Was ist der grundlegende Unterschied zwischen QKD und Post-Quanten-Kryptographie?

Post-Quanten-Kryptographie (PQC) ersetzt mathematisch schwer lösbare Probleme, die Quantencomputer lösen können — ganzzahlige Faktorisierung, diskrete Logarithmen — durch Probleme, die auch für Quantencomputer als schwierig gelten, beispielsweise Gitterprobleme (ML-KEM) oder Hash-Kollisionen (SLH-DSA). Ihre Sicherheit ist rechnerischer Natur: Sie setzt voraus, dass ein Angreifer bestimmte Berechnungen innerhalb einer praktikablen Zeit nicht durchführen kann. QKD hingegen leitet seine Sicherheit aus der Quantenmechanik selbst ab — konkret aus dem Nicht-Klonierungstheorem und der Störung durch Messung eines Quantenzustands. Jeder Abhörer, der versucht, Photonen auf einem QKD-Kanal abzufangen, muss diese messen, wodurch der Quantenzustand zwangsläufig kollabiert, bevor er weitergeleitet wird. Diese Störung führt zu nachweisbaren Fehlern in Bobs Messungen. QKD bietet informationstheoretische Sicherheit gegen einen Angreifer mit unbegrenzter Rechenleistung, einschließlich zukünftiger Quantencomputer. PQC ist wesentlich einfacher im großen Maßstab einzusetzen und erfordert keine speziellen photonischen Geräte; QKD bietet eine kategorisch stärkere Sicherheitsgarantie auf Kosten physikalischer Kanalanforderungen und begrenzter Reichweite.

Warum ist Freistrahl-QKD für taktische Militärnetzwerke besonders relevant?

Taktische Militärnetzwerke operieren häufig in Umgebungen, in denen das Verlegen neuer Glasfasern operationell nicht praktikabel ist — vorgeschobene Stützpunkte, mobile Gefechtsstände, Schiff-zu-Land-Verbindungen und luftgestützte Einheiten. Freistrahl-QKD überträgt einzelne Photonen durch die Atmosphäre mittels kollimierter Laseroptik und erfordert lediglich Sichtverbindung zwischen Alice- und Bob-Terminal statt eines durchgehenden Glasfaserpfads. Boden-zu-Boden-Freistrahl-QKD wurde bei Reichweiten von bis zu etwa 1 km bei Tageslicht mit Hintergrundrauschfiltern demonstriert, und über mehrere Kilometer bei Nacht oder per Luftrelais. Drohnengestützte QKD-Relaisknoten erweitern diese Reichweite, indem sie als Trusted Nodes in der Höhe fungieren, wo atmosphärische Turbulenzen geringer sind und die Sichtweite erheblich größer ist. Die Tragbarkeit von Freistrahl-Terminals — kompakt genug für Fahrzeug- oder Stativmontage — macht sie für den taktischen Einsatz operationell praktikabler als feste Glasfaserinfrastruktur.

Was ist ein Trusted Node in QKD und welche Sicherheitsimplikationen hat er?

Ein Trusted Node ist ein intermediärer QKD-Relaispunkt, der den Quantenkanal eines Segments beendet und einen neuen Quantenkanal zum nächsten Segment einleitet. Da einzelne Photonen nicht ohne Zerstörung ihres Quantenzustands verstärkt werden können (Nicht-Klonierungstheorem), sind QKD-Links in ihrer Reichweite begrenzt — etwa 100–150 km über verlustärmere Glasfasern, weniger über Freistrahlpfade. Trusted Nodes erweitern das Netzwerk, indem sie Schlüsselmaterial am Relais entschlüsseln, es klassisch zur Speicherung verschlüsseln und dann über den ausgehenden QKD-Link des Relais weiterleiten. Die kritische Sicherheitsimplikation besteht darin, dass ein Trusted Node Klartext-Schlüsselmaterial hält: Wird ein Trusted Node kompromittiert, erhält der Angreifer die Schlüssel aller QKD-Sitzungen, die ihn passieren. Trusted Nodes sind nur im organisatorischen Sinne 'vertrauenswürdig' — sie sind keine quantensicheren Relais. Verteidigungseinsätze müssen Trusted Nodes physisch auf demselben Niveau wie Schlüsselverwaltungshardware (KMH) sichern, Aufgabentrennung beim Knotenzugang anwenden und die Netzwerktopologie so gestalten, dass die Anzahl der Trusted-Node-Hops zwischen den sensibelsten Endpunkten minimiert wird.

