KOMMUNIKATIONSSYSTEM MIT MEHRSTUFIGEM SICHERHEITSKONZEPT

Abstract

 Die Erfindung betrifft eine Lösung zum Betrieb eines aus zwei Endpunkten (1, 2) und einer Datenverbindung (3) zwischen diesen Endpunkten (1, 2) bestehenden Kommunikationssystems, in welchem zwischen den Endpunkten (1, 2) ausgetauschte Nutzdaten symmetrisch verschlüsselt werden. Dies geschieht mittels eines in beiden Endpunkten (1, 2) vorhandenen Schlüssels, der auf einer in dem Endpunkt (1) erzeugten, nach dem Public-Key-Prinzip als Shared Secret an den Endpunkt (2) übertragenen, als Basisschlüssel dienenden Zufallszahl basiert. In einem Basisbetrieb des Kommunikationssystems wird unmittelbar der zwischen den Endpunkten(1, 2) nach dem Public-Key-Verfahren ausgetauschte Basisschlüssel zur symmetrischen Verschlüsselung der Nutzdaten verwendet. Hingegen erfolgt in einem Betrieb mit erhöhter Sicherheit für die Verschlüsselung der Nutzdaten (Komfortbetrieb) deren Verschlüsselung mittels eines Schlüssels, der gebildet wird durch eine bitweise XOR-Verknüpfung des Basisschlüssels mit einem in beiden Endpunkten (1, 2) vorliegenden quantensicheren Zusatzschlüssel. Im Falle seiner Nutzung im Komfortbetrieb und einer dabei auftretenden Störung fällt das Kommunikationssystem automatisiert in den Basisbetrieb zurück.

Beschreibung

[0001] Die Erfindung betrifft ein mehrstufiges, das heißt mindestens zweistufiges Sicherheitskonzept für die Übertragung von Nutzdaten in einem aus zwei Endpunkten und aus einer diese beiden Endpunkte miteinander verbindenden Datenverbindung bestehenden Kommunikationssystem. Das Sicherheitskonzept und somit die Erfindung beziehen sich auf die Verschlüsselung zwischen den beiden Endpunkten übertragener Nutzdaten, das heißt auf die Sicherheit dieser Verschlüsselung. Gegenstände der Erfindung sind ein Verfahren, welchem hinsichtlich der angesprochenen Verschlüsselung der Nutzdaten ein mindestens zweistufiges Sicherheitskonzept zugrunde liegt, sowie ein zur Durchführung dieses Verfahrens ausgebildetes Kommunikationssystem. Entsprechend einem bevorzugten Anwendungsfall bezieht sich die Erfindung auf ein Kommunikationssystem, bei welchem es sich bei den beiden durch die Datenverbindung miteinander verbundenen Endpunkten um zwei Netzwerkknoten in einem gegebenenfalls, das heißt typischerweise, noch weitere Netzwerkknoten umfassenden Netzwerk handelt. Jedoch ist die Erfindung hierauf nicht beschränkt. Vielmehr kann es sich bei den Endpunkten um unterschiedlichste telekommunikative Einrichtungen, Systeme oder Teile davon handeln, zwischen denen Nutzdaten ausgetauscht werden, so beispielsweise auch um Einrichtungen innerhalb eines Netzwerkknotens.

[0002] Der Sicherheit über Kommunikationsnetze, das heißt innerhalb von Kommunikationssystemen, zwischen Teilnehmern übertragener Daten kommt eine sehr große und im Hinblick auf dafür zu erfüllende Anforderungen noch stark wachsende Bedeutung zu. Dies gilt im Grunde für alle Arten von Daten, einschließlich für Daten, welche digital gewandelte Sprachnachrichten betreffen, aber auch für insoweit ebenfalls Daten darstellende Schlüssel, welche zwischen Teilnehmern zur späteren Verwendung für die Verschlüsselung der eigentlichen Nutzdaten und/oder für die Absicherung der zum Übertragen dieser Nutzdaten verwendeten Verbindungen dienen. Darüber hinaus kann es sich bei entsprechend zu sichernden Daten außerdem auch um Netzwerkmanagementdaten, Steuerdaten in einem Netzwerk oder um sonstige Netzwerkdaten beliebiger Art handeln.

[0003] Demgemäß sind die Endpunkte moderner Kommunikationssysteme, wie Netzwerkknoten von telekommunikativen Netzwerken, regelmäßig mit Ver- und Entschlüsselungseinrichtungen ausgestattet, welche nachfolgend, sprachlich vereinfachend, auch als Verschlüsseler bezeichnet werden sollen. Mittels der betreffenden Einrichtungen werden die zu übertragenden Daten vor ihrer Aussendung durch den sie aussendenden Endpunkt entsprechend einem dafür in dem Endpunkt implementierten Verfahren verschlüsselt und nach der Übertragung bei dem sie empfangenden Endpunkt unter Anwendung desselben Verfahrens, das heißt in korrespondierender Weise, wieder entschlüsselt.

[0004] Marktübliche, gegenwärtig breit im Einsatz befindliche Verschlüsseler bedienen sich bei der Verschlüsselung von Daten häufig eines symmetrischen Verschlüsselungsverfahrens, für welches sie einen Schlüssel einsetzen, den die Endpunkte zuvor nach einem Public-Key-Verfahren (also asymmetrisch) als sogenanntes Shared Secret ausgetauscht haben. Hierbei ist anzumerken, dass ein wesentliches Problem bei der symmetrischen Verschlüsselung von Daten, also beim Einsatz eines Verschlüsselungsverfahrens, für welches zum Verschlüsseln der Daten derselbe Schlüssel verwendet wird wie zu deren Entschlüsselung an der empfangenden Stelle, die Frage eines sicheren Austauschs des insoweit verwendeten Schlüssels ist.

[0005] Insbesondere zu diesem Zweck wurde ursprünglich das Public-Key-Verfahren entwickelt, bei dem ein seitens eines Teilnehmers, beispielsweise eines ersten Endpunkts, generierter Schlüssel mit einem öffentlichen Schlüssel des für den Empfang dieses generierten Schlüssels bestimmten anderen Teilnehmers, das heißt des für den Empfang bestimmten Endpunkts, verschlüsselt wird und nach der Übertragung auf der empfangenden Seite wiederherstellbar ist durch Entschlüsselung der empfangenen Bitsequenz mit dem privaten Schlüssel des Empfängers. Im Einzelfall werden Public-Key-Verfahren, so beispielsweise bei der Übertragung von E-Mails, auch zur unmittelbaren Ver- und Entschlüsselung von Nutzdaten verwendet. Ein weit verbreitetes Verfahren ist dabei das Diffie-Hellman-Protokoll, welches häufig in Kombination mit einem der Authentifikation der beiden die Daten austauschenden Seiten dienenden RSA-Verfahren (RSA = Rivest, Shamir, Adleman) verwendet wird.

[0006] Soweit ein Public-Key-Verfahren zum Austausch eines als Schlüssel dienenden Shared Secret verwendet wird, erfolgt im Nachgang der Austausch der eigentlichen Nutzdaten unter Verwendung dieses zuvor ausgetauschten Schlüssels durch Verschlüsselung nach einem symmetrischen Verschlüsselungsverfahren, wie beispielsweise AES-256 (AES = Advanced Encryption Standard) oder Twofish-256.

[0007] Die beiden vorgenannten symmetrischen Verschlüsselungsverfahren gelten dabei als sicher. Indes besteht ein Risiko bei der zuvor beschriebenen Vorgehensweise bei der Übertragung eines hierfür verwendeten Schlüssels darin, dass der nach dem Public-Key-Verfahren ausgetauschte, später für die symmetrische Verschlüsselung der Nutzdaten verwendete Schlüssel, zum Beispiel durch einen Man-in-the-Middle-Angriff, abgefangen werden und somit die nachfolgend verschlüsselt übertragenen Nutzdaten abgehört werden könnten.

