Quantenkryptographie im Echtbetrieb
Am Mittwoch nimmt in Wien das weltweit erste Quantenkryptographienetzwerk den Betrieb auf, das in einem kommerziell genutzten Glasfasserring funktioniert. ORF.at sprach mit den Projektleitern am Austrian Research Center darüber, wann die Schlüsseldistribution mittels Lichtquanten reif für den Massenmarkt sein wird.
Über vier Jahre haben Wissenschaftler und Techniker im Rahmen des von der EU geförderten Quantenkryptographieprojekts SECOQC [Secure Communication based on Quantum Cryptography] am Aufbau eines Netzwerks gearbeitet, in dem sechs verschiedene Verschlüsselungstechnologien zu einem funktionierenden Ganzen kombiniert wurden.
Bei der Quantenkryptographie erzeugen spezielle Geräte, die über ein optisches Medium wie beispielsweise Glasfaser miteinander verbunden sind, mit Lichtquanten zufällige Schlüssel, die über das optische Medium zwischen den Kommunikationspartnern verbreitet werden. Diese Schlüssel können dann zur Sicherung von Nachrichten in herkömmlichen Netzwerken verwendet werden. Da sich die Eigenschaften der Lichtteilchen verändern, sobald sie beobachtet werden, kann bei Herstellung der Schlüssel festgestellt werden, ob jemand dabei "mitlauscht" oder nicht. Die Quantenkryptographie gilt deshalb als besonders zuverlässige Methode zur Erzeugung von Schlüsseln.
Für das Netzwerk, das mehrere Standorte des Siemens-Konzerns in Wien und St. Pölten verbindet, mussten neue Protokolle und Technologien zum Austausch und zur Verwaltung von Schlüsseln geschaffen werden, um die verschiedenen Quantenkryptographiesysteme zueinander kompatibel zu machen.
Der Elektrotechniker Thomas Lorünser ist seitens des ARC verantwortlich für den technischen Aufbau des Quantenkryptographienetzes.
ORF.at: Herr Lorünser, was ist das Besondere an dem Quantenkryptographienetzwerk, das Sie mit aufgebaut haben?
Thomas Lorünser: Wir haben zum ersten Mal ein heterogenes Netz gebaut, in dem sechs verschiedene Quantenkryptographiesysteme gleichzeitig zum Einsatz kommen, darunter eines, das wir gemeinsam mit der Gruppe um Anton Zeilinger von der Universität Wien entwickelt haben und das auf verschränkten Lichtquanten basiert.
Auch das Management der Schlüssel in dem Netzwerk ist völlig neu. Wir haben eine zentrale Stelle geschaffen, an der die Schlüssel und das Netzwerk verwaltet werden. Vorher war man nicht dazu in der Lage, die verschiedenen Technologien so einfach miteinander zu kombinieren.
ORF.at: Wie sieht das Netzwerk konkret aus?
Thomas Lorünser: Es gibt momentan sechs Knoten. Die vier zentralen Knoten befinden sich in Wien, an den Siemens-Standorten Siemensstraße, Erdberg, Breitenfurter Straße. Dann gibt es eine Leitung, die bis nach St. Pölten geht. Da überbrücken wir 80 Kilometer. Es gibt auch einen "Free Space"-Link, der über Freiluft geht und zu Demonstrationszwecken am Standort Erdberg eine Strecke von 100 Metern überbrückt.
Alle Verbindungen bis auf diese sind glasfasergebunden. Man ist natürlich bei "Free Space" stark von Wettereinflüssen abhängig und kann derzeit Entfernungen von etwa einem Kilometer überbrücken. Jedes der verschiedenen Quantenkryptographiesysteme, die in unserem Netzwerk verwendet werden, hat verschiedene Vor- und Nachteile.
So gibt es Systeme, die über kurze Distanzen hohe Schlüsselraten erreichen können, aber auf weitere Strecken nicht so gut funktionieren. Unser Verfahren, das auf verschränkten Photonen basiert, kann wiederum gut über weitere Distanzen hinweg verwendet werden.
ORF.at: So ein System unterscheidet sich sicher stark von einem herkömmlichen Netzwerk.
