Privacy Enhanced QKD Networks: Zero Trust Relay Architecture based on Homomorphic Encryption

Diese Arbeit stellt eine Zero-Trust-Relay-Architektur für QKD-Netzwerke vor, die durch den Einsatz von Fully Homomorphic Encryption (FHE) die Notwendigkeit vertrauenswürdiger Relaisknoten eliminiert, indem sie die Umverschlüsselung von Schlüsseln ohne Freilegung von Klartextdaten ermöglicht und somit die Sicherheit und Skalierbarkeit bestehender Infrastrukturen gemäß ETSI-Standards erheblich verbessert.

Das Wesentliche

Das große Problem: Der "Vertrauenswürdige" Kurier

Stellen Sie sich vor, Sie wollen ein hochgeheimes Geheimnis (einen Schlüssel) von A nach Z transportieren. Da die Distanz zu groß ist, müssen Sie mehrere Kurierstationen (Relais) dazwischen schalten.

In der aktuellen Welt der Quantenkommunikation (QKD) funktioniert das so:

1. Der Kurier in Station 1 nimmt den Schlüssel, liest ihn laut vor (entschlüsselt ihn), um ihn zu prüfen.
2. Dann steckt er ihn in einen neuen, noch sichereren Umschlag für den nächsten Kurier.
3. Das Problem: An jeder Station muss man dem Kurier blind vertrauen. Wenn ein Kurier böse ist, gekapert wird oder einfach neugierig ist, sieht er das Geheimnis in seiner nackten Form. Das ist wie ein Brief, der an jeder Postfiliale geöffnet und gelesen wird, bevor er weitergeschickt wird.

Die neue Lösung: Der "Unsichtbare" Kurier (Zero-Trust)

Die Autoren dieses Papiers haben eine neue Methode entwickelt, die keinem Kurier erlaubt, das Geheimnis zu sehen. Sie nennen das "Zero-Trust" (Null Vertrauen).

Stellen Sie sich die neue Methode wie einen magischen, unsichtbaren Behälter vor, der mit einem speziellen Schloss (Homomorphe Verschlüsselung) versehen ist.

1. Der magische Behälter: Der Schlüssel wird in einen Behälter gesteckt, der so verschlossen ist, dass niemand ihn öffnen kann.
2. Die magische Operation: Der Kurier an der Station darf den Behälter nicht öffnen. Stattdessen darf er den Behälter nur schütteln und manipulieren, ohne ihn zu öffnen.
   • Die Analogie: Stellen Sie sich vor, Sie haben einen verschlossenen Briefumschlag. Sie dürfen ihn nicht öffnen, aber Sie dürfen einen neuen, ebenfalls verschlossenen Zettel mit einem anderen Geheimnis in den Umschlag stecken und die beiden verschmelzen lassen. Das Ergebnis ist immer noch ein verschlossener Umschlag, aber er enthält jetzt eine Mischung aus beiden Geheimnissen.
   • Der Kurier sieht nur den verschlossenen Umschlag. Er weiß nicht, was drin ist. Er führt nur die mathematische "Schüttel-Operation" durch, um den Weg für den nächsten Kurier vorzubereiten.
3. Das Ziel: Erst am allerletzten Zielort (beim Empfänger) wird der Behälter geöffnet. Nur dort sieht man den ursprünglichen Schlüssel.

Was macht die Technik so besonders?

Die Forscher nutzen dafür eine Technologie namens Fully Homomorphic Encryption (FHE).

• Einfach gesagt: Es ist wie ein Computer, der Rechnungen mit verschlüsselten Zahlen macht, ohne die Zahlen je zu entschlüsseln. Es ist, als würde man zwei verschlossene Kisten schütteln, und am Ende kommt eine dritte verschlossene Kiste heraus, die das Ergebnis der Schüttelbewegung enthält.

Zusätzliche Sicherheitsmaßnahmen:

• Zufallszahlen aus der Ferne: Normalerweise erzeugen die Quanten-Geräte die Schlüssel selbst. In diesem neuen System kommen die Schlüssel für die Endnutzer von einem externen, sicheren Zufallsgenerator (QRNG). Das ist wie ein separater, sicherer Tresor, der nur dem Endnutzer gehört, nicht dem Kurier.
• Hardware-Schutz: Man kann diese magischen Behälter sogar in spezielle, abgeschirmte Computerchips (wie TEEs) stecken, die so sicher sind, dass selbst der Besitzer des Computers nicht sehen kann, was darin passiert.

Warum ist das wichtig?

