Dieses Teilprojekt gliedert sich in mehrere Unterarbeitspakete:

  • Integration von QKD-Schlüsseln in Layer3-Verschlüsselung (Zusammenarbeit mit secunet sowie TU Ilmenau),
  • Integration von QKD-Schlüsseln in Layer2-Verschlüsselung (Zusammenarbeit mit Rohde & Schwarz),
  • Demonstratorapplikationen zur Nutzung von Schlüsseln, die aus dem Projekt eigens entwickeltem QKD-Keymanagement-System stammen.

 

Da die ersten beiden Arbeitspakete in Kooperation mit den Firmen secunet und Rohde & Schwarz entstehen und Details über deren Produkte enthalten, die Geheimhaltungsklauseln unterliegen, gehen wir im Folgenden lediglich auf den letzten Punkt ein. Weitere Informationen zu den Ergebnissen aus den Koopertionen entnehen Sie bitte unseren Pressemitteilungen oder fragen bei Bedarf bei den verantwortlichen Mitarbeitern des Schlüsselmanagements an (siehe ganz unten).

Eine grundsätzliche Fragestellung besteht darin, welchen Beitrag QKD dazu leistet, um eine quantencomputerresistente Verschlüsselung zwischen beliebigen Endgeräten zu ermöglichen. Beliebige Endgeräte bedeutet hierbei, dass die Endgeräte nicht direkt miteinander über eine QKD-Verbindung verbunden sind und auch keine weitere QKD-Verbindung zu anderen Netzwerkknoten besitzen. Diesen Ansatz zu verfolgen ist für den Aufbau einer QCI unter realistischen Bedingungen notwendig, denn zum aktuellen Zeitpunkt erscheint es unter anderem aufgrund der hohen Anschaffungskosten von QKD-Systemen als eher unwahrscheinlich, dass sich Strecken bis hin zum User vollständig auf diese Art absichern lassen werden. Innerhalb einer abgesicherten Umgebung wird kurz- und mittelfristig niemand darauf verzichten können, die letzte Strecke, z.B. vom Serverraum ins Büro, unter Zuhilfenahme alternativer Sicherheitsmechanismen in das Gesamtsystem zu integrieren.

Auch wenn QKD zwischen Punkt-zu-Punkt-Verbindungen informationstheoretisch sicher ist, so ergeben sich für den praktischen Einsatz im Bereich Schlüsselmanagement unter anderem folgende Fragestellungen und Herausforderungen:

  • Kommerziell erhältliche QKD-Systeme sind derzeit noch auf kurze Strecken (meist unter 100km) und Punkt-zu-Punkt-Verbindungen beschränkt.
  • Optimistische Schätzungen gehen davon aus, dass praktikable Quantenrepeater frühstens Anfang der 2030er Jahre bereitstehen werden  bis dahin scheint als Alternative nur der Aufbau eines Netzwerks mit Trusted-Nodes[1] in Frage zu kommen
  • Die Schlüsselraten liegen im Bereich einiger Kilobits, was die informationstheoretisch sichere Verschlüsselung mittels One-Time-Pad (OTP) für große Datenströme unrealistisch macht
  • QKD setzt einen klassisch authentisierten Kanal voraus, z.B. mittels Pre-shared Key (PSK)
  • Das Handling von symmetrischen Schlüsseln ist komplizierter als bei den asymmetrischen Verfahren
  • Derzeit noch unzureichende Standards für reale QKD-Systeme oder die Integration dieser in eine komplexe Sicherheitsarchitektur

 

Die Chancen von QKD für eine quantenresistente Verschlüsselung bestehen darin, dass Post-Quantum-Cryptography noch nicht vollständig etabliert ist und QKD hierfür eine Alternative bieten kann. Darüber hinaus kann möglicherweise selbst bei der Etablierung von PQC die Sicherheit der Netzwerkarchitektur erhöht werden, wenn zusätzlich QKD zum Einsatz kommt und ein potenzieller Angreifer zwei Verschlüsselungsmechanismen gleichzeitig brechen muss, die auf gänzlich unterschiedlichen Methoden basieren. Im Gegensatz zu den klassischen Verfahren, sowie auch den PQC-Algorithmen, ist der Schlüsselaustausch bei Verbindungen mit Punkt-zu-Punkt-QKD-Anbindung beweisbar sicher. Das bedeutet, dass Fortschritte bei der Entwicklung von Quantencomputern und Algorithmen auch langfristig keine Bedrohung für diese Technologie darstellen.