Wie lässt sich QKD in CNSA 2.0 und die NSA-Anforderungen für nationale Sicherheitssysteme integrieren?

NSAs CNSA 2.0 (September 2022) schreibt spezifische Post-Quanten-Algorithmen vor — ML-KEM-1024, ML-DSA, AES-256 — für nationale Sicherheitssysteme und verpflichtet QKD derzeit nicht. Die NSA hat festgestellt, dass QKD allein nicht ausreicht, um NSS-Datenverkehr zu schützen, und dass Post-Quanten-Kryptographiealgorithmen die primär erforderliche Gegenmaßnahme sind. CNSA 2.0 steht jedoch nicht im Widerspruch zu QKD: Beide Ansätze ergänzen sich. QKD kann hochentropisches Schlüsselmaterial erzeugen, das in CNSA 2.0-konforme symmetrische Verschlüsselung (AES-256) eingespeist wird und eine zusätzliche Schicht der Schlüsselsicherheit bietet, die über das hinausgeht, was Post-Quanten-Schlüsselkapselungsmechanismen liefern. Die empfohlene Haltung für NSS besteht darin, CNSA 2.0-Algorithmen als durch die Politik vorgeschriebene Baseline zu implementieren und QKD als zusätzliche Schlüsselmaterialquelle für die sensitivsten Links hinzuzufügen, bei denen die physikalisch basierte Sicherheitsgarantie die Einführungskosten rechtfertigt. Das NSA-Leitliniendokument zu QKD (CSA-U-OO-800069-21) enthält die maßgebliche Position.

Welche realistischen Einschränkungen verhindern heute eine weitverbreitete Einführung taktischer QKD?

Mehrere physikalische und ingenieurtechnische Einschränkungen begrenzen die kurzfristige taktische QKD-Einführung. Die Reichweite ist die grundlegendste: Aktuelle Glasfaser-QKD-Links sind ohne Trusted-Node-Repeater bis zu etwa 100 km praktikabel; Freistrahl-QKD auf Bodenebene ist bei Tageslicht auf unter 1 km beschränkt. Quantenrepeater — Geräte, die die QKD-Reichweite ohne die Sicherheitskompromisse von Trusted Nodes erweitern — befinden sich noch in der Forschungsphase und sind kein feldtaugliches Produkt. Die Sichtlinienanforderungen für Freistrahl-QKD sind absolut: Gelände, Strukturen und Fahrzeugbewegungen unterbrechen die Verbindung. Atmosphärische Bedingungen wie Regen, Nebel und Staub dämpfen Freistrahl-Photonenpfade und reduzieren die Schlüsselerzeugungsraten oder unterbrechen Verbindungen vollständig. Die Schlüsselerzeugungsrate ist eine weitere Einschränkung: Aktuelle kommerzielle QKD-Systeme erzeugen symmetrisches Schlüsselmaterial mit Raten von Kilobit pro Sekunde bis niedrigen Megabit pro Sekunde — ausreichend für Key-Seeding und OTP-Kommunikation, aber unzureichend, um Hochbandbreiten-ISR-Videostreams direkt zu schützen. Schließlich ist die Hardware selbst — Einzelphotonenquellen, Einzelphotonen-Lawinenfotodioden (SPAD)-Detektoren und polarisationserhaltende Optiken — teuer, empfindlich und noch nicht miniaturisiert für den Einsatz durch abgesessene Soldaten. Eine realistische weitverbreitete taktische Einführung liegt in einem 10–15-Jahres-Horizont; eine kurzfristige Einführung ist für feste oder halbfeste strategische Links glaubwürdig.

