack surfaces are more difficult to defend because
they exhibit more access points to protect. For example, “smart” devices, which connect to
the Internet, expand the attack surface. Incorporating smart thermostats, ovens, televisions,
and speakers into a home likewise expands its attack surface. Even relying on software to
control safety-critical and other functions leaves vehicles more vulnerable to cyber attacks.
[13]
Fig. 5. Weapons interfaces that can be used as path to access the system
16
4. The reliance of weapon systems on firewalls to prevent cyberattacks. A firewall is a
common control to allow or block traffic based on a "set of rules”. Because it is impossible
to define a rule for every scenario, attackers look for ways to access a system that are not
covered by the rules. As a familiar example, a firewall may block traffic from a specific
country, but attackers may make it appear that they are in a country that is not blocked.
Attackers may use tools to avoid the firewall, such as embedding malicious software in an
e-mail and waiting for a user to open it and inadvertently install the code.
5. The security controls on weapon systems. Security controls are safeguards or
countermeasures to protect the confidentiality and integrity of a system and its information,
yet they can be bypassed if the system is not properly configured and can be exploited to
pursue cyberattacks.
6. The heavy presence of people operating weapon systems. Clearly people are a
significant source of cybersecurity vulnerability for any sort system [14].
7. The reliance of weapon systems on external devices, such as positioning and
navigation systems as well as command and control devices…all needed to carry out a
mission. A successful attack on one of the systems or subsystems can potentially limit the
weapon’s effectiveness and prevent it from achieving its mission.
Bibliography.
1. Electronic Warfare is one of many areas where NATO endeavors to ensure that it is prepared to continue to uphold its founding principles and pursue its core tasks. See e.g. “The future of electronic warfare in Europe", Army Technology, 13 Jun. 2018 & ”The 106th NATO Electronic Warfare Advisory Committee (NEWAC)", Brussels, 05 Jun. 2019; M. Spreckelsen, “Electronic Warfare–The Forgotten Discipline”, The Journal of the Joint Air Power Competence Centre (JAPCC) January 17, 2019
2. NATO Electronic Warfare Policies, 1956-09-14, Military Committee Series MC 0064, NATO Archives Online. "Future Command and Control of Electronic Warfare", The Journal of the JAPCC, Edition 28, Spring/Summer 2019.
3. “The Russo-Japanese War at Sea 1904-5”: Volume 1-Port Arthur, the Battles of the Yellow Sea and Sea of Japan by Vladimir Semenoff, LEONAUR (August 29, 2014), (ISBN: 9781782823421)
4. In the early part of the World War II the Germans began to use a radio beam system which they had been developing since the mid thirties. It was a guidance system, which used intersecting radio beams to direct aircraft to any particular target in Britain. Radio beams were transmitted from a coastal site in occupied Europe, pointing at a target city in England. A bomber could fly along this beam and when it reached its target a further radio beam would signal this, and that is where its bombs would be released. Early 1940 many British towns and cities had been bombed with reasonable accuracy, causing much death and destruction. A brilliant scientist, R V Jones, working for British Intelligence, was responsible for investigating the German application of this system, and to discover a means of counteract. Winston Churchill referred to this period of the war as the ‘Battle of the Beams’.
5. “U.S. Carried Out Cyberattacks on Iran”, New York Times June 22, 2019. 6. A cyber-physical system is a co-engineered interacting networks bearing “physical” and
“computational” components. 7. A strategic weapon is any weapon system designed to strike an enemy at the source of his
military, economic, or political power and that means e.g. destroying a nation’s cities, factories, military bases, transportation and communications infrastructure, and seat of
17
government. A tactical weapon is designed for offensive or defensive use at relatively short range with relatively immediate consequences. They include weapons used for antitank assault, antiaircraft defense, battlefield support, aerial combat, or naval combat (Encyclopedia Britannica)
8. See e.g. Weapon Systems Annual Assessment: Knowledge Gaps Pose Risks to Sustaining Recent Positive Trends, The U.S. Government Accountability Office (GAO), GAO-18-360SP (Washington, D.C.: April, 2018); “Weapon systems cybersecurity”, GAO-19-128 (Washington, D.C.: October, 2018).
9. Despite that cybersecurity issues can vary a lot for different types of systems, they can be described using common terminology. See e.g. ”Unclassified terms and definitions from classified report". National Research Council of the National Academies, A Review of U.S. Navy Cyber Defense Capabilities (Washington, D.C.: National Academies Press; 2014).
10. Navy Force Structure: Actions Needed to Ensure Proper Size and Composition of Ship Crews, U.S. Government Accountability Office (GAO), GAO-17-413 (Washington, D.C.: May 18, 2017)
11. According to the U. S. Defense Science Board (DSB), nearly every conceivable component in the Department of Defense (DOD) is networked. See e.g. “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)
12. “Survivable” means that a system is able to maintain its critical capabilities under applicable threat environments. A cyber contested environment is when one or more adversaries attempt to change the outcome of a mission by denying, degrading, disrupting, or destroying cyber capabilities, or by altering the usage or our confidence in those capabilities. See e.g. “Resilient Military Systems and the Advanced Cyber Threat”, Department of Defense, Defense Science Board, Task Force Report, Washington, D.C.: Dec. 2015. (ISBN- 978-1519669858)
13. See e.g. Vehicle Cybersecurity: DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack, GAO-16-350 (Washington, D.C.: Mar. 24, 2016)
14. Information Security: Agencies Need to Improve Controls over Selected High- Impact Systems, GAO-16-501 Washington, D.C.: May 18, 2016.
18
2. CRYPTOGRAPHY
The art of cryptography, by which one can encode a message in such a way that only
the person to whom it is addressed can read it, began at least 2000 years ago and has
played an important role in history ever since [1]. Cryptography is widely employed by
financial organizations [2] to prevent fraud in transactions or by governments and military
organizations. Today much of modern society depends on cryptography to provide security
services including confidentiality, integrity, authentication and non-repudiation.
Let us consider the case of a soldier at the battlefront who wants to send an important
(radio) message to his headquarter without the risk of the enemy learning its contents. He
cannot transmit the message in any simple way because the enemy can easily listen and
figure out the message. Because the enemy might have a team of qualified cryptanalysts
who are specially trained in code-breaking to decipher the messages, the soldier has to be
clever and use codes so that the enemy will find it very difficult to decipher.
Perhaps one of the most famous cryptograms, the “Zimmermann” note [3], propelled
the U.S. into World War I. When the cryptogram was broken in 1917, Americans e.g. learned
that Germany had tried to convince Mexico to join its war effort by promising Mexico
territories in the U.S. Another example of well known cryptogram is the ‘Enigma” code [4]
patented by German engineers at the end of World War I and placed on the market around
1923. Since adversaries would likely intercept radio signals, messages would have to be
protected with secure encoding. The enigma code involved the use of a portable machine
to produce a very sophisticated code. This was adopted by the German Navy early on 1926
and by the German Army and Air Force soon after. It was then used during the World War
II and became widely known in military circles. These Ciphers, though breakable, were by
no means easy to crack. Indeed, the formidable task of breaking increasingly sophisticated
ciphers was one of the factors that stimulated the development of electronic computers. As
is now well-known, however, a secret team working at Bletchley Park in Britain cracked the
code [5]. This had a significant effect on the outcome of the war. The Allies in fact were able
to read most of the secret messages transmitted and shared by the Germans and Japanese
armies. The example of the enigma code, however, highlighted an inherent weakness of
any classical encryption method, that is, there is “no way” of knowing that an unwanted third
party does not have a copy of the code book.
19
The only way for the sender to be totally sure that a third party cannot decipher the
message is to use a new code for every message. One encryption scheme based on this
method is called the one-time-pad and was first proposed by Gilbert Vernam in 1917 [6].
The one-time-pad is also called the Vernam cipher. In this cipher the sender and receiver
share a common code called the “key”. The key should be (i.) a random sequence of binary
bits (0’s and 1’s), should be (ii.) used only once and and should be (iii.) at least as long as
the message itself. The text of the message is translated into a binary string by some well-
known algorithm and the key is added to produce a new string of bits that comprises the
encoded message. The receiver only has to subtract the key from the encoded message to
retrieve the original text. A simple example may serve to illustrate how this cipher works [7]
The one-time-pad cipher is in principle perfectly secure. There are no patterns for the
cryptanalysts to recognize because the key is “random” and “unique” to each message.
However, the one-time-pad cipher is impractical to implement because the sender and
receiver must share a common key for each message. This requires a secure and easy
method for the sender and receiver to exchange the key without eavesdropping by unwanted
third parties. No such practical method for dealing with massive key requirements exists for
purely classical ciphers and this is probably why soldiers and diplomats continued to rely on
weaker ciphers using shorter keys.
2.1. Conventional Cryptography: Basics.
There are two basic options for sending a large number of sensitive information
quickly [8].
The first option is for the sender and receiver to exchange the “secret-key” in a secure
way, for example by a private meeting, and then use it for all their messages until they next
get a chance to exchange a new secret key. This is however bound to be insecure messages
which are likely to be decrypted by pattern-spotting routines through the repeated use of the
same key.
The second option is to use “public-key” cryptography (PKC). This actually involves
two keys: a “private” key and a “public” key. The private key is only known to the user while
the public key is known to everyone. The user generates a “private key” which is then used
to generate the “public key”; this is broadcast openly and used to encrypt all messages that
are exchanged with the user. The encryption process relies on the fact that certain
20
mathematical functions are very hard to invert and hence messages can only be easily
decrypted with the help of the private key. Only the user, however, knows the private key
and can then easily invert the encrypted messages [9].
The encryption scheme used for internet security, e.g. is a well-known example of
public-key encryption. The mathematical algorithm used to generate the public key may be
e.g. the product of two large prime numbers which comprise also the private key known only
to the user. The security of the scheme relies on the fact that the time taken to find the prime
factors of a large integer increases exponentially with the number of digits hence the
encryption process cannot be inverted quickly unless these prime numbers are known. The
encryption is only difficult to decipher, not impossible, and although there is no mathematical
proof that an algorithm for finding the prime factors of a large number does not exist, it worth
noting that only powerful quantum computers, when they will become operational, would be
able to find the prime factors in a manageable time [10].
2.2. Quantum Cryptography: Basics.
It is clear that the whole encryption system would be much safer if the interested
parties could encrypt their message with a “secret private key”, i.e. known “only” to them,
rather than with a public key known to everyone. It is in this context that quantum
cryptography enters the field providing (1.) a reliable method for transmitting a secret key
and knowing (2.) that no-one has intercepted it along the way. Quantum key distribution
(QKD) is a process that makes it possible to share such a “secret key” in a “secure way”.
Quantum cryptography and, in particular, quantum key distribution is then obviously
important for government, military and financial organizations because it provides a secure
method for transmitting private keys across public channels without the risk of undetected
eavesdropping by third parties. This explains the interest that the subject has aroused in
recent years.
The archetype of quantum cryptographic devices:
(i.) Employ individual photons of light [11].
(ii.) Take advantage of Heisenberg's uncertainty principle [12].
i. Single photons.
Photons are minute energy packet of electromagnetic radiation. The energy of a
photon depends on the radiation frequency so that there are photons of all energies from
21
high-energy gamma and X-rays, through visible light, to low-energy infrared and radio
waves. All photons travel at the speed of light. The “photon” concept originated in Einstein’s
explanation of the photoelectric effect (1905), in which he proposed the existence of discrete
energy packets during the transmission of light. The basic idea of photons was postulated
earlier by Planck (1900) to explain that thermal radiation is emitted and absorbed in distinct
units, or quanta of radiation.
Sources that emit single photons of radiation are called single-photon sources and
are distinct from coherent light sources (e.g. lasers) and thermal light sources (e.g.
incandescent light bulbs). A single-photon from an ideal single-photon source gives rise to
an effectively one-photon state and exhibits quantum mechanical characteristics.
ii. The uncertainty principle.
According to the uncertainty principle measuring a quantum system in general
disturbs it and yields incomplete information about its state “before” the measurement.
Eavesdropping on a quantum communications channel is an example of measuring a
quantum system, i.e. the single-photon, therefore causes unavoidable disturbances. This is
what alerts the legitimate users. Quantum cryptography exploits this effect to allow two
parties, who have never met and who shared no secret information before, to communicate
in absolute secrecy in the presence of an adversary.
2.3. Conventional vs. quantum cryptography: “the difference”.
Let us suppose that Alice wants to send a message to Bob by using a conventional
telecommunications system as shown in Fig. 1. The data signals could be sent, e.g. as
pulses of light along the optical fibre. Strong pulses represent binary ‘1’, while weak pulses,
or no pulse at all, represents binary ‘0’. In this arrangement, there is nothing that Alice and
Bob can do to prevent Eve from stealing a copy of the data while it is being transferred down
the fibre, intercepting the signal, and keep a copy of it without disclosing her presence to
Bob. Fig. 1 shows just one way in which this might be done i.e. through a 50/50 beam splitter
followed by an amplifier. The signal received by Bob is “unaffected” by Eve’s presence, but
Eve has obtained a copy which she can then process using her own detection system. For
transmission of In classical data there is in principle no way that Alice and Bob can be aware
of Eve’s presence. This is because there is no physical law that prevents us from measuring
the data signal and making an exact duplicate without affecting it in the process.
22
Quantum mechanics, on the other hand, tells us that in general it is not possible to
make measurements on single particles without affecting their state. For example, we
cannot detect a photon, extract all the quantum information from it, and then transmit another
photon which is an exact quantum copy of the first one, as in the previous case. This is
called the quantum no-cloning theorem [13]. Now an eavesdropper will have to make some
form of measurement on the data stream in order to extract information from it. This means
that when data are encoded in a quantum-mechanical way, the eavesdropper will in principle
have reveal her presence just through the measurement she makes. This is the difference
with classical cryptography.
