PQC Secure Boot lässt sich leicht beschreiben, ist aber äußerst schwer in Silicon umzusetzen. In diesem kurzen Elektor TV-Clip betrachtet Johann-Philipp Thiers das Problem von der Seite des Flash-Controllers: Kleine Speichergeräte wie microSD-Karten unterliegen engen Boot-Zeitbeschränkungen, verfügen über begrenzte Rechenkapazität und müssen Firmware-Signaturen zwingend verifizieren, bevor die Kontrolle an das restliche System übergeben wird. Damit wird FIPS 204 des NIST und sein ML-DSA-Signaturschema (Module-Lattice Digital Signature Algorithm) mehr als ein abstrakter Standard – es wird zu einem Hardware-Integrationsproblem.

PQC Secure Boot in einem Flash-Controller

Der Clip beginnt mit einer nützlichen Unterscheidung. AES-Beschleunigung (Advanced Encryption Standard), Hashing im Datenpfad und ein echter Zufallszahlengenerator sind bereits vertraute Bestandteile des sicheren Flash-Controller-Designs. Sie bleiben relevant, sind aber nicht der eigentlich problematische Teil der Post-Quanten-Migration. Der schwierige Aspekt ist der Public-Key-Coprozessor, den das Mask-ROM zur Verifizierung des Firmware-Images beim Secure Boot nutzt.

Diesen Public-Key-Block durch ML-DSA-Unterstützung zu ersetzen, ist keine einfache Angelegenheit, bei der man einen neuen IP-Block auf einen AXI-Bus legt (Advanced eXtensible Interface). Der Referent verweist auf die bekannten Silicon-Realitäten: unterschiedliche Taktdomänen, Clock-Gating, Energieeffizienz, logische Verifikation, physisches Layout, Multi-Project-Wafer-Prototypen, Korrekturen und schließlich die Maskengenerierung. Letztere ist der entscheidende Punkt – denn Masken-Sets sind außerordentlich teuer.

Signaturverifizierung in ein Secure Element auslagern

Der vorgeschlagene Ausweg besteht darin, die meisten Sicherheitsfunktionen in ein Secure Element zu verlagern und gleichzeitig die Echtzeit-Verschlüsselung sowie das Hashing im Flash-Datenpfad zu belassen. In diesem Modell verifiziert das Mask-ROM des Flash-Controllers die Firmware-Signatur nicht selbst. Stattdessen sendet es den Firmware-Image-Header an das Secure Element, das die Verifizierung durchführt und dem Controller nur dann den Boot-Vorgang erlaubt, wenn das Image korrekt ist.

An dieser Stelle spielt auch ein stabiles Protokoll eine wichtige Rolle. Der Clip nennt ISO/IEC 7816, die Schnittstellenfamilie für Smartcards, als Beispiel für eine Schnittstelle, die stabil bleiben kann, während sich das Secure Element darunter weiterentwickelt. Der Controller muss nicht jedes Detail des nächsten Signaturalgorithmus kennen, solange die Befehlsschnittstelle stabil genug ist.

Die Speicherwelt nähert sich diesem Konzept bereits an. Der kartenseitige Funktionsumfang der SD Association umfasst Fast-Boot- und Secure-Boot-Funktionen, und Swissbit hat einen Speichermodul-Ansatz beschrieben, bei dem NAND-Flash, ein Controller und ein Sicherheits-Controller auf Secure-Element-Niveau innerhalb des Speicherprodukts zusammenarbeiten.

Krypto-Agilität ohne neues Masken-Set

Für Ingenieure ist der entscheidende Begriff Krypto-Agilität – hier jedoch in einem sehr physischen Sinne. Ein neueres Secure Element kann andere Algorithmen, größere Schlüsselgrößen, besser geschützten Schlüsselspeicher oder eine höhere Widerstandsfähigkeit gegen Seitenkanalangriffe bieten. Der Flash-Controller kann stabil bleiben, während sich die Sicherheitskomponente weiterentwickelt.

Elektor verfolgt diesen Wandel auch aus der Perspektive des Gerätedesigns in einem kommenden Elektor-Webinar zur Post-Quanten-Kryptographie für eingebettete Produkte. Das ist der Punkt, der in praktischen PQC-Diskussionen immer wieder auftaucht: Produktlebensdauer, Zertifizierungskosten und Hardware-Redesign-Zyklen können genauso ausschlaggebend sein wie der Algorithmus selbst.

Die wichtigste Erkenntnis aus dem Clip lautet: Post-Quanten-Migration ist kein einfaches Bibliotheks-Update. Bei eingebettetem Speicher liegt der kostspielige Teil möglicherweise im physischen Redesign, das erforderlich ist, um eine neue Art von Signatur beim Boot schnell genug zu verifizieren. PQC Secure Boot über ein austauschbares Secure Element ist keine Zauberlösung, aber ein praktikabler Weg, die Auswirkungen kryptographischer Änderungen zu begrenzen.

Abonnieren
Tag-Benachrichtigung: Abonnieren Sie das Tag post-quantum cryptography und erhalten Sie eine E-Mail, sobald ein neuer Beitrag dazu auf unserer Website erscheint.