[0008] Neuere Verschlüsselungstechniken beruhen auf der Verwendung quantensicherer Schlüssel (Quantenschlüssel), das heißt von Schlüsseln und Verschlüsselungstechniken, welche auch im Hinblick auf einen möglichen Angriff mit gegenwärtig in Entwicklung befindlichen Quantencomputern als sicher, also als nicht zu brechen gelten. Allerdings sind die hierfür erforderlichen technischen Systeme sehr aufwendig, komplex und teuer. Insoweit wird im Hinblick auf den Einsatz derartiger Systeme immer auch eine Abwägung zu treffen sein, zwischen dem mittels der entsprechenden Technik Machbaren und den dafür entstehenden Kosten.

[0009] Vor diesem Hintergrund ist zu erwarten, dass der Einsatz entsprechender Technik, also insbesondere von Systemen, welche sich bei der Schlüsselerzeugung quantenmechanischer Effekte bedienen, Bereichen mit sehr hohen speziellen Sicherheitsanforderungen, wie beispielsweise den Kernnetzen von Telekommunikationsunternehmen, oder aber zahlungskräftigen Kunden mit einem erhöhten Sicherheitsbedürfnis vorbehalten bleiben wird.

[0010] Aufgabe der Erfindung ist es, betreffend die Übertragung von Nutzdaten in einem Kommunikationssystem, eine Lösung für ein flexibles Sicherheitskonzept zur Verfügung zu stellen. Hierfür sind ein entsprechendes Verfahren anzugeben und ein zur Durchführung des Verfahrens ausgebildetes Kommunikationssystem bereitzustellen.

[0011] Die Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst. Ein die Aufgabe lösendes, zur Durchführung des Verfahrens geeignetes Kommunikationssystem wird durch den ersten Sachanspruch charakterisiert. Vorteilhafte Aus- und Weiterbildungen der Erfindung sind durch die jeweiligen Unteransprüche gegeben.

[0012] Das eingangs angesprochene Sicherheitskonzept betrifft den Betrieb eines aus zwei Endpunkten und aus einer Datenverbindung zwischen diesen Endpunkt bestehenden Kommunikationssystems. Vorzugsweise (aber nicht zwingend und insoweit auch nicht beschränkend) bezieht sich die Erfindung hierbei auf ein Verfahren, welches für ein Kommunikationssystem verwendet wird, in welchem es sich bei den durch die Datenverbindung miteinander verbundenen Endpunkten um zwei Netzwerkknoten in einem Netzwerk handelt. Bei den angesprochenen Endpunkten des Kommunikationssystems kann es sich aber zum Beispiel auch um miteinander verbundene Komponenten innerhalb eines Netzwerkknotens handeln. Das zur Lösung vorgeschlagene Verfahren geht davon aus, dass zwischen dem ersten Endpunkt und dem zweiten Endpunkt des vorgenannten Kommunikationssystems ausgetauschte Nutzdaten symmetrisch verschlüsselt werden. Die symmetrische Verschlüsselung der Nutzdaten erfolgt hierbei mittels eines in den beiden Endpunkten vorhandenen Schlüssels, der auf einer in dem ersten Endpunkt erzeugten, nach dem Public-Key-Verfahren als Shared Secret an den zweiten Endpunkt übertragenen Zufallszahl basiert.

[0013] Erfindungsgemäß ist es dabei vorgesehen, dass in einem Basisbetrieb des Kommunikationssystems unmittelbar die vorgenannte Zufallszahl, also das zwischen den Endpunkten nach dem Public-Key-Verfahren ausgetauschte Shared Secret selbst, zur symmetrischen Verschlüsselung der zwischen den Endpunkten übertragenen Nutzdaten verwendet wird. Bei einem Komfortbetrieb des Kommunikationssystems, nämlich in einem Betrieb mit in Bezug auf die Verschlüsselung der Nutzdaten erhöhter Sicherheit, erfolgt hingegen die symmetrische Verschlüsselung der Nutzdaten mittels eines Schlüssels, der gebildet wird durch eine bitweise XOR-Verknüpfung des Basisschlüssels mit einem in beiden Endpunkten vorliegenden Zusatzschlüssel, bei welchem es sich um einen Quantenschlüssel, das heißt um einen nach einem quantensicheren Verfahren erzeugten Schlüssel, handelt.

[0014] Das Verfahren ist hierbei weiterhin so gestaltet, dass das Kommunikationssystem im Falle seiner Nutzung in dem zuvor genannten Komfortbetrieb und einer dabei auftretenden Störung automatisiert in den Basisbetrieb zurückfällt, bei welchem die Verschlüsselung der Nutzdaten unmittelbar mittels der nach dem Public-Key-Verfahren ausgetauschten, als Basisschlüssel dienenden Zufallszahl erfolgt. Im Hinblick auf die beiden vorgenannten Betriebsmodi liegt des Kommunikationssystems liegt diesem demnach ein mindestens zweistufiges Sicherheitskonzept zugrunde, wobei weitere, insbesondere gemäß entsprechender Ausgestaltungen und Weiterbildungen des Verfahrens vorgesehene Aspekte, je nach Standpunkt, auch als weitere Sicherheitsstufe dieses Konzeptes angesehen werden können.

[0015] Der Begriff "Komfortbetrieb" für die Betriebsart, bei welcher die Verschlüsselung der Nutzdaten mittels eines durch bitweise XOR-Verknüpfung des Basisschlüssels mit einem Zusatzschlüssel erzeugten Schlüssels erfolgt, ist dabei im Grunde willkürlich und dient in den weiteren Darstellungen lediglich der sprachlichen Vereinfachung. Diese Bezeichnung ist insofern willkürlich, als es sich je nach Konfiguration und Anordnung des angesprochenen Kommunikationssystems in einem Gesamtsystem (Netzwerk) bei dieser Betriebsart auch um einen Regelbetrieb des Kommunikationssystems handeln kann. Letzteres kann beispielsweise insbesondere der Fall sein, wenn das betrachtete Kommunikationssystem Teil des Kernnetzes eines von einem Provider unterhaltenen Weitverkehrsnetzes ist. Hier wird dann regelmäßig, also im Regelbetrieb, eine Verschlüsselung mit einem höheren Maß an Sicherheit zum Einsatz gelangen, bei welcher die Nutzdaten nicht lediglich mittels des im Public-Key-Verfahren zwischen den Endpunkten des Kommunikationssystems ausgetauschten (und hierbei möglicherweise durch einen Angreifer abgefangenen) Shared Secret, sondern mit einem im Wege einer XOR-Verknüpfung dieser Zufallszahl mit einem Zusatzschlüssel erzeugten Schlüssel erfolgt. Das System geht hierbei zum Beispiel im Falle einer Störung in den vermeintlich (aber nicht unbedingt tatsächlich) weniger sicheren Basisbetrieb.

[0016] Andererseits kann es aber auch vorgesehen sein, dass ein Kommunikationssystem gewissermaßen standardmäßig in dem angesprochenen Basisbetrieb arbeitet, bei welchem die Verschlüsselung der Nutzdaten unmittelbar mittels des im Public-Key-Verfahren ausgetauschten Schlüssels (der ausgetauschten Zufallszahl) erfolgt. Hierbei kann es dann weiterhin vorgesehen sein, dass dem sehr sicherheitsbewussten Anwender oder einem Anwender mit grundsätzlich höheren Sicherheitsanforderungen die Möglichkeit eingeräumt wird, im Sinne einer kostenpflichtigen, zusätzlich buchbaren Option das Kommunikationssystem in der sichereren, vor diesem Hintergrund als "Komfortbetrieb" bezeichneten Betriebsart mit Verwendung eines durch XOR-Verknüpfung von Basisschlüssel und Zusatzschlüssel entstandenen Schlüssels zu nutzen. Zur Frage dessen, wie Letzteres, also die Frage des Hinzubuchens des Komfortbetriebs, realisiert sein kann, sollen später noch einige Ausführungen erfolgen.