We can illustrate the basic principle behind quantum cryptography by considering the
experimental arrangement of Fig. 2 [14,11] designed to measure the polarization state of a
single photon. This is, in fact, one of the data encoding methods used in practical quantum
cryptography devices.
The apparatus consists of a polarizing beam splitter (PBS) and two single-photon
detectors D1 and D2. The PBS has the property that it transmits vertically polarized light but
diverts horizontally polarized light through 90◦. If θ = 0◦, we have vertically polarized light
and the photon will be registered by detector D1. Similarly, if θ = 90◦, we have horizontally
23
polarized light and the photon will be registered by detector D2. On the other hand, if the
incoming photon is linearly polarized with its polarization vector at an unknown angle of θ
with respect to the vertical axis, we’ll have to resolve the polarization (vector) into its
horizontal and vertical components. The three possible measurements outcomes are
schematically illustrated in Fig. 3 [15] for a typical calcite crystal. If the symbols | ⇕⟩and | ⇔
⟩denote respectively the vertically and horizontally polarized photon states, we can then
write the quantum state of a photon with unknown polarization θ as a superposition |θ⟩ of
the two orthogonal polarization states according to:
|θ⟩ = cos θ |↕⟩ + sin θ |↔⟩.
The probability that the photon is transmitted
at D1 is given by:
Pv = |⟨↕ |θ⟩|2
= cos2 θ.
The probability that the photon is diverted in
D2 is equal
Ph = |⟨↔ |θ⟩|2
= sin2 θ.
Fig.3. Single-photon polarizing beam splitter (PBS) Mechanism.
24
Now suppose Eve tries to determine θ and then transmit to Bob another photon with
the same polarization angle as the one received by Alice. This is exactly the procedure one
would have to do to eavesdrop in a quantum cryptography apparatus. In each one of Eve’s
measurement the only information she receives is whether detector D1 or D2 registers.
Detector D1 will register with a probability equal to cos2 θ and D2 with probability sin2 θ.
Yet, if detector D1 “clicks” then the most sensible thing Eve can do is to send on a vertically
polarized photon. Similarly, if instead D2 “clicks” she will transmit a horizontally polarized
photon. Notice, however, that the state of the second photon is only the same as the first
one for the special cases where θ = 0◦ or 90◦. For all other values of θ, the act of trying to
extract the information about the polarization angle leads Eve to transmit the second photon
with a different polarization angle θ′ to the first one. This implies that the outgoing photon
state generated by Eve will give different results from the ones of the original photon sent
by Alice (See Fig. 4).
The conclusion is that it is not possible to extract information from a quantum system
without altering its state in the extraction process. This is a consequence of the invasive
nature of quantum measurements. The eavesdroppers must reveal their presence though
the disturbance they make through their measurements, which affects the results of
subsequent measurements on the photons made by Bob at the final destination. Notice that
even when Eve devised a more sophisticated way to tap in to the data she will always be
subject, no matter how hard she tries, to the general principles of quantum mechanics and
must give away something when making the measurement.
25
2.4. Quantum cryptographic schemes.
There are two basic quantum cryptographic schemes, one that relies on the basic
principles of quantum measurements of single-photons [15] while the other that relies on the
properties of entangled-photons [16]. We shall now discuss the first quantum cryptography
scheme, as it is the most commonly implemented. Here we have two users Alice (A) and
Bob (B) who wish to exchange information while Eve (E) is the eavesdropper who is trying
to intercept the message and steal it, without disclosing her presence. The scheme does
not protect against eavesdropping attacks, but it does provide a “way to know” when the
message has been intercepted. In fact, when an eavesdropper is spotted, they can simply
discard the bits transferred while Eve was listening in, and start all over again. On the
contrary, if they have successfully shared the private key, they can use it for encrypting a
secret message that can be transmitted across public channels at high data rates. Moreover,
if they can encrypt “every” message with a new key, they are effectively using a one-time-
pad cipher; in this case their message is totally secure against eavesdropping attacks by
unwanted third parties.
2.5. Quantum Key Distribution (QKD): The BB84 protocol.
QKD is suitable for use in any key distribution application that has high security
requirements. QKD, a technology that offers the means for two geographically separated
parties to create a shared secret key [18].
The idea is to distribute a “private key” in a secure way so that Alice and Bob can
subsequently use it to encrypt secret messages transmitted over public channels can be
implemented with several schemes. In the following we’ll restrict our attention to the
Bennett–Brassard 84 (BB84) protocol, which will be sufficient to explain the basic principles
[19].
The basic principle of Quantum Key Distribution traces back to S. Wiesner, who
developed the idea of quantum conjugate coding in the late 1960s [20]. Wiesner’s approach
uses photons polarized in conjugate bases as qubits to pass information. If Bob measures
the photons in the correct polarization basis, he receives a correct result with high likelihood
yet if the receiver Bob measures the photons in the wrong (conjugate) basis, the measured
result is random, and because of the measurement, all information about the original basis
is destroyed [21]. These basic ideas lead Charles Bennett and Giles Brassard to devise a
cryptographic system based on the laws of quantum mechanics [14]. In the simplest version
26
of the BB84 protocol, the data are encoded as “polarization states” of single-photons. If θ
denotes the single-photon polarization angle (See Fig. 4), one could represent the binary
‘1’ with the θ = 0 (vertical polarization state) and and the binary ‘0’ with the θ = 90◦ (horizontal
polarization state). However, we are not restricted to choosing the axes of the polarization
states to be horizontal or vertical. Any “basis” of an orthogonal pair of angles will do. In the
BB84 protocol two “sets” of orthogonal polarization
states called the are used (Table 1):
• The ⊕ basis: Binary 1 and 0 corresponds to photons
with polarization angles of 0◦ and 90◦, respectively. The
two polarization states for the ⊕ basis can be
represented as | ↕⟩ and | ↔⟩.
• The ⊗ basis: Binary 1 and 0 corresponds to photons
with polarization angles of 45◦ and 135◦, respectively.
The two states for the ⊗ basis are instead represented
by | ↗⟩ and | ↘⟩.
The BB84 quantum cryptography protocol with a typical encoding (Alice) and
decoding (Bob) procedure is shown in Fig. 5, where Alice’s apparatus consists of a source
of vertically polarized photons and a Pockels cell (PC1) [14,11]. Alice synchronizes her
Pockels cell with the single-photon source to produce polarization angles (θ) of 0◦, 45◦, 90◦,
27
or 135◦. These angle are chosen at random. In this way she can send a string of binary data
which is encoded in either of the two polarization bases at her choice.
The photons sent by Alice’s apparatus are received by Bob who has a similar
polarization measurement arrangement. Bob’s apparatus includes a second Pockels cell
(PC2) in front of the PBS. Bob uses this cell to rotate the polarization vector of the incoming
photon by either 0◦ or −45◦ at his choice, where 0◦ is equivalent to detecting in the ⊕ basis
and −45◦ in the ⊗ basis. Important to notice that Bob does not know the basis that Alice has
chosen to encode the individual photons, therefore he has to choose between the two
detection bases “at random”. If Bob guesses the right basis, he will register the correct result.
This occurs when Alice chooses the ⊕ basis and Bob chooses the 0◦ detection angle, and
also when Alice chooses the ⊗ basis and Bob chooses the −45◦ rotation angle. If Alice’s
choice of basis is random, this correct matching of bases will occur 50% of the time on
average. For the remaining 50% of the time Bob will be detecting in the wrong basis [22].
2.6. The BB84 protocol: Summary.
We summarize the BB84 protocol for the secret key generation in Table 2 [11,14-15].
The main steps are also outlined.
28
Step 1: Alice’s generates and sends data (Row 1 to 3).
A bit (binary digit), the smallest unit of data, has a single binary value (0 or 1) and
corresponds here to the polarization angle (θ) of a photon according to the criteria of Table
1. Alice generates a sequence of data bits (1st row), switching randomly between the ⊕ and
⊗ bases (2nd row). The angle encoding (θ) corresponding to the polarization of each single-
photon sent are also shown (third row). Alice transmits each photon to Bob at regular “time
intervals”. At this stage Alice does not tell anyone what she is doing.
Step 2: Bob’s receives the data (Row 4 to 5).
Bob receives Alice’s photons. Bob’s records the results using a “random” choice of
the detection bases ⊕ and ⊗ (4th row) [23]. A priori Bob does not know what basis Alice
has chosen and he can only “randomly” choose one out of the two possibilities ⊕ and ⊗.
Bob’s measured data (5th row) will coincide “on average” with Alice’s data for half of the
times. In these cases Bob will register the correct result, provided no eavesdropper is
present.
Step 3: Bob & Alice compare their bases (Row 6 to 7).
Bob announces his choice of bases to Alice over a public channel, without revealing
his results. Alice checks Bob’s choices of bases against her own bases and identifies the
subset of bits where both have chosen the same basis. She tells Bob over the public channel
which of the “time intervals” have the same choice of basis, identified with the ‘y’ label (Row
6). Both Alice and Bob discard the other bits and both are now left with the sifted bits (Row
7).
Step 4: Error Analysis & Secret Key (Row 8 to 9)
Bob now sends a “subset” of his sifted bits to Alice, for example he sends every other
bit (9th row), and Alice can check these against her own list, and carry out an error analysis.
This is the stage at which the eavesdropper reveals her presence. If the error rate is less
than 25% [24], Alice deduces that no eavesdropping has occurred and that the quantum
communication has been secure. Alice and Bob are then able to retain the remaining bits
as their “private key”.
This high error rate of 25% will be easily recognizable when Alice carries out her error
analysis in the final step of the process. Alice will thus be able to detect the presence of the
eavesdropper, and therefore know whether the private key distribution between her and Bob
has been secure.
29
2.6. A commercial QKD prototype.
Commercial cryptographic systems typically use QKD as a means to produce shared
secret keys needed in bulk symmetric encryption algorithms, such as e.g. the Advanced
Encryption Standard (AES). In
most cases, the QKD-generated
key is updated frequently and
though users consider this an
improvement when compared with
updating the key less frequently
(e.g., daily or monthly), these QKD
based commercial quantum
cryptographic setups are not
“unconditionally” secure.
Commercial QKD systems are available from sellers in Europe (ID Quantique-IDQ;
SeQureNet), Australia (Quintessence Labs), North America (MagiQ) and Asia (Quantum
Communication Technology Co., Ltd.) … etc. It is worth noting that also quite a number of
National Laboratories around the world have long fostered national security missions based
on quantum cryptography, such as e.g. the Quantum Institute based at Los Alamos (U.S.)
[25].
Besides commercial solutions, QKD protocols and architectures which provide
“unconditionally secure” key distribution are also available. A working “plug & play” device
e.g. was proposed, built and successfully deployed for unconditionally secure key
distribution between two research centers connected for many months through a lake in
30
Switzerland already in the early
2000’s. Again in Switzerland (2001)
ID Quantique (IDQ) offered and sold
the first commercially available
QKD system. This was a significant
development as anyone could buy
an unconditionally secure
cryptosystem costing less than
roughly half a million dollars.
Nowadays ID Quantique (IDQ) is
one of the world leader in quantum-
safe crypto solutions, provides
quantum-safe network encryption,
secure quantum key generation and
quantum key distribution solutions
and services to the financial
industry, enterprises and
government organizations globally.
Fig. 6 shows a typical fibre
“plug & play” complete modular
cryptographic solution ( Clavis300
)
performing modular “point-to-point“
QKD or long-range QKD with relay
nodes. The device generates and
distributes keys, providing up to 10
kb/s (or more) secure key bit
generation rate at 10 dB link loss
which corresponds to about 100 km
in distance depending on fibres
quality. The encryption processing
latency is less than 10
microseconds. Keys can be
supplied to up to 80 separate
encryptors. The encryptor is based
on Korean LEA (Light Encryption
31
Algorithm) ciphers, and allows 4x10 Gbps encryption rate [26]. Commercial Clavis300
quantum cryptographic platforms are designed for multiple configurations depending on the
specific cryptographic operation being requested. Full specs for a typical Clavis300
quantum
platform are reported in Tab. 3.
Bibliography.
1. Simon Singh, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)
2. Elaine B. Barker, William C. Barker, Guideline for Using Cryptographic Standards in the Federal Government: Directives, Mandates and Policies, Special Publication (NIST SP) - 800-175A Report Number: 800-175A, Published: August 22, 2016
3. The message was sent in the form of a coded telegram dispatched by Arthur Zimmermann, in the Foreign Office of the German Empire in 1917. See e.g. Katz, Friedrich, The Secret War in Mexico: Europe, the United States, and the Mexican Revolution, University of Chicago Press (1984) (ISBN 978-0226425894)
4. The Enigma machine was an encryption device developed and used to protect commercial, diplomatic and military communications. It was employed extensively by Nazi Germany during World War II, in all branches of the German Army. Other German cipher machines as e.g. the “Lorenz cipher” were used in World War II to encrypt high-level staff messages. See also [1].
5. Polish mathematicians and cryptanalysts (Polish Cipher Bureau) first used the theory of permutations and flaws to break the encipherment procedures of the message keys for the Enigma machine used by the the German military message. Later a massive effort mounted by the United Kingdom at the British Government Code and Cypher School at Bletchley Park enabled regular decoding of the German Enigma and Lorenz ciphers used for secret communications of the Axis Powers.
6. Around this time Gilbert S. Vernam at the American Telephone and Telegraph Company and Major Joseph O. Mauborgne of the U.S. Army Signal Corps developed the first truly unbreakable code called the “Vernam cipher” [S. Vernam, US Patent 1,310,719, Secret Signalling System (1918) and US Patent 1,416,765, Ciphering Device (1920)].
