Als würde die technologische Entwicklung im Zeitraffer ablaufen, jagt derzeit eine Revolution die nächste. Digitalisierung, umfassende Vernetzung und Cloud-Transformation sind noch nicht ganz abgeschlossen, da erscheinen die ersten KI-basierten Anwendungen bereits mitten in unserem Alltag – und lassen erahnen, welch weitreichende Folgen diese Technologie noch haben wird. Im Vergleich dazu steht eine weitere Umwälzung deutlich weniger im Rampenlicht, obwohl sie ähnlich große Auswirkungen haben könnte: die Entwicklung leistungsfähiger Quantencomputer. Mit ihrer neuen Art des maschinellen Rechnens werden diese Geräte herkömmliche Computer in vielen Bereichen schon bald überflügeln.

Zu diesen Bereichen zählt unter anderem das Lösen mathematischer Probleme, die der konventionellen Kryptografie als Grundlage dienen. Für viele verbreitete Verschlüsselungsverfahren bedeutet das das Aus. Allerdings stehen neue, Quantencomputer-resistente Verfahren der sogenannten Post-Quanten-Kryptographie (PQC) bereits in den Startlöchern, werden international evaluiert und im Hochsicherheitsumfeld in Deutschland auch schon eingesetzt. Tatsächlich besteht bereits heute akuter Bedarf: Zwar sind die heutigen Quantencomputer noch keine Gefahr für herkömmliche Verschlüsselungsverfahren. Doch wer sich unbefugt für sensible Daten interessiert, kann diese heute mitschneiden und speichern, um sie dann in einigen Jahren mit fortgeschrittenen Quantencomputern zu entschlüsseln – „store now, decrypt later“. Da insbesondere eingestufte Informationen in vielen Fällen für Jahrzehnte vertraulich bleiben sollen, ist dies eine ernstzunehmende Bedrohung.

Spukhafte Fernwirkung

Einen ganz anderen Ansatz als die PQC verfolgt das Forschungsgebiet der Quantenkommunikation. So wie der Quantencomputer basiert sie auf der Quantenphysik, die sich unter anderem mit der Welt des Allerkleinsten befasst und dabei das für den Alltagsverstand mitunter verwirrende, teilweise bizarre Verhalten von Atomen und subatomaren Teilchen beschreibt. So können zum Beispiel zwei oder mehr Teilchen miteinander „verschränkt“ sein, d.h. sich als Gesamtsystem verhalten, auch wenn sie weit voneinander entfernt sind. Misst man eine ihrer zunächst unbestimmten Eigenschaften, nehmen sie erst bei dieser Messung spontan einen von mehreren möglichen Werten an. Das ist in der Quantenwelt nichts Ungewöhnliches. Der entscheidende Punkt: Mehrere miteinander verschränkte Teilchen nehmen bei der Messung spontan einen korrelierten Wert an, obwohl es gemäß unserer Alltagserfahrung keinerlei Verbindung zwischen ihnen geben dürfte – schließlich sind sie durch eine Distanz von vielen Kilometern getrennt. Übrigens zweifelte Albert Einstein in der Frühzeit der Quantenphysik an der Realität der Verschränkung und nannte sie eine „spukhafte Fernwirkung“. In den darauffolgenden Jahrzehnten wurde jedoch nachgewiesen, dass sie tatsächlich existiert.

In Quantencomputern wird Verschränkung genutzt, um die Qubits – das sind die auf quantenmechanischen Zuständen basierenden fundamentalen Recheneinheiten – zu verbinden. In der Quantenkommunikation hingegen kann man den Effekt nutzen, um zwischen zwei Punkten, klassischerweise Alice und Bob genannt, zufälliges, aber identisches symmetrisches Schlüsselmaterial auszutauschen. Die Geräte, die diese Quantenkommunikation realisieren, werden auch als QKD-Geräte bezeichnet. Aus diesen könnten zukünftig z. B. VPN-Gateways das mittels QKD ausgetauschte Schlüsselmaterial auslesen und als zusätzlichen Schutz verwenden.

