Customer Success Story
NASK-instituut in Polen bevordert kwantumcryptografie
Als nationaal onderzoeksinstituut pakt NASK enkele van de grootste uitdagingen op het gebied van informatie-, cyberbeveiligings- en communicatietechnologie in Polen aan. Het instituut beheert ook het landelijke onderwijsnetwerk en onderhoudt het nationale domeinenregister (.pl).
Als onderdeel van hun geavanceerde cyberbeveiligingsonderzoek is NASK betrokken bij de ontwikkeling van nieuwe coderingstechnieken die gegevens kunnen beveiligen in een wereld van toenemende cyberbedreigingen. NASK gebruikt daarnaast Juniper-switches en -firewalls als onderdeel van hun testbed.
Twee
Onderling verbonden datacenters kunnen worden beschermd door QKD- en PQC-systemen
Beheert
Landelijk onderwijsnetwerk (OSE) en Warschau MAN (WARMAN)
2,5 miljoen
Domeinnamen beheerd als nationaal register
Eén
Van de drie landelijke computercalamiteitenteams voor Polen
Kwantumveilige cryptografie maken
"NASK loopt voorop in innovatie op het gebied van versleuteling", zegt Michael Marks, Head of Cloud Computing and Intelligent Networks bij NASK. Het instituut ontwikkelt, in samenwerking met de Militaire Universiteit van Technologie (leider) en TELDAT (project gefinancierd door NCBiR - competitie 1/SZAFIR/2020), een kwantumsleuteldistributiesysteem (QKD) dat standaard zou kunnen worden voor militaire, overheids- of financiële instellingen in Polen.
Bij QKD worden cryptografische sleutels uitgewisseld die bestand zijn tegen hackers en waarmee berichten zowel versleuteld als ontsleuteld kunnen worden. Een kwantumgenerator voor willekeurige getallen wordt gebruikt om veilig entropie te genereren, waarbij de uitkomst of toestanden en willekeurige getallen alleen worden bepaald door een fysisch proces. De informatie wordt overgedragen op enkele fotonen, die door vezels kunnen worden verzonden. Door de principes van kwantummechanica veroorzaakt de observatie van de sleuteluitwisseling via het netwerk een verstoring die door een QKD-systeem kan worden gedetecteerd, waardoor het extreem veilig is.
"Onze QKD-prototypes detecteren niet alleen verstoringen op kwantumniveau, maar ze kunnen zelfs de kleinste aanraking van de vezel detecteren", zegt Marks.
De haalbaarheid van kwantumversleutelingssystemen aantonen
QKD-architecturen maken gebruik van drie communicatiekanalen: crypto, sleuteluitwisseling en kwantum. Ten eerste worden in het cryptokanaal kwantumsleutels gedeeld en vervolgens ingevoerd in het crypto-algoritme, dat enorme hoeveelheden gegevens versleutelt in een apart kanaal. AES256, dat als kwantumveilig wordt beschouwd, wordt door MACsec gebruikt om stromen te versleutelen en te ontsleutelen. Ten tweede communiceren de apparaten aan het einde van het kwantumkanaal de kwantumsleutels via het kanaal voor sleuteluitwisseling.
Het derde kanaal is waar het QKD-systeem om de hoek komt kijken. Omdat kwantummechanica objecten in de fysieke wereld (zoals fotonen) beschrijft, moeten apparaten die met kwantumsleutels werken fysieke zenders en ontvangers zijn. Daarentegen kan cryptografie op basis van wiskunde worden gedistribueerd via het downloaden van software. Voor het implementeren van QKD is daarom de aanwezigheid van fysieke apparatuur vereist.
NASK had een beveiligde verbinding nodig om de effectiviteit van de QKD-systemen buiten het onderzoekslab te testen.
Marks begon het gebruik van Juniper-switches voor toekomstige testdoeleinden te overwegen nadat hij enkele jaren geleden tijdens een evenement in Zwitserland met een kwantumbeveiligingsdeskundige van Juniper had gesproken.
Marks kende de oplossingen van Juniper goed: Het technische en operationele team van NASK heeft veel ervaring in het ontwerpen en beheren van grootschalige Juniper-netwerken, waaronder het landelijke onderwijsnetwerk in Polen, dat meer dan 20.000 scholen en vijf miljoen studenten met elkaar verbindt. NASK gebruikt universele routers van de Juniper MX-serie, Juniper QFX-serie-switches en Juniper SRX-firewalls in dit netwerk.
NASK koos de QFX5120-switch voor de eerste test van hun QKD-oplossing in een live omgeving.
Privacy van gegevens nu en in de toekomst beschermen
Als onderzoeksinstituut innoveert NASK nieuwe versleutelingsmethoden die gegevens kunnen beschermen tegen de huidige geavanceerde aanvallen, maar mogelijk ook tegen verwoestende kwantumaanvallen in de toekomst.
NASK is van plan om de eerste test van hun QKD-systeem in een live omgeving uit te voeren in Q4 2023. QFX5120-switches, die MACsec ondersteunen, worden gebruikt om een beveiligde 200GbE-verbinding tot stand te brengen tussen de QKD-systemen op verschillende locaties (primair en back-updatacenter). In het tweede scenario zorgen de Juniper SRX1500-firewalls voor beveiligde IPSec-kanalen met behulp van sleutels die worden uitgewisseld door het QKD-systeem. Bovendien zijn NASK-onderzoekers van plan om interoperabiliteit tussen Juniper en andere providers te testen in een QKD-aangedreven IPSec-scenario.
"Ik ben enthousiast dat dit de eerste keer is dat QFX-switches worden gebruikt als onderdeel van onze QKD-oplossing", zegt Marks.
NASK kijkt ook uit naar meer samenwerking, waaronder deelname aan een grotere proof-of-concept-test met andere universiteiten en instituten in Europa, gepland voor 2024.
"We zijn van plan om Juniper-netwerken te gebruiken om het testen van ons eerste prototype van het QKD-systeem te ondersteunen, maar onze oplossing werkt ook met andere netwerkleveranciers", zegt Marks. "Vanuit mijn perspectief is de brede ingebruikname van de QKD-oplossing het belangrijkst. We willen helpen een ecosysteem van partners in verschillende landen op te zetten om de nationale veiligheid te beschermen."
De producten
QFX5120
The QFX5120 line offers 1/10/25/40/100GbE switches designed for data center, data center edge, data center interconnect and campus deployments with requirements for low-latency Layer 2/Layer 3 features and advanced EVPN-VXLAN capabilities.
SRX1500
The SRX1500 is a high-performance, low-latency, next-generation firewall and security services gateway that protects mission-critical networks at enterprise campuses, regional headquarters, and large branch offices.
Gepubliceerd september 2023