[0017] Ergänzend sei an dieser Stelle darauf hingewiesen, dass im Zusammenhang mit der Erläuterung des erfindungsgemäßen Grundprinzips sowie mit der in Patentansprüchen charakterisierten Lösung lediglich exemplarisch (ebenfalls zur sprachlichen Vereinfachung) von einem Basisschlüssel gesprochen wird. In der Praxis werden hingegen regelmäßig mehrere Basisschlüssel zwischen den Endpunkten - wie beispielsweise Netzwerkknoten - ausgetauscht werden sowie mehrere Quantenschlüssel von dem gemeinsamen, bei beiden Endpunkten vorliegenden Vorrat an Quantenschlüsseln umfasst sein. Insoweit wird vorzugsweise für jeden Übertragungsvorgang ein jeweils anderer Basisschlüssel (Basisbetrieb) oder eine jeweils andere durch XOR-Verknüpfung von Basisschlüssel und Zusatzschlüssel gebildete Bitsequenz (Komfortbetrieb) für die Verschlüsselung der übertragenen Nutzdaten zum Einsatz gelangen.

[0018] Das heißt, jeder Schlüssel beziehungsweise jede als Schlüssel dienende Bitfolge wird vorzugsweise nur einmal Verwendung finden. Ganz besonders bevorzugt ist dabei eine Verwendung des entsprechenden Schlüssels als One Time Pad, wobei der betreffende Schlüssel dieselbe Bitlänge aufweist, wie der Block in einem Übertragungsvorgang zu übertragender Nutzdaten. In jedem Falle ist daher von dem Patentanspruch 1 die Möglichkeit umfasst, dass zwischen den Endpunkten des Kommunikationssystems fortwährend Schlüssel nach dem Public-Key-Prinzip ausgetauscht werden, welche im Basisbetrieb unmittelbar zur Verschlüsselung von Nutzdaten oder im Komfortbetrieb zur Bildung der zur Verschlüsselung der Nutzdaten dienenden Bitfolge verwendet werden.

[0019] An dieser Stelle sei nochmals betont, dass es sich bei den vorstehend angesprochenen Endpunkten um unterschiedlichste telekommunikative Einrichtungen, Systeme oder Teile davon handeln kann, zwischen denen Nutzdaten ausgetauscht werden, so beispielsweise auch um Netzwerkknoten eines Netzwerks oder aber auch um Einrichtungen innerhalb solcher Netzwerkknoten.

[0020] Im Hinblick auf eine tatsächlich deutlich erhöhte Sicherheit der Verschlüsselung der Nutzdaten im Komfortbetrieb ist das Verfahren entsprechend einer bevorzugten Ausbildungsform so gestaltet, dass es sich bei dem für die bitweise XOR-Verknüpfung mit dem Basisschlüssel verwendeten Zusatzschlüssel um einen von mehreren, in beiden Endpunkten vorliegenden Quantenschlüsseln handelt. Hierbei wird zwischen den Endpunkten zusätzlich ein Identifier ausgetauscht, welcher den zur XOR-Verknüpfung mit dem Basisschlüssel jeweils zu verwendenden, wie gesagt, in beiden Endpunkten vorliegenden Zusatzschlüssel (Quantenschlüssel) eindeutig bezeichnet. Die Übertragung dieses Identifiers kann beispielsweise zusammen mit dem unter Anwendung des Public-Key-Verfahrens übertragenen Shared Secret, also zusammen mit dem Austausch des Basisschlüssels, erfolgen oder auch in einem gesonderten Übertragungsvorgang.

[0021] Durch die Verwendung eines Quantenschlüssels als Zusatzschlüssel wird im Komfortbetrieb ein sehr hohes Maß an Sicherheit bei der Verschlüsselung der Nutzdaten erreicht, da insoweit von einer Verschlüsselung auszugehen ist, die auch nicht durch den Einsatz von Quantencomputern gebrochen werden kann. Gleichwohl bietet das erfindungsgemäße, im Hinblick auf seine beiden möglichen Betriebsmodi, mindestens zweistufige Sicherheitskonzept mit dem Basisbetrieb die Möglichkeit, auch im Falle einer Störung der die Zusatzschlüssel in Form von Quantenschlüsseln bereitstellenden Systeme oder im Falle dessen, dass einmal nicht genug Zusatzschlüssel zur Verfügung stehen, wenigstens ein Mindestmaß an Sicherheit bei der Verschlüsselung von Nutzdaten, insbesondere in Bezug auf Datenverkehre auf dem Layer 1, dem Layer 2 oder dem Layer 3 des OSI-Schichtenmodels zur Verfügung stellen zu können.

[0022] Die Erfindung geht also von der Überlegung aus, für besonders sicherheitssensible Bereiche, wie beispielsweise Kernnetze, oder wunschgemäß, gegen Aufpreis, einen Betriebsmodus (Komfortbetrieb) mit sehr hoher Sicherheit bezüglich der Verschlüsselung der Nutzdaten zu ermöglichen, aber für den Fall, dass dieser Betriebsmodus nicht zur Verfügung steht, zumindest einen Basisbetrieb zu ermöglichen, bei dem auch noch ein hohes Maß an Sicherheit besteht.

[0023] Die Sicherheit im Basisbetrieb lässt sich noch dadurch erhöhen, dass entsprechend einer vorgesehenen, besonders vorteilhaften sowie für die Umsetzung in der Praxis favorisierten Weiterbildung des erfindungsgemäßen Verfahrens die im Basisbetrieb ausschließlich verwendete, als Shared Secret im Public-Key-Verfahren ausgetauschte Zufallszahl zwischen den Endpunkten unter Anwendung eines PQC-Verschlüsselungsverfahrens (PQC = Post Quantum Cryptography) übertragen wird.

[0024] Während Quantenschlüssel, also mittels quantenmechanischer Verfahren erzeugte Schlüssel beziehungsweise auf Quanteneffekten beruhende Verschlüsselungsverfahren, bewiesenermaßen jedenfalls theoretisch einem Angriff mit Quantencomputern standhalten, gibt es einen entsprechenden Beweis für PQC-Verschlüsselungsverfahren nicht. Allerdings handelt es sich bei letzteren um Verschlüsselungsverfahren, welche auf sehr komplexen Algorithmen beruhen, für die - Stand jetzt - davon ausgegangen wird, dass auch sie einem Angriff mit Quantencomputern standhalten. Jedenfalls konnte bisher ein Gegenbeweis nicht erbracht werden.

[0025] Das heißt aber auch, dass bei einer Gestaltung des Verfahrens, bei welcher für den Austausch des als Basisschlüssel dienenden Shared Secret ein PQC-Verschlüsselungsverfahren zum Einsatz gelangt, der Basisbetrieb im Grunde das gleiche Maß an Sicherheit bietet wie ein unter Verwendung von quantenmechanisch erzeugten Schlüsseln ausgeführter Komfortbetrieb. Insoweit ist durch den Einsatz der Erfindung gewissermaßen doppelte Sicherheit gegeben, in deren Rahmen der Basisbetrieb im Grunde eine Art Sicherheitsredundanz darstellt. Gleichzeitig kann zum Beispiel eine Quantenschlüssel-Sicherheit auf der Anwenderebene unabhängig von der Providerebene (providerspezifischen Ebene) bereitgestellt werden, wobei der Anwender auch seinen eigenen Schlüssel einbringen könnte, der vom Provider nicht einsehbar wäre.