7. Consider an elementary code in which the letters are represented by “five-bit” binary numbers from 1 to 26 according to the sequence of the alphabet. Thus A is 00001, B is 00010 and Z is 11010. The encryption process is addition modulo 2, and the random key is ‘111011000111001’. For instance the message ‘110111111000001’ can be decoded by carrying out subtraction modulo 2: 110111111000001 ⊖ 111011000111001 001100111111000. The first five bits of the deciphered message are 00110, which we recognize as ‘F’, the sixth letter of the alphabet. Similarly, the second five bits are 01111 = 15 which we recognize as ‘O’, etc. One distinctive feature of the code is the need for a key that is “never re-used” to send another message; this is why it is called a “one-time-pad”.
8. W. Stallings, “Cryptography and Network Security: Principles and Practice”. Prentice Hall. p. 165 (1990). (ISBN 9780138690175).
9. Public-key cryptosystems are especially suitable for encrypting electronic mail and commercial transactions, which often occur between parties who, unlike diplomats and spies, have not anticipated their need to communicate secretly. The idea of PKC is for a user, whom we call “Alice”, to choose randomly a pair of mutually inverse mathematical transformations to be used for encryption and decryption. Alice then publishes the instructions for performing “encryption” but not “decryption”. Another user, Bob, can use Alice's public-encryption algorithm to prepare a message that only Alice can decrypt.
10. E. Rieffel, “Quantum computing” in The Handbook of Technology Management, Vol III, 1st ed., H. Bidgoli, Ed. Wiley, 2009. See also [16] .
11. See e.g. M. Fox, ”Quantum Optics: An Introduction”, Oxford Master Series in Physics, OUP Oxford, 2006 (ISBN-13: 978-0198566731) and also F. Kaneda, P. G. Kwiat, “High-efficiency
32
single-photon generation via large-scale active time multiplexing”, Sci. Adv.5, eaaw 8586 (2019).
12. L.D. Landau, E. M. Lifshitz (1977). “Quantum Mechanics: Non-Relativistic Theory”. Vol. 3 (3rd ed.). Pergamon Press. (ISBN 978-0-08-020940-1)
13. W. K. Wootters & W. H. Zurek, “A single quantum cannot be cloned”, Nature volume 299, pages802–803 (1982)
14. C. H. Bennett, G. Brassard and A. K. Ekert, “Quantum Cryptography,” Sci Am, vol. 1, pp. 50-57, 1992.
15. Nielson, Michael A. and Chuang, Issac L. (2000). “Quantum computation and quantum information”. Cambridge University Press, Cambridge. & Hughes, R. J., Alda, D. M., Dyer, P., Luther, G. G., Morgan, G. L., and Schauer, M. (1995). “Quantum cryptography”. Contemp. Phys. 36, 149–63. Hughes R. and Nordholt J. (1999) & “Quantum cryptography takes to the air”, Phys. World 12(5), 31–5.
16. Bouwmeester, D. et al. (2000). “Quantum cryptography with entangled photons” Phys. Rev. Lett. 84, 4729–32.
17. C. H. Bennett and G. Brassard. "Quantum cryptography: Public key distribution and coin tossing". In Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, volume 175, page 8. New York, (1984). The BB84 protocol is a quantum key distribution scheme developed by Charles Bennett and Gilles Brassard in 1984. It is the first quantum cryptography protocol.
18. M. R. Grimaila, J. D. Morris and D. Hodson, “Quantum key distribution, a revolutionary security technology” The ISSA Journal, vol. 27, pp. 20-27, 2012.
19. Others important protocols may be implemented as e.g. the Bennett 92 (B92) protocol. See e.g. C. H. Bennett, Phys. Rev. Lett,68, 3121 (1992).
20. S.J. Wiesner, "Conjugate Coding", SIGACT News 15:1, pp. 78–88, (1983). Although this work remained unpublished for over a decade, the manuscript had sufficient circulation to stimulate the emergence of quantum information science around the 1980’s and 1990’s.
21. J. D. Morris et al., “A survey of quantum key distribution (qkd) technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013, pp. 141-152.
22. For example, if the incoming photon is polarized at +45◦ and Bob is detecting in the ⊕ basis
(rotation angle = 0◦), he will register results on either of his detectors with an equal probability of 50%.
23. This is done by choosing at “random” the rotation angle of a Pockels cell (See Fig. 5) whereby
0◦ rotation angle corresponds to the ⊕ basis and −45◦ rotation corresponds to ⊗ basis 24. “If” Eve has the same apparatus as Alice and Bob, she could detect the photons sent by Alice
(using a copy of Bob’s apparatus) and transmit new photons to Bob (using a copy of Alice’s apparatus). Because Eve cannot know what choice of basis Alice is making, she must choose her basis “randomly”. Half the time Eve will guess “correctly” but for half of the time she will guess “incorrectly”. In one case Eve determines the photon’s correct polarization state and she will then send an identically polarized photon on to Bob without anyone knowing about it. In the other case she will guess “incorrectly” and she will then send to Bob a photon which is polarized with a choice of basis that is different from Alice’s basis. Because Eve guesses incorrectly on average 50% of the times she will alter the photon’s polarization angle for 50% of the times. When Bob has chosen the “same” basis as Alice and Eve guessed “incorrectly", Bob will register random results on his detectors with a 50% probability. The overall error probability is:
25. In 2014, Los Alamos National Laboratory licensed the results of their 20 years of quantum cryptography research to Whitewood Encryption Systems, Inc. for “quantum-based encryption systems” and “random number generators” needed to create the random keys.
26. The encryption rate is the processing time required by the algorithm to encrypt the data. It depends on the size of the data, on the processor speed, on the algorithm complexity etc.
33
3. QUANTUM KEY DISTRIBUTION’S CURRENT CHALLENGES: AN
OVERVIEW
Cryptography is a centuries old battle between code maker and code breaker [1] and
from what we have gathered from the previous sections (a.) Quantum Key Distribution
(QKD) together with (b.) One-Time-Pad (OTP) methods provide a secure means of
communications.
(a.) Only One-Time-Pad (OTP) symmetric key algorithms are, in fact, “information
secure”. Unfortunately, all other cryptographic systems are breakable if the adversary has
enough cipher text, computational resources and time. In spite of its security, the OTP
methods are not commonly used because of secure key generation and distribution issues:
keys should be random, equal in length to the message and can never be reused. These
requirements impose significant limitations on most practical implementations of One-Time-
Pad.
(b.) Unlike OTP algorithms, well established since the early work of the Vernam
cipher, Quantum Key Distribution (QKD) is an emerging and complex area of research [2].
QKD schemes assure the secrecy of the generated key and ensure that any eavesdropping
third-party introduces detectable errors. They use quantum mechanics for information
processing rather than classical mechanics and portend game-changing implications to
computing, communication and cryptographic technologies long-relied on by organizations
working on strict security requirements. Documented applications include e.g. financial
transactions and electoral communications, with a number of potential applications in the
government and military sectors.
Within this context (c.) quantum computing (QC), one of the biggest foreseen
technological achievements of recent history, may further provide technological innovations
affecting strategic military security. In fact, the ability of quantum computers to search
efficiently large data lists may allow any system that uses databases or data storage to
decrease “response time” and to evaluate “greater amounts” of data with a much better
efficiency. This is clearly even more relevant when dealing with cloud data storage. Any
process that requires large amounts of computing time or data searching may in general
benefit from quantum computers.
When quantum computers will be implemented, on the other hand, they will entail
lots of security risks. Quantum computing could break widely-used current encryption
systems in almost real-time. All organizations that work on security requirements need to
stay one step ahead of such potential computational power that could render today’s
34
encryption algorithms obsolete; as far as the military sector is concerned, this may mean
forcing both friendly and adversaries to invest in developing quantum computing resistant
encryption protocols.
Quantum key distribution (a.) together with one time pad (b.) may prove to be
advantageous to Army operations. In particular, the development of a quantum key
distribution system that would mature into a practical cryptosystem and secure over large
scales may have a large impact on innovative technologies for modern information age
warfare.
In principle, QKD-secured communication channels could link command and control
nodes, connecting commanders with their leadership both through (i.) terrestrial circuits,
enabled by optical “fibers" networks and through (ii.) ground-to-space circuits, enabled
instead by “satellites” that move in low earth orbits and connected to stations on the ground.
The satellites, carrying onboard QKD devices, would in this case distribute new keys to
friendly systems located anywhere in the line of sight to the platforms. See Sect. “Micius;
China’s first quantum satellite” e.g. where secret keys have been created between China
and Europe at locations approximately 7000 km from one another through a (civilian)
intercontinental QKD communication satellite network [3]. The ongoing and successful effort
to realize a “global” QKD network will certainly leverage the power of information technology
within a network-centric framework for military operations (net-centric warfare) [4].
In principle, QKD may also provide a defense against the decryption abilities of a
quantum computer. Increasing e.g. the key generation rate in QKD systems up to values
that would enable OTP encryption, would defeat decryption by quantum computers. Since
generation rates on the order of the kbps (kilo/bit/per/second) sufficient for OTP encoding
are already within reach [5] (See also “Clavis300
” in Sect. 2.6.), current QKD technology is
well poised to develop a cryptographic method that is resilient to quantum computers
attacks.
In practice, all this would require fielding a new generation of cryptographic hardware
throughout the Army with QKD-secured channels fielded to senders and receivers.
Bibliography.
1. Simon Singh, “The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography”, Knopf Doubleday Publishing Group, Jan 26, 2011. (ISBN 9780307787842)
2. J. D. Morris et al., “A survey of quantum key distribution technologies” in Emerging Trends in ICT Security, 1st ed., B. Akhgar and H. R. Arabnia, Eds. Waltham, MA: Elsevier, 2013.
35
3. Such an achievement clearly points towards an efficient solution for a ‘dual-use’ ultra-long-distance global quantum network, meaning that it may entail both military and civil applications.
4. Network-centric warfare military approach was pioneered by the United States Department of Defense in the 1990s. It seeks to translate an information advantage, enabled in part by information technology, into a competitive advantage through robust computer networking of well informed geographically dispersed forces.
5. H.-L. Yin, T.-Y. Chen, Z.-W. Yu, H. Liu, L.-X. You, Y.-H. Zhou, S.-J. Chen, Y. Mao, M.-Q. Huang, W.-J. Zhang, H. Chen, M. J. Li, D. Nolan, F. Zhou, X. Jiang, Z. Wang, Q. Zhang, X.-B. Wang, and J.-W. Pan, “Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).
3.1. Quantum Key Distribution: challenges.
Despite significant progresses over the past decades, there are still major challenges
for large-scale quantum key distribution networks. Some of these challenges are of special
relevance to military applications and will be reviewed in the sections below, followed by an
outlook on potential defense applications. Benefits and drawbacks of quantum key
distribution from the perspective of military operations will be briefly outlined there.
The first challenge is the gap between the theory and practice in the actual
implementations of QKD [1], which is ideally secure only when it employs ideal single-photon
sources and ideal detectors. Unfortunately, ideal devices never exist in practice. As a result,
device imperfections may raise security loopholes or side channels, which can break the
security of practical QKD [2-4]. Several QKD protocols that can be secure against device
imperfections have been proposed [5,6] and the ones that have been widely demonstrated
in experiments are “decoy-state” QKD [7,8] and “measurement-device-independent (MDI)”
QKD [9].
3.2. Secure QKD with imperfect devices: Faulty single-photon sources.
The BB84 protocol is the best-known QKD protocol, where Alice (sender) encodes
her random numbers into a sequence of single photons prepared in different polarization
states and Bob (receiver) measures each incoming single-photon using one of the two
conjugate bases. Next, when Alice and Bob perform the basis reconciliation they sacrifice a
randomly chosen portion of the remaining data to estimate the quantum bit error rate
(QBER). If this quantity is larger than some prescribed threshold value, Alice and Bob abort
the protocol. Otherwise, Alice and Bob use classical post-processing techniques to generate
36
a secret key (See § 2.4). The security of BB84 relies on the quantum no-cloning theorem:
an unknown quantum state cannot be perfectly copied. In actual implementations, the
security proofs of QKD for sender and receiver requires that the devices exploited in the
experiment must be the same as for the theoretical model. In practical circumstances,
however, the model may not be satisfied leaving a back door for Eve to “hack” realistic QKD
communication channels.
The first well known quantum hacking strategy is “photon number splitting” (PNS)
attack [10]. The BB84 protocol requires single photon source, which, however, are not “ideal”
with current technology. Besides, current single photon sources are generally bulky,
expensive and low efficient and hence weak coherent pulses generated by highly attenuated
lasers are used instead for practical QKD implementations. Since in such a weak pulse there
is still a probability to find 2 or more photons, Eve can keep one part of the multiple-photon
pulse and sends the other part to Bob [11]. Later, Eve can get the value of the key during
the basis-reconciliation process. Under these circumstances, Alice and Bob cannot be
aware of Eve’s existence!
In practice the PNS attack limits the distance for secure QKD below 30 km [12]. A
few groups [13] have implemented QKD with weak coherent pulses up to 100 km, but those
QKD systems are insecure under PNS attack. In the paste decades many QKD protocols
were proposed to contrast PNS attacks and, in particular, the so called “decoy-state” [14].
This method consists in Alice preparing some decoy states in addition to the standard signal
state. The decoy states are the “same” as the signal state, except for the expected number
of photons. Those extra decoy states are only used for detecting Eve’s attacks, whereas the
signal states are used for the generation of the key. Each of Alice’s pulses is assigned to
either “signal state” or “decoy state” randomly. Alice then modulates the intensity of each
pulse and sends it to Bob. After Bob acknowledges the receipt of all the signals, Alice tells
Bob over a classical channel which ones are the “signal” states.
Several experiments have demonstrated that decoy state BB84 is secure and
feasible under realistic conditions. Rosenberg et al. [15] and Peng et al. [16] implemented
decoy-state QKD through 100 km fiber, for the first time overcoming the PNS-attack limit
distance of 30 km. Later on, Schmitt-Manderbach et al. achieved 144 km decoy state QKD
in free-space [17]. More experimental efforts on decoy-state QKD have been pursued
involving laboratories and field tests [18]. With these results at hand, the quantum
cryptographic community became confident that even with imperfect devices can make
quantum key distribution secure.
