1 30 Table of Contents 32 52

NET 11/2021

31 www.net-im-web.de 11/21 Georedundante Datacenter sicher verbinden tur, z.B. auf die MAC- und IP-Adressen der Server. WDM-Technik bietet neben der hohen Daten-Performance und den optischen Überwachungs-/Protektions- mechanismen die Möglichkeit, alle zu übertragenden Daten zwischen den georedundanten Datacentern geheim mit Layer-1-Verschlüsselung zu trans- portieren. Die Verschlüsselung auf der Lay- er-1-Ebene erfolgt direkt auf der Ebene des Wellenlängen-Multiplexings und umfasst einzelne Datenströme, kompletteWellen- längen oder die gesamte WDM-Über- tragung. Die eingesetztenWDM-Trans-/ Muxponder haben dabei auf derHardware implementierte Krypto-Chipsätze, die sämtliche Verschlüsselungsalgorithmen enthalten. Durch diese Bauweise und durch die Platzierung der Schlüsselin- formation im WDM-Layer (genauer im OTN-Layer) entsteht keine zusätzliche Laufzeitverzögerung und keine Redu- zierung der Datenraten, wie das bei Ver- schlüsselungsmechanismen der höheren Ebenen (z.B. Layer 2 und Layer 3) der Fall ist. Die Layer-1-Verschlüsselung ist deshalb auch für hohe Datenraten über große Entfernungen beispielsweise auf angemieteten Glasfasern die am besten geeignete Absicherung. Die symmetrische Komponente der Layer-1-Verschlüsselung ist die „Roh- datenverschlüsselung“ nach dem interna- tionalen Advanced Encryption Standard (AES) mit einem 256-bit-Schlüssel und zusätzlicher Integritätsprüfung, z.B. ge- mäß Galois-Counter-Mode-Algorithmus (GCM). Der Schlüsselaustausch zwischen den beiden WDM-Endstellen erfolgt mittels der asymmetrischen Komponente der Layer-1-Verschlüsselung. Durch die- ses Privat-/Public-Key-Verfahren nach Diffie-Hellman mit Schlüssellängen von mindestens 2.048 bit und turnusmäßiger Schlüsselerneuerung wird die Identifizie- rung des Kryptoschlüssels durch Dritte verhindert. Verschlüsselung für Kritis Verschlüsselungslösungen für kritische Infrastrukturen (Kritis) erfüllen zumTeil die Vorgaben der BSI-Krypto-Richtlinie BSITR-02102. Die Richtlinie beschreibt, welche Verschlüsselungsverfahren und welche Schlüssellängen eingesetzt werden dürfen. Diese Zulassung umfasst nicht nur die Verschlüsselungsverfahren und Methoden, sondern zertifiziert auch den Entwicklungs- und Produktionsprozess des Herstellers inklusive der Lieferkette zum Endkunden und dem sicheren Be- trieb der Systeme. Wird z.B. bei einer Verschlüsselungsbaugruppe das Gehäuse geöffnet, werden sofort alle Schlüssel un- wiederbringlich gelöscht und geben einem Angreifer keineMöglichkeit, die Schlüssel zu kopieren (Tamper-Protection). WDM-Systeme mit den BSI- Zulassungen VS-NfD (Verschlusssache – nur für den Dienstgebrauch) und VS-V (Verschlusssache – vertraulich) sind am Markt verfügbar. Neben der Verschlüsselung nach BSI-Zu- lassung verfügt Corning Services als her- stellerunabhängiger Systemintegrator über WDM-Lösungenmit Verschlüsselung, die speziell auf die Bedürfnisse (Redundanz, Zuverlässigkeit, Managementsystem) der Kritis-Unternehmen angepasst sind. Post-Quanten-Verschlüsselung Von der Entwicklung von Quantencom- putern verspricht man sich einen weiteren großen Schritt in Richtung wesentlich leistungsfähigerer Computer. Allerdings gibt es die Befürchtung, dass mit Quanten- computern heute verwendete Verschlüs- selungstechniken nicht mehr sicher sind. Aus heutiger Sicht ist die symmetrische Verschlüsselungstechnik z.B. mit dem Standard AES-256 nicht betroffen, jedoch die zum Schlüsselaustausch verwendeten asymmetrischen Verschlüsselungsverfah- ren wie Diffie-Hellman könnten gegebe- nenfalls leichter „geknackt“ werden. Der Grund dafür ist die dem Diffie-Hellman Verfahren zugrunde liegende mathemati- sche Operation für die Generierung des Transportschlüssels aus einemöffentlichen und einem privaten Schlüssel. Es besteht die Befürchtung, dass ein Rückschluss auf den privaten Schlüssel mithilfe eines Quantencomputers einfacher möglich ist. Sogenannte Post-Quantum-En- cryption-Verschlüsselungsmethoden wer- den derzeit erforscht (z.B. McEliece oder Frodo), sind aber noch nicht abschließend qualifiziert. Eine weitere Möglichkeit des sicheren Schlüsselaustausches ist das QKD- Verfahren (Quantum Key Distribution), das auf Basis von Photonenverschränkung funktioniert und bereits sehr vielverspre- chend in der Praxis angewendet wird. Auch wenn bis dato noch kein Datum für die Einführung von Quan- tencomputern genannt werden kann, sollte die Auswahl von Equipment mit Verschlüsselungstechnik bereits heute die Möglichkeit zum Implementieren von Post-Quantum-Encryption ermög- lichen. Dazumuss die Softwarearchitektur flexibel genug sein, um nachträgliche Verschlüsselungstechniken nachrüsten zu können. www.corning-services.de Optimierte Konzepte Corning Services liefert Systeme für Datacenter- Interconnect-Projekte von führenden Herstellern der Branche, erstellt Systemplanungen, Aus- führungskonzepte und setzt für die Montage und Inbetriebnahme der Technik eigene spezialisierte Service-Teams ein. Bei der Umsetzung kunden- spezifischer Systemlösungen spielen neben den Funktionen und Leistungsmerkmalen auch Aspekte wie die Nachhaltigkeit sowie die strategische Aus- richtung eine Rolle bei der Systemauswahl.

RkJQdWJsaXNoZXIy MjE2Mzk=