Quantenschlüsselverteilung für taktische Militärkommunikation

Post-Quanten-Kryptographie ersetzt klassische Schlüsselaustausch-Algorithmen durch mathematisch schwerer lösbare Probleme. Quantenschlüsselverteilung tut etwas kategorisch anderes: Sie beseitigt die rechnerische Annahme vollständig. QKD verteilt kryptographisches Schlüsselmaterial über einen Quantenkanal — typischerweise einen Glasfaser- oder Freistrahl-Optikpfad, der einzelne Photonen transportiert — auf eine Weise, die nachweislich erkennbar ist, wenn ein Angreifer sie abfängt. Die Sicherheitsgarantie kommt aus der Quantenmechanik, nicht aus der vermeintlichen Schwierigkeit eines mathematischen Problems. Für Militärplaner und INFOSEC-Offiziere, die einem Harvest-now-decrypt-later (HNDL) Bedrohungsmodell gegenüberstehen, ist diese Unterscheidung bedeutsam. Post-Quanten-Algorithmen bieten rechnerische Sicherheit gegen zukünftige Quantencomputer; QKD bietet informationstheoretische Sicherheit gegen jeden Angreifer, unabhängig von seinen Rechenressourcen.

Dieser Artikel behandelt die Physik und Protokolle hinter QKD, wie es sich zur Post-Quanten-Kryptographie für Verteidigungsanwendungen verhält und diese ergänzt, die spezifischen ingenieurtechnischen Herausforderungen beim Einsatz von QKD in taktischen Umgebungen und eine realistische Einschätzung, wo QKD heute und im nächsten Jahrzehnt in eine militärische Kommunikationsarchitektur passt.

QKD-Grundlagen: BB84 und E91

Die beiden grundlegenden QKD-Protokolle, auf denen nahezu alle eingesetzten Systeme basieren, sind BB84 und E91. Das Verständnis ihrer Mechanismen ist für die Bewertung von Anbieteransprüchen und Bereitstellungseinschränkungen unerlässlich.

BB84

Das BB84-Protokoll, 1984 von Charles Bennett und Gilles Brassard veröffentlicht, bildet die Grundlage für die meiste kommerzielle QKD-Hardware. Alice (die Senderin) kodiert zufällige klassische Bits auf einzelne Photonen, indem sie eine von zwei konjugierten Polarisationsbasen wählt — rechteckig ({|0⟩, |1⟩}) und diagonal ({|+⟩, |-⟩}) — und ihren Bitwert als Polarisationszustand innerhalb der gewählten Basis kodiert. Bob (der Empfänger) wählt unabhängig und zufällig eine Messbasis für jedes Photon. Wenn Bobs gewählte Basis mit Alices Kodierungsbasis übereinstimmt, ist sein Messergebnis deterministisch und stimmt mit Alices Bit überein. Wenn die Basen sich unterscheiden, ist Bobs Ergebnis zufällig und das Bit wird verworfen. Nach der Übertragung tauschen Alice und Bob ihre Basiswahlen (aber nicht die Messergebnisse) über einen öffentlichen authentifizierten klassischen Kanal aus und behalten nur die Bits, bei denen ihre Basen übereinstimmten — der gesichtete Schlüssel. Der gesichtete Schlüssel wird dann einer Fehlerkorrektur und Datenschutzverstärkung unterzogen, um ein endgültiges, verifizierbares gemeinsames Geheimnis zu erzeugen.

Die Sicherheit von BB84 beruht auf dem Nicht-Klonierungstheorem: Ein Quantenzustand kann nicht kopiert werden, ohne ihn zu stören. Jeder Abhörer (Eve), der Photonen auf dem Quantenkanal abfängt, muss diese messen, wodurch der Quantenzustand zwangsläufig kollabiert, bevor er weitergeleitet wird. Diese Störung führt zu Fehlern in Bobs Messungen, die von Alice und Bob erkennbar sind, wenn sie eine zufällige Stichprobe ihrer gesichteten Schlüsselbits vergleichen. Die Quanten-Bit-Fehlerrate (QBER) — der Anteil gesichteter Bits, die nicht übereinstimmen — ist der primäre Sicherheitsindikator: Ein QBER über etwa 11 % (der BB84-Sicherheitsschwellenwert) weist darauf hin, dass Abhören stattgefunden haben könnte, und der Schlüssel muss verworfen werden.

