Fiber optic 2749588 1280

06 juli 2021 - Veiligheid

MDI-QKD maakt onaftapbare quantum cryptografie mogelijk

Ingenieurs van QuTech (een samenwerking tussen de TU Delft en TNO) kunnen met behulp van meetapparaatonafhankelijke (MDI) quantum-sleuteldistributie (QKD) zorgen voor onaftapbare communicatie, die voor meerdere gebruikers in kosten schaalbaar is. Een opmerkelijk neveneffect is dat de onaftapbare communicatie, over dezelfde glasvezelverbinding naast het conventionele internetverkeer plaats kan vinden. Dankzij KPN en Cisco kon een proefopstelling worden gemaakt die dit in de praktijk bracht. MDI-QKD is een belangrijke stap in de richting van een voor iedereen toegankelijk quantum internet.

MDI QKD Qu Tech 00416 AB

Onderschrift: Alice & Bob kunnen quantum-sleutels gebruiken om veilig te communiceren en bestanden te versturen met een MDI-QKD-sleutel. Afbeelding: QuTech (Vincent de Mees, Slim Plot). Deze afbeelding is een fragment van een animatie over dit MDI-QKD project.

Momenteel is beveiligde communicatie gebaseerd op het principe dat het breken van cryptografie met conventionele computers veel tijd kost. Zulke cryprografie wordt bijvoorbeeld toegepast bij communicatie tussen datacentra, intergouvernementele communicatie, of kritieke infrastructuur zoals banken, energiebedrijven en luchthavens. Bepaalde communicatielijnen vereisen geheimhouding op wettelijke gronden of vanuit de gebruiker. Een aanvaller zou deze berichten kunnen onderscheppen en ze later met veel tijd en rekenkracht kunnen ontcijferen. Computers worden steeds sneller — zeker met de naderende introductie van kwantumcomputers — en dat vormt een risico voor het versturen van versleutelde informatie.

Ultieme verdediging tegen afluisteren
Joshua Slater, teamleider van het MDI-QKD-project: "Belangrijke, conventionele cryptografische methoden berusten op, bijvoorbeeld, een publieke en een private sleutel. Deze twee sleutels zijn in eigenlijk twee grote getallen die bij elkaar horen. De veiligheid is gebaseerd op het feit dat de private sleutel moeilijk en traag te berekenen is met alleen kennis van de publieke sleutel. Met de komst van zeer krachtige computers (zoals kwantumcomputers) is het berekenen van de private sleutel triviaal eenvoudig en dan wordt encryptie zinloos."

MDI QKD Qu Tech 01846 Abank

Onderschrift: Door de ‘quantum-sleuteldistributie (QKD) die Alice & haar bank gebruiken, kunnen ze niet worden afgeluisterd door een hacker. Ook: het centrale knooppunt hoeft niet vertrouwd te worden om Alice en haar bank veilig te laten communiceren. Afbeelding: QuTech (Vincent de Mees, Slim Plot). Deze afbeelding is een fragment uit een animatie over dit MDI-QKD project.

Een oplossing tegen afluisteren — nu en in de toekomst — is het gebruik van kwantum-sleuteldistributie (QKD). In de wereld van quantum verstoort het afluisteren van een bericht de transmissie van de quantumsleutel. Slater: "Als de quantumsleutel wordt verstoord, weten de gebruikers dat ze die sleutel niet moeten gebruiken voor hun geheime communicatielijn. Zodra de quantumsleutel met succes is gedeeld met de beoogde ontvanger, is de rest van de beveiligde communicatie verzekerd van de zogenaamde 'forward secrecy': de zekerheid dat de sleuteldistributie, nu en in de toekomst, niet kan worden gekraakt."

"Helaas zijn de huidige commercieel beschikbare QKD-systemen ingewikkeld om op te schalen," legt Slater uit. "Om al deze problemen op te lossen, hebben we een meetapparaatonafhankelijk (MDI) QKD-systeem gebouwd, waarbij meerdere gebruikers verbonden zijn via een centraal knooppunt, dat als een klassieke telefooncentraleoperator werkt. Bovendien hoeft het centrale knooppunt niet te worden vertrouwd. Het hele systeem is zo ontworpen dat hackaanvallen tegen het centrale knooppunt de beveiliging van het protocol niet kunnen breken."