Der Austausch des Schlüsselmaterials zwischen den QKD-Geräten erfolgt typischerweise mittels einer dedizierten Glasfaserverbindung, durch die verschränkte Photonenpaare geschickt werden. Beide Geräte messen hierbei eine bestimmte Eigenschaft jedes Photons. Dadurch erhält Alice eine vollkommen zufällige Folge von Nullen und Einsen. Der Clou ist, dass Bob aufgrund der Verschränkung genau dieselbe zufällige Folge von Werten erhält. Somit haben beide eine identische Folge von Nullen und Einsen zur Verfügung, die sich als Schlüssel nutzen lässt und die außer ihnen niemand kennt: zum einen, weil sie komplett zufällig ist, und zum anderen, weil jede versuchte Abhöraktion die Korrelation zwischen den Teilchen stören würde. Dies wiederum würden Alice und Bob bemerken. QKD ist somit eine faszinierende Möglichkeit, zwischen zwei Punkten bzw. QKD-Geräten regelmäßig neues, zufälliges Schlüsselmaterial auszutauschen.

Praktische Herausforderungen

Können die Probleme rund um die Bedrohung durch Quantencomputer allein durch QKD gelöst werden? Bisher nicht, denn in der Praxis stellen sich aktuell eine ganze Reihe von Herausforderungen:

• QKD-Geräte müssen sich vor einem Schlüsselaustausch gegenseitig ihre Identität bestätigen. Bereits dieser Vorgang muss resistent gegen Quantencomputer sein, und somit durch PQC oder einen paarweise vorverteilten Schlüssel erfolgen.
• Die Reichweite von QKD ist bisher stark begrenzt. Aktuell liegt sie bei ca. 100 Kilometern per Glasfaser. Zwar sind zur sicheren Vergrößerung der Reichweite sogenannte Quanten-Repeater im Gespräch, aber diese Technologie ist noch in der Entwicklungsphase.
• Um die Reichweite bereits jetzt zu erhöhen, wird mit so genannten QKD-Netzwerken experimentiert. Diese ergeben sich durch die Verkettung mehrerer QKD-Strecken, über die anschließend das Schlüsselmaterial geleitet wird. Das Problem: Durch die Verkettung von QKD-Strecken verliert man die Sicherheitseigenschaft der Verschränkung, sodass die Schlüssel keine Ende-zu-Ende-Sicherheit gewährleisten.
• Die Rate der ausgetauschten Schlüssel schwankt beispielsweise bei Vibrationen oder Temperaturveränderungen der Glasfaser.
• Die Sicherheit der aktuellen QKD-Protokolle sowie der praktischen Implementierungen sind bisher nicht nachgewiesen.
• Verbindungen zu mobilen Geräten wie Laptops oder Telefonen werden vorerst nicht durch QKD abgesichert werden können. Dennoch müssen auch diese gegen die Bedrohung durch Quantencomputer abgesichert sein.

Aus diesen und ähnlichen Gründen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Januar 2024 in einem veröffentlichten Positionspapier die Sicherheit von QKD als noch nicht ausgereift bezeichnet. Anstelle von QKD präferiert das BSI die hybride Absicherung durch die Kombination von PQC und der klassischen asymmetrischen Kryptografie oder alternativ durch PQC und symmetrische Schlüssel.

