Authentication for quantum key distribution

This thesis addresses the problem of authentication in Quantum Key Distribution (QKD) systems, a crucial aspect for ensuring the security and deployability of QKD infrastructures. Starting from the principles of classical and quantum cryptography, the work describes the BB84 protocol as a foundation for secure key generation and outlines the structure of a functional, authenticated QKD network. The first part focuses on the Key Manager Entity (KME), responsible for collecting, storing, and distributing quantum-generated secure keys. A layer of "vertical authentication" between the KME and external Secure Application Entities (SAEs) is developed, following ETSI and SKIP standards through TLS-based stunnel services and mutual certificates or pre-shared key validation. A key duplication issue, due to simultaneous block usage in symmetrical network setups, is resolved through a reallocation routine and coordinated checks. The second part explores authentication at the quantum device layer. Here, messages exchanged over the classical channel are authenticated using ChaCha20-Poly1305, with key material derived from QKD output. The scheme ensures message integrity by generating authentication tags without encryption. Workflows for tag generation, verification, and key refresh are implemented in LabVIEW within the QKD firmware. Finally, the thesis investigates quantum identity authentication (QIA), reviewing existing protocols such as the Hong and Zawadzki schemes and proposing future developments based on Quantum Secure Direct Communication. The resulting work offers a practical and modular approach to authentication into QKD infrastructures.

Questa tesi affronta il problema dell'autenticazione nei sistemi di Quantum Key Distribution (QKD), un aspetto fondamentale per garantire la sicurezza e scalabilità di queste infrastrutture. A partire dai principi della crittografia classica e quantistica, il lavoro descrive il protocollo BB84 come base per la generazione sicura di chiavi e descrive la struttura di una rete QKD funzionale e autenticata. La prima parte si concentra sulla Key Manager Entity (KME), responsabile della raccolta, memorizzazione e distribuzione delle chiavi generate tramite QKD: si implementa un'autenticazione "verticale" tra la KME e le Secure Application Entities (SAE) esterne, seguendo gli standard ETSI e SKIP tramite servizi stunnel basati su TLS e validazione reciproca con certificati o chiavi pre-condivise. Un problema di duplicazione delle chiavi, causato dall’uso simultaneo dei blocchi in configurazioni simmetriche, viene risolto mediante una routine di riallocazione e controlli coordinati. La seconda parte del lavoro esplora l'autenticazione a livello dei dispositivi quantistici. I messaggi sul canale classico vengono autenticati con ChaCha20-Poly1305, utilizzando materiale chiave derivato dal QKD. Il sistema garantisce l’integrità dei messaggi tramite tag di autenticazione, senza applicare cifratura. I flussi di generazione tag, verifica tag e aggiornamento delle chiavi sono implementati in LabVIEW all’interno del firmware QKD. Infine, la tesi analizza la Quantum Identity Authentication (QIA), esaminando i protocolli di Hong e Zawadzki e proponendo sviluppi futuri basati sulla Quantum Secure Direct Communication. Il risultato è un approccio pratico e modulare all’autenticazione nelle infrastrutture QKD.