Thomas Lorünser: Die Quantenkyptographiegeräte, die QKD-Links, sehen völlig unspektakulär aus. Die Lichtquanten werden in Laserdioden generiert und über Glasfasern übertragen. Es gibt noch Modulatoren für die Signale und die Elektronik, die das Ganze managt und die Messungen vornimmt und daraus den Schlüssel generiert.
Man sieht nicht viel, wenn man so ein Gerät öffnet. Es sieht aus wie eine schwarze Box. Man braucht dann noch eine Glasfaser, die man ansteckt, um den sogenannten Quantenkanal, über den die Photonen übertragen werden, zur Verfügung zu stellen. Was man dann noch braucht, ist ein normales Netzwerk, über das die Beteiligten dann die vom Quantensystem generierten Schlüssel austauschen. Das funktioniert über das Internet-Protokoll TCP/IP und geht im Idealfall auch über das optische Trägermedium.
ORF.at: Können die QKD-Links schon in herkömmliche PCs eingebaut werden?
Thomas Lorünser: Die Größe der Hardware ist begrenzt durch die Kompaktheit der QKD-Links, die an einem Netzwerkknoten dranstecken. Momentan sind die noch so groß, dass man sie in handelsüblichen Server-Regalen unterbringen muss. Jeder Link belegt noch einige Höheneinheiten in 19-Zoll-Rack-Einschüben. Dazu kommt noch das bei uns entwickelte Knotenmodul.
Christian Monyk, Physiker und Leiter des Geschäftsfelds Quantentechnologien am ARC
==ORF.at: Wie sehen die Systeme aufseiten des Nutzers aus?==
Christian Monyk: Diese Module für die 19-Zoll-Racks sind natürlich nur ein Zwischenschritt in der Entwicklung. Es ist sicherlich zu erwarten, dass die Geräte kleiner und kompakter werden - auch billiger, wie wir hoffen. Irgendwann wird es auch für Sie als Privatnutzer interessant. Allerdings brauchen Sie dazu eine Glasfaserverbindung. Und die hat nicht unbedingt jeder. Man kann sich das so vorstellen, dass es neben dem Computer ein Zusatzgerät gibt, das man mit dem Rechner verbindet. Der Aspekt der Rechenleistung ist nicht so wichtig. Es sind keine besonders starken Geräte dafür notwendig.
Thomas Lorünser: Die Idee dahinter ist, dass der Nutzer idealerweise gar nichts vom technischen Aufwand mitbekommt. Man kann die Quantenkryptographie mit Rechnern nutzen, die heutzutage gängig sind. Neu sind die Protokolle und die Kommunikationsstacks, auf deren Grundlage die Quantenkryptographiedienste laufen.
ORF.at: Diese Systeme sind sicher noch recht kostspielig.
Christian Monyk: Es gibt schon Unternehmen, die Quantenkryptographiesysteme auf dem Markt anbieten. Die heutigen Systeme kosten etwa 100.000 Euro. Wenn man sich aber ansieht, welche Einzelkomponenten in ihnen verbaut sind, ist es durchaus vorstellbar, dass man sie um einige tausend Euro auch bauen könnte. Heute sind sie noch teuer, weil in jedem Gerät viel Arbeitszeit steckt. Das sind von Hand gebaute Prototypen, die mühevoll kalibriert und durchgemessen werden müssen. Wenn es gelingt, die Geräte in Serienproduktion überzuführen und etwas kompakter zu bauen, werden sie nicht mehr so teuer sein.
ORF.at: Ist schon absehbar, ab wann sich kleinere Unternehmen die Quantenkryptographie leisten können?
Christian Monyk: Gegenfrage: Wie viel Geld bekommen wir dafür? Wir haben das Problem, dass wir als Forschungseinrichtung eigentlich viel schneller arbeiten könnten. Aber wir haben nicht die adäquaten Mittel dazu.
Wenn ich wie ein großer Industriebetrieb die Möglichkeit hätte, eine ganze Abteilung darauf anzusetzen und Entwickler mit dem Thema zu beschäftigen, dann ginge es relativ rasch vorwärts. Wenn es so weitergeht wie bisher, rechne ich eher damit, dass wir in zehn Jahren so weit sein werden. Rein von der technischen Entwicklung her wird es in einigen wenigen Jahren sicherlich möglich sein.