E91

Das E91-Protokoll, 1991 von Artur Ekert vorgeschlagen, verwendet verschränkte Photonenpaare anstelle von präparierten Zuständen. Eine Quelle emittiert Paare verschränkter Photonen — eines zu Alice, eines zu Bob. Alice und Bob messen ihre Photonen unabhängig in zufällig gewählten Basen. Die Korrelationen zwischen ihren Messergebnissen — getestet über Bell-Ungleichungsverletzungen — zertifizieren sowohl den gemeinsamen Schlüssel als auch die Abwesenheit von Abhören. E91 ist im Prinzip geräteunabhängig: Die Sicherheit kann zertifiziert werden, ohne den Messgeräten vollständig zu vertrauen — ein wesentlicher Vorteil für hochsichere Militäranwendungen, bei denen die Lieferkettensicherheit der QKD-Hardware ein Anliegen ist. In der Praxis bleibt vollständig geräteunabhängige QKD experimentell herausfordernd; aktuelle kommerzielle E91-Familiensysteme sind semi-geräteunabhängig und bieten stärkere Sicherheitsannahmen als das Prepare-and-Measure-BB84 auf Kosten niedrigerer Schlüsselerzeugungsraten und anspruchsvollerer optischer Technik.

QKD versus Post-Quanten-Kryptographie: warum beides wichtig ist

Ein verbreitetes Missverständnis bei der Verteidigungsbeschaffung ist, dass QKD und Post-Quanten-Kryptographie Alternativen sind, die um dieselbe Rolle konkurrieren. Das sind sie nicht. Sie adressieren die Quantenbedrohung auf verschiedenen Ebenen und mit unterschiedlichen Sicherheitsannahmen.

Post-Quanten-Kryptographie — insbesondere die CNSA 2.0-vorgeschriebenen Algorithmen ML-KEM-1024 für die Schlüsseleinrichtung und ML-DSA für Signaturen — bietet rechnerische Sicherheit. Ihre Sicherheit hält stand, wenn das zugrunde liegende mathematische Problem (Module Learning With Errors für ML-KEM) für Quantencomputer schwer ist. Diese Annahme ist gut begründet: NISTs mehrjähriger Standardisierungsprozess unterzog diese Algorithmen einer umfangreichen Kryptoanalyse, und kein polynomialzeitlicher Quantenalgorithmus für MLWE ist bekannt. Aber rechnerische Sicherheit ist eine bedingte Garantie: Sie hält stand, sofern keine neuen kryptoanalytischen Techniken auftauchen. Die Geschichte zeigt, dass kryptographische Algorithmen gelegentlich durch Fortschritte in der Mathematik gebrochen werden; die PQC-Algorithmen sind neu genug, dass dieses Risiko, obwohl handhabbar, nicht null ist.

QKD bietet unbedingte Sicherheit — Sicherheit, die selbst gegen einen Angreifer mit unbegrenzter Rechenleistung standhält, einschließlich eines theoretischen Quantencomputers beliebiger Größe. Der Sicherheitsbeweis erfordert nur, dass die Quantenmechanik korrekt ist und dass der für die Nachverarbeitung verwendete authentifizierte klassische Kanal nicht gefälscht werden kann. Für die hochsichersten Militäranwendungen — strategische Kommandolinks, nukleare Führungs- und Kontrollkommunikation, Nachrichtenquellenschutz — rechtfertigt dieser kategorische Unterschied im Sicherheitsniveau den ingenieurtechnischen Aufwand und die physikalischen Einschränkungen der QKD-Bereitstellung.

Die empfohlene Haltung ist geschichtet: CNSA 2.0 Post-Quanten-Algorithmen als die durch NSS-Politik erforderliche Baseline implementieren und QKD als zusätzliche Schlüsselmaterialquelle für die sensibelsten Links hinzufügen. Siehe unseren Artikel über Post-Quanten-Kryptographie für die Verteidigung: CNSA 2.0-Leitfaden für die Implementierungsdetails der algorithmischen Schicht.

Glasfaser- versus Freistrahl-QKD für den taktischen Einsatz

QKD kann über zwei physikalische Kanaltypen bereitgestellt werden, jeder mit unterschiedlichen taktischen Implikationen.

Glasfaser-QKD

Glasfaser-QKD überträgt Photonen über Standard-Einmoden-Glasfasern, typischerweise bei Telekommunikationswellenlängen (1310 nm oder 1550 nm), wo die Glasfaserdämpfung am niedrigsten ist. Eingesetzte Systeme erreichen sichere Schlüsselerzeugung bei Distanzen von bis zu etwa 100–150 km mit aktuellen Einzelphotonenquellen und supraleitenden Nanodraht-Einzelphotonendetektoren (SNSPDs) am Empfänger. Jenseits dieser Reichweite verschlechtert der Photonenverlust das Signal-Rausch-Verhältnis unter den Schwellenwert für sichere Schlüsselextraktion. Glasfaser-QKD-Schlüsselerzeugungsraten bei kurzen Distanzen (unter 20 km) können bei aktueller kommerzieller Hardware mehrere Megabit pro Sekunde erreichen. Bei 100 km sinken die Raten auf Kilobit pro Sekunde.