„Bei secunet teilen wir diese Bedenken“, sagt Friedrich Altheide, der bei secunet Experte für die zukünftigen Sicherheitsarchitekturen ist. „Daher ist es gut, dass es zur zusätzlichen Absicherung von VPNs Alternativen gibt, die zum Teil schon heute verfügbar sind. So bieten wir bereits seit vielen Jahren die Möglichkeit, VPNs zusätzlich zur klassischen asymmetrischen Kryptografie durch symmetrische Gruppenschlüssel (Closed User Groups – CUG) abzusichern. Dennoch interessiert uns, ob QKD zukünftig als weitere Absicherungsmaßname in Frage kommt. Daher beteiligen wir uns seit 2021 zusammen mit unserem langjährigen Forschungspartner, der TU Ilmenau, am Projekt MuQuaNet.“

Versuchsnetz in München

Unter dem Namen MuQuaNet entsteht im Großraum München derzeit ein Quantenkommunikationsnetz zu Forschungs- und Evaluierungszwecken. Getrieben wird das Projekt durch die Universität der Bundeswehr in München (UniBw M), secunet ist einer der Industriepartner. Mit seinen zehn Knotenpunkten zählt das MuQuaNet zu den größten in Deutschland geplanten QKD-Teststrecken, wodurch vor allem der Netzwerkcharakter der neuen Technologie untersucht werden kann. Dabei kombiniert das Netzwerk terrestrische Glasfaserkabel mit frei strahlenden Kommunikationswegen.

Im Rahmen des Projekts legt secunet zusammen mit der TU Ilmenau den Fokus auf die zusätzliche Absicherung von VPNs – durch QKD, aber auch durch weitere Verfahren. Dabei sind drei spannende Ansätze entstanden: Das IKE-Proxy-Konzept, der Business Trip Key Exchange (BTKE), sowie der Einsatz von Multipath Key Reinforcement (MKR). Diese Konzepte können auch kombiniert werden.

Mit dem IKE-Proxy-Konzept (Abbildung 1) wird die bereits heute verfügbare Option, ein VPN durch einen CUG-Schlüssel zusätzlich abzusichern, noch einen Schritt weiterentwickelt. Bei IKE oder „Internet Key Exchange“ handelt es sich um ein weitverbreitetes Protokoll, um die IPsec-Sicherheitsbeziehungen eines VPNs aufzubauen. Mittels der IKE-Pakete authentifizieren sich zwei VPN-Teilnehmer gegenseitig und handeln einen gemeinsamen symmetrischen Sitzungsschlüssel aus.

Sowohl der IKE-Proxy als auch der aktuelle CUG-Mechanismus teilen die Idee, die IKE-Pakete vor dem Versenden über ungesicherte Netze zu überschlüsseln. So entsteht eine sogenannte Second-Line-of-Defence, welche zunächst durch einen Angreifer gebrochen werden muss. Um diese zukünftig weiter zu stärken, können mit dem IKE-Proxy nicht wie bisher nur ein einzelner CUG-Schlüssel, sondern gleich mehrere unterschiedliche Schlüsselquellen verwendet werden. Eine dieser Quellen könnte z. B. QKD sein. Ein Angreifer müsste sämtliche verwendeten Schlüsselquellen durchgängig kompromittieren, andernfalls kann er die Verbindung – auch zukünftig – nicht erfolgreich abhören.

Business Trip Key Exchange (BTKE)

Doch woher stammen die Schlüssel, wenn QKD aufgrund seiner Einschränkungen voraussichtlich nur für einzelne Verbindungen eines VPN in Frage kommt? Eine Option dafür scheint zunächst sehr aus der Zeit gefallen zu sein: Personen fungieren als Schlüsselkurier und sind physisch zwischen allen VPN-Standorten unterwegs, um manuell neue Schlüssel zu verteilen. Bei näherer Betrachtung erscheint der Ansatz keineswegs so abwegig: Schließlich finden zwischen verschiedenen Standorten einer Organisation meist regelmäßig Dienstreisen statt, und diese Tatsache kann man sich auch ohne aktives Zutun der Reisenden zunutze machen. Die Idee: Abgesicherte mobile VPN-Teilnehmer – wie zum Beispiel eine SINA Workstation – erhalten von einem VPN-Gateway frisches Schlüsselmaterial, wenn sie sich in dessen abgesichertem Netz befinden. Erkennen die mobilen VPN-Teilnehmer, dass sie sich – wie im Falle einer Dienstreise – in dem abgesicherten Netz eines anderen VPN-Gateways befinden, übergeben sie dem Gateway das mitgenommene Schlüsselmaterial. Dieses Schlüsselmaterial wird anschließend durch den IKE-Proxy verwendet. „Der Business Trip Key Exchange ist eine besonders einfache Möglichkeit, ein VPN durch Dienstreisen vollautomatisiert zusätzlich abzusichern“, so Friedrich Altheide.

