Na lupa.cz vyšel nedávno velmi zajímavý článek „NÚKIB ignoruje nařízení vlády. Česko kvůli tomu může přijít o stovky milionů na kvantovou síť„, který informuje o pasivitě NÚKIBu a nedorozumění ohledně kompetencí. Proto by mohlo být užitečné se podívat na to, jak by taková kvantová síť v rámci EuroQCI měla koncepčně fungovat.
Následující popis vychází čistě z veřejného dokumentu EuroQCI ConOps (Concept of Operations), který již ve své druhé (2.0) verzi z června 2023, kterou publikovala Evropská komise coby hlavní organizátor EuroQCI. V textu bude často použita zkratka QCI z anglického Quantum Communication Infrastructure, tedy kvantová komunikační infrastruktura.
EuroQCI globálně
EuroQCI v první generaci by měla být panevropská kvantová síť se službou kvantové distribuce klíče (QKD). Později lze uvažovat o tzv. kvantovém internetu, kde těch služeb může být více, například distribuované kvantové počítání, kvantové počítání naslepo, přímé kvantové zprávy, autorizace na základě vaší polohy, anonymní ale bezpečné hlasování, distribuce přesnějšího času či přenos kvantových dat z kvantových senzorů. Avšak současná infrastruktura se zatím navrhuje jenom pro QKD.
EuroQCI se skládá ze dvou velkých nezávislých částí (domains). Pozemní TerrQCI (Terrestrial QCI) kde kvantová komunikace běží dominantně po optických kabelech a vesmírné SpaceQCI, kde se počítá s komunikací mezi satelity a pozemními optickými stanicemi (oficiálně SUE – SpaceQCI User Equipment).
TerrQCI se pak skládá z několika navzájem propojených národních kvantových sítí (NatQCI). NatQCI patří a je řízená jednotlivými členskými státy (u nás vznikne jedna NatQCI zvaná CZQCI) nebo nějakým tělesem EU (třeba kvantová síť spojující EU instituce v Bruselu a Štrasburku). Některé země mohou mít více národních kvantových sítí, například Řecko bude mít jednou kvantovou síť na pevnině a pak pár na některých větších ostrovech. Následné propojení národních kvantových sítí jednotlivých zemí je na domluvě mezi jednotlivými zeměmi.
Naopak, využití SpaceQCI je zprostředkováno skrze tzv. kvantový hub (Quantum Hub), který danou službu zprostředkuje. Kvantový hub bude provozován v rámci vesmírného programu EU GOVSATCOM a rovněž je také vlastněn EU.
Koncept národní kvantové sítě (NatQCI) detailně
Nyní se podíváme, jak by koncepčně měla fungovat národní kvantová síť v rámci EuroQCI. Každá NatQCI bude mít jednoho národního operátora (NatQCI Operator), který má na starosti QKD službu v dané národní kvantové sítí. To znamená, že když, například NÚKIB v Brně bude chtít bezpečně komunikovat s Ministerstvem vnitra (MV) v Praze, tak to zprostředkuje právě národní operátor. Tento operátor by měl být nad všemi provozovateli. Jednotlivé kvantové linky nebo metropolitní kvantové sítě mohou mít různé provozovatele (např. univerzity, CESNET, ČD Telematika, CETIN, atd.). Národní operátor pak také zajišťuje spojení se sousedními národními kvantovými sítěmi. A to v rámci jejich vzájemné dohody.
V případě, že například české Ministerstvo zahraničních věcí (MZV) bude chtít komunikovat s kolegy z Madridu, tak je pravděpodobnější využití vesmírné části EuroQCI. Důvod je takový, že vzdálenost Praha-Madrid je velká, což je problematické pro QKD skrze optické kabely (více je to popsané zde), ale jednodušší pro spojení skrze satelit. V takovém případě by MZV kontaktovalo českou národní kompentní autoritu SCCA (Secure Connectivity Competent Authority), které má pak přímé spojení na výše zmíněný kvantový hub, který zprostředkuje spojení mezi satelitem a pozemní optickou stanicí obou zemí. Následně národní operátor zajistí spojení pozemní optické stanice s konečným uživatelem.
Pokud bychom tu žádnou pozemní optickou stanici neměli, museli bychom využít nějakou sousední, třeba v Německu či Rakousku.
Nakonec je tu národní bezpečnostní monitoring (NatQCI Security Monitoring), což je entita, která bude napojena primárně na národního operátora a i národní kompetentní autoritu a případné problémy ihned reportovalo do EuroQCI bezpečnostního monitoringu, které by report eskalovalo dále.
Z technického hlediska je tam těch vztahů více, ale to není až tak důležité. Také je potřeba si uvědomit, že z pohledu reálného uživatele tohle vše bude probíhat zcela automaticky v pozadí dle konfigurace. To znamená, že uživatel zadá, že chce vysoce zabezpečené spojení s jiným uživatelem, třeba videokonferenční hovor. Následně v pozadí daný software pro videokonference může požádat o extra zabezpečení skrze QKD. Zbytek pohádky je pak popsaný výše a i dále na obrázcích.
