Parolalarla ilgili sorun, zayıf yapı, yeniden kullanım veya veri ihlalleri nedeniyle çok savunmasız olmalarıdır
Parolalarla ilgili sorun, zayıf yapı, yeniden kullanım veya veri ihlalleri nedeniyle çok savunmasız olmalarıdır. Tedarik zinciri dünyasında, güvenlik tartışmalarının gündeminde şifreler yer aldığında hırsızlık ve müdahale gibi ürün kimlik doğrulama sorunları ön plana çıkıyor. Dürüst olmak gerekirse, taklitin yaygın olduğu hologramlar veya QR kodları söz konusu olduğunda, işler bir bütün olarak daha iyi değildir.
Tedarik zinciri sahteciliği sorununu çözmek, yeni COVID-19 salgın gerçekliğinde yepyeni bir aciliyet düzeyine ulaştı. Suç teşebbüsleri, pandeminin sunduğu küresel ilaç ve tıbbi malzeme talebinin alçakça fırsatı yakaladı ve bunun sonucunda sahte malların yasadışı ticareti patladı.
Peki ya sahteciliği imkansız kılmayı vaat eden 'kırılmaz' bir ürün kimlik doğrulama metodolojisi olsaydı?
Tedarik zincirinin güvenliğini sağlamak söz konusu olduğunda, bir sonraki büyük şey olabilecek atom ölçekli dijital kimlik dünyasına hoş geldiniz.
Lancaster University start-up Quantum Base, her nano ölçekli cihaz 1.000 trilyon atom içerdiği için patentli Q-ID optik kimlik doğrulama etiketlerinin kopyalanmasının imkansız olduğunu iddia eden bir Birleşik Krallık şirketidir. Kuantum Üssü, bunun, 13 milyar yıl önce evrenin yaşı ile ilgili gezegendeki en güçlü tarama sondası mikroskoplarını alıp aynı bir klonu üreteceğini söylüyor.
Dahası, Quantum Base şu anda bu kimlik doğrulama sistemini gelecekten toplu olarak üretmek için "büyük bir üretici" ile çalışıyor.
Lancaster Üniversitesi'ndeki IsoLab, titreşim, gürültü ve elektromanyetik bozukluğun büyük ölçüde azaltıldığı ve ölçüm ve karakterizasyon için ultra temiz bir ortam oluşturan 3 laboratuvardan oluşan bir süittir. Bilim insanlarının, son teknoloji kuantum teknolojilerine dayanan basit, pratik, ölçeklenebilir bir güvenlik cihazları ailesi oluşturduğu yer burasıdır. Spinout şirketi Quantum Base tarafından ticarileştirilen bunlar, 'klonlanamaz' kimlik etiketlerini içerir
Tedarik zinciri kimlik doğrulamasındaki sorun
Sahteciliği önleme etiketleri veya parola koruması gibi güvenlik kimlik bilgilerini çoğaltmanın zor olması veya gizliliğe dayandıran mevcut tedarik zinciri kimlik doğrulama çözümlerinin olması gerektiği kadar güvenli olmadığını kabul edelim. Daha önce bahsettiğim gibi, taklit, hırsızlık, hackleme ve müdahale argümanlarının hepsi bu tartışmada devreye giriyor. Quantum Base'in atomik ölçekli cihazları parolaya ihtiyaç duymaz ve şirkete göre klonlamaya karşı dayanıklıdır.
Quantum Base, bu atom ölçekli Q-ID etiketlerinin şimdiye kadar yapılmış en güvenli sistem olduğunu iddia ediyor. Benden bekleyeceğinizden emin olduğum için bu kırılmazlık ve açılamazlık iddialarını zamanı gelince sorgulayacağım. Ama şimdilik Kuantum Üssünün burada ne yaptığına bakalım.
"Kuantum malzemelerin rasgeleliğinden yararlanılarak" oluşturulan Q-ID optik etiketlerle tedarik zinciri ürün kimlik doğrulaması ve takibi yapılabildiği bilgisi verildi. Başka bir deyişle, grafen gibi tek atom kalınlığındaki "2D malzemelerde" bulunabilen düzensizliklere dayanan benzersiz atomik ölçekli dijital kimliklerin oluşturulması.