[0026] Im Falle des Einsatzes eines PQC-Verschlüsselungsverfahrens für die nach dem Public-Key-Verfahren erfolgende Übertragung des Basisschlüssels (Shared Secret) zwischen den Endpunkten ist das Verfahren vorzugsweise zudem so gestaltet, dass sich die Endpunkte vor dem Austausch des Shared Secret gegenseitig unter Anwendung eines PQC-Signaturverfahrens authentifizieren. Die Endpunkte können hierzu vor dem Austausch des Shared Secret beispielsweise eine beiderseits bekannte Nachricht austauschen, welche sie mittels ihrer eindeutigen, nach einem PQC-Signaturverfahren erzeugten Signatur versehen. In diesem Zusammenhang ist allerdings anzumerken, dass PQC-Verschlüsselungsverfahren in der Praxis regelmäßig in Kombination mit entsprechenden, der Authentifizierung dienenden PQC-Signaturverfahren zum Einsatz gelangen, so dass beide Ausgestaltungsformen -Austausch des Basisschlüssel durch PQC-Verschlüsselung und Authentifizierung durch PQ-Signierverfahren eigentlich zusammengehören.

[0027] Ein jeweiliger Zusatzschlüssel, also der zur bitweisen XOR-Verknüpfung mit dem Basisschlüssel verwendete Quantenschlüssel, kann entsprechend einer möglichen Ausgestaltungsform der Erfindung durch die beiden dafür entsprechend ausgebildeten Endpunkte (zum Beispiel Netzwerkknoten) gemeinsam durch Anwendung eines QKD-Verfahrens erzeugt werden. Es ist aber auch möglich, dass ein solcher Quantenschlüssel durch eine externe Quelle erzeugt und beiden Endpunkten zur Verfügung gestellt wird. Bei einer solchen Vorgehensweise kann das Bereitstellen des Komfortbetriebs als kostenpflichtige Zusatzoption beispielsweise durch Nachrüstung von QKD-Systemen in den beiden Endpunkten erfolgen. Grundsätzlich denkbar ist es aber auch, dass die Endpunkte bereits über entsprechende QKD-Systeme verfügen, welche nur im Falle einer Nutzung des Komfortbetriebs aktiv eingebunden werden.

[0028] Darüber hinaus ist aber auch eine Verfahrensgestaltung möglich, bei welcher die beiden Endpunkte des Kommunikationssystems untereinander nicht in einer QKD-Beziehung stehen, aber jeweils über mindestens zwei vollständig disjunkte Verbindungspfade mit zwei anderen, einen QKD-Verbund ausbildenden Endpunkten verbunden sind. In diesem Falle werden den untereinander nicht in einer QKD-Beziehung stehenden Endpunkte des Kommunikationssystems, die als Zusatzschlüssel zur Ausführung des erfindungsgemäßen Komfortbetriebs verwendbaren Quantenschlüssel nach einem speziellen Verfahren gewissermaßen als QKD as a Service (QaaS) zur Verfügung gestellt. Ein dafür geeignetes, sich insbesondere auf Netzwerkknoten in einem Netzwerk beziehendes Verfahren wird beispielsweise in der DE 10 2019 118 286 der Anmelderin beschrieben.

[0029] Hierbei wird der als Zusatzschlüssel dienende Quantenschlüssel den beiden Endpunkten des Kommunikationssystems durch den QKD-Verbund mittels eines Übertragungsverfahrens zur Verfügung gestellt, bei dem durch den QKD-Verbund mehrere, durch bitweise XOR-Verknüpfung vom QKD-Verbund erzeugter Quantenschlüssel gebildete Bitsequenzen an beide Endpunkte des Kommunikationssystems über je einen der disjunkten Verbindungspfade übertragen werden. Mindestens eine der vorgenannten, durch bitweise XOR-Verknüpfung von Quantenschlüsseln erzeugte Bitsequenz wird dabei unter Einbeziehung des an die Endpunkte des hier im Rahmen der Erfindung betrachteten Kommunikationssystems auszuliefernden Zusatzschlüssels gebildet. Die beiden Endpunkte können diesen Zusatzschlüssel aus dem über die beiden disjunkten Verbindungspfade bei ihnen eingehenden Bitsequenzen extrahieren, indem sie alle bei ihnen zur Übertragung dieses Zusatzschlüssels eingehenden Bitsequenzen miteinander XOR-verknüpfen.

[0030] Dieses Verfahren ermöglicht es in besonders vorteilhafter Weise, beiden Endpunkte des hier betrachteten Kommunikationssystems für die bitweise XOR-Verknüpfung mit dem Basisschlüssel als Zusatzschlüssel zu verwendende Quantenschlüssel zur Verfügung zu stellen, ohne dass die Endpunkte selbst in einer QKD-Beziehung untereinander stehen oder über sonstige Mittel zur Erzeugung von Quantenschlüsseln verfügen müssten. Insoweit eignet sich diese Variante besonders gut dazu, dem Kommunikationssystem den Komfortbetrieb gegebenenfalls als kostenpflichtige Zusatzoption zur Verfügung zu stellen. Sofern diese Zusatzoption genutzt wird ist dabei - vorausgesetzt, dass die Endpunkten des Kommunikationssystems jeweils über zwei disjunkte Wege mit ein und demselben QKD-Verbund verbunden sind - lediglich ein entsprechender Modus zu aktivieren, bei dem die QKD-Knoten des besagten QKD-Verbunds, welche gegebenenfalls auch Quantenschlüssel für andere Endpunkte anderer Systeme - oder, sofern es sich bei den Endpunkten um Netzwerkknoten eines Netzwerks handelt, für andere Netzwerkknoten des Netzwerks - bereitstellen, einen Teil der von ihnen erzeugten Quantenschlüssel an die Endpunkte des erfindungsgemäßen Kommunikationssystems übertragen.

[0031] Das beschriebene Verfahren kann in Systemen auf verschiedenen Layern des OSI-Schichtenmodells, zum Beispiel auf Layer 1 (physikalische Ebene), Layer 2 (Data Link Ebene) oder Layer 3 (IP Network Ebene) eingesetzt werden, um die entsprechenden Systeme quantensicher zu schützen.

[0032] Layer-1-Verschlüsseler verschlüsseln beispielsweis Lichtsignale die in Glasfasermedien in OTN-Systemen (OTN = Optical Transport Network) oder elektrische Signale die auf Kupfermedien in Kupferkabel Systemen transportiert werden. Die Verschlüsselung erfolgt in diesem Fall unabhängig von Protokollen oder Applikationen. Über die Layer-1-Verschlüsselung entsteht kein Protokolloverhead, so dass die volle Bandbreite der Medien genutzt werden kann.

[0033] Layer-2-Verschlüsseler erlauben eine gesicherte Übertragung von zum Beispiel Unicast-, Multicast- oder Broadcast-Daten, beispielsweise in Ethernet Systemen. Die Layer-2-Verschlüsselung ist komplett von sämtlichen Applikationen auf höheren Ebenen entkoppelt und liefert, durch einen geringen Overhead, deutliche Geschwindigkeitsvorteile gegenüber einer Layer-3-Verschlüsselung.

[0034] Layer-3-IP-Verschlüsseler erlauben eine Übertragung von Daten, die zum Beispiel über eine Virtuelle Private Netzwerk (VPN) Verbindung gesichert werden. Dies erlaubt gesicherte Netze, die gemeinsame IP-Adressräume gestatten und somit unterschiedliche Anwendungen ermöglichen, quantensicher zu schützen. Die Layer-3- Verschlüsselung erzeugt den größten Overhead und ist daher mit Geschwindigkeitseinbußen verbunden.