Thomas Lorünser: Es ist durchaus realistisch, dass auch Ärzte und Anwälte in den nächsten fünf bis 15 Jahren, wenn die Stückzahlen da sind und die Preise purzeln, im Zuge der Glasfaservernetzung solche Geräte in den Büros stehen haben werden. Die meisten QKD-Systeme sind schon aus dem Experimentierstadium heraus. Unser Demonstrationsnetzwerk selbst läuft auf einer stabilen Software-Basis. Es ist, so wie es jetzt dasteht, vielleicht noch nicht perfekt für den täglichen Einsatz, aber man könnte es schon in relativ kurzer Zeit zur Marktreife bringen.
ORF.at: Soll das Demonstrationsnetzwerk weiter ausgebaut werden?
Christian Monyk: Es schwebte uns durchaus vor, Siemens anzubieten, das Netzwerk auch langfristig bei sich zu lassen, um damit die interne Kommunikation des Unternehmens zu sichern. Siemens hat aber nun aus konzernpolitischen Überlegungen versucht, die Standorte aufzulassen und diese in ein neues Siemens-Zentrum zu integrieren.
Das heißt, die Standorte, die wir miteinander verbunden haben, werden nicht mehr allzu lange bestehen bleiben. Wir versuchen, mit unseren Partnern auszuhandeln, dass wir noch einige Wochen experimentieren können, um Erfahrungen zu sammeln, aber dann wird es sicher abgebaut. Was aber bleibt, ist das Know-how, das damit gewonnen wurde. Die Netzwerkknoten, die Protokolle, die Geräte sind durchaus dazu geeignet, sie in einem vergleichbaren Umfeld eins zu eins umzusetzen.
ORF.at: Die Protokolle sind von Ihnen entwickelt worden?
Christian Monyk: Wir haben die Schnittstellen definiert, über die die verschiedenen Systeme miteinander kommunizieren können. Wir haben uns mit unseren Partnern darauf geeinigt, dass alle Systeme über diese Schnittstelle miteinander arbeiten können. Wir haben das projektintern zum Standard erhoben, und alle haben mitgemacht.
Wir werden nun die Standards bei der europäischen Telekomstandardisierungsstelle ETSI einreichen. Auf dem Treffen am 8. Oktober wird auch das Kick-off-Treffen einer Standardisierungsgruppe der ETSI stattfinden, die auf unser Betreiben hin damit beginnen wird, Quantentechnologien im weitesten Sinn der Standardisierung zuzuführen. Einer der ersten Standards, die wir haben wollen, ist eben eine Schnittstelle, die notwendig ist, um verlässlich entwickeln zu können.
Dass es vonseiten der Industrie hier Interesse gibt, zeigt sich an den Mitgliedern der Arbeitsgruppe. Hewlett-Packard ist ebenso mit dabei wie Toshiba, Telefonica und Siemens. Diese Firmen nehmen nicht alle an unserem Projekt teil, aber sie wollen wissen, was hier passiert. Die Schnittstellen sind auch notwendig für eine weitere Kommerzialisierung. Wenn ich ein Netzwerk habe, das nur mit einem einzigen Gerät kompatibel ist, dann kann ich das nicht verkaufen. Wir mussten es so gestalten, dass die Geräte austauschbar sind. Das Netzwerk bleibt unberührt, aber ich kann einzelne Links herausnehmen und durch andere ersetzen.
Thomas Lorünser: Die Interoperabilität wird das notwendige Vertrauen bei den Kunden herstellen. Wenn die Systeme standardisiert sind, verliert die Quantenkryptographie ihren exotischen Touch.
ORF.at: Können Sie Näheres zu diesen Protokollen sagen?
Thomas Lorünser: Es gibt ein eigenes Schichtenmodell dafür. Die QKD-Geräte verschicken ja ihre Photonen über das Glasfasernetz, führen dann ihre Messungen durch und gehen nach einem bestimmten Verfahren vor, um ihre Schlüssel zu generieren. Darüber hinaus braucht man noch einen klassischen Kanal, also etwa eine Verbindung via TCP/IP, der authentifiziert sein muss, um vor einer Man-in-the-Middle-Attacke geschützt zu sein. Dazu wurden schon Protokolle entwickelt, um die QKD-Geräte sauber in bestehende Netzwerke integrieren zu können.