Kuantum fiziği, anomalileri güçlendirerek parmak izini imkansız hale getirir. Burada bahsettiğimiz nano ölçek nedeniyle, insan saçının 1000'de biri boyutundan daha az, gerçekten benzersiz bir parmak izi oluşturmak için herhangi bir ürünün veya etiketin, herhangi bir QR kodunun veya hologramın yüzeyine kolayca dahil edilebilirler.
Quantum Base ayrıca Q-ID'lerin mevcut süreçler kullanılarak toplu olarak üretilebileceğini ve herhangi bir malzemeye dahil edilebileceğini söylüyor. Burada toplanan Holy Grail statüsüne eklemek için, uzun yapay organizasyon zincirleri kullanan tedarik zincirlerinin taklit edilmesi, her zincir şeffaf olacağından geçmişte kaldı: Q-ID kodu, eşleşecek bir akıllı telefon uygulaması kullanılarak taranabilir. üretici veri tabanına.
Bir parti mal çalınırsa, tedarik zinciri bütünlüğünü sağlamak için grafen kimlik etiketleri herhangi bir noktada basitçe "kapatılabilir".
Atom dünyasında kimlik doğrulama konusunda teknik bilgi edinme
Q-ID'lerin arkasındaki gizli sos, atom ölçeğinde her şeyin benzersiz olduğu fikrine dayanıyor: PUF'ler sayesinde belirli bir etiket yapısını klonlamak için tek atomları hareket ettirmek neredeyse imkansız. Fiziksel olarak klonlanamayan fonksiyonlar (PUF'ler), kuantum mekaniğinden klonlamasız teoremi kullanma fikrini ortaya çıkarır, benzersiz parmak izleri elde edilebilir. Sadece PUF'lerin etrafından dolaşmak için başka bir derinlemesine inceleme makalesi gerekir, ancak neyse ki burada bulunabilecek mükemmel bir PUF astarı var.
Quantum Base, optik kuantum PUF'lerin basitçe klonlanamayan, kopyalanamayan veya simüle edilemeyen "% 100 mutlak kimlik doğrulama" sağladığında ısrar ediyor, çünkü burada kendimi tekrarlıyorum, biliyorum, her şey atomik ölçekte benzersiz. Tabii ki, bu bir şekilde sizin benzersiz tanımınıza bağlıdır, ancak tahmin ediyorum ki çoğu insan, kopyalanması oldukça zor olan 1.000.000.000.000.000 atomla birlikte gidecektir.
Yine de kopyalanması zor olan kırılmaz veya klonlanamaz ile aynı şey değil ve bunlar Quantum Base tarafından iddia edilenler.
Doğal olarak, alaycı, eski bir aptal olduğum için gittim ve tüm bunlarla başa çıkmama yardım edebilecek boffinleri aradım. Kuantum güvenliğine özel ilgi duyan bir matematikçi ve güvenlik araştırmacısı olan Dr. Mark Carney ile başlayalım.
Tamam, kimlik doğrulamada kullanılan PUF'lerle başlayalım, Dr. Carney, bunu tek bir çipin karakterize edilebileceği fikri olarak tanımlıyor ve ardından bu çipten gelen yanıtlar aynı olduğundan emin olmak için tedarik zinciri boyunca karşılaştırılabilir. Dr. Carney, "Saldırgan, çipin karakterizasyonu hakkında bazı veriler elde etse bile, çipten daha fazla hata veya varyasyon üretmeye mahkumdur ve teoride, yeterince büyük bir örnek verildiğinde bunu tespit edebilirsiniz" diyor. Bu, bir meydan okuma-yanıt çiftleri veya CRP'ler süreciyle yapılabilir.
Genel olarak, Dr. Carney bunun oldukça iyi çalışabileceğini ve "işe yarasa iyi olacağını" hissetti. Eminim zaten bunu önceden tahmin etmişsinizdir, ancak bu: "ama kuantumdaki her şeyde olduğu gibi," diye ekliyor Dr. Carney, "güvenlik özünde nesnenin tam mekaniğine ve fizikselliğine bağlıdır - ve PUF'lerin harika bir kayıt geçmişi. " Aslında, CRP değerlerini tahmin etmek için "tembel" uygulamalardan ve Makine Öğrenimini kullanan bazı teorik saldırılardan yararlandığı bilinen yan kanal saldırıları olmuştur.