[0035] Ein die Aufgabe lösendes, zur Durchführung des erfindungsgemäßen Verfahrens geeignetes Kommunikationssystem besteht zunächst aus zwei Endpunkten und aus einer die beiden Endpunkte untereinander verbindenden Datenverbindung. Darüber hinaus ist das Kommunikationssystem wie folgt beschaffen:

a) Beide Endpunkte des Kommunikationssystems sind dazu ausgebildet, über die Datenverbindung ausgetauschte Nutzdaten verschlüsselt zu übertragen. Dafür verfügt jeder der beiden Endpunkte über einen Verschlüsseler, das heißt über eine Ver- und Entschlüsselungseinrichtung.

b) Beide Endpunkte des Kommunikationssystems verfügen über einen gemeinsamen Vorrat an Quantenschlüsseln. Die Schlüssel dieses Vorrats werden in jedem der beiden Endpunkte durch einen lokalen Schlüsselspeicher gehalten und mittels je eines lokalen Schlüsselmanagements (synonym auch Key Management) der Endpunkte verwaltet.

c) Mindestens ein erster der beiden Endpunkte ist zur Erzeugung von als Basisschlüssel zu verwendenden Zufallszahlen ausgebildet. Dieser erste Endpunkt verfügt zur Übertragung von ihm erzeugter Basisschlüssel an den anderen, das heißt an den zweiten Endpunkt des Kommunikationssystems, über einen öffentlichen Schlüssel dieses zweiten Endpunktes, mit dessen Hilfe er die Basisschlüssel unter Nutzung eines Public-Key-Verfahrens an den zweiten Endpunkt überträgt. Der zweite Endpunkt verfügt seinerseits über einen mit dem von dem ersten Endpunkt verwendeten öffentlichen Schlüssel korrespondierenden geheimen Schlüssel zur Entschlüsselung der an ihn übertragenen den Basisschlüssel enthaltenden Bitsequenz (Zufallszahl).

[0036] Erfindungsgemäß ist das Kommunikationssystem in einem Basisbetrieb und in einem Komfortbetrieb, nämlich in einem Betrieb mit in Bezug auf die Verschlüsselung der zwischen den beiden Endpunkten ausgetauschten Nutzdaten erhöhter Sicherheit, betreibbar. In dem Basisbetrieb des Kommunikationssystems verschlüsseln dessen Endpunkte die zwischen ihnen ausgetauschten Nutzdaten jeweils mit einer durch den ersten Endpunkt erzeugten, als Basisschlüssel dienenden Zufallszahl symmetrisch. Die jeweilige Zufallszahl, also der jeweilige Basisschlüssel, wird als Shared Secret von dem ersten, sie erzeugenden Endpunkt unter Verwendung eines von den Endpunkten ausführbaren PQC-Verschlüsselungsverfahrens, verschlüsselt mit dem öffentlichen Schlüssel des zweiten Endpunkts, an den zweiten Endpunkt übertragen, welcher seinerseits diese Zufallszahl aus der von ihm empfangenen Sequenz mittels seines privaten Schlüssels extrahiert.

[0037] In dem Komfortbetrieb verschlüsseln die Endpunkte des Kommunikationssystems die zwischen ihnen ausgetauschten Nutzdaten mittels eines Schlüssels, welchen sie durch bitweise XOR-Verknüpfung des zwischen ihnen ausgetauschten Basisschlüssels mit einem identisch in beiden Endpunkten dazu verwendeten, aus ihrem gemeinsamen Vorrat entnommenen Quantenschlüssel (Zusatzschlüssel) erzeugen.

[0038] Bei dem erfindungsgemäßen Kommunikationssystem sind zur Realisierung der beiden zuvor beschriebenen Betriebsmodi die Verschlüsseler beider Endpunkte jeweils mit einem PQC-Server zur Ausführung des bereits erwähnten PQC-Verschlüsselungsverfahrens sowie mit einer Einheit zur bitweisen XOR-Verknüpfung von Bitsequenzen bei der Ausführung des Komfortbetriebs ausgestattet.

[0039] Wie bereits eingangs und zum Verfahren ausgeführt, handelt es sich bei einer möglichen Ausbildungsform des erfindungsgemäßen Kommunikationssystems und im Hinblick auf einen bevorzugten Anwendungsfall der Erfindung um ein Kommunikationssystem, dessen Endpunkte durch zwei Netzwerkknoten ausgebildet sind, wobei dieses Kommunikationssystem gegebenenfalls auch Teil eines umfassenderen, eine Vielzahl von Netzwerkknoten aufweisenden Netzwerks sein kann. Bei den Netzwerkknoten des Kommunikationssystems kann es sich in diesem Anwendungskontext sowohl um zwei Netzwerkknoten eines lokalen Netzes als auch um zwei in jeweils unterschiedlichen lokalen Netzen, wie beispielsweise in zwei Metro-Netzen, oder gar in zwei kontinentalen, über eine interkontinentale Datenverbindung miteinander verbunden Netzen - gewissermaßen als Übergangsknoten - angeordnete Netzwerkknoten handeln.

[0040] Eine bevorzugte Weiterbildung des zuvor beschriebenen Kommunikationssystems ist dadurch gegeben, dass beide Endpunkte des Kommunikationssystems über ein QKD-System verfügen. Hierbei stehen die Endpunkte unter Nutzung dieses QKD-Systems untereinander in einer QKD-Beziehung zur Erzeugung der als Zusatzschlüssel dienenden Quantenschlüssel, wobei deren Erzeugung nach einem QKD-Verfahren, das heißt nach einem Verfahren der Quantum Key Distribution, erfolgt. Die Endpunkte des Kommunikationssystems können demnach bei dieser Ausbildungsform vorteilhafterweise die zur bitweisen XOR-Verknüpfung mit einem jeweiligen Basisschlüssel dienenden quantensicheren Zusatzschlüssel (Quantenschlüssel) selbst erzeugen.

[0041] Das erfindungsgemäße Kommunikationssystem kann außerdem vorteilhaft dadurch weitergebildet sein, dass dessen erster Endpunkt zur Erzeugung der als Basisschlüssel zu verwendenden Zufallszahlen über einen Quantum Random Number Generator QRNG verfügt.

[0042] Für die vorgestellte Erfindung lassen sich folgende Vorteile angeben:
Der wesentlichste Vorteil der Erfindung liegt in der Eliminierung einer Schwachstelle (mögliche Nutzung von Basisschlüssel ohne Quantensicherheit) in der Implementierung von Verschlüsselungsprotokollen bei marktüblichen Verschlüsselern. Die vorgestellte Lösung ist insbesondere anwendbar auf alle Verschlüsseler, die auf den OSI Layer 1, Layer 2 oder Layer 3 operieren.

[0043] Insbesondere durch die Implementierung einer bevorzugten Ausbildungsform der erfindungsgemäßen Lösung, mit dem Austausch eines selbst quantensicheren Basisschlüssels unter Verwendung der Post Quantum Kryptographie (PQC), wird die Sicherheit von Layer-1-, Layer-2- oder Layer-3-Übertragungssystemen deutlich erhöht. Zusammen liefern die QKD- und PQC-Systeme eine erhöhte Sicherheit, wobei auch beim vorübergehenden Ausfall eines der beiden Systeme eine quantensichere Kommunikation für das Gesamtsystem gewährleistet wird. Die vorgestellte Lösung kann dabei in QKD-Architekturen transparent und minimal invasiv integriert werden.

[0044] Zudem sind folgende Sicherheitsbetrachtungen als relevant anzusehen:
Die Sicherheit der vorgestellten Erfindung hängt direkt von der Sicherheit der verwendeten kryptografischen Verfahren ab. Die theoretische Sicherheit des Quantenschlüsselaustausches ist bewiesen und hängt maßgeblich von der Gültigkeit der Gesetze der Quantenmechanik ab, während die praktische Sicherheit abhängig von der technischen Implementierung eines jeweiligen QKD-Systems und den Möglichkeiten technischer Side Channels ist.

[0045] Die PQC-Kryptosysteme werden zurzeit entwickelt, überprüft und unterliegen aufwändigen Standardisierungsbemühungen. Obwohl es keinen Beweis ihrer absoluten Sicherheit gibt, gelten die Algorithmen aufgrund geltender Annahmen und Kenntnisse über Algorithmen eines Quantencomputers als sicher.

[0046] Die Anwendung von "Post Quantum" Verschlüsselung (PQC) und Authentifizierung zusätzlich zu quantensicheren Schlüsseln, die über Verfahren des Quantenschlüssel-Austausches (QKD) erzeugt werden, liefert zusammen ein Verfahren mit erhöhter Sicherheit. Sollte ein Verfahren ausfallen, fehlerhaft sein oder angegriffen werden, so schützt das zweite Verfahren weiterhin die Vertraulichkeit der quantensicheren Kommunikation.

