Czym jest bezpieczny klucz kwantowy?
W systemach z kluczem kwantowym dwie zaufane strony ustanawiają tajny klucz za pomocą łącza optycznego, a generowany jest on w oparciu o stany kwantowe fotonów przesyłanych od nadawcy klucza od odbiorcy. Bezpieczeństwo tego klucza opiera się na braku możliwości podsłuchania klucza w trakcie jego przesyłania i generowania. Jeśli klucz zostanie częściowo lub w całości podsłuchany, zostanie on zniekształcony w sposób uniemożliwiający odebranie niezmienionej wersji przez drugą stronę. Odbiorca otrzyma zatem zniekształcony klucz, w wyniku czego nie zostanie on potwierdzony przez nadawcę i obie strony wykryją fakt próby podsłuchania.
Co to jest QKD?
Systemy z dystrybucją klucza kwantowego (QKD, Quantum Key Distribution) pracują w taki sposób, że bezpieczny jednorazowy klucz jest generowany w kanale kwantowym pomiędzy stronami transmisji, natomiast dystrybucja samego klucza do odległych węzłów w sieci, jak i metadanych o kluczu oraz szyfrowana komunikacja użyteczna z odległym węzłem są prowadzone w innym kanale, który może być np. publiczną siecią telekomunikacyjną.
Ze względów praktycznych zakładamy bowiem, że nie dysponujemy kanałami kwantowymi pomiędzy dwoma dowolnymi węzłami w sieci, a tylko pomiędzy niektórymi.
System powinien umożliwiać maksymalnie bezpieczną komunikację pomiędzy węzłami, które nie mają bezpośrednio łączności zabezpieczonej technologiami kwantowymi, ale mają taką łączność z innymi węzłami sieci.
Interoperacyjność, czyli w zgodzie ze standardami
Problemem technicznym może być fakt, że generowane klucze i metadane mogą być niekompatybilne pomiędzy urządzeniami i interfejsami różnych dostawców. System zarządzania kluczami powinien zapewniać komunikację z urządzeniami, odbierać klucze w ustandaryzowanej formie i rozesłać takie klucze pomiędzy określonymi węzłami w sieci.
Uruchomiona demonstracja była zgodna z aktualnie dyskutowanymi i obecnymi międzynarodowymi standardami ETSI (European Telecommunications Standards Institute). Bezpośrednia komunikacja pomiędzy węzłami systemu testowego była wykonywana za pomocą interfejsu zgodnego ze standardem ETSI GS QKD 014, natomiast schemat zarządzania kluczami był zgodny ze standardem ITU-T Y.3803 (International Telecommunication Union). W celu uzyskania interoperacyjności pomiędzy urządzeniami QKD różnych dostawców, zaproponowano agenta zarządzania kluczami w oparciu o urządzenia sieciowe ADVA FSP150.
Co udało się pokazać?
W trakcie demonstracji pokazano mechanizm przekazywania kluczy przy użyciu wielu zaufanych węzłów w szybkiej i bezpiecznej sieci komunikacji optycznej. Uruchomiono też system zarządzania kluczami pomiędzy urządzeniami w sieci. Sieć urządzeń QKD składała się z wielu połączeń typu punkt-punkt. Klucze były bezpiecznie przekazywane i współdzielone pomiędzy stronami transmisji, a same urządzenia w sieci QKD nie musiały być bezpośrednio skomunikowane, aczkolwiek było możliwe przekazywanie do nich kluczy (rys. 1).
Rys. 1, Uproszczony schemat systemu demonstracyjnego
W demonstracji każdy zaufany węzeł był wyposażony w tzw. agenta, czyli proces, który mógł dokonywać interakcji z innymi urządzeniami w sieci QKD i odbierać od nich klucze. Te klucze były szyfrowane i dostarczane do węzła docelowego. Bezpieczny interfejs wymiany kluczy wdrożono opierając się na HTTPS, zgodnie ze standardem ETSI, i wykorzystywano do wymiany informacji pomiędzy węzłami zaufanymi. Zaufane węzły sieciowe posiadały bazy danych kluczy i opcjonalnie buforowały je, aby zmniejszyć opóźnienia w ich przekazywaniu.
Wnioski
W ramach demonstracji udało się uzyskać prawidłową współpracę urządzeń poprzez interfejs wymiany kluczy zgodny ze standardami, co oznacza, że system może być zintegrowany z istniejącymi sieciami telekomunikacyjnymi. System demonstracyjny może być też wykorzystywany w rozległych sieciach QKD i rozbudowany do dowolnej liczby węzłów zaufanych. Dlatego kolejnym krokiem będzie uruchomienie długodystansowego łącza QKD i wykonania testów łączności optycznej dużej szybkości w oparciu o sieci GÉANT/NREN.
Informacje o projekcie
Opisane badania są współfinansowane przez projekt OpenQKD z programu ramowego Unii Europejskiej Horyzont 2020, numer grantu: 857156. Koordynatorem projektu w PCSS jest Piotr Rydlichowski, email: prydlich@man.poznan.pl
Opracowanie: Marcin Dąbrowski