Nano Ölçekli Malzeme Mikroskobu bölmesi, IsoLab'daki üç laboratuvardan biridir. Atomik ve moleküler görüntüleme çalışmaları için kullanılır, ultra yüksek çözünürlüklü kuvvet görüntüleme ve atomik ve moleküler çözünürlükle ölçümün sınırlarını mevcut sınırların çok ötesine taşır.
Sonra, deneysel kuantum bilgisine özel bir araştırma ilgisi olan ve boşluk kuantum elektrodinamiği ve sürekli değişken kuantum anahtar dağıtımı konusunda uzman olan Leeds Üniversitesi'nden Profesör Ben Varcoe'ye döndüm. "Ben şahsen PUF'nin benzersiz bir tanımlayıcı sağladığı için ilginç bir kavram olduğunu düşünüyorum" diyor, "Mark'ın önerdiği gibi sorun, tanımlayıcının herhangi bir 'kaydet ve tekrar oynatma' senaryosunda kullanılabiliyor olması. işe yaramaz ya da en azından ilk seferinde kullanışlıdır, aynı zamanda donanım saldırılarına karşı savunmasızdır. "
Profesör Varcoe bana, PUF'nin kopyalanmasının çok daha zor olduğu karmaşık bir işlev olduğu önerilen bazı yöntemler olsa da, sağlanan güvenlik miktarında yine de bir zaman sınırı olacağını söyledi. "Zamanla değişen bir koda sahip olmak daha iyidir," diyor "kuantum olsa bile."
Bununla birlikte, Profesör Varcoe, "kesinlikle iki kuantum noktasının aynı olmadığı ve bu nedenle bu tam özelliğe sahip bir kuantum noktası oluşturmanın zor olacağı" ve "tüketicinin bir cep telefonunun kimlik doğrulaması son derece ilginç. " Tek kelime öbeği, kimlik doğrulama uygulaması amaçları için, sinyalin bir sahtekar tarafından kopyalanamaması gerektiğidir. "Eğer sahtekarların amacı kuantum noktalarıyla korunan bir sanat eserinin bir kopyasını yaratmaksa," diye açıklıyor, "o zaman sahtecinin yalnızca bir akıllı telefonu kandıracak bir sinyal oluşturması gerekir - aslında yeni bir set oluşturmak için hiçbir neden yoktur. kuantum noktaları. "
Önerilerden biri, modeli taklit eden bir yansıma (gökkuşağı) hologramı yaratmak olabilir ki bu zor ama imkansız değildir. Kamerayı kandırmak, kuantum mekaniğini kopyalamaktan daha ulaşılabilir olduğundan, akıllı telefon kamera sınırlamaları burada devreye girebilir.
Quantum Base baş bilimsel görevlisi yanıt verdi
Bu fikirlerle donanmış olarak, onları Royal Society Araştırma Görevlisi Profesör Rob Young'a götürdüm, aynı zamanda Quantum Base'in baş bilim sorumlusu ve aynı zamanda Lancaster Üniversitesi'ndeki kuantum teknoloji merkezinin yöneticisi.
Profesör Young, Q-ID açısı hakkında kuantumun ne olduğuna değinerek, Kuantum Tabanı optik ve elektronik Q-ID teknolojisinde, "kuantum fiziğinin, malzemelerdeki elektronların davranışını belirlediğini veya başka bir deyişle, kuantum malzemelerini kullandığımızı söylüyor. ."
Normalde, bir sistemin boyutunu küçülttüğünüzde, o sistemdeki varyasyonları ölçmenin giderek zorlaştığını açıklıyor; Bir kişinin parmak izleri arasındaki farkı görebilirsiniz, ancak iki benzer tüy arasındaki farkı söylemek için bir optik mikroskoba veya iki polen parçacığını birbirinden ayırmak için bir elektron mikroskobuna ihtiyacınız olacaktır, "Sistem küçüldükçe, daha da güçlü onları birbirinden ayıracak araçlar "diyor.