Für taktische Militäranwendungen ist Glasfaser-QKD auf festen oder halbfesten Links sinnvoll: Hauptquartier-zu-Hauptquartier-Verbindungen, Links zwischen einem Gefechtstand und einem statischen vorgeschobenen Element oder Rechenzentrumsverbindungen innerhalb eines gesicherten Komplexes. Es ist nicht sinnvoll für Links, die das physische Bewegen eines Endpunkts erfordern — die Glasfaser muss folgen. Die Anforderung nach einem dedizierten Dark-Fiber-Strang (oder mindestens einem wellenlängenmultiplexierten Kanal auf vorhandener Glasfaser, mit sorgfältiger klassisch-quantenmechanischer Kanalisolierung zur Vermeidung von Raman-Rauschen auf dem Quantenkanal) begrenzt die Bereitstellung auf Umgebungen mit vorhandener Glasfaserinfrastruktur oder den ingenieurtechnischen Ressourcen zu ihrer Installation.

Freistrahl-QKD

Freistrahl-QKD überträgt Photonen durch die Atmosphäre mittels kollimierter optischer Strahlen und erfordert Sichtlinie zwischen Alice- und Bob-Terminals. Kompakte Terminals, die für Fahrzeug- oder Stativmontage geeignet sind, wurden in operationell verwandten Umgebungen demonstriert. Bodennahe Freistrahl-Links werden durch mehrere Faktoren eingeschränkt: Atmosphärische Turbulenzen verursachen Strahlwandern und reduzieren das Signal-Rausch-Verhältnis; Hintergrundphotonenlärm (Tageslicht) erfordert enge spektrale und zeitliche Filterung, um einzelne Photonen vom Umgebungslicht zu isolieren; Wetter — Regen, Nebel, Staub und Rauch — dämpft den Photonenpfad erheblich, reduziert die Schlüsselerzeugungsrate oder unterbricht den Link vollständig. Maximale praktische bodennahe Freistrahl-QKD-Distanzen liegen bei aktueller Hardware typischerweise unter 1 km bei Tageslicht und erstrecken sich auf mehrere Kilometer bei Nacht oder unter turbulenzarmen Bedingungen.

Luftgestützte und satellitenbasierte Freistrahl-QKD erweitert die Reichweite erheblich. Chinas Micius-Satellit demonstrierte QKD über interkontinentale Distanzen im Weltraum. Militärisch relevante Szenarien umfassen drohnengestützte QKD-Relay-Terminals, die Trusted-Node-Erweiterung in der Höhe bieten, wo Turbulenzen geringer und die Sichtliniendistanz erheblich größer sind. Eine UAV in 500 m Höhe kann Freistrahl-Optik-Links mit Bodenterminals bei Distanzen von 5–15 km aufrechterhalten, abhängig von atmosphärischen Bedingungen — eine erhebliche Verbesserung gegenüber der bodennahen Geometrie und operationell nützlich für die Erweiterung der QKD-Reichweite zwischen einem Gefechtstand und einem vorgeschobenen Element.

QRNG: Quanten-Zufallszahlengeneratoren für Key-Seeding

Quanten-Zufallszahlengeneratoren bieten einen Einstiegspunkt mit niedrigerer Hürde zur quantenphysikalisch basierten kryptographischen Verbesserung, der weder Freistrahl-Optik noch Glasfaserinfrastruktur erfordert. Ein QRNG erzeugt echte Zufallszahlen aus einem intrinsisch quantenmechanischen Prozess — Photonenankunftszeit-Jitter, Vakuumfluktuations-Sampling oder Ähnliches — anstatt aus einem deterministischen mathematischen Algorithmus, der mit Umgebungsentropie gespeist wird (was die Architektur der meisten PRNG- und DRBG-Konstruktionen in feldgeräten ist).