Schaalbare quantumnetwerken
Slater: "Een groot voordeel van ons systeem, ten opzichte van andere QKD-systemen, is de kostenschaalbaarheid naar een groot aantal gebruikers. Dat is mogelijk omdat ons MDI-QKD in een fysiek stervormig netwerk kan worden gebruikt. Onderzoekers bij QuTech hadden al de eerste proef-demonstratie van MDI-QKD uitgevoerd, de eerste demonstratie over ingezette vezels, en de eerste demonstratie met kosteneffectieve, off-the-shelf hardware."

MDI QKD Qu Tech 02261 meetapp

Onderschrift: Door het meetapparaatonafhankelijke (MDI) systeem is het hele netwerk vrij eenvoudig op te schalen naar heel veel gebruikers. Afbeelding: QuTech (Vincent de Mees, Slim Plot). Deze afbeelding is een fragment uit een animatie over dit MDI-QKD project.

"Een ander groot voordeel dat we hier voor de eerste keer demonstreren, is dat onze kwantumsignalen over dezelfde vezel worden verzonden als conventioneel internetverkeer," zegt Slater. "Met behulp van standaardapparatuur, die onze samenwerkingspartner Cisco aan ons heeft geleverd en met ons heeft geconfigureerd, hebben we twee gemultiplexte netwerken tussen de locaties opgezet, via dezelfde glasvezelverbinding. De aanwezigheid van deze twee netwerken heeft geen invloed op de prestaties van ons quantum-systeem. Daarmee hebben we aangetoond dat ze parallel, naast elkaar bestaan."

"Dit is een belangrijke ontwikkeling om de veiligheid van het internetverkeer in de toekomst te garanderen", zegt Babak Fouladi, Chief Digital and Technology Officer en lid van de Raad van Bestuur bij KPN. "Ik ben blij dat we met het netwerk van Nederland een bijdrage kunnen leveren om dit inzicht praktisch toepasbaar te maken. Oplossingen zoals MDI-QKD, moeten gebruikers niet alleen vandaag beschermen, maar veilige digitale communicatie ook zo future-proof mogelijk maken."

MDI QKD play1

Demonstratie in Delft-Rijswijk-Den Haag
De huidige opstelling bestaat uit drie standaard telco-racks, elk in een andere stad in Nederland. De eerste 'gebruiker' die is aangesloten op de demo-opstelling, heeft de codenaam Alice en bevindt zich in Delft. De tweede gebruiker, Bob genaamd, zit in een KPN-gebouw in Den Haag. Het centrale knooppunt Charlie bevindt er zich tussenin. Elke gebruiker is met het centrale knooppunt verbonden via een standaard glasvezelkabel. Bovendien kunnen de gebruikers en het centrale knooppunt communiceren via het normale internet, hetzij rechtstreeks via de (zelfde) glasvezelverbinding, hetzij indirect via een willekeurige internetverbinding.

MDI QKD Qu Tech 01386 Alice

Onderschrift: Alice is een standaard telco-rack dat zich bevindt op de Technische Universiteit Delft, het centrale knooppunt (‘central node’) in naburige stad Rijswijk, en Bob staat bij KPN in Den Haag. Afbeelding: QuTech (Vincent de Mees, Slim Plot). Deze afbeelding is een fragment uit een animatie over dit MDI-QKD project.

De introductie van MDI-QKD vormt een belangrijke stap naar het toekomstige quantum internet. Het netwerk is toekomstbestendig ontworpen. Dat wil zeggen dat gebruikers zoals Alice en Bob hun functionaliteit kunnen moderniseren (met bv. quantum-processoren, quantum-repeaters, quantum-verstrengeling, quantum-geheugen, quantum-computers, wat dan ook) terwijl het centrale knooppunt en de rest van het netwerk hetzelfde blijven. Het netwerk is klaar voor de toekomst en kan worden geüpgraded voor de quantum-toekomst.

"Dit is een geweldige mijlpaal, en een belangrijke basis voor de uitrol van een nationale quantumnetwerk-infrastructuur in Nederland, wat een van de hoofddoelen is van de Nederlandse Nationale Agenda Quantum Technologie die wordt uitgevoerd door Quantum Delta NL," zegt Jesse Robbers, directeur van Quantum Delta NL, dat in april van dit jaar €615 miljoen heeft ontvangen van de Nederlandse overheid.