37
Bibliography.
1. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution” Nat. Photonics 8(8), 595–604 (2014).
2. 1. Y. Zhao, C. Fung, B. Qi, C. Chen, and H.-K. Lo, “Quantum hacking: experimental demonstration of time-shift attack against practical quantum-key-distribution systems” Phys. Rev. A 78(4), 042333 (2008).
3. 3. N. Jain, C. Wittmann, L. Lydersen, C. Wiechers, D. Elser, C. Marquardt, V. Makarov, and G. Leuchs, “Device calibration impacts security of quantum key distribution” Phys. Rev. Lett. 107(11), 110501 (2011).
4. 4. Y.-L. Tang, H.-L. Yin, X. Ma, C.-H. F. Fung, Y. Liu, H.-L. Yong, T.-Y. Chen, C.-Z. Peng, Z.-B. Chen, and J.- W. Pan, “Source attack of decoy-state quantum key distribution using phase information” Phys. Rev. A 88(2), 022308 (2013).
5. 5. V. Scarani, A. Acín, G. Ribordy, and N. Gisin, “Quantum cryptography protocols robust against photon number splitting attacks for weak laser pulse implementations” Phys. Rev. Lett. 92(5), 057901 (2004).
6. 6. D.Gottesman, H.-K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004), pp. 136.
7. A.Acín, N.Brunner, N.Gisin, S.Massar, S.Pironio and V.Scarani, “Device-independent security of quantum cryptography against collective attacks” Phys. Rev. Lett. 98(23), 230501 (2007).
8. 21. H.-K.Lo, X.Ma and K.Chen, “Decoy state quantum key distribution”, Phys.Rev.Lett.94(23),230504(2005).
9. 22. H.-K. Lo, M. Curty, and B. Qi, “Measurement-device-independent quantum key distribution”, Phys. Rev. Lett. 108(13), 130503 (2012).
10. G.Brassard, N.Lütkenhaus, T.Mor and B.C.Sanders, “Limitations on practical quantum cryptography”, Phys. Rev. Lett. 85(6), 1330–1333 (2000).
11. She blocks the one-photon pulse and splits the pulse into two for multiple-photon pulse. 12. D.Gottesman, H.K.Lo, N.Lütkenhaus and J.Preskill, “Security of quantum key distribution
with imperfect devices” in Proceedings of International Symposium on Information Theory (IEEE, 2004), pp. 136.
13. 13. C.Gobby, Z.L.Yuan and A.J.Shields, “Quantum key distribution over 122 km of standard telecom fiber”, Appl. Phys. Lett. 84(19), 3762–3764 (2004).
14. 14. X.-B.Wang,“Beating the photon-number splitting attack in practical quantum cryptography”, Phys.Rev.Lett. 94(23), 230503 (2005).
15. D. Rosenberg et. al, “Long-distance decoy-state quantum key distribution in optical fiber”, Phys. Rev. Lett. 98(1), 010503 (2007).
16. C.-Z. Peng, et al., “Experimental long-distance decoy-state quantum key distribution based on polarization encoding”, Phys. Rev. Lett. 98(1), 010505 (2007).
17. T.Schmitt-Manderbach et al. “Experimental demonstration of free-space decoy-state quantum key distribution over 144 km”, Phys. Rev. Lett. 98(1), 010504 (2007).
18. A. R. Dixon, Z. L. Yuan, J. F. Dynes, A. W. Sharpe, and A. J. Shields, “Gigahertz decoy quantum key distribution with 1 Mbit/s secure key rate”, Opt. Express 16(23), 18790–18797 (2008).
3.3. Secure QKD with imperfect devices: Faulty photon detection.
Loopholes may also occur at the detection side. Several attacks against detectors
have been demonstrated in experiment against both research-based and commercial QKD
38
systems already more than ten years ago (2008-2011). As an example, we briefly mention
here the so called detector blinding-attack [1], though several other types of attacks have
been confirmed [2].
In actual QKD implementations, the most widely used detectors by Bob are single
photon avalanched diode (SPAD). When the input intensity is at the single photon level the
detector works properly, yet when the input intensity increases the detector will turn “blind”
and will start to operate differently, i.e., the detector output will be proportional to the input
optical power (linear-mode). Consequently, Eve can perform an “intercept-and-resend”
attack by intercepting Alice’s pulses and measuring them. Then, Eve first sends a strong
light to blind all Bob’s detectors and then according to her measurements, she sends another
light at a tailored intensity to Bob such that Bob’s detectors can fire only when Bob selects
the same basis as Eve does. By doing so, Eve can successfully steal the key information
without being noticed.
Viable solutions to detection attacks are “measurement device independent” (MDI)-
QKD methods. According to the MDI procedure, both Alice and Bob are senders, and they
transmit signals to an untrusted third party, Eve, who is supposed to perform a specific (Bell
state) measurement. Such a measurement provides post-selected entanglement that can
be verified by Alice and Bob. Since the measurement setting is only used to post-select
entanglement, it can be treated as an entirely black box. Hence, MDI-QKD can remove all
detection side-channels. We refer the reader to recent work on the subject for more details
on measurement-device-independent QKD methods [3-6].
Various and independent research groups have implemented MDI-QKD with success
starting in 2013 [3]. Particularly relevant to practical exploitation of the scheme are the
demonstrations carried out by Liu et al with decoy states [4] and by Tang et al. with imperfect
sources [5].
MDI-QKD is attractive not only because of its security against detection attacks, but
also for its practicality. It can be implemented with weak coherent lasers, hence practical
with present technology. It can also resist high channel loss and reach long distance. Very
recently MDI-QKD protocols over 400 km using a low-loss fiber (0.16 dB/km) have been
demonstrated [6]. Importantly, the key rate achieved in the experiment is around 3 kbps at
around a distance of 100 km, which is sufficient for one-time-pad encoding of voice
message. Meanwhile, attempts to reach 1 Mbps key rate using a MDI-QKD protocol have
been successful. Given the distances involved, all these experiments show that MDI-QKD
is practical and suitable for metropolitan QKD network [7].
39
Bibliography.
1. L. Lydersen, C. Wiechers, C. Wittmann, D. Elser, J. Skaar, and V. Makarov, “Hacking commercial quantum cryptography systems by tailored bright illumination” Nat. Photonics 4(10), 686–689 (2010).
2. These attacks include “time-shift” attack, “detector-blinding” attack, “dead-time” attack and so forth.…
3. T. F. da Silva, D. Vitoreti, G. B. Xavier, G. C. do Amaral, G. P. Temporão, and J. P. von der Weid, “Proof-of- principle demonstration of measurement-device-independent quantum key distribution using polarization qubits” Phys. Rev. A 88(5), 052303 (2013).
4. Y. Liu et al., “Experimental measurement-device-independent quantum key distribution” Phys. Rev. Lett. 111(13), 130502 (2013).
5. Z. Tang, K. Wei, O. Bedroya, L. Qian, and H.-K. Lo, “Experimental measurement-device-independent quantum key distribution with imperfect sources” Phys. Rev. A 93(4), 042308 (2016).
6. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber” Phys. Rev. Lett. 117(19), 190501 (2016).
7. L. C. Comandar et al., “Quantum key distribution without detector vulnerabilities using optically seeded lasers” Nat. Photonics 10(5), 312–315 (2016).
The second challenge is the decay of the key generation rate in practical QKD set-
ups. Although current distance record in fiber-QKD is about 400 km [1] with a new proposal
of a protocol to extend to about an extra 100 km [2], the key rate of QKD in fiber drops down
dramatically over long distance [decay-rate]. One solution to this challenge is quantum
repeater though its real application still suffers from the limited performance of quantum
memories [3]. A temporary replacement to the quantum repeater is the trustful relay scheme,
which can be deployed within current technology but requires a “protection” on all the relay
nodes [4].
3.4. Signal loss and decoherence in optical fiber networks: metropolitan and
backbone.
Historically, the first reported QKD field test (1965) with optical fibers was
implemented by British Telecom (BT) Lab in Suffolk (UK) [5] encompassing four users with
one Alice and three Bobs and employed a weak coherent pulse. The length for the fiber link
was around several kilometers providing a secure key rate at about 1 kbps. Another
important landmark was implemented by DARPA [6] (2003) in the city of Boston (US). This
network in this case is a “mixture” of both fiber link and free space link, and it is also a
“mixture” of weak coherent pulse BB84 and entanglement based protocols. Much later a
European fiber-based QKD network was built in Vienna (2009) and one in Tokyo (2011) [7].
At about the same time (2009-2011) a QKD network for civil applications was built in the city
of Hefei, China [8], where the voice signal of telephone was encoded and decoded by
quantum keys together with the OTP method. A quantum network was built in Geneva
40
(2011) and in the city of Durban in South Africa (2010) based on a QKD plug&play BB84
protocols.
Besides the OTP encryption, quantum keys generation has been also combined with
Advanced Encryption Standard (ASE) system to increase the communication rate yet at the
cost of less security when compared with OTP encryption. Integration of QKD systems with
classical (telecom) data in a conventional telecom single-fiber network is also possible; this
further possibility may significantly reduce the cost while increasing robustness in practical
applications of QKD [9]. Very recently in
China (2018), a QKD integrated with 3.6
Tbps traffic optical communication data over
66 km backbone-fiber has been
demonstrated [10].
The current trend is then to apply QKD to
standard optical communication fiber
networks for large-scale secure
communications. The channel loss and
decoherence in optical fibers, however, will
reduce exponentially not only the intensity
but also fidelity of the quantum signal. Unlike
the classical optical communication, the
unknown quantum signal cannot be
perfectly cloned (no-cloning theorem) or
amplified without introducing errors. In that
sense, classical optical repeater method
does not work in quantum communication
channels. As a result, long distance QKD
network is a great challenge.
• “Quantum repeaters” may be a foreseeable way to take up the challenge [11]. Enormous
progresses have been made in this direction, yet the deployment of a practical quantum
repeater is still beyond current technology [12].
• “Trusted relays” may be another and more feasible solution for fiber networks and can
be used to connect remote users. In the trusted relay scenario, Alice and Bob share a secret
key through a trusted relay in the middle which will announce the results of both keys publicly
(XOR-gate [13]) so that Alice and Bob can figure out each other’s key. The drawback of this
method is that both Alice and Bob must “trust” the relay, which should be physically “well
41
isolated” to warrant secure communication. The advantage of trusted relays consists in
reducing cost and complexity when compared to point-to-point connection links. It also
enables to extend the transmission distance.
Remarkably, China has built the world’s longest quantum secure communication
backbone network, from Beijing to Shanghai, with a fiber distance exceeding 2000 km [4]
as shown in Fig. 1; this backbone network includes 32 nodes in total. The backbone network
connects four metropolitan networks, namely Beijing, Jinan, Hefei and Shanghai. Each
metropolitan network has more than 10 nodes and different topologies. As an example, the
topology of Jinan metropolitan QKD network is depicted in Fig. 2. During the operation of
the Beijing-Shanghai backbone network, QKD is implemented between “every two adjacent
nodes” and no quantum repeaters or quantum memories are needed. All the 32 nodes are
“trusted nodes” so that at each node the quantum key is received and passed on along the
backbone line through a XOR operation [13]. The Beijing-Shanghai backbone network,
together with the four metropolitan networks, turned out to be valuable for practical
applications and inspires real-world applications in banks, securities, and insurances that
are currently on trial. All
metropolitan and
backbone QKD
networks reviewed so
far rely on trusted
relays. This implies that
security critically relies
on whether each relay
node is accountable or
not; security will clearly
break down should the
relay be dishonest or
compromised.
• “Untrusted relays” are a far more reaching solution for future QKD network. The
aforementioned MDI-QKD protocol is intrinsically suitable for a star-type telecom network
architecture where the measurement devices are placed at the central “untrusted” relay, a
network server in the middle where all the surrounding users just transmit quantum signals
to the server [14]. Any two users intending to share secret keys via QKD, will be routed to
42
the central “untrusted” relay that will perform a specific measurement [15] upon their
requests via an optical switch.
Usually, the most expensive part of a QKD system are the single photon detectors
(receiver). To increase network scalability the architectures some sharing is often in order
whereby a star-type network is designed to share (single-photon) detectors i.e. the most
expensive resource. Nodes in the MDI-QKD network become then “senders“ reducing the
entire system’s cost. With such a “topological” structure it is straightforward to directly add
more users while keeping low hardware requirements.
Tang et al. e.g. performed the first implementation of such MDI-QKD network in the
city of Hefei [16], bearing a star topology and four nodes with one relay node and three-user
nodes. The central relay node needs not to be trustful in MDI-QKD network [17]. The
measurement-device-independent quantum key distribution star topology network was built
over a 200-square-kilometer metropolitan area and is secure against un-trustful relays and
against all detection attacks. In all field tests, the cryptographic scheme continuously run
through one week with a secure key rate 10 times larger than what previously obtained
results. Overall, among the various kinds of QKD protocols, these results demonstrate that
the MDI-QKD networks combine security and practicality and constitute an appealing
solution to secure metropolitan communications.
Bibliography.
1. H.-L. Yin et al., “Measurement-device-independent quantum key distribution over a 404 km optical fiber”, Phys. Rev. Lett. 117(19), 190501 (2016).
2. M. Lucamarini, Z. L. Yuan, J. F. Dynes, and A. J. Shields, “Overcoming the rate-distance limit of quantum key distribution without quantum repeaters” Nature 557 (7705), 400–403 (2018).
3. N.Sangouard, C.Simon, H.DeRiedmatten and N.Gisin, “Quantum repeaters based on atomic ensembles and linear optics” Rev. Mod. Phys. 83(1), 33–80 (2011).