[0047] Die beiden Verfahren, "Post Quantum" Kryptographie (PQC) und Quantenschlüsselaustausch (QKD) können als komplementäre technische Ansätze implementiert werden. Während QKD auf einem hardwarezentrierten Ansatz unter Ausnutzung von quantenmechanischen Effekten beruht, nutzt die PQC einen softwarezentrierten Ansatz zur Implementierung härterer mathematischer Probleme als Basis neuer kryptographischer Protokolle.

[0048] Nachfolgend soll anhand der Fig. 1 ein Ausführungsbeispiel für die Erfindung gegeben und erläutert werden. Das Ausführungsbeispiel bezieht sich auf ein Kommunikationssystem, bei dessen durch die Datenverbindung miteinander verbundenen Endpunkten es sich um Netzwerkknoten innerhalb eines Netzwerks handelt. Auf die Darstellung der Verbindungen/Konnektivitäten dieser beiden Netzwerkknoten zu anderen Netzwerkknoten des Netzwerks wurde dabei verzichtet.

[0049] Die Fig. 1 zeigt eine grobschematische Darstellung des durch zwei Netzwerkknoten (erster Endpunkt 1 und zweiter Endpunkt 2) und eine diese untereinander verbindende Datenverbindung 3 ausgebildeten Kommunikationssystems. Beide Netzwerkknoten (Endpunkte 1, 2) weisen jeweils einen Verschlüsseler 4, 5 auf, das heißt eine Ver- und Entschlüsselungseinrichtung für einen über die Datenverbindung zwischen den Netzwerkknoten (Endpunkten 1, 2) erfolgenden verschlüsselten Datenverkehr. Erfindungsgemäß sind den Verschlüsselern 4, 5 beider Netzwerkknoten (Endpunkte 1, 2) jeweils ein PQC-Server, ein lokaler Schlüsselspeicher 6, 7 zur Aufnahme gemeinsamer, das heißt in beiden Netzwerkknoten (Endpunkten 1, 2) identisch vorliegender Quantenschlüssel, und ein lokales Schlüsselmanagement 8, 9 zur Verwaltung der vorgenannten Quantenschlüssel zugeordnet oder wahlweise auch als integraler Bestandteil des jeweiligen Verschlüsselers 4, 5 ausgebildet.

[0050] In einem Komfortbetrieb, bei dem es sich insbesondere bei einem als Teil eines Kernnetzes ausgebildeten Kommunikationssystems auch um einen Regelbetrieb handeln kann, verschlüsseln die Netzwerkknoten (Endpunkten 1, 2) die zwischen ihnen übertragenen Nutzdaten mittels eines Schlüssels, der durch eine bitweise XOR-Verknüpfung eines zuvor mittels eines PQC-Verschlüsselungsverfahrens zwischen ihnen ausgetauschten Basisschlüssels mit einem (in beiden Netzwercknoten, das heißt Endpunkten 1, 2, identisch verwendeten) Quantenschlüssel des gemeinsamen Vorrats beider Netzwerkknoten erzeugt wird.

[0051] Solange die Systeme zur Erzeugung von durch die beiden Netzwerkknoten (Endpunkte 1, 2) als gemeinsame Schlüssel zu verwendenden Quantenschlüsseln einwandfrei, das heißt ohne technische Störung oder Detektion eines möglichen Angriffs, arbeiten und in beiden Netzwerkknoten genügend Quantenschlüssel zur Verfügung stehen, arbeitet das Kommunikationssystem in diesem Komfortbetrieb oder Regelbetrieb. Tritt jedoch eine irgendwie geartete Störung der die Quantenschlüssel erzeugenden Systeme auf, so fällt das Kommunikationssystem unmittelbar in den Basisbetrieb zurück. Hierbei wird zur Verschlüsselung der zwischen den Netzwerkknoten (Endpunkten 1, 2) ausgetauschten Daten ausschließlich der jeweils gültige Basisschlüssel verwendet. Letzterer wird durch die beiden Netzwerkknoten (Endpunkte 1, 2) jeweils zuvor nach einem Public-Key-Verfahren, jedoch vorliegend nach einem besonders sicheren Verfahren, nämlich nach einem PQC-Verschlüsselungsverfahren, ausgetauscht. Der Austausch vollzieht sich hierbei wie folgt.

[0052] Der erste Netzwerkknoten (Endpunkt 1) möchte mit dem zweiten Netzwerkknoten (Endpunkt 2) Nutzdaten auf einem der Layer 1, 2 oder 3 des OSI-Schichtenmodels austauschen. Hierzu identifizieren sich die beiden Netzwerkknoten, das heißt deren Systeme, zunächst untereinander durch den Einsatz eines PQC-Signaturverfahrens. Nach erfolgreicher Authentifizierung verschlüsselt der erste Netzwerkknoten (Endpunkt 1) eine bei ihm erzeugte Zufallszahl mit dem früher erhaltenen öffentlichen Schlüssel des zweiten Netzwerkknotens (Endpunkt 2) und überträgt die entstehende Bitsequenz über die Datenverbindung 3 an den zweiten Netzwerkknoten (Endpunkt 2). Der zweite Netzwerkknoten (Endpunkt 2) extrahiert aus der von ihm empfangenen Bitsequenz mittels seines privaten Schlüssels die durch den ersten Netzwerkknoten (Endpunkt 1) erzeugte, als Shared Secret übertragene Zufallszahl. Beide Netzwerkknoten, das heißt Endpunkte 1, 2, verfügen nun über dieselbe geheime Zufallszahl, welche sie als Basisschlüssel verwenden. Befindet sich das Kommunikationssystem aufgrund einer Störung bei der Erzeugung der Quantenschlüssel im Basisbetrieb, so wird der wie vorstehend übertragene Basisschlüssel zur symmetrischen Verschlüsselung der zu übertragenden Nutzdaten verwendet.

[0053] Andernfalls - das Kommunikationssystem arbeitet im Komfortbetrieb - wird dieser Basisschlüssel mittels eines Quantenschlüssels aus dem gemeinsamen Vorrat beider Netzwerkknoten (Endpunkte 1, 2) bitweise XOR-verknüpft und die hierbei entstehende Bitsequenz zur symmetrischen Verschlüsselung zwischen den Netzwerkknoten (Endpunkten 1, 2) zu übertragender Nutzdaten verwendet. Vorzugsweise zusammen mit dem Basisschlüssel überträgt dazu der erste Netzwerkknoten (der erste Endpunkt 1) einen Identifier desjenigen Quantenschlüssels aus dem gemeinsamen Vorrat, den er zur bitweisen XOR-Verknüpfung des Basisschlüssels verwenden will, an den zweiten Netzwerkknoten (an den zweiten Endpunkt 2). Mit Hilfe des mit übertragenen Identifiers sucht der zweite Netzwerkknoten (Endpunkt 2), gesteuert durch sein lokales Schlüsselmanagement 9, den mit diesem bezeichneten, bei ihm ebenfalls vorliegenden Quantenschlüssel aus dem lokalen Schlüsselspeicher 7 heraus und verknüpft diesen seinerseits mittels des Verschlüsselers 5 bitweise XOR mit dem zuvor von ihm aus den vom ersten Netzwerkknoten empfangenen Daten extrahierten Basisschlüssel.

[0054] Die zuvor angesprochenen Verfahren zur PQC-Verschlüsselung beziehungsweise zur Authentifizierung (PQC-Signaturverfahren) sind als solches bereits bekannt und, wenngleich möglicherweise bisher nur in theoretischen Abhandlungen veröffentlicht, als Stand der Technik anzusehen. Sie sind insoweit nicht Teil der hier vorliegenden Erfindung und sollen daher auch nicht näher erläutert werden. Daher soll nachfolgend lediglich eine Übersicht zu den insoweit bekannten Verfahren gegeben werden.