Aus Sicht der IT-Sicherheit ist der kritische Erfolgsfaktor für den Einsatz von QKD die sichere Anbindung der QKD-Infrastruktur an die Anwendungsschicht. Dazu gehört insbesondere das sichere Schlüsselmanagement. Die auf der QCI mittels QKD generierten Schlüssel müssen sicher gespeichert[2]und durch den Einsatz von Quantenschlüsselverteilungs-Protokollen den unterschiedlichen Anwendungen zur Verfügung gestellt werden.

Ein Aspekt dieses Teilprojekts ist das Zusammenspiel von QKD und PQC (Post-Quantum Cryptography) als alternative quantensichere Methoden.

  • Ergänzung von QKD durch PQC bei Strecken ohne QKD-Link (z.B. Kupferstrecken im Gebäude, Anbindung von Knoten außerhalb des MuQuaNet-Glasfasernetzes)
  • Kombination von QKD und PQC für die Kommunikation zwischen Knoten mit QKD-Anbindung

 

Welche PQC-Algorithmen für die Verwendung in der QCI am geeignetsten sind, ist ebenfalls eine noch nicht abschließend geklärte Frage. Die NIST[3] gab in Q3 2022 die ersten Kandidaten für die geplante Standardisierung bekannt. Dabei ist lediglich das gitterbasierte Verfahren CRYSTALS-Kyber für Schlüsselaustausch vorgesehen. Weitere Kandidaten sollen in einer vierten Runde des Auswahlverfahrens festgelegt werden. Das BSI gab Ende 2021 einen Leitfaden für quantensichere Kryptographie heraus und empfiehlt in diesem das Code-basierte Verfahren Classic McEliece und das gitterbasierte Verfahren FrodoKEM. Beide sind konservativ in Bezug auf die Sicherheitsbetrachtung, weshalb sie jedoch mit großen Schlüssellängen und langsamer Performance beim NIST-Verfahren nicht in die Favoritenrollen gelangten. Das BSI hält auch nach den Bekanntgaben durch die NIST an seinen Empfehlungen fest.

Zum einen wird in diesem Unterarbeitspaket der Frage nachgegangen, wie sich die QKD-Schlüssel in Applikationen und Protokolle einbinden lassen. Beispielhaft seien an dieser Stelle das IKEv2- oder Kerberos-Protokoll genannt. Zudem ist es interessant zu überprüfen, inwieweit bereits vorhandene Standards und Empfehlungen geeignet sind, um ein reales QKD-Netz zu betreiben und an welcher Stelle eventuelle Lücken noch zu schließen sind.

Aus dem einleitend beschriebenen Szenario lassen sich zudem weitere konkrete Fragestellungen für die Entwicklung eines QKMS ableiten:

  • Wie und an welchen Stellen erfolgt eine geeignete Authentisierung der einzelnen Netzwerkkomponenten?
  • Wie und an welchen Stellen lassen sich PQC-Verfahren in die Gesamtarchitektur einbinden? Ebendies oder als Alternative die Integration anderer quantensicherer Schlüsselverteilmechanismen ist zumindest für solche Strecken unabdingbar, bei denen prinzipiell keine QKD-Anbindung vorhanden ist (z.B. zwischen Büroarbeitsplatz und Serverraum). Zu den möglichen Alternativen zählt z.B. die Verwendung von tragbaren Speichermedien (AP 7.3).
  • Auf welche Art und Weise zeigt das QKMS an, dass es über eine funktionierende QKD-Verbindung mit einem Nachbarknoten verfügt? Wie unterscheidet sich die Darstellung innerhalb der eigenen Domäne, z.B. einer Anwendung gegenüber, von der gegenüber Netzwerkknoten aus einer anderen Domäne?
  • Welche Routingverfahren lassen sich für die E2E-Schlüsselverteilung anpassen und welche Parameter (z.B. die beschränkte Schlüsselrate aus obigem Szenario) müssen hierfür in den verwendeten Metriken verwendet werden?
  • Was müssen die Systeme im Störfall machen, z.B. wenn einer der QKD-Links ausfällt oder zu wenig Schlüsselmaterial liefert?
  • Worauf muss geachtet werden, damit das QKMS sowohl harte Echtzeitanforderungen erfüllt als auch hohe Durchsatzraten ermöglicht?

 

[1] Das Truted-Node-Konzept sieht vor, dass QKD-Schlüssel auf den Punkt-zu-Punkt-Verbindungen dafür genutzt werden, um einen geheimen Schlüssel zwischen zwei beliebig weit entfernten Peers auszutauschen und so eine sichere Ende-zu-Ende-Verbindung zu ermöglichen. Die geheimen Schlüssel werden an jedem Trusted-Node Ent- und wieder Verschlüsselt, weshalb diese vertrauenswürdig sein müssen.

[2] Idealerweise lediglich gebuffert im flüchtigen Speicher der Hardware.

[3] National Institute of Standards and Technology (USA)