4. J.Qiu,“Quantum communications leap out of the lab”, Nature 508 (7497), 441–442(2014). 5. P.D.Townsend, S.J.D. Phoenix,K.J.Blow, and S.M.Barnett, “Design of quantum cryptography
systems for passive optical networks” Electron. Lett. 30(22), 1875–1877 (1994). 6. C.Elliott, A.Colvin, D.Pearson, O.Pikalo, J.Schlafer and H.Yeh “Current status of the DARPA
quantum network” in Quantum Information and Computation III 5815, 138–150 (2005)
7. Both networks have 6 nodes and contain multiple types of QKD protocols, including plug&play scheme, decoy state BB84, entanglement-based protocol, coherent one way (COW), differential phase shift (DPS), and continuous-variable (CV) protocol.
8. T.-Y. Chen et al., “Metropolitan all-pass and inter-city quantum communication network” Opt. Express 18(26), 27217–27225 (2010).
9. The scheme of simultaneously adopting QKD with conventional transmission lines was first introduced by Townsend in 1997. See P. D. Townsend, “Simultaneous quantum cryptographic key distribution and conventional data transmission over installed fibre using wavelength-division multiplexing” Electronics Letters 33(3), 188–190 (1997). After that, several QKD experiments demonstrated the feasibility of integrating various QKD protocols with classical telecom channels.
43
10. Y. Mao, B.-X et al, “Integrating quantum key distribution with classical communications in backbone fiber network”, Opt. Express 26(5), 6010–6020 (2018).
11. H.-J. Briegel, W. Dür, J. I. Cirac, and P. Zoller, “Quantum repeaters: the role of imperfect local operations in quantum communication”, Phys. Rev. Lett. 81(26), 5932–5935 (1998).
12. S. Muralidharan, L. Li, J. Kim, N. Lütkenhaus, M. D. Lukin, and L. Jiang, “Optimal architectures for long distance quantum communication”, Sci. Rep. 6(1), 20463 (2016).
13. This can be done via a XOR gate (Exclusive or or exclusive disjunction) that is a logical operation that provides “true” outputs only when inputs differ (the number of true inputs is odd).
14. H.-K. Lo, M. Curty, and K. Tamaki, “Secure quantum key distribution”, Nat. Photonics 8(8), 595–604 (2014).
15. The central relay will perform a Bell state measurement (see e.g. [4]) 16. Y.-L. Tang et al., “Measurement-device- independent quantum key distribution over un-
thrustful metropolitan network” Phys. Rev. X 6(1), 011024 (2016). 17. In practice, if the central relay can be trusted, one can reconfigure the MDI-QKD network to
allow many quantum communication protocols [92,93]
3.5. Signal loss and decoherence in satellites QKD network: free-space QKD.
In general, secret key generation rate in fibres scales linearly with the channel
transmittance, which severely limits its feasible transmission over very long distances. In an
atmospheric environment, on the other hand, attenuation is much less significant than in
fibers making satellite-based quantum communication a more promising solution due to the
remarkably less channel loss and decoherence
Even more attenuation in the vacuum region above the Earth’s atmosphere whose effective
vertical thickness is approximately 5-10 km from the ground is just negligible. Therefore,
satellites may be employed as intermediate trusted nodes for communication between
locations on the ground. As long as single-photons can survive after penetrating the Earth’s
atmosphere, ground–satellite-based QKD links can be far superior and more efficient than
fiber links! Such a perspective offers a unique approach for quantum communication on a
global scale and has recently witnessed remarkable progresses [1,2].
Atmosphere absorption losses.
A a matter of fact, the very first proof-of-principle QKD experiment was done in free-
space over a link of 32 cm (1992) whereas it took a long while to demonstrate the feasibility
of free-space QKD over distances in the Km-range (1998-2002). Most of such an early
pioneering tests proved anyway for the first time that the quantum states, even their
superpositions (entanglement), can somehow survive after propagating in the atmosphere,
thus confirming the feasibility of ground-satellite based free-space quantum communication.
Before launching a real satellite an important series of ground tests have also been
performed such as e.g. free-space distribution of decoy-state QKD over a 144 km link (2007)
44
[3], with a secure key generation rate of 12.8 bit/s with an attenuation of about 35 dB, and
the distribution of entangled photons over more than 100 km (2012) [4].
Although such free-space ground test experiments demonstrated that QKD could
survive atmosphere’s absorption they could not indeed simulate the real link between a fast
“moving” satellite with respect to a ground station. A second important generation of
experiments [5] then followed where a platform moving through a turntable or floating on a
hot-air balloon tested QKD transmission performances under rapid motion, altitude change
and vibration, random movement of satellites etc.. These circumstances well encompass
realistic parameters of transmission with low earth orbit (LEO) satellites (See also Sect.
“Micius; China’s first quantum satellite”). Meanwhile the remarkable demonstration of QKD
between an airplane and a ground station was also reported [6]. Later, a direct
demonstration of the satellite-ground transmission of a quasi-single-photon source (weak
laser pulse), generated reflected back to earth with a cube-corner retro-reflector set on a
satellite, was also reported [7].
Geometric and coupling losses.
Besides absorption losses, there are also geometrical loss, optical loss, coupling loss
and so forth…..which amounts for a total channel loss between a LEO satellite and Earth,
or between LEO satellites, around 40-45 dB [8]. Typical parameters for these kind flosses
are reported in the following section (“Micius”). Characteristic geometric and coupling loss
parameters are reported in the following section (“Micius”)
Micius; China’s first quantum satellite.
The first quantum satellite “Micius” was launched in Jiuquan (China-2016). This is a
LEO satellite orbiting at an altitude of about 500 km (See Fig. 3). A decoy-state QKD
transmitter is equipped on one of the Micius satellite payloads performs downlink QKD by
sending the quantum signals to the receiver at Xinglong (ground station). Decoy-state QKD
(See § 3.2) was demonstrated with polarization encoding from the satellite to the ground,
with 1 kbps rate over a distance of up to 1200 km [1]. The QKD test was performed on 23
different days. The quantum bit error rates and secure key rates varied with the distance
and with the weather over different days. The ground-satellite based QKD link efficiency is
45
shown in Fig.4 for distances between 645 and 200 km and is compared with conventional
method of direct transmission through optical fibers. Despite the short coverage time (273 s
per day) and the need for reasonably good
weather conditions, Micius satellite
provides a substantial efficiency
enhancement compared to fibers. At 1200
km, the quantum channel efficiency over
the 273-s coverage time is about 20 orders
of magnitudes higher than previously
reported QKD.
Later, the Micius quantum satellite
was used as a trusted relay to distribute
secure keys between multiple remote
locations in China and Europe [9]. China
and Austria used this quantum QKD link to exchange quantum one-time pad encrypted data
for images (See Fig. 5) from China to Austria and viceversa. The three cooperating ground
stations were located at Xinglong, Nanshan and Graz, where the first two cities (Xinglong-
Nanshan) are 2500 km distant from one another while the other two (Nanshan-Graz) are
7600 km apart.
46
In this experiment, Micius
flied along a Sun-synchronized
orbit, circling Earth every 94 min.
Each night starting at around 0:50
a.m. local time, Micius passed over
the three ground stations allowing
for downlink QKD in a duration of
∼300 s. Under reasonably good
weather conditions, sifted key
rates of ∼3 kbps at ∼1000 km
physical separation distance and
∼9 kbps at ∼600 km distance (at
the maximal elevation angle) could
be obtained routinely. The first
intercontinental quantum communication was established successfully using the Micius
quantum satellite as a trusted relay.
Bibliography
1. S.-K. Liao, et al. “Satellite-to-ground quantum key distribution”, Nature 549 (7670), 43–47 (2017).
2. J.-G. Ren, et al., “Ground-to-satellite quantum teleportation”, Nature 549 (7670), 70–73 (2017).
3. R. Ursin, et al., “Entanglement-based quantum communication over 144 km” Nat. Phys. 3(7), 481–486 (2007).
4. J. Yin et al. “Quantum teleportation and entanglement distribution over 100-kilometre free-space channels” Nature 488 (7410), 185– 188 (2012).
5. J.-Y. Wang et al. “Direct and full-scale experimental verifications towards ground-satellite quantum key distribution” Nat. Photonics 7(5), 387–393 (2013).
6. S. Nauerth et al., “Air-to-ground quantum communication”, Nat. Photonics 7(5), 382–386 (2013).
7. J. Yin et al., “Experimental quasi-single-photon transmission from satellite to earth”, Opt. Express 21(17), 20032– 20040 (2013).
8. M. Pfennigbauer, W. R. Leeb, M. Aspelmeyer, T. Jennewein, and A. Zeilinger, “Free-space optical quantum key distribution using inter-satellite links” in Proceedings of the CNES - Intersatellite Link Workshop, (2003).
9. S.-K. Liao, et al., “Satellite-relayed intercontinental quantum network”, Phys. Rev. Lett. 120(3), 030501 (2018).
47
4. DEFENSE AND POTENTIAL MILITARY APPLICATIONS OF QKD: AN
OUTLOOK
The field of quantum information science is giving rise to multiple new defense related
applications that are often grouped together under the term ‘quantum’, but which merit
independent consideration. In the field of quantum information, quantum key distribution and
quantum cryptanalysis all promise to significantly affect strategic military security in different
ways.
The purpose of this final section is to summarize the current status of Quantum Key
Distribution (QKD) implementation security for a rather general audience. We will outline the
current understanding of the best practice related to the military sector in its general
acception, as requested by the CEMISS. To maintain readability, we will point out how the
physical implementation may impact security without providing a detailed analysis, for which
the reader is referred to the previous sections. A summary in the form of a table is also
provided at the end of the chapter (See Tab. 1).
4.1. The eavesdropper can be spotted.
Quantum Key Distribution enabled cryptography is protected by the laws of quantum
physics and provides a guarantee that “any” interception would be detected. Hence in the
military sector such a form of cryptography is important for applications to prevent the
interception of classified informations.
In a typical scenario, where two distant parties (Alice and Bob) use their QKD
cryptographic devices to obtain a string of bits (key), an eavesdropper (Eve) may attempt to
gain information about the bits by measuring the signals travelling along the communication
channel linking Alice and Bob. Because in classical physics there is nothing preventing Eve
from copying the classical signal (key) during its transit from Alice to Bob, all classical
methods to distribute a secure key are “fundamentally” insecure.
At variance with this and owing to the quantum nature of the signal, when Eve reads
the quantum signal sent through Alice and Bob’s QKD cryptographic channel trying to copy
the key, she will inevitably add noise to the transmission of the signal. By measuring such a
noise Alice and Bob can estimate the maximum amount of information Eve has gained on
the string of bits and hence they can detect her presence.
48
Thus QKD provides a method for establishing either that the key shared by Bob and
Alice is perfectly secure or that Eve is listening, in which case Bob and Alice will not use the
key.
Another novel and unique feature of QKD is that the protocol security can be
guaranteed without setting any assumption on Eve’s resources [1,2]. Indeed, an
eavesdropper can have unlimited computational power, unlimited storage memory and any
conceivable device yet the transmission of the cryptographic keys through an open channel,
even one that is entirely under Eve’s control, can be guaranteed to be perfectly secure.
At the stage it is worth warning that QKD enabled cryptography does not solve other
essential aspects of security such as e.g. identity verification or access control [3]. At
variance with conventional digital signatures, quantum digital signatures are well known [4]
and are used in data transfer to prevent impersonation, repudiation and message tampering
with security verified by the information-theoretical limits of quantum mechanics.
Bibliography.
1. Alléaume, et al., “Using quantum key distribution for cryptographic purposes: A survey”. Theoretical Computer Science, 560 (2014).
2. Government Office for Science. “The Quantum Age: technological opportunities” (The Blackett Review of quantum technologies). 2016.
3. European Telecommunications Standards Institute. Implementation Security of Quantum Cryptography: Introduction, challenges, solutions. ETSI, 2018.
4. Proof of principle test where quantum signatures are distributed e.g. from one sender to two receivers and enable message sending ensured against forging and repudiation have been demonstrated. See e.g. P.J. Clarke et al., "Experimental demonstration of quantum digital signatures using phase-encoded coherent states of light", Nat. Commun. 3, 1174 (2012).
4.2 Unconditional security & future proof security.
Quantum Key Distribution enabled cryptography provides unbreakable “theoretic
information” security. So far the one-time pad (OTP) is the only known unbreakable
encryption scheme and QKD enabled cryptography, leveraging the laws of quantum
mechanics, is the only one known that can grow unlimited amounts of symmetric keying
material to effectively employ an OTP crypto-system. Based on such robust ground, QKD
information-theoretic security turns out to be much stronger than classical encryption
techniques, which rely on computational complexity. Information-theoretic security is very
important for military data confidentiality.
Quantum key distribution has also the advantage of being future-proof [1]. Unlike
classical key distribution, the quantum non-cloning theorem [2,3] prevents an eavesdropper
from “keeping” a transcript of information that has been encoded through a QKD process.
49
For this reason, QKD cryptography is an essential element of any future-safe military data
storage infrastructure.
This is precisely why QKD is the most common form of quantum encryption and one
that has gained world recognition as an emerging cybersecurity technology.
Bibliography.
1. D. Unruh, IACR Cryptology ePrint Archive p. 177 (2012). 2. W. K. Wootters and W. H. Zurek, “A single quantum cannot be cloned”, Nature 299, 802
(1982). 3. D. Dieks, “Communication by EPR devices”,Phys. Lett. 92A, 271 (1982).
4.3. Quantum cryptanalysis safe.
As noted before, quantum computing could break in almost real-time widely-used
current encryption techniques which are based on computational complexity, such as e.g.
the most secure forms of public-key cryptography. Current encryption standards, in fact,
primarily rely upon mathematical algorithms for encoding data that are effectively
unbreakable in a reasonable period of time. US military-grade [1], Advanced Encryption
Standard (AES) 256-bit encryption would theoretically require billions of years for current
computers to crack the code through brute-force methods i.e. through ‘trial-and-error’ of all
possible solutions. Quantum computers, however, by replacing sequential trial-and-error
methods for processing such complex mathematical problems with alternate means, will
eventually be able to make decryption possible quite in a very short time. [2]. Conversely,
quantum key distribution enabled cryptography provides a defense against the decryption
abilities embodied in current mathematical algorithms, in new powerful algorithms as well
as in next generation computers, in particular, quantum computers that are expected in the
near future.