1. Kein Vertrauen nötig: Sie müssen den Betreibern der Zwischenstationen nicht mehr vertrauen. Selbst wenn sie gehackt werden oder böswillig sind, sehen sie nur verschlüsselten Unsinn.
2. Skalierbarkeit: Da die Methode gut mit den aktuellen Standards (ETSI) kompatibel ist, kann man sie leicht in bestehende Glasfaser-Netze integrieren, ohne alles neu zu bauen.
3. Zukunftssicher: Die Mathematik dahinter ist so stark, dass selbst zukünftige Quantencomputer sie kaum knacken könnten.

Zusammenfassung in einem Satz

Die Forscher haben eine Methode entwickelt, bei der Geheimnisse durch ein Netzwerk von Kurieren geschickt werden können, ohne dass jeder einzelne Kurier jemals sieht, was er transportiert – dank einer Art "magischem Behälter", der Berechnungen im verschlüsselten Zustand erlaubt.

Das ist ein riesiger Schritt weg von der alten Regel "Wir müssen allen Stationen vertrauen" hin zu "Wir müssen niemandem vertrauen, weil die Technik es unmöglich macht, etwas zu stehlen."

Technische Zusammenfassung

1. Problemstellung

Quantum Key Distribution (QKD) ermöglicht den unbedingt sicheren Austausch symmetrischer Schlüssel. Ein Hauptproblem bei der Skalierung von QKD-Netzwerken über terrestrische Glasfasernetze ist die Distanzbegrenzung (typischerweise < 300 km) aufgrund von Signalverlusten.

• Aktueller Standard: Um größere Distanzen zu überbrücken, werden derzeit „vertrauenswürdige Relais" (Trusted Relays) eingesetzt. Diese Knoten entschlüsseln den Schlüssel am Ende eines Segments im Klartext, verschlüsseln ihn erneut mit dem Schlüssel des nächsten Segments und leiten ihn weiter.
• Schwachstelle: Dieser Ansatz erfordert, dass der Schlüssel an jedem Relais-Knoten als Klartext vorliegt. Dies macht die Relais zu einem kritischen Sicherheitsrisiko („Single Point of Failure"). Wenn ein Relais kompromittiert wird (durch Insider-Bedrohungen oder externe Angriffe), sind alle durchlaufenden Schlüssel gefährdet. Zudem sind die aktuellen Systeme oft an die eingebetteten QRNGs (Quantum Random Number Generators) der Hardware gebunden, was die Krypto-Agilität einschränkt.

2. Methodik: Zero-Trust-Architektur mit Homomorpher Verschlüsselung

Die Autoren schlagen eine Zero-Trust-Relais-Architektur vor, die das Problem der Klartext-Exponierung löst, indem sie vollständige homomorphe Verschlüsselung (FHE) nutzt.

• Entkopplung der Schlüsselgenerierung:

  • Im Gegensatz zu herkömmlichen Systemen, bei denen der QKD-Modul sowohl den Endnutzer-Schlüssel als auch das Material für die Relais-Verschlüsselung liefert, generiert jedes Relais (ZTQR - Zero-Trust QKD Relay) eigene Schlüssel über einen externen QRNG.
  • Der vom Endnutzer (SAE) genutzte Schlüssel wird lokal im Relais generiert und ist für die QKD-Hardware des Relais unsichtbar. Dies ermöglicht den Austausch defekter QRNGs ohne Hardware-Austausch des gesamten QKD-Geräts (verbesserte Krypto-Agilität).

• Homomorphe One-Time-Pad (OTP) Operationen:

  • Die Relais führen die für QKD notwendige XOR-Operation (OTP) nicht auf Klartextschlüsseln durch, sondern auf verschlüsselten Daten.
  • Es wird das BFV-Schema (Brakerski/Fan-Vercauteren) verwendet, das auf dem Ring-LWE (Learning With Errors) Problem basiert und als quantenresistent gilt.
  • Funktionsweise:
    1. Das Quell-Relais verschlüsselt den lokal generierten Schlüssel und den vom QKD-Link empfangenen Schlüssel mit dem öffentlichen Schlüssel des Ziel-Relais.
    2. Die XOR-Operation wird im homomorphen Raum als Addition im Galois-Feld GF(2) durchgeführt.
    3. Um Überträge (Carries) bei der Addition zu vermeiden, die die XOR-Logik zerstören würden, werden Operationen in einem größeren Modul (z. B. GF(p)) durchgeführt und erst am Ende modulo 2 reduziert.
    4. Jedes Zwischen-Relais kann den verschlüsselten Paketinhalt entschlüsseln, den alten QKD-Schlüssel homomorph „herausrechnen" (XOR rückgängig machen) und den neuen QKD-Schlüssel hinzufügen, ohne jemals den eigentlichen Nutzschlüssel im Klartext zu sehen.
  • Nur das End-Relais (mit dem privaten Schlüssel) kann den finalen Schlüssel entschlüsseln und an den Endnutzer ausliefern.

