Netzwerktechnik Quanten-Security für die Bahn

»SECU1« von Keymile verschlüsselt Daten Ende-zu-Ende in paketbasierten MPLS-TP-
Transportnetzen.
»SECU1« von Keymile verschlüsselt Daten Ende-zu-Ende in paketbasierten MPLS-TP- Transportnetzen.

Leider reicht heute nicht mehr aus, eine zuverlässige Kommunikation zu haben, sie muss auch abgesichert sein gegen Einflüsse Dritter. Mit der Sicherheitskarte »SECU1« adressiert Keymile die Herausforderungen der Mission-Critical-Kommunikation.

Die neue Keymile-Karte richtet sich an die Betreiber anwendungskritischer Netze für Bahnen, Energieversorger, Gas- und Ölpipelines sowie für Behörden wie Polizei und Flugsicherung. Sie sorgt für Datenverschlüsselung und Systemsicherheit sowie der Sicherstellung einer hohen Datenverfügbarkeit und der Einhaltung eines präzisen Timings.

Die dafür genutzte Ende-zu-Ende-Verschlüsselung basiert auf einem hardwarebasierten Quantum Random Number Generator (QRNG), der für höchste Sicherheit der erzeugten Schlüssel sorgt: Er nutzt die inhärent zufälligen Quantenzustände von Photonen zur Generierung tatsächlich zufälliger und eindeutiger Schlüssel. Die QRNGs stammen von dem Schweizer Unternehmen ID Quantique (IDQ) und wurden von einer Vielzahl unabhängiger Testlabors bezüglich der strengsten internationalen Standards getestet und verifiziert. Darüber hinaus lässt sich die Verschlüsselungskarte um einen Quantum-Key-Distribution-Server (QKD) von ID Quantique ausbauen. Bei dieser erweiterten Lösung erfolgt der Schlüsselaustausch über den per Dark-Fiber verbundenen QKD-Server. Dadurch sind keine Man-in-the-Middle-Attacken mehr möglich. Der bloße Versuch den Schlüssel mitzulesen, verändert den Polarisationsstand der Photonen und der Lauschangriff ist enttarnt.

Keymiles neue Verschlüsselungskarte SECU1 ist für die Multi-Service-Zugangs- und Transportplattform »XMC20« konzipiert. Mit dieser hybriden Plattform XMC20 können Unternehmen und Behörden SDH/PDH- und paketbasierte Netze sicher in einem Netzknoten betreiben. Die XMC20-Plattform zeichnet sich durch einen lüfterlosen Betrieb aus, lässt sich in rauen Umgebungsbedingungen einsetzen und gewährleistet in Kombination mit der neuen Lösung eine zuverlässige Verschlüsselung, die die hohe Verfügbarkeit in Mission-Critical-Netzen nicht gefährdet. Die zentrale und dezentrale Schlüsselerzeugung sorgt für eine vertrauenswürdige und geschützte Schlüsselverteilung.

Die Karte verschlüsselt nativ den gesamten Netzverkehr auf Layer 2. Damit weist sie wichtige Vorteile im Vergleich zur Layer-3-Verschlüsselung von IPsec auf: Bei der Keymile-Lösung kommt es zu keinem Bandbreitenverlust durch Overhead; die Latenzzeit beträgt weniger als eine Mikrosekunde, statt Millisekunden oder sogar Sekunden. Durch die geringe Auswirkung auf die Netzleistung erfüllt die Lösung eine der wichtigsten Anforderungen an anwendungskritische Systeme, die Verfügbarkeit der Daten. Um hohe Sicherheit zu gewährleisten, erfolgt die Verschlüsselung der Daten mit dem AES-Algorithmus. Die Session Keys werden alle 60 Sekunden erneuert. Die Verschlüsselungskarte nutzt programmierbare FPGAs und erzielt so eine maximale Flexibilität im Betrieb. Sie ermöglicht eine bessere Anpassung an die Kundenbedürfnisse und ist für Hochgeschwindigkeitsverschlüsselung mit einem Datendurchsatz bis zu 10 GBit/s optimiert.

Die Betreiber von Mission-Critical-Netzen können die Karte mit sehr geringem Installationsaufwand und damit kosteneffizient in ihr Netz integrieren. Sie wird in den freien Slot eines Subracks einge-steckt und mit der Zentralbaugruppe verbunden. Es ist keine Reorganisation des Netzes oder eine Änderung an weiteren Endgeräten erforderlich. Die Karte ist als Baugruppe redundant ausgelegt: pro Karte sind zwei eigenständige Verschlüsselungseinheiten vorhanden – einschließlich Stromzufuhr und hardwarebasiertem Quantenzufallszahlengenerator. 

Keymile hat für die Verschlüsselungskarte ein jederzeit überprüfbares Sicherheitskonzept implementiert, das höchste Anforderungen an die Integrität, Vertraulichkeit und Authentifizierung der Daten sicherstellt. Die Karten werden von sicherheitsüberprüftem Personal in Deutschland und der Schweiz entwickelt und in Deutschland produziert. Keymile kann dadurch eine Backdoor-freie Lösung garantieren. Zudem bietet das Unternehmen die Möglichkeit, den Quellcode auf Anfrage einzusehen.