When quantum cryptanalysis [3] will become available, it will significantly affect
international relations by making intercepted communications open to decryption [4]. For
countries that extensively rely on standard encryption to secure military operations or other
sensitive diplomatic data correspondence, this would be a turning point event and QKD
enabled cryptography will be a way to secure operations and data.
In addition, some confidential data need to be kept secret for decades [5]. Data
transmitted in 2019 e.g. are “vulnerable” to technological advances made in the future; Eve
50
might just save the data transcripts in her memory and wait until a quantum computer e.g.
be built some time before 2020 to decrypt them 10 years from now! This is highly probable.
[6]. QKD crypted data cannot be accessed and will safe even them 10 years from the
encryption date.
Bibliography.
1. "Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms” Elaine Barker, NIST Special Publication 800-175B (July 2019)
2. While there's some debate as to when quantum computers will be available, nefarious actors are harvesting data now, stockpiling it and waiting for the day when a quantum computer will be able to break modern encryption standards in mere minutes. Gartner estimates that by 2023, 20% of all organizations will budget for quantum projects, and the global quantum cryptography communications market is expected to grow to $24.75 billion in 2025, according to Market Research Media.
3. Cryptanalysis is the specific application of quantum computing for decrypting encoded message.
4. The promise of quantum cryptanalysis is so alluring that some countries are already beginning to collect encrypted foreign communications related to the military sector with the expectation that they will be able to extract valuable secrets from that data in the future.
5. Secret data as e.g. census data in Canada are released to the National Archives 92 years after the date of collection. See e.g. “Release of personal data after 92 years”, see http://www12.statcan.gc.ca/census-recensement/2011/ref/about-apropos/personal- personnels-eng.cfm.
6. The US National Security Agency is taking the threat of quantum computing seriously and has recently announced transition plans to quantum-resistant classical algorithms.
4.5. Point-to-point QKD communication links.
As noted earlier, QKD ciphered communications began a while ago (1992) with a
stint 30 cm long (free-space) “point-to-point” link….and it took nearly two decades to extend
such a link to distances of kilometers! Such an extension of the QKD connection range has
been enabled by massive technological developments. As a matter of fact one of today’s
most important enabling factor [1] in practical implementations of point-to-point links is the
“noise level” of single-photon detectors. Superconducting nanowire single-photon detectors
[2,3] working with a high quantum efficiencies (93%) at telecom wavelengths can now
withstand a record loss of 72 dB [4]. This amounts to secure communication links up to a
maximum of 360 km in standard single-mode fiber or about 450 km in ultra low loss fibers.
It is worth noting however that further extending the point-to-point distance, although
technologically possible, is nevertheless unappealing because the channel loss will
inevitably reduce the key generation rate to a level of little practical relevance. In fact, the
range of communication and the key generation rate are inversely related to one another,
51
so that the longer the distance between sender and receiver, the lower the key generation
rate.
Point-to-point QKD communication protocols are basically designed to work for two
parties only and hence they appears to be an excellent fit for a two-site connection to encrypt
e.g. voice communications between a government and a military unit or between different
military units. Although QKD enabled point-to-point cryptography is impractical over certain
distances, point-to-point QKD links may be harnessed to enable connections among more
than two and not so distant sites so as to form a small network. The very first QKD network
was actually built through the commercial fibre network of China Netcom Company in Beijing
(2007) and enabled quantum-safe communications between any site among the four-parties
(users) of the network’s.
Bibliography.
1. B. Korzh et al. “Provably Secure and Practical Quantum Key Distribution over 307 km of Optical Fibre”, Nature Photon. 9, 163 (2015).
2. F. Marsili et al., “Detecting Single Infrared Photons with 93% System Efficiency”, Nature Photon. 7, 210 (2013
3. L.C.Comandar et al. “Gigahertz-gated InGaAs/InP single-photon detector with detection efficiency exceeding 55% at 1550 nm”, J. Appl. Phys. 117, 083109 (2015).
4. H. Shibaba, T. Honjo, and K. Shimizu, “Ultimate low system dark-count rate for superconducting nanowire single-photon detector”,Opt. Lett. 39, 5078 (2014).
4.6. Network-centric QKD.
Point-to-point QKD links are essential ingredients in the implementation of wide scale
QKD cryptography provided a network structure could be created. Such a structure would
grant access to many users as e.g. the QKD network in Hefei [1], completed in 2012, linking
40 telephones and 16 video cameras installed at city government agencies, military
departments and financial institutions [2]. A similar civilian network, completed in 2014,
connects some 90 users in Jinan. “Star topologies” structures are best suited for the
realization of such a QKD network and several experimental demonstrations of such QKD
star-networks have been realised either with optical fibers [3] or with free space using trusted
relays. Most importantly star networks have also enabled to reach a broader geographical
coverage.
By setting up, in fact, trusted nodes say every 50 km, to “relay” secrets, it is possible
to achieve secure communication over arbitrarily long distances [4]. The QKD network
between Shanghai and Beijing is an example of such an approach and it is the world’s
longest and most sophisticated QKD network. It serves as a backbone link connecting four
52
quantum networks respectively in Beijing, Shanghai, Jinan (Shandong province) and Hefei
(Anhui province).
The successful demonstrations of ground-to-satellite QKD [5], where one (or a few)
trusted satellites have been used as relay stations, has made it now possible to reach even
longer distances, extending secure QKD to a “global” scale. To this end, several free-space
successful demonstration of QKD between ground and low earth orbit (LEO) satellites have
been achieved through a technology in which China is now world-leading, starting with the
launch of its own satellite in August 2016 [6,7].
Satellite-to-ground quantum key distribution picture has taken a drastic turn after
these successes and other countries around the world, including EU, Canada and US are
currently engaged in similarly ambitious long-term projects involving ultra-secure
cryptography and quantum communications in LEO satellites. Satellite-based QKD has the
potential to help establishing a global-scale quantum network fostering a fundamental
change of approach in communications capabilities toward a secure network-centric
communication. Operational satellite-based QKD relies on routable, resilient and secure
information service apt to provide both management and distribution of keys among all
network's participants that require “sending” and “receiving” critical data as e.g. between
aircrafts, aircraft and the ground, and aircraft and space assets etc.… This would envision
operational units, whose security requirements are very high as e.g. military and government
sectors but also critical infrastructure providers, to collaborate with a net-centric information
strategy. Not only would this improve performance management of secure information
services but also ease sharing of a situational awareness among the the different sectors of
a government.
4.7. Mobile QKD network.
Most quantum networks so far
developed have wired channels
(fibres) and nodes at fixed locations.
On the other hand, mobile terminals
such as satellites, drones,
automotive cars etc…have recently
witnessed an impressive progress.
Small unmanned aerial vehicles
(UAV) like drones, owing to the fact
53
they can move any direction or even stay stationary in the air, bear indeed a promise for a
cost-effective on-demand connectivity within flexible networks. Larger UAVs that continue
to fly in the stratosphere for many years using solar power supply, have already enable high-
altitude platforms (HAP) especially for sensing and communication. Small-size and low-cost
satellites and low-cost launches has also led to a rapid growth in satellite programs for
similar communications and sensing purposes.
At a time when data transmission through congested RF bands is becoming harder
and harder, big-data management systems mounted in any of these mobile terminals
together with free-space optical (FSO) communication are expected to yield high-throughput
suitable for satellite-satellite data links, satellite-ground data link and even hoc data link
between small UAVs (drones). On similar grounds, if physical random number generators
and high-rate secret key exchange is to be implemented in the free-space optical
communication with mobile terminals a new frontier of research on quantum wireless
network may actually open (mobile QKD networks). The incorporation of “mobile QKD
nodes” for the distribution of secret keys could actually add to QKD network connections
great flexibility [8]. Information theoretic security ensured by these perspective technologies
is meant to protect sensitive information in emerging mobile quantum communications
network.
This may be useful in many applications, such as e.g. ship-to-ship communication as
well as communications among military vehicles that are in need of sending and receiving
critical data. In this case the mobility of QKD platforms may require a highly reconfigurable
network in the sense that the QKD users should be able to automatically determine the
optimal QKD route in real time based on their locations [9]. Fig.1 depicts a perspective on
such an hypothetical QKD network, expected to cover on a global scale an even more
thorough geographical coverage not possible through a fibre network.
Bibliography.
1. Wang, S. et al., ‘Field and long-term demonstration of a wide area quantum key distribution network’, Optics Express Vol. 22, Issue 18, pp. 21739-21756, (2014)
2. The declared cost for the Hefei network’s was around 9 million USD! 3. Y.-L. Tang et al. “Measurement-Device-Independent Quantum Key Distribution over
Untrustful Metropolitan Network”, Phys. Rev. X 6, 011024 (2016). 4. M. Sasaki, et al, “Field test of quantum key distribution in the Tokyo QKD Network”, Optics
Express Vol. 19, Issue 11, pp. 10387-10409 (2011) 5. Wang J, et al. “Direct and full-scale experimental verifications towards ground-satellite
quantum key distribution”, Nat Photonics 2013;7(5):38793. 6. Gibney, E. “One giant step for quantum internet”, Nature News, 27 July 2016. 7. Qiu, J, ”Quantum communications leap out of the lab: China begins work on super-secure
network as ‘real-world’ trial successfully sends quantum keys and data”, Nature, 508, 7497 (2014).
54
8. Eleni Diamanti, Hoi-Kwong Lo, Bing Qi & Zhiliang Yuan, “Practical challenges in quantum key distribution”, npc Quantum Information, volume 2, 16025 (2016). Because mobile QKD network is well poised to achieve long distance and high-rate key exchange it may well be suitable for multiple encryption i.e. the process of encrypting an already encrypted message one or more times, either using the same or a different algorithm (physical layer cryptography).
9. Fast beam tracking systems, whose technology is already available, are in order this case.
55
5. A POSSIBLE SCENARIO AND ISSUES
The above assets (§ 4.1-4.7) all concur to make Quantum Key Distribution enabled
cryptography quite a realistic near-term advantage for defenders to secure their military
classified communications. The relevant merits could better summarised by setting an
hypothetical stage for military usage of QKD enabled cryptography. This is also intended for
the general army audience to grasp the current understanding of the best-practice QKD
enabled cryptography.
Scenario:
“Imagine a crisis affecting the United States in the near future. The president enters
his command center, receiving information from around the globe carried by satellites and
telecommunication circuits. As decisions flow from the center, the secret instructions are
carried by regular telecommunications circuits to the Pentagon and have been encrypted by
QKD devices providing key material to fast network encryption devices. These devices
change their large-bit keys several times a second, making it virtually impossible for cyber
adversaries to decrypt the traffic.
Once at the Pentagon, these decisions are coordinated with contingency plans, then
orders are generated to forces around the globe. Once the orders and plans are ready, the
information is sent to satellites in orbit, again using QKD-secured circuits. Not only are the
ground-to-space links hard to intercept, the data is encrypted using the same large-bit
network encryptors. The signals are then sent from space to ground stations using the same
type of encrypted circuits. On the ground, adversaries may listen in on the space-to-ground
communications, but with the encryption key changing so fast, it is impossible to decrypt the
data. As the distance for QKD links increases, many more communication circuits could be
secured by such systems. The unconditionally secure nature of QKD-generated key material
makes it attractive for high security requirements often found in the military domain.”
Aiming again to address a general audience, we further provide in the following the
essentials of a secure data encryption archetype operation across large distances.
Concept of operation:
Ground stations A and B represent the two distant nodes of a network. The owner of
the two stations has very high security requirements e.g. government sector, military sector,
critical infrastructure provider etc… A satellite passes over A and B once a day and enables
56
them to share a common secret which will then be used in a (symmetrical) encryption
scheme to secure data transmission between them across the long communication path.
The two remote sites [1] are served, one after the other, via a free-space QKD link
by an aircraft [2] or by a low orbiting space satellite (LEO) [3]. A variant of this configuration
could well involve several LEO satellites, interconnected via “free-space" links and able to
exchange keys over long distances at very high rates, due to the significantly lower
attenuation of free space compared to the terrestrial atmosphere. Moving platform working
as flying QKD nodes, providing a physical connection to “each end” of the long-haul path
may also be envisaged as a variant [4].
A and B have free space QKD systems with movable directional telescopes capable
of pointing and tracking a target C that moves in the sky and carries a QKD system
considered trustworthy and secure. “First”, C passes over ground station A and establishes
a mutual symmetrical secret “a” with A (Fig.2a). Later, C passes over the station B and
establishes another symmetrical secret “b” with B (Fig.2b). It then uses it to One-Time-Pad-
encrypt the secret it previously exchanged with A and passes the cryptogram (a xor b) trough
a conventional classical communication channel to B that can recover the secret key “a”
which A already has (Fig.2c). The ground stations A and B now share a common secret key
they can be use for any crypted communication (Fig.2d).
57
Fig. 2a: C and A exchange a secret “a”
Fig. 2b: C and B exchange a secret “b”
Fig. 2c: C sends encrypted secret (“a” xor “b”) to B using a classical channel
Fig. 2d: A and B share a common secret key “a”
58
5.1. Benefits.
The operation allows distribution of a key with highest security between two ground
stations A and B separated by “arbitrary” distances. In principle, the stations can be in fact
at “any” two points on the surface of the earth, as long as these points are covered by the
moving target. Most important, the two ground stations can be either “stationary" or “moving”
on the surface. The moving target C can either belong to a service provider (operator,
carrier, etc.) or to the owner of the ground stations.
5.2. Quality of the service.
The refractive index of air in the atmosphere varies between the layers of different
temperature and different humidity or because of adverse weather conditions or pollution,
so that free-space QKD enabled cryptography is susceptible to attenuation by atmospheric
conditions. Strong ambient light also hampers detection of extremely weak quantum signals.