Nach oben hin, zum Benutzer hin, versucht man jetzt, das Ganze in Schichten aufzugliedern, bis hin zu einer Schnittstelle für die Anwendungsprogramme. Dann kann der Benutzer einfach den Schlüssel eines Partners im Netzwerk anfordern. Dazu braucht man Kommunikationsprotokolle, Routing-Protokolle, neue Transport-Layer, die sich um das synchrone Management aller Keystores im Netz kümmern.
Vom Nutzer aus sieht man nur eine Menge gemeinsamer Schlüssel, die zur Verfügung stehen. Aus diesen muss man über mehrere Teilnehmer hinweg einen Schlüssel generieren. Wenn Pfade wegfallen, neue Wege suchen. Die ganzen klassischen Probleme in Netzwerken haben sich hier wieder gestellt, nur unter einem anderem Gesichtspunkt. Man muss alles so optimieren, dass man möglichst wenige Schlüssel verbraucht.
ORF.at: Die Quantenkryptographie gilt auch deshalb als so sicher, weil es dabei möglich ist, mit One-Time-Pads zu arbeiten. Dabei sind die Schlüssel so groß wie die Nachricht selbst. Bei Textnachrichten mag das ja noch funktionieren.
Thomas Lorünser: Es muss nicht immer ein One-Time-Pad generiert werden. Unsere Architektur ist so gestaltet, dass sie einen Schlüssel generiert in einer Rate, die von den gängigen Technologien bewältigt werden kann. Was man mit einem Schlüssel macht, ist wieder ein anderes Ding. Die Idee war, das so flexibel zu halten, so dass es mit gängigen Technologien kombiniert werden kann.
Man kann auch ein symmetrisches Verschlüsselungsverfahren verwenden und die Schlüssel öfter wechseln und somit ein System gestalten, das in der Bandbreite nicht beschränkt ist. Wenn man das One-Time-Pad, sozusagen den Heiligen Gral der Kryptographie, verwenden will, dann kann man das auch machen. Dort braucht man natürlich so viele Schlüssel wie Nachrichtenmaterial. Und das bedeutet, ich bin in der Kommunikationsbandbreite beschränkt auf die Geschwindigkeit, in der ich die Schlüssel zur Verfügung stellen kann.
Christian Monyk: Bei der Geschwindigkeit sind wir im Bereich von einigen Kilobit pro Sekunde. Das ist im Zeitalter von Breitbandverbindungen nicht ausreichend. Es genügt aber, um einzelne Teile der Kommunikation sicher - sprich: mit One-Time-Pad - zu verschlüsseln.
Wenn man sich das Bankwesen anschaut, dann kann man die großen Dateien sicher mit AES oder einem anderen Verfahren verschlüsseln. Aber bei den sensiblen Daten wie beispielsweise Kontonummern, da kann man schon One-Time-Pads einsetzen. Mit den Möglichkeiten, die wir zur Verfügung stellen, wird man solche hybriden Systeme entwickeln können. Diese Kombinationen kommen dann aber nicht von uns, sondern von den Entwicklern der konkreten Anwendungen, etwa in den Banken. Unser System generiert die Schlüssel, und die Entwickler können sich entscheiden, welche Daten sie mit welchem Verfahren verschlüsseln wollen.
Wir werden auch sicheres Videoconferencing und eine sichere VoIP-Anwendung vorstellen. Die Bandbreite, die wir zur Verfügung stellen, reicht schon, um VoIP One-Time-Pad zu verschlüsseln. Wenn man die Leitung exklusiv für sich hat, wie wir sie in unserer Demonstration haben. Für eine Videokonferenz reicht es noch nicht. Aber ich kann ein kombiniertes Verfahren nutzen und beispielsweise die Bilddaten mit AES und die Audiodaten mit One-Time-Pad verschlüsseln.
Die Frage lautet eben: Was ist es mir wert? Ich kann auch die Bandbreite der Quantenkryptographie vergrößern, indem ich fünf solcher Geräte hinstelle und sie parallel laufen lasse. Das kostet aber viel Geld. Wenn ich Daten zu verschicken habe, die so wichtig sind, dass ich sie mit One-Time-Pad verschlüsseln muss, dann muss es mir das auch wert sein.
ORF.at: Wie lange haben Sie an dem Projekt gearbeitet?