Die sicherheitsrelevante Implikation ist subtil, aber real. Post-Quanten-Algorithmen wie ML-KEM stützen sich auf hochwertige Zufälligkeit für die Schlüsselerzeugung: Die ML-KEM-Schlüsselpaargeneration verwendet einen zufälligen Seed, und die Kapselungsoperation erzeugt eine zufällige Nachricht. Wenn der Zufallszahlengenerator versteckte Struktur hat — eine Schwäche in der DRBG-Konstruktion, einen Implementierungsfehler oder eine absichtliche Hintertür — wird die Sicherheit des Post-Quanten-Algorithmus unabhängig von der mathematischen Schwierigkeit des zugrunde liegenden Problems beeinträchtigt. QRNG-Ausgabe hat keine mathematische Struktur, die ausgenutzt werden könnte; die Zufälligkeit wird durch Quantenphysik zertifiziert statt durch die Implementierungsqualität eines Software-Algorithmus.

Mehrere Anbieter bieten PCIe- und USB-QRNG-Module an, die nach FIPS 140-3 Level 2 und AIS 31 Klasse P2 zertifiziert sind. Diese Geräte geben Zufalls-Bitstreams mit Raten von 1–4 Gbps aus, was die Verbrauchsrate jedes Schlüsselerzeugungsprozesses bei weitem übertrifft. Das Ersetzen der DRBG-Seed-Quelle in Ihrer Schlüsselverwaltungsinfrastruktur durch ein QRNG-Modul ist operationell unkompliziert, hat keine Reichweiten- oder Sichtlinienbeschränkungen und liefert eine messbare Verbesserung der Entropiequalität jedes nachgelagert erzeugten kryptographischen Schlüssels.

Trusted-Node-Architektur für erweiterte Reichweite

Die Reichweitenbeschränkungen sowohl von Glasfaser- als auch von Freistrahl-QKD erfordern eine Trusted-Node-Architektur für jedes Netzwerk, das über einen einzelnen QKD-Link hinausgeht. Ein Trusted Node beendet den eingehenden Quantenkanal, speichert das Schlüsselmaterial in klassischer Form und initiiert einen neuen Quantenkanal auf dem ausgehenden Segment. Ende-zu-Ende-Schlüsselverteilung über mehrere Hops erfordert, dass jeder Trusted Node das Schlüsselmaterial neu verschlüsselt und weiterleitet, wobei die klassische Verschlüsselung die Transit-Schlüssel zwischen Knoten schützt.

Die Sicherheitsimplikation ist kritisch: Ein Trusted Node hält Klartext-Schlüsselmaterial für alle QKD-Sitzungen, die ihn passieren. Ein kompromittierter Trusted Node bricht die informationstheoretische Sicherheitsgarantie für jede Sitzung, die er weiterleitet. Trusted Nodes müssen daher physisch auf Schlüsselverwaltungshardware-Standards gesichert sein — manipulationssichere Gehäuse, Einbruchserkennung, Aufgabentrennungszugangskontrollen und eine verifizierte Vernichtungsfähigkeit, wenn der Knoten das Risiko der Gefangennahme trägt. In einem taktischen Kontext erfordert ein Trusted Node an einem Gefechtstand, der überrannt werden könnte, dieselbe Vernichtungsplanung wie ein NSA-genehmigtes Fill-Gerät.

Das Netzwerktopologiedesign sollte die Anzahl der Trusted-Node-Hops zwischen den sensibelsten Endpunktpaaren minimieren. Ein direkter QKD-Link zwischen zwei kritischen Knoten — null Trusted Nodes — bietet vollständige informationstheoretische Sicherheit. Ein Trusted Node führt einen einzigen Kompromittierungspunkt ein. Jeder zusätzliche Hop vergrößert die Angriffsfläche. Das Netzwerk so zu gestalten, dass Links höchster Priorität die wenigsten Trusted-Node-Hops haben, ist die primäre QKD-Topologieentscheidung.

Quantenrepeater — Geräte, die die QKD-Reichweite ohne die Sicherheitskompromisse von Trusted Nodes erweitern, mittels Quantenspeicher und Verschränkungsaustausch — sind ein aktives Forschungsgebiet und noch nicht als feldtaugliche Produkte verfügbar. Konservative Planung sollte bis mindestens 2030 Trusted-Node-Architekturen voraussetzen.