Bu, Profesör Young'ın sahtecilikle mücadele teknolojilerinde bir paradoks olarak bahsettiği şeye götürür: ya doğrulanması kolaydır, ancak aynı zamanda klonlanması kolaydır (hologramlar gibi) ya da klonlanması zordur, ancak aynı zamanda doğrulanması da zordur (mikrodotlar gibi), çok az kişi onları gerçekten kontrol edebilir. Profesör Young şöyle devam ediyor: "Ancak kuantum mekanik etkileri, sistem küçüldükçe büyüyor," ve eğer bir sistem yeterince küçükse, akıllı telefon kamerası gibi makroskopik araçlarla farklılıkları ölçebilirsiniz. "
Profesör, kuantum noktalarının çaplarına bağlı olarak farklı renklerde ışık yayacağını, yalnızca birkaç atomun genişlikteki değişikliklerine karşılık gelen emisyon renklerinde gözle görülür farklılıklar olacağını söyledi. "Optik Q-ID'miz bu şekilde çalışıyor" diyor: "Bir etiketin veya ürünün yüzey kaplamasına bir kuantum malzeme katmanı ekliyoruz; her nokta boyut olarak farklı ve aynı zamanda komşu noktaları da etkiliyor. "
Quantum Base'in geliştirdiği akıllı telefon uygulaması, malzemeden optik emisyonu uyarmak için telefondaki flaşı ateşliyor ve ardından her bir etiketi benzersiz şekilde tanımlamak için bu rastgelelikten bir parmak izi alıyor. Profesör Young, böyle yaparak diyor. "Ürünümüz, hem nano ölçekli varyasyonlara duyarlı olarak hem de ek donanıma sahip olmayan bir telefon kullanarak ölçmesi kolay olduğundan sahtecilikle mücadele paradoksunu ortadan kaldırıyor."
Teknik açıdan bakıldığında, bu bir kuantum sisteminin klasik bir ölçümüdür: Kuantum malzemelerindeki nanometre varyasyonlarının etkisini artırmak için kuantum hapsi (bir kutudaki parçacık problemi) kullanılıyor.
PUF'lerin sorunları var mı?
Profesör Young, Dr. Carney ve Profesör Varcoe ile PUF'lerin sorunları olduğu kesinlikle doğru olduğu konusunda hemfikir. "Ana alternatifin, hafızada gizli anahtar materyalleri saklamak olduğunu savunuyorum," diyor, "daha fazla sorunu olan ve birçok durumda da kötü uygulamadan muzdarip." Profesör Young bana bazı PUF şirketlerinin iyi iş çıkardığını söyledi, ancak Quantum Base ürünlerinin hepsinde üstünlük sağladığını iddia edecekti.
"Geleneksel PUF'ler benzersizliklerini klasik efektlerin ölçümüne dayandırır, bu da onları klonlanabilir hale getirir ve güvenlik sorunlarına yol açabilir," diye açıklıyor, "Q-ID'mizin elektronik varyantı, çok ince olan standart bir yarı iletken sisteme dayanmaktadır ( Nanometre ölçeğinde tekrar) orta katman. "
Optik varyantta olduğu gibi, bu katmanın genişliği ve bileşimindeki küçük dalgalanmalar her cihaza benzersiz bir yanıt verir. Profesör Young "Teknik olarak" devam ediyor. "Bir kuantum kuyusundaki bağlı durumlar kuyunun yapısına çok duyarlıdır, bunları bir rezonant tünelleme diyotu kullanarak elektronik olarak ölçüyoruz."
