Startseite > Automation > Industrie 4.0 & IoT > IoT-Sicherheit trotz beschränkter Ressourcen

Crypto Quantique

IoT-Sicherheit trotz beschränkter Ressourcen

28. April 2025, 6:37 Uhr | Heinz Arnold

»QRoot Lite« ist die Grundlage für die Implementierung von Sicherheit in ressourcenbeschränkten IoT-Geräten.

Für die Implementation von Sicherheitsfunktionen in ressourcenbeschränkten Mikrocontrollern und IoT-Geräten hat Crypto Quantique »QRoot Lite«, einen Root-of-Trust-IP-Block (RoT) entwickelt, der der »MARS«-Spezifikation entspricht.

▶ Diesen Artikel anhören

Die »MARS«-Spezifikation (Measurement & Attestation RootS of Trust) hat die Trusted Computing Group (TCG) erstellt, um die Vertrauenswürdigkeit und Unversehrtheit von eingebetteten IoT-Geräten und Sensoren zu prüfen. Zu den Anwendungen, die von »QRoot Lite« profitieren, gehören die verifizierte Boot-Implementierung, um sicherzustellen, dass während des Boot-Prozesses nur vertrauenswürdiger Code ausgeführt wird, die Schlüsselgenerierung und -speicherung zum Laden und Speichern verschlüsselter Daten sowie die Fernüberprüfung der Integrität und Authentizität von Sensordaten.

Der IP-Block ist in Hardware als Zustandsmaschine implementiert, um eine einfache Integration in kleine Systeme als Zusatz zu einem Host-Mikrocontroller zu ermöglichen. Er bietet wesentliche Funktionen für Geräteidentität und Messung auf Controllern, deren Ressourcen begrenzt sind.

Die MARS-Implementierung auf »QRoot Lite« bietet Hashing, Schlüsselerzeugung und Erzeugung digitaler Signaturen. Dabei kommen die Algorithmen der »Ascon«-Familie zum Einsatz, ein Kryptographiestandard, den das NIST erstellt hat.

Die Identität des IP-Blocks kann mit Seed-Injektion bereitgestellt werden. Ist aber maximale Sicherheit gefordert, kann die »Physical Unclonable Function« (PUF) von Crypto Quantique den Seed generieren, um das Gerät eindeutig zu identifizieren. Der IP-Block speichert den generierten Schlüssel sicher und führt kryptografische Operationen innerhalb der sicheren Hardware durch, was vor bekannten Seitenkanal- und Fault-Injection-Angriffen schützt. In einem ASIC beträgt der seitenkanalgeschützte Hardware-Footprint weniger als 25 KB und weniger als 14 KB bei einer ungeschützten Implementierung.