Christian Monyk: Das SECOQC-Projekt läuft seit fast exakt viereinhalb Jahren und wird mit Ende September 2008 offiziell abgeschlossen. Die Präsentation am 8. Oktober ist die Abschlussveranstaltung des Projekts mit der Präsentation aller Ergebnisse. Das gesamte Budget betrug etwa 16 Millionen Euro, davon 11,3 Millionen Fördermittel.
ORF.at: Wird es ein Folgeprojekt geben?
Christian Monyk: Nicht direkt. Wir haben versucht, bei der EU ein Folgeprojekt einzureichen. Das ist leider nicht durchgegangen. Wir werden versuchen, nächstes Jahr wieder etwas zu machen, aber nicht in der gleichen Größenordnung. Ein derart großes Projekt ist unglaublich schwer zu verwalten. Wir haben 42 Partner aus ganz Europa inklusive Russland und Kanada.
Das Projektmanagement frisst viele Ressourcen. In einem Folgeprojekt wollen wir uns konzentrieren und nicht so viele Themen gleichzeitig behandeln. Das Projekt soll kleiner sein, mit weniger Partnern. An dem Projekt, das jetzt zu Ende geht, haben in Österreich 20 Personen gearbeitet. Wir haben auch andere Projektpartner in Österreich wie Siemens und Bearing Point. In Summe werden es 30 Personen sein, die allerdings nicht alle Vollzeit an dem Projekt arbeiten.
ORF.at: Wenn wir von Kommerzialisierung reden, dann reden wir auch vom Einsatz mit handelsüblichen Rechnern und Betriebssystemen. Wie sicher kann eine solche Umgebung sein?
Thomas Lorünser: Die Integration läuft momentan über Tunneling. Der Datenverkehr läuft, speziell eingepackt und mit One-Time-Pad verschlüsselt, über eine ganz normale Übertragungsstrecke und wird auf der anderen Seite wieder ausgepackt. Damit bin ich vom eingesetzten Betriebssystem unabhängig.
Die Knotenmodule sind nach unserem System aufgebaut. Man kann sehr wohl über Mechanismen wie zertifizierte Betriebssysteme und gängige IT-Security-Maßnahmen die Systeme sicher machen. Wenn man die Schlüssel weiterreicht, etwa aufs Handy, dann ist das etwas anderes, dann muss man andere Lösungen suchen, um unabhängig von der Software zu sein.
Christian Monyk: Man darf natürlich auch nicht unrealistische Erwartungen wecken. Wir stellen eine Komponente zur Verfügung, die wir sichermachen können. Wo dieses System in ein anderes übergeht, sprich: dort, wo der Schlüssel rauskommt, und von einem herkömmlichen Computersystem übernommen wird, können wir die Sicherheit nicht mehr garantieren.
Wenn der Anwender sein Notebook nicht schützt, dann können wir auch nichts tun. Wir entwickeln eine hochsichere Komponente, die es bisher noch nicht gegeben hat. Das, was es heute gibt, ist eine Übertragung über Glasfasern und die sind heute ja offen. Die können in dem Sinn nicht geschützt werden. Wir nehmen diese Glasfasern und verwenden sie, um abhörsicher einen Schlüssel zu generieren. Was danach damit passiert, da müssen andere ansetzen.
Thomas Lorünser: Es geht ja nur darum, den Kommunikationsweg abzusichern. Gegen Viren und Trojaner auf der Anwenderseite können wir nichts machen.
ORF.at: Kryptographie ist ja auch ein wichtiges Thema für die Politik. Haben Sie Druck aus der "Intelligence Community" gespürt, Schnittstellen für "Lawful Interception", also für die Überwachung durch Strafverfolger einzubauen?
Christian Monyk: Bis jetzt nicht, nein.
ORF.at: Weil die Technologie noch nicht so weit verbreitet ist?
Christian Monyk: Nein. Wir wissen, dass wir beobachtet werden. Nicht im Sinne von "Big Brother is watching you". Aber es gibt im Bereich der Geheimdienste überall Abteilungen, die sich mit Quantenkryptographie beschäftigen.
Nicht, indem sie daran forschen, sondern sie beobachten einfach, was sich tut. Ich habe auch schon mit einigen dieser Leute gesprochen, auch mit Mitgliedern des Österreichischen Bundesheers. Die wissen relativ genau, wo wir stehen und was wir tun, mischen sich aber noch nicht ein. Ich habe auch noch nicht das Gefühl gehabt, dass da jemand gekommen wäre, der bei uns etwas beeinflussen wollte.
