Zustandsbezogene Hash-basierte Signaturen

Bild 2. Hash-basierte Signaturen sind ein nützlicher vorläufiger Sicherheitsansatz.

© Infineon

Hash-basierte Signaturen (HBS) sind asymmetrische kryptografische Post-Quantum-Verfahren (Bild 2). Da die meisten HBS zustandsbezogen sind, muss die Anzahl der mit einem privaten Schlüssel erzeugten Signaturen begrenzt werden. Zudem müssen zuvor verwendete Schlüssel erfasst werden. Zwei zustandsbezogene HBS-Verfahren – LMS (Leighton-Micali Signatures) und XMSS (eXtended Merkle Signature Scheme) – wurden 1995 und 2011 veröffentlicht, von der IETF standardisiert und in den Post-Quanten-Kryptografie (PQC)-Standard SP800-208 des NIST aufgenommen.

LMS und XMSS verwenden SHA-256 oder SHAKE256, um eine 128-Bit-Post-Quantum-Sicherheit zu erreichen. Diese Verfahren verwenden eine Signaturgröße von etwa 2,5 kB mit einem 60 Byte großen öffentlichen Schlüssel. Auf Embedded-Prozessoren dauert die Überprüfung weniger als eine Sekunde, wohingegen das Signieren ein paar Sekunden in Anspruch nimmt. Die Schlüsselgenerierung dauert einige Minuten, manchmal sogar Stunden. Ein kryptografischer Hash-Beschleuniger kann die Leistung allerdings erheblich steigern.

Der offensichtliche Vorteil von HBS ist, dass sie quantenresistent und somit zukunftssicher sind. Allerdings ist eine sorgfältige Zustandsverwaltung notwendig, da die Sicherheit des Verfahrens leicht ausgehebelt werden kann, falls ein privater Schlüssel für mehrere Nachrichten wiederverwendet wird.
Die Verwendung zustandsbezogener HBS für die Signaturprüfung eignet sich gut für Embedded-Plattformen, da die Prüfung ausreichend schnell ist und durch Hashing-Co-Prozessoren beschleunigt wird. Schlüsselgenerierung und -signierung können auch auf Embedded-Sicherheitsprozessoren implementiert werden, da sie eine sichere Kontrolle der privaten Schlüssel und ihres Zustands ermöglichen. Insgesamt eignen sich HBS für Firmware-Updates, zumal sie die derzeit einzigen standardisierten asymmetrischen PQC-Algorithmen sind.

Die Umsetzung der PQC-Sicherheit ist ein fortlaufender Prozess, da regelmäßige Anpassungen erforderlich sind, um noch unbekannten Bedrohungen entgegenwirken zu können. Die Sicherheit der Anwendung wird jedoch durch die Sicherheit des Firmware-Update-Mechanismus begrenzt. Daher ist es wichtig, dass HBS bereits jetzt auf Firmware-Update-Mechanismen angewendet werden. Sobald das OTA-Update angemessen abgesichert ist, können neu entwickelte PQC-Algorithmen auf Anwendungsebene implementiert werden. So wird eine konsistente 128-Bit-PQC-Sicherheit im gesamten Embedded-System erreicht.

Hardware-Lösung für PQC-Sicherheit

Bild 3. Das neue OPTIGA TPM SLB 9672 ist für den Schutz gegen PQC-Bedrohungen ausgelegt.

© Infineon

Die Embedded-Security-Lösung Optiga TPM SLB 9672 von Infineon verfügt über einen PQC-geschützten Firmware-Update-Mechanismus und ist nach dem Common-Criteria-Standard zertifiziert. Das TPM (Trusted Platform Module) entspricht darüber hinaus der TCG 2.0 Rev. 1.59-Spezifikation und erfüllt die kommenden Anforderungen von Microsoft Windows sowie den neuen NIST-Standard SP 800-90B mit anstehender FIPS 140-2-Zertifizierung (Bild 3).

Die neue Lösung enthält stärkere kryptografische Algorithmen, etwa RSA 3k & 4k, SHA-384 und ECC 384. Diese Algorithmen bieten derzeit ein symmetrisches Sicherheitsniveau von 192 Bit. Mit einem bevorstehenden Firmware-Update wird die mögliche Sicherheitsstufe auf 256 Bit erweitert, indem die Unterstützung für SHA-512 und ECC-521 hinzugefügt wird. Der Firmware-Update-Mechanismus selbst ist quantenresistent, da er XMSS-Signaturen verwendet. Die Infineon-Update-Autorität kann zustandsbezogene XMSS-Schlüssel verarbeiten, sodass Firmware-Updates gesichert und ohne Unterbrechung durchgeführt werden können. Um die übertragene Nutzdatenmenge zu validieren, kann das Optiga TPM SLB 9672 die XMSS-Signatur außerdem transparent überprüfen.

Das Modul ist mit Intel x86-, Arm- und anderen Plattformen kompatibel. Zu den Zielanwendungen gehören Server, PCs, allgemeine Datenverarbeitung und -speicherung. Überdies unterstützt die Lösung eine breite Palette von Gateways, Routern, drahtlosen Zugangspunkten, Netzwerkschnittstellenkarten und Switches.

Der Optiga TPM 2.0 Explorer von Infineon basiert auf einer grafischen Benutzeroberfläche und ermöglicht es Nutzern, TPM 2.0 mithilfe eines Raspberry Pi schnell zu verstehen. Mit diesem Tool können Entwickler TPMs in einer Vielzahl von Anwendungen erkunden: Sie können ein TPM 2.0 initialisieren, alle Eigenschaften anzeigen und bei Bedarf einen vollständigen Reset durchführen. Sowohl der nichtflüchtige Speicher (NVRAM) als auch das Plattformkonfigurationsregister (PCR) können verwaltet und geführt werden. Zusätzlich kann der Zugang und die Wiederherstellung nach einem Lockout-Ereignis definiert werden. Die grafische Benutzeroberfläche liefert ein visuelles Feedback, sodass ausgeführte Befehle und erhaltene Antworten überprüft und schnell verstanden werden können. Der Umfang und die Einfachheit ermöglichen es allen Nutzern, unabhängig von ihrer Erfahrung oder ihrem Wissen, auf die Funktionen des Optiga TPMs zuzugreifen und diese kennenzulernen.

Erster Schritt für mehr Sicherheit

Die zukünftige Welt der Quantencomputer bedeutet, dass die Sicherheitslevel überprüft werden sollten, insbesondere in Bezug auf Firmware-Updates. Angesichts der enormen Leistung der künftigen Quantencomputer könnte es ein Leichtes sein, die derzeitigen Sicherheitsverfahren zu umgehen. Obwohl die Bedrohung vermutlich erst in mehr als einem Jahrzehnt zum Tragen kommen wird, besteht in bestimmten Sektoren bereits jetzt Handlungsbedarf. Zahlreiche kritische Applikationen, beispielsweise große Infrastrukturen und einige Fahrzeuge, werden auch dann noch in Betrieb sein, wenn das Quantencomputing Realität geworden ist – und dann werden sie diesen Bedrohungen ausgesetzt sein.

Der Autor: Guillaume Raimbault ist Senior Manager Product Marketing & Management für IoT Security in der Connected Secure Systems Division von Infineon Technologies.

© Infineon

Allerdings bringt dies gewisse Herausforderungen mit sich, da weder die Bedrohung noch die Hardware vollständig definiert sind und sich auch die Normen noch in der Entwicklung befinden. Die Implementierung zustandsbezogener HBS kann jedoch einen gewissen Schutz für die so wichtigen Firmware-Updates bieten. Dies wird als wichtiger erster Schritt angesehen.