Integration mit CNSA 2.0 und NSA-Anforderungen

NSAs CNSA 2.0-Empfehlung (September 2022) verpflichtet QKD nicht für nationale Sicherheitssysteme. Die NSA hat in ihrer Empfehlung zu QKD (CSA-U-OO-800069-21) ausdrücklich festgestellt, dass QKD allein nicht ausreicht, um NSS-Datenverkehr zu schützen, und dass Post-Quanten-Kryptographiealgorithmen die erforderliche primäre Gegenmaßnahme sind. NSAs Bedenken gegenüber QKD umfassen: die Anforderung nach authentifizierten klassischen Kanälen (die noch Post-Quanten-Authentifizierung benötigen, um Quantenfälschungsangriffe abzuwehren); Trusted-Node-Schwachstellen; die Unreife von QKD-Hardware im Vergleich zu Software-Kryptographieimplementierungen; und die Schwierigkeit, QKD-Sicherheitsimplementierungen nach NSA Type 1-Standards zu validieren.

Das praktische Integrationsmodell ist daher: CNSA 2.0-Algorithmen (ML-KEM-1024 für Schlüsseleinrichtung, ML-DSA für Signaturen, AES-256 für symmetrische Verschlüsselung) als erforderliche Richtlinien-Baseline für alle NSS-Links; QKD als zusätzliche Schlüsselmaterialquelle für die Links mit der höchsten Klassifizierung, bei denen die unbedingte Sicherheitsgarantie operationell gerechtfertigt und die physikalischen Einschränkungen handhabbar sind. QKD-abgeleitetes Schlüsselmaterial kann direkt als Einmal-Pad-Quelle in AES-256-Verschlüsselung für sehr hochsichere Links eingespeist werden oder als periodisches Schlüsselaktualisierungs-Supplement zum ML-KEM-Schlüsselaustausch für Links, bei denen die Schlüsselrotationsrate wichtig ist.

Für Beschaffungsoffiziere bedeutet dies, dass QKD als hochsicheres Supplement bewertet werden sollte, nicht als Ersatz für CNSA 2.0-konforme Kryptographie. Jedes für NSS-nahe Verwendung beschaffte QKD-Produkt sollte gegen ETSI GS QKD 011 (Komponentensicherheitsanforderungen) und ETSI GS QKD 016 (Implementierungssicherheitsanforderungen) evaluiert werden, die die nächstliegenden verfügbaren Standards für einen formalen QKD-Sicherheitsbewertungsrahmen sind, während NSA-spezifische Leitlinien ausstehen. Lesen Sie unseren Begleitartikel über quantenresistente Kommunikation für Gefechtsfeldnetzwerke für den breiteren Post-Quanten-Migrationszusammenhang, in dem QKD steht.

Bereitstellungseinschränkungen und operative Realitäten

Eine realistische Einschätzung des aktuellen QKD für militärische Verwendung erfordert das Anerkennen von Einschränkungen, die Anbieter-Marketingmaterialien oft minimieren.

Reichweite. Glasfaser-QKD ist ohne Trusted Nodes pro Hop bis zu etwa 100–150 km praktikabel. Bodennahe Freistrahl-QKD ist bei Tageslicht auf unter 1 km praktikabel. Diese Einschränkungen sind grundlegende Physik, keine durch bessere Hardware zu lösenden ingenieurtechnischen Einschränkungen — Photonenverlust in Glasfasern folgt dem Beer-Lambert-Gesetz; atmosphärische Turbulenz und Hintergrundrauschen sind Umgebungseigenschaften. Trusted Nodes erweitern die Reichweite, führen aber Sicherheitskompromisse wie oben beschrieben ein.

Schlüsselerzeugungsrate. Aktuelle kommerzielle Systeme erzeugen Schlüsselmaterial mit Raten von Kilobit pro Sekunde (bei langen Distanzen oder ungünstigen Bedingungen) bis niedrigen Megabit pro Sekunde (bei kurzen Distanzen unter guten Bedingungen). Dies ist ausreichend für Key-Seeding und Einmal-Pad-Kommunikation auf Niedrigbandbreiten-Links, aber unzureichend, um Hochbandbreiten-ISR-Videostreams mit Raten von 1–100 Mbps direkt zu schützen. Das praktische Modell für Hochbandbreiten-Links ist, QKD zur Verteilung symmetrischer Master-Schlüssel zu verwenden, die dann AES-256-Verschlüsselung für den Datenkanal seeden — nicht QKD-Schlüsselmaterial direkt als Datenverschlüsselungs-Keystream zu verwenden.