Ich denke, das wird, wenn überhaupt, erst kommen, wenn man das kommerziell verwenden kann und man Gesetze für den Betrieb solcher Systeme erlassen muss. Wir müssen das natürlich mitdenken. Lawful Interception ist ein Thema, über das wir uns im Vorfeld schon Gedanken machen müssen.
ORF.at: Wem gehören die Patente, die im Rahmen des Projekts angemeldet worden sind?
Christian Monyk: Wir haben einige Patente angemeldet, auch im Zusammenhang mit diesem Netzwerk. Für nichtkommerzielle Zwecke stehen die Patente allen im Projekt zur Verfügung. Für kommerzielle Zwecke gehören sie den jeweiligen Partnern, die die Entwicklung durchgeführt haben.
ORF.at: Wie soll es mit dem aktuellen Projekt weitergehen?
Christian Monyk: Das Netzwerk läuft jetzt zwei Monate lang im Echtbetrieb durch. Im Vorfeld haben wir alles getestet. Da Siemens sich auf Siemens City konzentriert, werden wir das dann abbauen müssen. Als wir mit dem EU-Projekt begonnen haben, haben wir uns gefragt, was wir alles brauchen.
Das ging von der Detektorentwicklung über technische Details bei den QKD-Geräten über Aspekte der Quanteninformationstheorie und Netzwerktechnologie bis hin zur Standardisierung und Zertifizierung. Wir haben sieben bis acht große Themenbereiche installiert und überall unsere Partner gesucht. Jetzt wissen wir schon wesentlich mehr.
ORF.at: Hat die Quantenkryptographie in Österreich Zukunft?
Christian Monyk: Wir sind in Österreich sehr gut aufgestellt. Wir haben eine ganze Reihe von relevanten Gruppen an Universitäten, die ganz vorne mitarbeiten, in Sachen Quantentechnologie. Wir sind aber auch auf der Verwertungsseite gut vertreten. Wir waren die Ersten, die ein derartiges Projekt angegangen haben und sind weltweit zwei bis drei Jahre vor der restlichen Konkurrenz voraus. Dort, wo unsere Chancen liegen: Wir haben heute das Know-how, um die Quantenkryptographie marktreif entwickeln zu können.
Das betrifft nicht die QKD-Geräte als solche, da sind die Schweizer, die Franzosen oder die US-Amerikaner viel weiter. Aber das Netzwerk als Gesamtkonzept mit allen Protokollen und technischen Einrichtungen und das Überblickswissen haben ausschließlich wir. Wenn wir schnell genug sind, werden wir auch diejenigen sein, die in der Lage sind, sagen wir mal, ein Quantenkryptographienetz bei der France Telecom oder bei der British Telecom zu installieren.
Das wird noch nicht morgen passieren, aber die Frage ist, inwieweit wir unseren Vorsprung über die nächsten Jahre halten können. In dem Moment, in dem es kommerziell interessant wird, werden auch andere aufspringen. Wir müssen unseren Vorsprung sichern, auch mit Patenten, und die entsprechenden Ressourcen haben, um die Forschung weitertreiben zu können. Wir werden nicht als ARC diese Installationen machen können. Das wird auch mit Partnern gehen müssen. Man wird einen Netzwerkausrüster als Partner brauchen, der das vor Ort machen kann. Wir wollen daran langfristig verdienen.
ORF.at: Wo sehen Sie die Hindernisse für die Weiterentwicklung, nachdem das Projekt ausgelaufen ist.
Christian Monyk: Das Problem ist, dass wir keine langfristige Sicherheit in der Entwicklung haben. Wir haben das EU-Projekt, das läuft jetzt aus. Da haben wir für viereinhalb Jahre gewusst, dass noch Geld kommt. Wir haben natürlich unsere Basisfinanzierung durch das ARC, aber um ein derartiges Projekt langfristig laufen lassen zu können, braucht man mehr Ressourcen und langfristige Zusagen dafür. Die gibt es immer noch nicht. Das ARC wird umstrukturiert, es gibt noch kein Budget für das nächste Jahr. Das macht uns das Leben unnötig schwer.
(futurezone | Günter Hack)