These phenomena can significantly reduce the achievable key generation rate of QKD
enabled cryptography. The "fast motion” of C may also reduce the window of opportunity for
QKD enabled cryptography.
Finally, the target may not be easily accessed when it is deployed in space, which is
a disadvantage in case of a failure requiring repair yet an advantage for preserving its
physical integrity. The availability of a long-distance service should also be guaranteed “in
combination” with additional key distribution channels as a “fall-back” solution.
Bibliography.
1. We consider here two remote users unlike the case in which the communicating parties are
either directly connected by QKD links or are relying on an intermediary network
infrastructure for key distribution.
2. Planes can instead can be employed or possibly high altitude platforms (HAP) as e.g.
aircrafts with limited cruising radius operating at heights of about 10-20 km. The HAP’s can
conveniently supply a metropolitan area region with keys from above, covering a potentially
larger area than what can be achieved in direct line of sight on the surface ground.
3. Low Earth Orbit (LEO) satellites are used for public networking and for scientific purposes.
Communication via satellite begins when the satellite is positioned in its orbital position at
about 300 to 1000 kilometers altitude. Ground stations can communicate with LEO satellites
only when the satellite is in their visibility region. The duration of the visibility and the
communication vary for each LEO satellite pass over the station, since LEO satellites move
59
too fast over the Earth. The satellite coverage area is defined as a region of the Earth where
the satellite is seen at a minimum predefined elevation angle. Geosynchronous or
geostationary satellites e.g. are not viable options as their altitude of orbit of between 36 000
km (circular orbit) and 42 000 km (inclined orbit) requires optical telescopes with impractical
apertures of about 10 meters.
5.3. Cost Effective & Practicality.
QKD-secured circuits are unlikely to be cost-effective, though current technology is
rather well established and available. Most reviews from government security centers seems
to recommend that research and development of QKD systems should be actively pursued
to ensure that the relevant applications become cost-effective and practical. In the long-term
vision each user could adopt a “simple transmitter” and outsource all the complicated
devices for network control and measurement to an “untrusted” network operator [1]. Since
only one set of measurement devices will be needed for such a network shared by many
users, the cost per user could tentatively be kept relatively low. The network provider would
on the other hand be in a favorable position to deploy state-of-the-art technologies to
enhance both (i.) the network performance and (ii.) all network management tasks.
Consistent with this target promising efforts are being made including photonic
integration [2]. The latter is well known to encompass both cost and robustness issues and
chip-scale integration will bring high level of miniaturization, leading to compact and light-
weight QKD modules that can be mass-manufactured at low cost. The main integration
platforms currently being explored are silicon (Si) [3] and indium phosphide (InP) [4]. Chip-
scale “transmitters” for QKD protocols, reconfigurable so as to accommodate state
preparation for several QKD protocols, including e.g. decoy-state BB84, COW and DPS,
has been recently developed using InP [5]. Chip-scale “receivers” for QKD protocols
employing single-photon detection are also making progress; single-photon detectors have
been successfully integrated e.g. in low-loss planar-lightwave-circuits (PLCs) exploiting
state of the art silica-on-silicon technology [6].
The development of chip-scale QKD is still at an early stage, yet it remains a crucial
and promising venue to develop full integrated systems and research in this direction will
certainly help bring the QKD technology closer to its wide adoption.
60
Bibliography.
1. Untrusted network have the important advantage that the network operator can be
completely untrusted without compromising security. Imagine a star network where there is
at most one intermediate node between any two users, allowing for secure quantum
communication among all users without the need for the relay to be trusted. This approach
has already been demonstrated based on the MDI-QKD protocol (See Sect. metropolitan
and backbone).
2. R. J. Hughes et al. “Alternative techniques include lithium niobate (LiNbO3) integration and
glass waveguide technologies” arXiv:1305.0305 [quant-ph] (2013).
3. A. E.-J. Lim, J. Song, Q. Fang, C. Li, X. Tu, N. Duan, K. K. Chen, R. P.-C. Tern, and T.-Y.
Liow, IEEE J. Sel. Topics Quantum Electron. 20, 405 (2014).
4. M. Smit et al., “An introduction to InP-based generic integration technology”, Semicond. Sci.
Technol. 29, 083001 (2014).
5. P. Sibson et al., “Chip-based Quantum Key Distribution”, Arxiv preprint arXiv:1509.00768
[quant-ph] (2015).
6. Y. Nambu, K. Yoshino, and A. Tomita, “Quantum encoder and decoder for practical quantum
key distribution using a planar lightwave circuit”, J. Mod. Opt. 55, 1953 (2008).
5.4. Implementation security & validation.
Although QKD provides unconditional “information-theoretic” provably secure
cryptography, its “information-practical” security relies on the correct implementation. In fact,
real systems may still possess side channels, i.e. security vulnerabilities, if their
implementation deviates significantly from the idealised models used in the security analysis
[1,2]. QKD implementations are hardware dependent, for instance, which clearly opens a
new set of possible avenues for attack [3]. Weaknesses in QKD implementations have
anyway been known since at least 2010 when state-of-the art technology and hardware
used in QKD systems hardly met the theoretic security of the original QKD protocol
conditions. As seen in the previous, these hardware ‘non-idealities’ included e.g. on-demand
single photon emitters, lossless photonic channels between sender and receiver, perfect
photonic detectors, perfect alignment of bases throughout the system, etc.… Such ‘non-
idealities’ are known [4] to lead to security issues called “quantum hacking “.
Therefore, the security analysis of a cryptosystem’s implementation i.e.
“implementation security” is an important step in the evolution of a cryptographic technology
and so does QKD enabled cryptography. Since the security of quantum cryptography
depends only on the local equipment of the users, the fundamental task in quantum
61
cryptography implementation security is to estimate how much information leaks from such
equipment to a potential adversary. When this information leakage can be bounded below
a certain value [5], security can be restored [6]. Implementation security issues and their
relevant vulnerabilities must be well-studied and assessed through established architectural
design principles, verifiable designs and assured operational configurations to provide
trustworthy systems to end users.
To that end it is very important stressing that security analysis is however a common
threat to “any” cryptosystem, regardless of whether it is based on “quantum mechanics” or
on “computational complexity” [7-9]. As high-security crypto devices, QKD cryptographic
systems should then undergo formal security assessments and certification processes to
address physical attacks, side channel analysis and data manipulation. At the moment
within the QKD community there seem to be a little discussion thereof along with an arguably
sluggish progress towards an independent certification process.
By adequately characterizing a real system, it is then possible to restore the security
promise of the theoretical protocol. It is worth recalling that a chief feature of quantum
cryptography is that this security statement does not change with future technological
advances and a careful analysis of the real security level of a cryptosystem remains an
important issue. Protocols should, in fact, be accompanied by independent “validation” apt
to test and certify quantum communication equipment and services [10]. This is far more
important because many quantum technologies are ‘dual-use’, meaning that they have
military and civil applications and there should be good co-ordination between military and
civil aspects of future quantum technologies. Validation should further encapsulate the
principles of “responsible innovation” as well [11]. For a number of governments responsible
innovation bears a special place for quantum technologies as they are new and still
emerging [12,13].
62
Tab 1. QKD vs. Public/Private Key protocols
QKD Public Key
CON
Requires specific hardware,
communication lines etc.
Can be implemented in standard
software PRO
PRO
Security is based on principles
that do not requires changes in
future
Requires using longer P/P keys
as computer power increases CON
PRO
Protocol security is guaranteed
regardless of Eve’s resources
(computational power, storage
memory, etc.)
Protocol security depends on
Eve’s resources (computational
power, storage memory, etc.)
CON
PRO Mathematically proven secure
based on basic physics laws
Mathematically based on
algorithms that cannot be easily
solved, yet a solution may be
found
CON
CON Not cost effective…but will
improve Affordable by anyone PRO
PRO Will still be as secure even if
quantum computer will be built
If a quantum computer will be
built, it will be able to break it in
no time
CON
CON
Still young and in strong
development Quite tested and deployed
PRO
?
Bit rate for key generation still
increasing and it will continue to
improve
Requires considerable amount of
computing power, not a problem
with little data like normal secret
keys, but impractical with larger
data
CON
CON
As of today it works only within
specific networks
Works with most familiar
networks PRO
PRO
Can be used with One-Time-Pad,
the only mathematically proven
secure cryptographical algorithm
Cannot be used with One-Time-
Pad CON
63
Bibliography.
1. V. Scarani, H. Bechmann-Pasquinucci, N. J. Cerf, M. Dušek, N. Lütkenhaus and M. Peev, “The security of practical quantum key distribution”, Rev. Mod. Phys. 81, 1301 (2009).
2. V. Scarani and C. Kurtsiefer, “The black paper of quantum cryptography: real implementation problems”, Theor. Comput. Sci. 560, 27 (2014).
3. “Quantum key distribution”, White paper on quantum key distribution (QKD). National Cyber Security Centre Quantum key distribution, 2016.
4. “Public attitudes to quantum technology”, Sciencewise (2014). 5. A partially secret bit sequence can be compresses into a highly secure key, with the amount
of compression depending upon the estimated information leakage (privacy amplification). 6. Moser, P. M. “Gravitational Detection of Submarines”, Pacific-Sierra Research Corporation
Warminster United States, 1989. 7. For example, timing attacks can threaten implementations of both quantum and non-quantum
systems. 8. See e.g. P. Kocher, “Timing attacks on implementations of Diffie-Hellman, RSA, DSS and
other systems”. CRYPTO’96, LNCS, vol. 1109, pp. 104–113 (1996) for the non-quantum case
9. See e.g. Qi, B., et al., “Time-Shift Attack in Practical Quantum Cryptosystems”, Quantum Information Computation, 7, (2007) 73-82 for the quantum case.
10. It is worth noting that the Quantum Communications Hub (York) currently has a Partnership Resource project working on exactly such validation for Quantum Random Number Generators, as a first step towards these recommendations. NPL is the independent validation body, underpinned by theoretical work from the University of York and overseen by NCSC.
11. Responsible Innovation is an emerging set of practices which have been developed to help all stakeholders to consider the social and ethical issues of new technologies, to ensure that new technologies are developed in the public interest, are ethically acceptable, economically, socially and environmentally sustainable, and socially desirable.
12. The UK government’s review of quantum technologies e.g. recommends that quantum communications and cryptography research groups should work together leading to joint technical developments of QKD based quantum cryptography as well as other uses of quantum technology.
13. Government Office for Science. The Quantum Age: technological opportunities (The Blackett Review of quantum technologies). 2016.
64
6. A GLOBAL OVERVIEW
Quantum technologies are still much “upstream” and therefore open to a range of
possible futures, some more attractive than others. It is then timely to dwell on the potential
impact of those technologies on defense and national security, though at the moment clear-
cut predictions are somehow not easy to make. When considering the future impact of a
new technology, there is anyway always a dilemma [1], namely, it is difficult to predict the
impact of a new technology still not extensively developed and widely used, conversely,
change is difficult once the technology has become deep-set.
Needless to say that for armed forces integration of quantum technologies currently
represents one of the most anticipated advances. Unbreakable one-time pad encryption
enabled by QKD provide the ultimate protection available and proven secure even against
quantum computing; still such a new form of cryptography is hard to fit within the
infrastructures of standard communication networks.
To this purpose new quantum networks are being successfully created that can be
combined with modern QKD cryptography in ultra-low loss fibre networks as well as in the
mobile terminals of emerging free-space networks. As illustrated in the previous sections,
tremendous achievements have been accomplished in the past decades, which certainly
will yield new solutions for the future communication systems for the military. At the fast
pace at which such advancements progress there is little doubt, according to security
professionals, that QKD enabled cryptography will have a disruptive effect when it will be
employed at large. A brief brief outlook on how the world's foremost military powers are
tackling these important changes is now provided.
Several nations are indeed investing heavily in quantum research to gain both
economic and military advantages. U.S. and China place themselves as powerhouses in
quantum technologies. Although they continue to accumulate ever-sophisticated offensive
capabilities, China’s recent advances could impact their future strategic balance perhaps
even overtaking the traditional military-technological advantages of the U.S., which
maintains however an overall military primacy.
Over the past few years, the Chinese researchers have achieved a track record of
consistent advances in the development of quantum technologies, most remarkably in the
area of quantum cryptography. Many of these breakthroughs demonstrate the success of a
65
long-term research agenda (See Table 2.) that has been actively dedicated to cultivating top
talents and extensive fundings. China’s long rise was displayed with the launch (2016) of
the first quantum satellite “Micius” (Mozi, 墨子). China also established the first long-distance
terrestrial quantum-communication link (2017) between Beijing and Shanghai. In addition,
full completion of the planned US$10-billion National Laboratory for Quantum Information
Sciences in Hefei, Anhui province, will lead the nation’s drive for quantum technology. Such
successful demonstrations in quantum information science [1], spurred China’s launch of
new national “mega-projects” in quantum communications and computing, with the aim to
achieve major breakthroughs in quantum technologies by 2030. These endeavors clearly
underscored Beijing’s continued prioritization on innovation in critical technologies apt to
strengthen China’s Military capabilities. They also represent indeed landmark initiatives that
could secure further China’s national security and, inarticulate, government communications
against foreign observation.
Already in 2015 a McKinsey & Company estimate placed China among the top
spenders in nonclassified quantum technology research, second only to the United States,
ahead of Canada, Australia, Japan, and Russia [2] Again in 2015, China led the world in
patent applications for quantum cryptography and quantum-key distribution (367
applications) while being second only to the U.S. in filing patents for quantum sensors, yet
lagging behind five countries as far as quantum computing patents are concerned [3] though
these rankings may be nowadays out of date. Funding in China appears to be substantially
on the rise since 2015, and this effort is not restricted to the government only. China’s private
sector is in fact investing in this area, including e.g. Alibaba Quantum Computing Lab, a joint
collaboration (2015) between Alibaba Group’s cloud computing (Aliyun) and the Chinese
Academy of Sciences (CAS) to explore and develop commercial applications of quantum
computing [4].