Sichtlinienabhängigkeit. Freistrahl-QKD erfordert unverstellte Sichtlinie. Gelände, Gebäude, Fahrzeuge und Vegetation unterbrechen den Link. Selbst vorübergehende Blockierung — ein Fahrzeug, das den Strahlenweg kreuzt — verursacht eine QKD-Sitzungsunterbrechung, die Re-Authentifizierung und Neuaufbau erfordert. Für mobile taktische Einheiten ist diese Einschränkung schwerwiegend.

Wetterempfindlichkeit. Regen, Nebel, Rauch und Staub dämpfen alle Freistrahl-Optikpfade. Militäroperationen finden häufig unter schlechten Wetterbedingungen und in Rauch von Bränden oder Vernebelungsmitteln statt. Ein QKD-Link, der unter klaren Bedingungen 1 Mbps Schlüsselmaterial erzeugt, kann bei starkem Regen oder Rauch nahezu null Schlüsselmaterial erzeugen. Systemdesigns müssen Key-Buffer-Management während Link-Ausfällen berücksichtigen.

Hardware-Reife und Lieferkette. Einzelphotonenquellen, SPAD- und SNSPD-Detektoren sowie Präzisionspolarisationsoptiken sind spezialisierte Komponenten, die derzeit nicht in hohem Volumen für Verteidigungszwecke hergestellt werden. Die Lieferkettensicherung — Verifizierung, dass Komponenten nicht zur Einführung von Seitenkanal-Lecks oder Hintertüren manipuliert wurden — ist für photonische Hardware schwieriger als für Software-Kryptographieimplementierungen. NSAs Bedenken zur QKD-Hardware-Lieferkette sind gut begründet und vom verfügbaren Anbieter-Ökosystem noch nicht vollständig adressiert.

Realistischer Zeitplan für die militärische Einführung

Kurzfristig (2026–2029): QKD ist sinnvoll und lohnt sich zur Evaluierung für feste oder halbfeste strategische Links zwischen Hauptquartierelementen, bei denen Dark Fiber vorhanden oder installierbar ist, die Reichweite innerhalb eines einzelnen Hops liegt und die Klassifizierung des Datenverkehrs die Hardwarekosten rechtfertigt. QRNG-Einführung für die Schlüsselerzeugungsinfrastruktur ist sofort über die gesamte Truppe sinnvoll und sollte als Standard-Infrastruktur-Upgrade neben der CNSA 2.0-Algorithmen-Bereitstellung behandelt werden.

Mittelfristig (2030–2034): Verbesserungen bei der Miniaturisierung von Freistrahl-QKD-Terminals und bei Drohnen-Relay-Architekturen können QKD für halbmobile vorgeschobene Gefechtsstands-Links sinnvoll machen. Trusted-Node-Sicherheitspraktiken werden mit operationeller Erfahrung reifen. Quantenrepeater-Forschung kann frühe nicht-feldtaugliche Prototypen erzeugen. Die ETSI- und schließlich NSA-QKD-Sicherheitsbewertungsrahmen sollten ausreichend reifen, um eine formale Bewertung von Anbieter-Hardware zu unterstützen.

Langfristig (2035+): Wenn die Quantenrepeater-Technologie zu einem feldtauglichen Produkt reift, lockern sich die Reichweiten- und Topologieeinschränkungen von QKD erheblich, und eine breitere taktische Bereitstellung wird glaubwürdig. Bis dahin bleibt die QKD-Bereitstellung in taktischen Netzwerken auf die feste und halbfeste strategische Link-Schicht beschränkt, wobei Post-Quanten-Kryptographie die HNDL-Schutzlast für alle mobilen und reichweitenerweiterten Links trägt.

Corvus.Quantum liefert Ende-zu-Ende-verschlüsselte Kommunikation für taktische Netzwerke — konzipiert für luftgespaltene und umkämpfte Umgebungen, in denen QKD-Integration wichtig ist. Ob Sie QRNG-geseedete Schlüsselerzeugung evaluieren, Trusted-Node-Topologie planen oder QKD-Schlüsselmaterial mit CNSA 2.0-konformer Verschlüsselung integrieren — Corvus.Quantum stellt die kryptographische Infrastrukturschicht bereit, die es operationell macht.

Corvus.Quantum erkunden →