Multipath Key Reinforcement (MKR)

So weit, so gut. Allerdings muss man bei BTKE genau wie bei manuellen Schlüsselaustauschen oder QKD damit leben, dass Schlüsselmaterial entweder nur unregelmäßig oder nur zwischen einzelnen VPN-Teilnehmern ausgetauscht werden kann. Wie lässt sich ein flächendeckender, regelmäßiger, automatisierter und gleichzeitig sicherer Schlüsselaustausch bewerkstelligen?

Die Antwort hierfür stammt aus der Welt der Sensornetzwerke und heißt Multipath Key Reinforcement (MKR). Das Grundkonzept von MKR mag zunächst irritierend wirken, denn damit werden symmetrische Schlüssel über das Netz ausgetauscht, das wiederum durch MKR abgesichert wird. Doch gerade dadurch entsteht die zusätzliche Sicherheit.

Um zwischen zwei Punkten Alice (A) und Bob (B) einen symmetrischen Schlüssel auszutauschen, wählt Alice zufällige Pfade zu Bob, wie in Abbildung 2 dargestellt wird. Für jeden dieser Pfade generiert Alice zufälliges Schlüsselmaterial (mⁱ) und sendet dieses über den gewählten Pfad an Bob. Nach dem Austausch kombinieren Alice und Bob das ausgetauschte Schlüsselmaterial und erhalten einen einzelnen symmetrischen Schlüssel. Dieser kann anschließend durch den IKE-Proxy verwendet werden, um die Verbindung zwischen Alice und Bob zusätzlich abzusichern.

Damit ein Angreifer einen MKR-Austausch erfolgreich abhören kann, muss dieser alle in einem MKR-Austausch verwendeten Pfade erfolgreich abhören. Kann der Angreifer, wie in der Abbildung mit m⁵ dargestellt, auch nur einen einzelnen Schlüssel des Austausches nicht mitlesen, kann er den ausgetauschten MKR-Schlüssel nicht rekonstruieren und die Verbindung bleibt sicher. Je häufiger MKR durchgeführt wird – mehrmals am Tag oder gar mehrmals in der Stunde –, desto höher die Sicherheit. „MKR spielt insbesondere dann seine Stärken aus, wenn es mit dem Business Trip Key Exchange durch den IKE-Proxy und, wo zukünftig verfügbar, QKD kombiniert wird“, so die Einschätzung von Altheide.

Zukunftssicherheit für das VPN

Die faszinierende Technologie der QKD kann also, trotz ihrer Schwächen, durchaus einen Beitrag zum sicheren VPN der Zukunft leisten – aber nur als eine von mehreren Säulen. „Unsere gemeinsame Arbeit mit der TU Ilmenau und der UniBw im Rahmen von MuQuaNet zeigt schon jetzt, dass ein Mosaik aus innovativen Sicherheitstechnologien zum Ziel führen kann : Auf diese Weise werden wir künftig VPNs auch über die Sicherheitsanforderungen des BSI hinaus gegen Quantenangreifer absichern können“, resümiert Altheide. „Übrigens werden wir dabei keinerlei Abstriche bei der Schnelligkeit, Skalierbarkeit, Hochverfügbarkeit oder Robustheit unserer VPN-Lösungen machen müssen – auch das ist sicher eine gute Nachricht.“