Verfügbare Post Quantum Verschlüsselungsverfahren

[0055] 'BIKE1-L1-CPA', 'BIKE1-L3-CPA', 'BIKE1-L1-FO', 'BIKE1-L3-FO', 'Kyber512', 'Kyber768', 'Kyber1024', 'Kyber512-90s', 'Kyber768-90s', 'Kyber1024-90s', 'LEDAcryptKEM-LT12', 'LEDAcryptKEM-LT32', 'LEDAcryptKEM-LT52', 'NewHope-512-CCA', 'NewHope-1024-CCA', 'NTRU-HPS-2048-509', 'NTRU-HPS-2048-677', 'NTRU-HPS-4096-821', 'NTRU-HRSS-701', 'LightSaber-KEM', 'Saber-KEM', 'FireSaber-KEM', 'BabyBear', 'BabyBearEphem', 'MamaBear', 'MamaBearEphem', 'PapaBear', 'PapaBearEphem', ,FrodoKEM-640-AES', 'FrodoKEM-640-SHAKE', 'FrodoKEM-976-AES', 'FrodoKEM-976-SHAKE', 'FrodoKEM-1344-AES', 'FrodoKEM-1344-SHAKE', 'SIDH-p434', 'SIDH-p503', 'SIDH-p610', 'SIDH-p751', 'SIDH-p434-compressed', 'SIDH-p503-compressed', 'SIDH-p610-compressed', 'SIDH-p751-compressed', 'SIKE-p434', 'SIKE-p503', 'SIKE-p610', 'SIKE-p751', 'SIKE-p434-compressed', 'SIKE-p503-compressed', 'SIKE-p610-compressed', 'SIKE-p751-compressed'.

Verfügbare Post Quantum Signaturverfahren:

[0056] 'DILITHIUM_2', 'DILITHIUM_3', 'DILITHIUM_4', 'MQDSS-31-48', MQDSS-31-64', SPHINCS+-Haraka-128f-robust', SPHINCS+-Haraka-128f-simple', 'SPHINCS+-Haraka-128s-robust', 'SPHINCS+-Haraka-128s-simple', 'SPHINCS+-Haraka-192f-robust', 'SPHINCS+-Haraka-192f-simple', 'SPHINCS+-Haraka-192s-robust', 'SPHINCS+-Haraka-192s-simple', 'SPHINCS+-Haraka-256f-robust', 'SPHINCS+-Haraka-256f-simple', 'SPHINCS+-Haraka-256s-robust', 'SPHINCS+-Haraka-256s-simple', 'SPHINCS+-SHA256-128f-robust', 'SPHINCS+-SHA256-128f-simple', 'SPHINCS+-SHA256-128s-robust', 'SPHINCS+-SHA256-128s-simple', 'SPHINCS+-SHA256-192f-robust', 'SPHINCS+-SHA256-192f-simple', 'SPHINCS+-SHA256-192s-robust', 'SPHINCS+-SHA256-192s-simple', 'SPHINCS+-SHA256-256f-robust', 'SPHINCS+-SHA256-256f-simple', 'SPHINCS+-SHA256-256s-robust', 'SPHINCS+-SHA256-256s-simple', 'SPHINCS+-SHAKE256-128f-robust', 'SPHINCS+-SHAKE256-128f-simple', 'SPHINCS+-SHAKE256-128s-robust', 'SPHINCS+-SHAKE256-128s-simple', 'SPHINCS+-SHAKE256-192f-robust', 'SPHINCS+-SHAKE256-192f-simple', 'SPHINCS+-SHAKE256-192s-robust', 'SPHINCS+-SHAKE256-192s-simple', 'SPHINCS+-SHAKE256-256f-robust', 'SPHINCS+-SHAKE256-256f-simple', 'SPHINCS+-SHAKE256-256s-robust', 'SPHINCS+-SHAKE256-256s-simple',m 'picnic_L1_FS', 'picnic_L1_UR', 'picnic_L3_FS', 'picnic_L3_UR', 'picnic_L5_FS', 'picnic_L5_UR', 'picnic2_L1_FS', 'picnic2_L3_FS', 'picnic2_L5_FS', 'qTesla-p-I', 'qTesla-p-III'

Standardisierung der Systeme und Schnittstellen zum Quantenschlüsselaustausch

[0057] Das hier vorgestellte Verfahren nutzt die Standards und Verfahren, die in den jeweiligen nationalen und internationalen Standardisierungsgremien erarbeitet werden. Diese sind:

• National Standardization (NIST, IEEE)
• European Standardization (ETSI ISG QKD, ETSI TC Cyber WG QSC)
• Internationale Standardization (ISO /IEC, ITU, Quantum Internet Proposed Research Groupd, Crypto Forum Focus Group)

[0058] Die Integration von QKD-Netzen, insbesondere Metro-Netzen, mit PQC Netzwerkbrücken über 5G, Fiber oder Satellitenverbindungen über klassische Satelliten wird in diesen Gremien (noch) nicht diskutiert.

Technische Realisierung

[0059] 

• QKD-Systeme werden bereits auf dem Markt durch mehrere Firmen angeboten.
• Verschlüsseler werden passend zu den QKD-Systemen angeboten.
• Key Store Systeme, das heißt Schlüsselspeicher werden ebenfalls bereits von mehreren Firmen angeboten.
• Key Management Systeme (Systeme für das Schlüsselmanagement) werden von den QKD-Anbietern passend zu ihren Systemen angeboten. Ein anbieterunabhängiges, providerspezifisches Schlüsselmanagement ist abhängig von den laufenden Standardisierungsbemühungen und zurzeit noch nicht erhältlich.
• PQC-Signatur- und Verschlüsselungsalgorithmen sind in Form von "open source Bibliotheken" verfügbar. Diese Bibliotheken bedürfen einer Adaption und eine Neukompilation von openssl, der zurzeit gängigsten Krypto-Bibliothek. Die Verfahren haben einen Stand, der es ermöglicht, dass die angewandte Forschung und Entwicklung sie benutzen kann - eine Marktreife liegt noch nicht vor.
• AES 256 zur quantensicheren Verschlüsselung von Nutzdaten, ist standardisiert und Teil gängiger Programmierumgebungen.
• PQ-PKI (Public Key Infrastrukturen) zum Enrollment und zur Verifikation von hybriden PQ-Zertifikaten liegen als Test Implementierungen und Internetservices vor.

Verwendete Abkürzungen:

[0060] 