China’s leaders, on the other hand, recognize the strategic potential of quantum
science and technology to enhance the economic and military dimensions of national power.
President Xi Jinping recently emphasized the strategic importance of quantum technologies
to national security, and in particular, in the context of cyber-security [5]. This high-level
focus evinced clear recognition by Beijing of the potential strategic implications of quantum
technologies for future networked battlefield [6] Chinese strategists seem confident that
66
quantum communications are deployable for ‘local wars’ as e.g. in the near-seas [6] though
it is clearly difficult at this stage to substantiate the trajectory of China’s quantum capabilities.
In contrast, the U.S. military has yet to make significant investments into the
development of quantum communications systems, under the apparent assumption that this
technology would not significantly enhance U.S. communication security [7] According to a
widespread perception, the perfect security that quantum cryptography promises may not
be achievable in practice. The substitution of QKD for conventional encryption does not
eliminate other weak links and vulnerabilities in the security of a system. Thus far, QKD has
confronted a range of practical challenges in implementation beyond the laboratory [8].
Given the considerable logistical and technological difficulties, QKD, according to the initial
assessment of a report from the U.S. Air Force Scientific Advisory Board, did not appear to
confer enough of a security advantage to warrant the added complexity necessary for its
use, relative to the best classical alternatives available [9].
In support of such a belief, there have even been several demonstrations of
techniques to hack, spoof, or otherwise interfere with commercial quantum cryptographic
systems, such as through side-channel attacks and means of interception that remain below
the expected error threshold or replicate data surreptitiously [10]. The detection of these
potential loopholes has since enabled measures to mitigate those vulnerabilities and better
verify the security of quantum systems. But it remains to be seen whether this promise of
“perfect” security will ever be more fully realized.
Surprisingly enough among the armed forces, only up until recently the US Army
Research Office has started to fund extensive research in quantum technology, including
quantum cryptography and quantum computing while the US Air Force sees these two fields
as bearing transformative technology for information and space warfare. Navigation base
on quantum cryptography and quantum computing (quantum navigation) e.g. may allow
greater independence from space-based systems and the realization of quantum radar,
quantum imaging and quantum sensing would enhance domain awareness and targeting.
Several external analysts have warned that China’s pursuit of military-use quantum
technology could nevertheless expose U.S. military communications to new vulnerabilities
during peacetime anticipating, in turn, that during a conflict or crisis these vulnerabilities
could shift the asymmetric information balance of power in Beijing’s favor [11]. On the same
note, should China become a pioneer in quantum computing, for instance, then the
leveraging of such immense computing capabilities could convey a strategic advantage. It
67
has also been drastically stated [46] that if China was to become the world’s first quantum
power it would place sensitive information systems at risk while challenge U.S. technological
dominance in all forms of information-centric networked warfare and, in particular, stealth
capabilities and military satellite networks [12]. A White House official recently warned that
America’s information-centric ‘ways of war’ were increasingly under siege from China’s
quantum technology advances, threatening to eventually offset U.S. military-technological
lead [13].
It is nevertheless important to emphasize at this stage that the U.S. has a long history
of research and innovation in the area of quantum information, especially quantum
cryptography. Los Alamos researchers, in fact, were the first to send a quantum key through
a 31-mile-long optical fiber, way back in 1999! The researchers also developed a free-space
quantum cryptography system that could send keys through the air for distances of up to 10
miles [14]. The U.S. has also apparently made substantial and continued progress in
quantum information science according e.g. to a recent report of the Committee on Science,
Homeland and National Security (2016) underscoring that advancing quantum information
science was a definite priority for federal investment. Some of the U.S. federal agencies
have indeed executed research programs in quantum related technologies for over two
decades with annual fundings around $200 million for basic and applied research [15]. The
U.S. Department of Defense through the Defense Advanced Research Projects Agency
(DARPA) and the National Institute of Standards and Technology (NIST) have provided
basic research support (2018) for quantum information science while the Department of
Energy and the National Science Foundation committed another US$250m to support
quantum sensing, computing and communications in the form of five-year grant awards.
They have also supplemented existing resources within the government, academia, and
industry in the National Strategic Computing Initiative [16].
Crucially, a few leaders in the private sector such as e.g. IBM have more than three
decades of research experience in quantum technologies, while giants such as Google,
Microsoft and Intel are currently investing heavily in quantum information sciences and
related technologies [17]. In the West, private companies along with D-Wave Systems
(Canada) are leading the development of quantum computers that may run the quantum-
enabled military platforms of the future. No doubts the U.S. enjoys a vibrant innovation
ecosystem that China lacks instead and in the long term China’s success will depend on its
ability to develop stronger ecosystem involving academia and industry, with firm support
from the government.
68
U.S. and China are clearly not the sole players in this massive effort. Collectively,
European nations have a well-acknowledged scientific excellence in quantum technologies
with a world-class technical expertise as one may evince e.g. from the number of top level
research publications. Such an excellence has been fostered by programs like e.g. the
“Future and Emerging Technologies” initiative of the European Union, supporting research
in quantum technologies since the Fifth Frame-work Program (1998). Over the last two
decades, the cumulative funding in this area has reached close to €550 million [18]. The
European Commission’s “Quantum-Technologies Flagship” (2018) programme [19] is
another large-scale research initiative entailing funds far in excess of €1bn (US$1.1bn) over
a ten-year range. The initiative, as part of its Future and Emerging Technologies Program,
is intended to focus on four main quantum technology areas: communication, computation,
simulation and sensing and clearly aims at reinforcing European scientific excellence in
quantum research and technologies.
The United Kingdom committed £270 million for a five-year National Quantum
Technologies Programs (2013) [20] that was intended to build four new hubs in sensors and
metrology, quantum enhanced imaging, networked quantum information technologies, and
quantum communications technologies [21]. This program is also supposed to harness
expertise in both academia and industry to ensure that research laboratories results gets
transformed into industry products, a measure that has become the subject of a UK
parliamentary inquiry (late in 2018).
French President Macron signed a memorandum of understanding (2018) with
Australia’s then-prime minister Turnbull on a joint venture to develop and commercialise a
quantum silicon integrated circuit combining the efforts of Silicon Quantum Computing
(Australia) and the Commissariat à l'énergie atomique et aux énergies alternatives (France).
Finally, Germany announced new funding (2018) for quantum-technologies research
worth €650m (US$771m) for the period 2018–22.
Russia is also investing in quantum technology but has not committed the same level
of resources as other nations do remaining behind China and the US. That may partially
correlate with the overall decline in Russian scientific-research capacity since the 1990s
69
despite president Putin has reportedly raised national spending on research and
development (R&D) to 1% of Russia’s gross domestic product (US$3bn) in 2018.
Bibliography.
1. This is referred to as the “Collingridge dilemma” whereby the efforts to influence or control the further development of technology face a double-bind problem. See e.g. Collingridge, D., “The social control of technology”. Pinter, London, (1980).
70
2. Quantum information technology encompasses quantum cryptography, quantum computing and also quantum navigation for which reports of progress in quantum radar, sensing, imaging and metrology are well known. J. Costello, and E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science,” China Brief 16, no. 18 (2016), 11–6. Chinese efforts to develop quantum information science and Artificial Intelligence (AI) increased in importance in the aftermath of the leaks by former NSA contractor Edward Snowden that demonstrated the disparity between the PLA’s offensive cyber-warfare capabilities vis-a-vis the United States.
3. “Quantum Technology Is Beginning to Come into Its Own,” The Economist, accessed October 8, 2017, http://www.economist.com/news/essays/21717782-quantum-technology-beginning-come-its-own.
4. Ibid. 5. “Aliyun and Chinese Academy of Sciences Sign MoU for Quantum Computing Laboratory,”
Alibaba Group press release, July 30, (2015). 6. In 2013 e.g. President Xi visited Anhui Quantum Communication Technology Co. Ltd. for a
collective learning session. There he met with Pan Jianwei, the deputy chief of staff of the PLA [5-bis] new Northern Theater Command. See e.g. Anhui Quantum Communication Innovation Achievement Debut: Central Politburo Team Learning Event,” QuantumCTek, September, 2013. http://www.quantum-sh.com/news/ 146.html (accessed June 13, 2017). Later (2015) during China’s 18th Party Congress’ 5th Plenum, he included quantum communication as a priority research strategic focus for ‘major breakthroughs’ by 2030. See e.g. J. Costello, and E. Kania, “Quantum Leap (Part 1): China’s Advances in Quantum Information Science,” China Brief 16, no. 18 (2016), 11–6. [5-bis] The Chinese People's Liberation Army (PLA) is an unified organization of China’s land, sea, and air forces. It is one of the largest military forces in the world. The People’s Liberation Army traces its roots back to the 1927 (britannica.com).
7. See J. Wang, “Quantum Technology: Informatization and the Changing face of Warfare” PLA Press, September 27, (2015). S. Chen, “Quantum teleportation breakthrough earns Pan Jianwei’s team China’s top science award” South China Morning Post, January 8 (2016).
8. The value of quantum cryptography for military use has been subject to some debate namely on whether the substitution of standard encryption technology for quantum alternatives does not actually remove the basic vulnerabilities inherent to communication systems. See e.g. A. Mehta, Air force study shows potential limits of quantum technology. Defense News, August 9, 2015.
9. Eleni Diamanti et al., “Practical challenges in quantum key distribution,” Quantum Information, November 8, 2016, https://www.nature.com/articles/npjqi201625.
10. USAF Scientific Advisory Board, “Utility of Quantum Systems for the Air Force” August 19, (2016).
11. “Canadian researchers claim Chinese quantum network might not be hack proof after all” South China Morning Post, June 12, 2017, http://www. scmp.com/news/china/article/2068122/canadian-re-searchers-claim-chinese-quantum-network-might-not- be-hack. See also “Commercial Quantum Cryptography System Hacked,” MIT Technology Review, May 17 (2010).
12. M. Ravindranath, “America’s lead in quantum computing is ’under siege” Defense One, December 7 (2106).
13. J. Costello, and E. Kania, “Quantum Leap (Part 2): The Strategic Implications of Quantum Technologies” China Brief 16, no. 19 (2016).
14. During a recent DoD’s Defense Innovation Board (DIB) session, a call with made for greater collaboration between the private and state sectors (or ‘citizen-leader-innovators’) in the study of new innovative cutting-edge technologies for military applications - especially investment into A.I. and machine learning. C. Pellerin, “Defense Innovation Board Makes Interim Recommendations,” DoD News, Defense Media Activity, October 5, (2016).
15. “Quantum Cryptography,” Los Alamos National Laboratory, accessed January 24, (2018). 16. “Advancing Quantum Information Science: National Challenges and Opportunities” joint
report of the Committee on Science and Committee on Homeland, National Security of the National Science and Technology Council, Washington, DC, July (2016).
71
17. “The National Strategic Computing Initiative” Networking and Information Technology Research and Development Program, accessed January 24 (2018).
18. Idalia Friedson, “The Quantum Computer Revolution Is Closer than You May Think” National Review, May 2, (2017).
19. “Commission Staff Working Document on Quantum Technologies,” COM (2016) 178 (European Commission, Brussels), 4.
20. “European Commission Will Launch €1 Billion Quantum Technologies Flagship,” European Com- mission, May (2016).
21. “Overview of Programme,” UK National Quantum Technologies Programme, accessed January 24, (2018).
22. “UK National Quantum Technologies Programme”, January 24, (2018)
72
NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE
Ce.Mi.S.S.1
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) è l'Organismo che gestisce, nell'ambito e
per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.
Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria
opera valendosi si esperti civili e militari, italiani ed esteri, in piena libertà di espressione di
pensiero.
Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del
Ricercatore e non quella del Ministero della Difesa.
Maurizio ARTONI (*)
M. Artoni, Ph.D. The City University (New York, 1990), National Academy of Science Fellow
& Goddard Space Flight Center (NASA, Washington, 1991-93), Research Officer (1993-99)
The University of Essex (UK) e Consejo Superior de Investigationes Cientificas (Spagna),
Laboratorio Europeo di Spettroscopia non Lineare (LENS, 2000-02), Professore (2002,
Università di Brescia), Ricercatore associato (LENS ed Istituto nazionale di ottica (2005).
I suoi interessi fino ad oggi includono l'ottica quantistica, coerenza quantistica in strutture
atomiche e fotoniche a bassa dimensionalità, aree di ricerca svolte in collaborazione con
teams nazionali e internazionali (Scuola Normale Superiore (Pisa), Essex, St. Andrews,
Exeter e York University (UK), Universitat Autonoma de Barcelona (Spagna), Jilin University
e Center for Quantum Sciences (Cina) etc.). Ha coordinato progetti nazionali (PRIN-MIUR,
PAISS-INFM”, etc…) e progetti internazionali (“Action Integrada” Italia-Spagna, “CRUI-
British Council”, progetti Grande Rilevanza Italia-Cina del Ministero degli Affari Esteri
italiano e della National Science Foundation of China, etc…). Responsabile esterno nella
valutazione della ricerca per principali iniziative scientifiche e tecnologiche nazionali e
internazionali (Comissió d'Avaluació de la Recerca a AQU Catalunya (Spagna), John D. e
Catherine T. MacArthur Foundation (US), NASA-Goddard Space Flight Center (US),
l'Istituto Nazionale di Scienze dell'Educazione e della Ricerca (NISER) del Governo
dell’India, Ministero dell'Istruzione, dell'Università e della Ricerca (MIUR) etc.)
(*) Per maggiori dettagli si rimanda al sito ugov dell'unibsphotos.
1 http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pagine/default.aspx
Satmpato dalla tipografia del Centro Alti Studi per la Difesa____________
Printed by typography fo the Center for Defence Higher Studies