Prototype of software-defined QKD network with trusted relay for the PoliQI project

Quantum Key Distribution is a protocol that allows two entities to agree on a secret key over a quantum channel. It is an alternative to classic protocols, such as Diffie- Hellman Key Exchange [1], which are not quantum resistant, thus can be broken by a quantum computer. Despite having been studied extensively for decades, commercially viable QKD technology appeared only recently, in fact, ETSI has currently established a working group to standardize QKD for commercial applications [2]. The Standard has undergone multiple iterations and it is not yet stable, nevertheless the first prototype implementations of the ETSI architecture are appearing. The goal of this work is to implement and evaluate the ETSI architecture in the context of the PoliQI project [3, 4], whose purpose is to connect five datacenters through a highly secure and fast network on the Metropolitan area of Milan. To this purpose, the present work aims to develop a basic implementation of an SDN Controller and the Software-Defined QKD nodes. Particular attention is posed on the SD-QKD nodes, which are the components in charge of handling the key material exchanged by the Quantum Channels using it to generate the keys in the Key Management Entity (KME). In fact, their implementation allows multiple Secure Application Entities (SAE) to get a shared symmetric key, even in multi-hop connections, thanks to a technique called “Trusted Relay”. Furthermore, a simple heuristic is defined to make the Controller decide whether to accept or refuse a new connection request, which accounts for the current workload of the network. The simulations have proved the realizability of the network, but at the same time they have highlighted some criticalities that must be addressed in order to make the PoliQI architecture viable for providing quantum-resistant security to high-speed networks.

Quantum Key Distribution è un protocollo che consente a due entità di condividere una chiave segreta attraverso un canale quantistico (QC). È un'alternativa ai protocolli classici, come il Diffie-Hellman Key Exchange [1], che possono essere violati da un computer quantistico. Nonostante sia stata ampiamente studiata per decenni, la tecnologia QKD commercialmente valida è apparsa solo di recente e, per questo motivo, l'ETSI ha attualmente istituito un gruppo di lavoro per standardizzare la QKD per applicazioni commerciali [2]. Lo Standard conta già diverse versioni e non è ancora definitivo; tuttavia, i primi prototipi dell’architettura ETSI stanno comparendo. L'obiettivo di questo lavoro è implementare e valutare l'architettura ETSI nel contesto del progetto PoliQI [3], il cui scopo è collegare cinque data center attraverso una rete altamente sicura e veloce nell'area metropolitana di Milano. A tal fine, è stata sviluppata un'implementazione semplificata di un controller SDN e dei nodi QKD Software-Defined. Particolare attenzione è posta su questi ultimi, che sono i componenti preposti alla gestione del materiale scambiato dai QC e utilizzato per generare le chiavi nella Key Management Entity (KME). La loro implementazione, infatti, consente a molteplici Secure Application Entities (SAE) di ottenere una chiave simmetrica condivisa, anche in connessioni multi-hop, grazie ad una tecnica denominata “Trusted Relay”. Inoltre, viene definita una semplice euristica, che tiene conto del carico di lavoro attuale della rete, per far decidere al Controller se accettare o rifiutare una nuova richiesta di connessione. Le simulazioni hanno dimostrato che l’architettura è realizzabile, ma allo stesso tempo hanno evidenziato alcune criticità che dovranno essere affrontate per rendere l'architettura PoliQI a tutti gli effetti sicura e ad alta velocità.