Fungování kvantových sítí v EuroQCI v obrázcích
Pro lepší pochopení si výše popsané znázorníme i na obrázcích.
Poznamenejme, že výše uvedené obrázky a jejich popis je do značné míry zjednodušen. Navíc vychází z EuroQCI ConOps a v realitě se může trochu lišit.
CZQCI a její účastníci
EuroQCI lze rozdělit do dvou fází. První fáze je spíše výzkumně vývojová. Tomu odpovídá i velká akademická účast. V této fázi by se měly postavit prototypy, vzdělávat budoucí koncoví uživatelé, popsat příkladná využití (use cases) apod. Druhá fáze je už pak opravdové nasazení, kde lze provést komunikace až na bezpečnostní úroveň Tajné (to je druhý nejvyšší stupeň utajení). Tady už takzvaně „končí sranda“ neboť certifikace na takovýto vysoký stupeň je velmi netriviální.
Složení CZQCI konsorcia pro první fázi je vedené CyberSecurityHub (Masarykova Univerzita + ČVUT) a členy pak jsou Ústav přístrojové techniky AV, CESNET, ČVUT v Praze, Masarykova univerzita, Univerzita Palackého v Olomouci, VŠB-Technická Univerzita Ostrava a VUT Brno. Dominantně akademické složení odpovídá právě první fázi EuroQCI, jak je popsáno výše.
Nutno podotknout, že autor nemá přístup do CZQCI, ale jako pracovník v EUSPA vidí do SpaceQCI. Proto následující část je spíše spekulativního charakteru.
V rámci národní kvantové sítě zde máme následující entity: bezpečnostní monitoring, národní operátor, provozovatel, národní kompetentní autorita a pak akreditace.
Pokud jde o akreditaci, tak dokument jasně říká, že je to buď National Security Authority (NSA) – to by odpovídalo Národnímu bezpečnostnímu úřadu (NBÚ) nebo National Cyber-Security Agency (NCSA), což by odpovídalo NÚKIBu. Pokud vím, tak v případě ČR je tou entitou NÚKIB. Ten například i určuje, kdo bude ČR reprezentovat v rámci pracovní skupiny evropské komise pro EuroQCI. Momentálně oním zástupcem je pan Bouda z CyberSecurityHubu/Masarykovy univerzity.
Pak je tu národní bezpečnostní monitoring. Zde lze očekávat, že by se opět mělo jednat o NÚKIB analogicky jako pro klasické kyberbezpečnostní incidenty.
SCCA není jen jen entita pro EuroQCI, ale lze očekávat, že to bude ta stejná entita i jako pro přístup k GOVSATCOM (EU satelitní služby) či IRIS2 (evropský „Starlink“). To, zdá se, by opět měl být NÚKIB.
Dále tu máme národního operátora. Vzhledem k výši možného stupni utajení a povaze komunikace, tedy kritická a hodně citlivá infrastruktura, tak bych osobně asi očekával, že by se mělo jednat o nějakou národní organizaci nebo organizaci ovládanou přímo státem. Určitě by to neměl být NÚKIB, zvláště pokud to má akreditovat či monitorovat, to by se vylučovalo. Dokážu si představit, že vznikne něco nového, nebo to může být například ČD Telematika, která skrze české dráhy je plně v rukou státu. Na druhou stranu, relevantní jsou i názory, že aby stát provozoval co nejméně věcí, neboť to často soukromý sektor umí rychleji, efektivněji a i levněji. Koneckonců, nikde jsem nenašel řečeno, že národních operátorů nemůže být více a tím pádem i konkurenční prostředí. Ale také těžko si to prakticky představit v nynějších počátcích, kde to také hodně bude i o dotacích národních nebo těch evropských… No uvidíme, jak tato nejspekulativnější role dopadne v našich podmínkách.
Provozovatel konkrétních sítí pak může být v principu kdokoliv, kdo tu má optické sítě, nasadí na ně QKD a dosáhne pak na příslušné akreditace pro zapojení do NatQCI. Zde si opět dovedu představit ČD Telematika, CESNET nebo například CETIN.
Závěrem je vhodné dodat, že celý projekt národní kvantové sítě je stále ve fázi formování. Nicméně z výše popsaného vyplívá, že je vhodné, ale i žádoucí rozlišovat provozování kvantové sítě a její bezpečnostní monitoring či akreditaci a dle toho by měly být rozdány kompetence jednotlivým institucím.
Oprava 2023-09-08: slovo kompetitivní bylo nahrazeno za správné kompetentní.
Oprava 2023-09-08: rozšířena diskuse o národním operátoru.
Napsat komentář
Pro přidávání komentářů se musíte nejdříve přihlásit.