• Hardware-Unterstützung (Optional):

  • Zur weiteren Erhöhung der Sicherheit können Trusted Execution Environments (TEE) oder Trusted Platform Modules (TPM) genutzt werden, um die privaten homomorphen Schlüssel und die Rechenprozesse vor dem Betriebssystem und potenziellen Angreifern zu isolieren.

3. Hauptbeiträge

• Vertrauensminimierung: Die Architektur eliminiert die Notwendigkeit, Relais-Betreibern zu vertrauen, da diese niemals Zugriff auf die Klartext-Schlüssel haben.
• Krypto-Agilität: Durch die Trennung der Endnutzer-Schlüsselgenerierung von der QKD-Hardware können QRNGs unabhängig ausgetauscht werden.
• Standardkonformität: Die Lösung ist kompatibel mit den aktuellen ETSI-Standards (ETSI-014 für Key Exchange, ETSI-020 für KMS-Interoperabilität) und kann in bestehende Infrastrukturen integriert werden.
• Skalierbarkeit: Die Methode wurde so entwickelt, dass sie auch in großen Netzwerken mit vielen Relais-Knoten funktioniert, ohne die Informationstheoretische Sicherheit (ITS) des QKD zu beeinträchtigen.

4. Experimentelle Ergebnisse

Die Autoren haben einen Testaufbau (Testbed) mit einer Mischung aus simulierten QKD-Links und echter Hardware (IDQuantique Clavis3-Plattform, 1 km Dunkelglasfaser) realisiert.

• Funktionalität: Die Übertragung von Schlüsseln über vier QKD-Links mit drei Zwischen-Relais wurde erfolgreich demonstriert. Die Schlüssel wurden korrekt generiert, homomorph verarbeitet und am Ziel entschlüsselt.
• Performance-Metriken:
  • Payload-Größe: Die Größe der verschlüsselten Nachrichten bleibt stabil bei ca. 347 KB, unabhängig von der Schlüssellänge (128/256 Bit) oder der Anzahl der Hops. Dies liegt daran, dass die QKD-Schlüssel weit unter den Grenzen des homomorphen Raums liegen. Diese Größe ist für HTTP-Server (Nginx, IIS, Tomcat) handhabbar.
  • Verarbeitungszeit: Die homomorphe XOR-Operation (H-XOR) benötigt ca. 42–84 ms pro Relais (im Vergleich zu < 1 ms für klassisches XOR). Dies wird als akzeptabel eingestuft, da die Latenz durch zukünftige Optimierungen (z. B. FPGA, C++ statt Python) weiter reduziert werden kann.
  • CPU-Auslastung: Der Overhead beträgt im Durchschnitt nur 2 % auf einem dedizierten Thread, was als gering eingestuft wird.
  • Rauschen (Noise Growth): Die theoretische Analyse zeigt, dass das Rauschen bei der Addition von Ciphertexts minimal wächst. Es sind theoretisch bis zu $2^{220}$ Additionen möglich, bevor eine Entschlüsselung unmöglich wird, was die Skalierbarkeit für große Netzwerke bestätigt.

5. Bedeutung und Ausblick

• Praktische Relevanz: Da Quanten-Repeater noch nicht kommerziell einsatzbereit sind, bleibt die Trusted-Relay-Architektur für Jahre der Standard. Diese Arbeit bietet einen sofort umsetzbaren Weg, die Sicherheit dieser bestehenden und zukünftigen Netze (wie EuroQCI) drastisch zu verbessern, ohne die physikalische Infrastruktur zu ändern.
• Zukunftssicherheit: Durch die Nutzung von LWE-basierten Algorithmen ist die Lösung gegen zukünftige Quantencomputer-Angriffe („Store Now, Decrypt Later") gewappnet.
• Patent: Die Methode wurde beim Europäischen Patentamt angemeldet (EP24383397.7).

Fazit: Das Paper stellt einen bedeutenden Schritt hin zu skalierbaren, sichereren QKD-Netzwerken dar, indem es die Lücke zwischen der theoretischen Sicherheit von QKD und den praktischen Risiken vertrauensbasierter Relais durch den Einsatz moderner kryptografischer Techniken (FHE) schließt.