Peki ya PUF'lerin saldırıları 'kaydetme ve tekrarlama' eğilimi göstermesi? Akademik yolların birbirinden ayrıldığı yer burasıdır. Profesör Young, "Olmayan ve kuantum sonrası güvenli olan bir uygulamamız var" diye ısrar ediyor. "Esasen, dizideki mevcut yolun programlanabildiği bir cihaza bir dizi elektronik Q-ID öğesi yerleştirdik," diyor. Profesör Young, "Sınama-yanıt çiftlerinin sayısı artık doğrusal olmayan bir şekilde ölçekleniyor, öyle ki mütevazı boyutta bir cihazla geniş bir entropi havuzuna sahip olabiliriz," bu, CRP'lerin yeniden kullanılamayacağı uygulamalara izin veriyor. tekrar oynatıldı) ve kuantum güvenliği olduğu kanıtlanan tek seferlik bir pedde anahtar materyal olarak kullanılabilir. "
IsoLab'daki Kuantum Optik Laboratuvarı, ışığın kuantum mekaniksel davranışını ve optik cihazlar, malzemeler ve bileşenlerle etkileşimini keşfetmek ve kullanmak için kullanılır.
Q-ID teknolojisinin optik ve elektronik olmak üzere iki farklı versiyonu olduğu ortaya çıktı. Quantum Base'in hedeflediği uygulamalar açısından bunlar oldukça farklı. Optik Q-ID çözümü sahteciliğe karşı çözümdür, çünkü ucuzdur ve bir kaplamanın içine gömülü Q-ID'lerdeki doğal kusurlara güvenerek üretimi kolaydır ve herhangi bir akıllı telefon tarafından okunabilir.
Profesör Young, "Bunu gerçekten bir PUF olarak görmüyoruz" diyor, "zorluk her zaman aynı olacağından, telefon etiketten bir parmak izini (ve biraz daha fazlasını) okuyor ve ardından onu bir veritabanı veya dağıtılmış defter. " Bununla birlikte, elektronik sürüm kesinlikle "çok sayıda CRP içeren bir PUF olarak kabul edilir," diyor Profesör Young, "kriptografi için anahtarlar sağlamak için veya gerçekten güvenli iletişim için bir kerelik ped sağlamak için kullanılabilir."
Optik Q-ID
Son kullanıcıya, kaydedilmiş bir kayıtla parmak izini doğrulamak için etiketin basitçe bir fotoğrafını çeken bir uygulama sunulur. Yine de, bundan biraz daha karmaşık ve bir tasdik unsuru dahil edildi. Profesör Young, "Etiket, bir kayıt girişinin kodlandığı bir QR koduyla çerçevelenmiştir," diye açıklıyor, "böylece uygulama parmak izini tekrar kontrol etmek için belirli bir veritabanı / DLT girişi talep edebilir, QR kodu da perspektifi düzeltmek için kullanılır ve aydınlatma."
'Doğrula' düğmesine basmak, uygulamayı farklı flaş güçlerinde bir dizi görüntü çekmesi için tetikler, böylece yayan malzemenin farklı aydınlatma koşullarında nasıl davrandığını test eder. Profesör Young, "Ölçülen parmak izinin bir kuantum malzemenin ürettiğini doğrulamak için, kuantum noktasının sıfır boyutlu fiziğiyle bağlantılı belirli doğrusal olmayan özellikleri arar" diyor.
Herhangi bir dijital ölçümün kandırılabileceğini kabul etse de, "karmaşık bir hologram parmak izi ve emisyon dinamiklerini aynı anda yeniden üretemez." Bu, "ya aktif bir ekrana (ve flaşla başa çıkmak çok zor olacaktır) ya da benzer bir düzenlemede benzer kusurlara sahip noktalara sahip bir etiketi yeniden oluşturmanız gerektiği" anlamına gelir.
Profesör Young, akıllı telefonunuzun kamerasının tek nokta emisyonunu ölçemeyeceğini söylüyor, ancak bu bir sorun değil. "Tipik olarak, bir etiket 1x1 cm'dir, bir QR koduyla çerçevelenir ve telefonla yaklaşık 10 cm'den ölçülür." Ölçülen farklı flaş yoğunluklarının sayısıyla çarpılan 100.000 piksel üretir. Ya da isterseniz çok fazla veri ve bu "klonlamak için büyük bir mühendislik becerisi gerektirir" diyor.