AES

Advanced Encryption Standard

KEM

Key Encapsulation Mechanism

OSI

Open Systems Interconnection

OTN

Optical Transport Network

PKI

Public Key Infrastructure

PQ

Post Quantum

PQC

Post Quantum Cryptography

QKD

Quantum Key Distribution

QRNG

Quantum Ranfom Number Generator

RSA

Rivest-Shamir-Adleman Algorithmus

SIG

Signature

SSL

Secure Sockets Layer

Ansprüche

1. Verfahren zum Betrieb eines aus zwei Endpunkten (1, 2) und aus einer Datenverbindung (3) zwischen diesen Endpunkten (1, 2) bestehenden Kommunikationssystems, bei welchem zwischen dem ersten Endpunkt (1) und dem zweiten Endpunkt (2) des Kommunikationssystems ausgetauschte Nutzdaten symmetrisch verschlüsselt werden mittels eines in beiden Endpunkten (1, 2) vorhandenen Schlüssels, der auf einer in dem ersten Endpunkt (1) erzeugten, nach dem Public-Key-Prinzip als Shared Secret an den zweiten Endpunkt (2) übertragenen Zufallszahl basiert, dadurch gekennzeichnet, dass in einem Basisbetrieb des Kommunikationssystems unmittelbar die zwischen den Endpunkten(1, 2) nach dem Public-Key-Verfahren ausgetauschte, einen Basisschlüssel darstellende Zufallszahl zur symmetrischen Verschlüsselung der Nutzdaten verwendet wird, wohingegen in einem Komfortbetrieb, nämlich in einem Betrieb mit in Bezug auf die Verschlüsselung der Nutzdaten erhöhter Sicherheit, die symmetrische Verschlüsselung der Nutzdaten erfolgt mittels eines Schlüssels, der gebildet wird durch eine bitweise XOR-Verknüpfung des Basisschlüssels mit einem in beiden Endpunkten (1, 2) vorliegenden Zusatzschlüssel, bei welchem es sich um einen Quantenschlüssel, das heißt um einen nach einem quantensicheren Verfahren erzeugten Schlüssel, handelt, wobei das Kommunikationssystem im Falle seiner Nutzung im Komfortbetrieb und einer dabei auftretenden Störung automatisiert in den Basisbetrieb zurückfällt.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass dieses in einem Kommunikationssystem verwendet wird, in welchem es sich bei den durch die Datenverbindung miteinander verbundenen Endpunkten (1 2) um zwei Netzwerkknoten in einem Netzwerk handelt.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass es sich bei dem für die bitweise XOR-Verknüpfung mit dem Basisschlüssel verwendeten Zusatzschlüssel um einen von mehreren, in beiden Endpunkten (1, 2) vorliegenden Quantenschlüsseln handelt, wobei im Komfortbetrieb zwischen den beiden Endpunkten (1, 2), vorzugsweise zusammen mit dem unter Anwendung des Public-Key-Verfahrens übertragenen Shared Secret, ein den zur bitweisen XOR-Verknüpfung zu verwendenden Quantenschlüssel eindeutig bezeichnender Identifier übertragen wird.

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der erste Endpunkt (1) die als Shared Secret an den zweiten Endpunkt (2) übertragene, den Basisschlüssel bildende Zufallszahl mittels eines Quantum Random Number Generators QRNG erzeugt.

5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass als Public-Key-Verfahren zur Übertragung der als Shared Secret übertragenen, den Basisschlüssel ausbildenden Zufallszahl ein PQC-Verschlüsselungsverfahren verwendet wird.

6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass sich die beiden Endpunkte (1, 2) des Kommunikationssystems vor der unter Anwendung des PQC-Verschlüsselungsverfahrens erfolgenden Übertragung des Shared Secret gegenseitig unter Anwendung eines PQC-Signaturverfahrens authentifizieren.

7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass der als Zusatzschlüssel dienende, zur bitweisen XOR-Verknüpfung mit dem Basisschlüssel verwendete Quantenschlüssel, durch die beiden dafür entsprechend ausgebildeten Endpunkte (1, 2) gemeinsam durch Anwendung eines QKD-Verfahrens erzeugt wird.

8. Verfahren nach einem der Ansprüche 1 bis 6, wobei die beiden Endpunkte (1, 2) des Kommunikationssystems untereinander nicht in einer QKD-Beziehung stehen, aber jeweils über mindestens zwei vollständig disjunkte Verbindungspfade mit zwei anderen, einen QKD-Verbund ausbildenden Endpunkten verbunden sind, dadurch gekennzeichnet, dass der als Zusatzschlüssel dienende Quantenschlüssel den beiden Endpunkten (1, 2) des Kommunikationssystems durch den QKD-Verbund mittels eines Übertragungsverfahrens zur Verfügung gestellt wird, bei dem durch den QKD-Verbund mehrere durch bitweise XOR-Verknüpfung von dem QKD-Verbund erzeugter Quantenschlüssel gebildete Bitsequenzen, von denen mindestens eine unter Einbeziehung des Zusatzschlüssels gebildet ist, an beide Endpunkte (1, 2) des Kommunikationssystems über je einen der disjunkten Verbindungspfade übertragen werden und die Endpunkte des Kommunikationsnetzes den von ihnen als Zusatzschlüssel zur bitweisen XOR-Verknüpfung mit dem Basisschlüssel zu verwendenden Quantenschlüssel durch bitweise XOR-Verknüpfung der bei ihnen von dem QKD-Verbund eingehenden Bitsequenzen extrahieren.

9. Kommunikationssystem, bestehend aus zwei Endpunkten (1, 2) aus einer die beiden Endpunkte (1, 2) untereinander verbindenden Datenverbindung (3), wobei

- beide Endpunkte (1, 2) dazu ausgebildet sind, über die Datenverbindung (3) ausgetauschte Nutzdaten verschlüsselt zu übertragen, wofür jeder der Endpunkte (1, 2) über einen Verschlüsseler (4, 5), das heißt über eine Ver- und Entschlüsselungseinrichtung, verfügt und

- beide Endpunkte (1, 2) über einen gemeinsamen Vorrat an Quantenschlüsseln verfügen, dessen Schlüssel jeder der beiden Endpunkte (1, 2) in einem lokalen Schlüsselspeicher (6, 7) hält und mittels eines lokalen Schlüsselmanagements (8, 9) verwaltet, und

- mindestens ein erster Endpunkt (1) der beiden Endpunkte (1) zur Erzeugung von als Basisschlüssel zu verwendenden Zufallszahlen ausgebildet ist und zur Übertragung dieser Basisschlüssel an den zweiten Endpunkt (2), nach dem Public-Key-Prinzip, über einen öffentlichen Schlüssel des zweiten Endpunkts (2) verfügt, zu welchem ein mit diesem öffentlichen Schlüssel korrespondierender geheimer Schlüssel existiert, der sich im Besitz des zweiten Endpunkts (2) befindet,
dadurch gekennzeichnet, dass

a.) die Verschlüsseler (4, 5) beider Endpunkte (1, 2) jeweils mit einem PQC-Server zur Ausführung eines PQC-Verschlüsselungsverfahrens sowie mit einer Einheit zur bittweisen XOR-Verknüpfung von Bitsequenzen ausgestattet sind,

b.) das Kommunikationssystem in einem Basisbetrieb und in einem Komfortbetrieb betreibbar ist und die zwischen den Endpunkten (1, 2) ausgetauschten Nutzdaten in beiden Betriebsmodi jeweils unter Verwendung eines Basisschlüssels symmetrisch verschlüsselt werden, der zwischen den Endpunkten (1, 2) nach einem durch ihre PQC-Server ausgeführten PQC-Verschlüsselungsverfahren ausgetauscht wird, wobei zur Verschlüsselung der Nutzdaten im Basisbetrieb unmittelbar der Basisschlüssel und im Komfortbetrieb ein Schlüssel verwendet wird, welcher durch die Endpunkte (1, 2) mittels ihrer jeweiligen, dafür vorgesehenen Einheit durch bitweise XOR-Verknüpfung des Basisschlüssels mit einem identischen, aus ihrem gemeinsamen Vorrat entnommenen Quantenschlüssel erzeugt wird,

c.) das Kommunikationssystem im Falle seiner Nutzung im Komfortbetrieb und einer dabei auftretenden Störung automatisiert in den Basisbetrieb zurückfällt.

10. Kommunikationssystem nach Anspruch 9, dadurch gekennzeichnet, dass es sich bei dessen, durch die Datenverbindung (3) miteinander verbundenen Endpunkten (1, 2) um zwei Netzwerkknoten in einem Netzwerk handelt.

11. Kommunikationssystem nach Anspruch 9 oder 10, dadurch gekennzeichnet, dass beide Endpunkte (1, 2) des Kommunikationssystems über ein QKD-System verfügen und untereinander in einer QKD-Beziehung zur Erzeugung der als Zusatzschlüssel dienenden Quantenschlüssel nach einem QKD-Verfahren, das heißt nach einem Verfahren der Quantum Key Distribution, stehen.

12. Kommunikationssystem nach einem der Ansprüche 9 bis 11, dadurch gekennzeichnet, dass dessen erster Endpunkt (1) zur Erzeugung der als Basisschlüssel zu verwendenden Zufallszahlen über einen Quantum Random Number Generator QRNG verfügt.

Zeichnung