Tekrar saldırı senaryosuna dönersek, Profesör Young bana telefonun gerçekleştirdiği ölçümün iki bileşeni olduğunu söylüyor: parmak izi çıkarma ve bir 'kuantum malzeme' testi. Profesör Young, gerçek dünya senaryosunda olduğu gibi, farklı yoğunluklarda ölçümlerle değerlendirildiğinden, köklü telefonlar aracılığıyla basit tekrar saldırıları, gerçek dünya senaryosunda olduğu gibi "aynı parlaklık düzeylerinde iki kez kimlik doğrulaması yapılmayarak" önlenebilir. ışık seviyesi, her ölçüm için her zaman biraz farklı olacaktır. "
Profesör Young'a göre can alıcı nokta aslında bir saldırganın bu teknolojiyi hedef almasının kesinlikle mümkün olmaması değil, "bu mücadeleyi mümkün olduğunca pratik olarak zorlaştırıyoruz."
Ve kitlesel pazar uygulamalarına bakarken hayati önem taşıyan pratiklik noktası budur. "Üretmeleri, okumaları basit ve ucuzlar ve klonlanmaları son derece zor," diye bitiriyor, "sahtecilikle mücadele çözümlerinin çoğunun klonlanması, üretildikleri kadar kolaydır ve kolaysa çok az güvenliğe sahiptirler. okuyun."
Elektronik Q-ID
Profesör Young, birkaç farklı uygulama senaryosu bulunan elektronik Q-ID etiketlerinden de bahsetti. "Q-ID dizimizin içerdiği entropi, dizinin boyutuna göre üssel olarak ölçeklenir," diyor, "yapılan zorluk, akımın dizi boyunca hareket ettiği yolla ilgilidir ve yanıt, içerideki sınırlı enerji seviyelerinin konumunun RTD'lerdeki kuantum kuyuları. "
Bu nedenle, her cihazın çok sayıda zorluğu olabilir. Profesör Young, "Devrenin RC sabiti olan her birini ölçmek için gereken süre ile çarpılan zorlukların sayısı evrenin yaşından daha uzun olacak şekilde yapabiliriz" diyor. Böyle bir cihaz yapılırken, zorluklarının küçük bir alt kümesi, tercihen Kuantum Bazlı kuantum rasgele sayı üreteci kullanılarak rasgele seçilir ve saklanır.
Profesör Young, "Cihazdan bir ömür boyu iletişim kurabilmemiz için burada yeterli veriyi depolamamız gerekiyor," diyor, "bu nedenle bu, örneğin Nesnelerin İnterneti gibi veri ağırlıklı olmayan uygulamalarla kullanımını sınırlıyor" Cihazla olan iletişim daha sonra, bu depolanan tek seferlik pedden gelen veriler kullanılarak iletişimlerin şifrelenmesiyle güvence altına alınabilir. Herhangi bir müdahale saldırısı yalnızca şifrelenmiş verileri ve zorluklarla ilgili bilgileri görebilir; orada saklayacak ve yeniden oynatacak hiçbir şey yok.
Nano ölçekli PUF'ler, tedarik zinciri güvenliğinde bir sonraki büyük şey mi?
Dr. Mark Carney, "optik noktaların kesinlikle ilginç bir sorunu çözdüğünü, ölçülmesi kolay, ancak nano ölçekli yapıya sahip olduğunu" söylüyor. Örneğin, "akıllı su" gibi floresan ışığı veren benzersiz tanımlanabilir moleküller oluşturmak için belirli yapılarda polimer dizilerini kullanan diğer moleküler kimlik çözümlerinden kesinlikle bir adım ileridedirler.
Teoride, bunlar sorunu çözmek için yeterli kimya kaynağı ile klonlanabilir. Dr. Carney, bunun aksine, optik noktalar "her bir özelliğe göre benzersizler ve sanırım üretimde doğal olarak bulunan rasgele, atom düzeyinde varyasyonlar olamaz" diyor.
"Genel olarak," diyor Dr. Carney, "Bence Quantum Base'in güzel bir çözümü var. Buradaki en büyük şey, çok üretici dostu olan ve daha fazla uygulamada kimlik etiketi olarak kullanılabilen PUF'leri yapmış olmaları, veya elektronik çoklu CRP özellikli doğrulama çipleri olarak. " Doğru uygulamalar, yazılımlar ve etraflarındaki protokollerle, Dr. Carney bana "muhtemelen çok fazla potansiyel olduğunu" söylüyor.