„Post Quantum Cryptography“ Erstes TPM mit PQC-geschütztem Firmware-Update-Mechanismus

Von Michael Eckstein

Ein durch Post-Quantum-Kryptografie (PQC) geschützter Firmware-Update-Mechanismus soll das neue Trusted Platform Module von Infineon quasi unknackbar machen. Damit wäre es ein wichtiger Sicherheitsanker im aufkommenden Quantencomputer-Zeitalter.

Anbieter zum Thema

Infineons neues Trusted Platform Module Optiga TPM 9672 soll auch im Zeitalter von Quanten-Computern die Vertrauenswürdigkeit von Daten und Informationen sicherstellen.
Infineons neues Trusted Platform Module Optiga TPM 9672 soll auch im Zeitalter von Quanten-Computern die Vertrauenswürdigkeit von Daten und Informationen sicherstellen.
(Bild: Infineon)

Die fortschreitende Entwicklung von Quanten-Computing wird voraussichtlich spürbare Auswirkungen auf die Cybersicherheit haben – insbesondere auf die Vertraulichkeit verschlüsselter Daten und auf die Integrität digitaler Signaturen. Und diese Auswirkungen werden eher negativ als positiv sein. Als Antwort auf diese Herausforderungen hat Infineon das Trusted Platform Module (TPM) Optiga SLB 9672 entwickelt. Es soll die Datensicherheit durch einen per Post-Quantum-Kryptografie (PQC) geschützten Firmware-Update-Mechanismus auf eine neue Stufe heben, erklärt Guillaume Rainbault, Senior Product Manager von Infineon. Der jetzt vorgestellte Baustein zielt primär auf den Einsatz im PC- und Server-Markt. Ein speziell für den Automotive-Markt abgestimmtes PQC-TPM könne Infineon bei entsprechender Nachfrage entwickeln.

Rainbault geht davon aus, dass in etwa zehn bis fünfzehn Jahren Quantencomputer für viele Anwender verfügbar sein werden – voraussichtlich auch für Cyberkriminelle. Diese Rechner seien mit hoher Wahrscheinlichkeit in der Lage, heute als sicher geltende Verschlüsselungsverfahren wie RSA auszuhebeln und so die Datenintegrität vieler Anwendungen zu untergraben. Denkbar sei, dass sich dann etwa manipulierte Firmware mit eingebauter Backdoor aufspielen lassen – ein nicht zu unterschätzendes Sicherheitsrisiko.

Bei den langen Nutzungszyklen etwa von Industrieanlagen von oft 20 Jahren und mehr sei es daher wichtig, bereits jetzt die Grundlage dafür zu legen, dass Systeme auch in Zukunft sicher betrieben und vertrauenswürdig aktualisiert werden können. Gleiches gelte für den Fahrzeugsektor. Wie Rainbault bestätigt, liegen entsprechende Anfragen aus der Industrie bereits vor.

Post-Quantum-Kryptografie schützt Firmware-Updates

SLB 9672 ist laut Infineon eine zukunftssichere Lösung mit einem durch Post-Quantum-Kryptografie (PQC) geschützten Firmware-Update-Mechanismus, der XMSS-Signaturen einsetzt. Dieser Mechanismus wirkt der Manipulation der Firmware durch Angreifer mit Zugang zu Quantencomputern entgegen.

Zudem zahle der Mechanismus auf die langfristige Nutzbarkeit des Geräts ein, indem er einen quantenresistenten Firmware-Upgrade-Pfad eröffne. Das standardisierte, sofort einsatzbereite TPM soll somit als robuste Grundlage dienen, um die Identität und den Software-Status von PCs, Servern und angeschlossenen Geräten gesichert festzustellen. Laut Infineon schützt er zudem die Integrität und Vertraulichkeit von Daten, die gespeichert werden oder sind.

Firmware-Update mit 256-Bit-Schlüssel und PCQ-Prüfung geschützt

Der neue Chip erweitert Infineons Optiga-TPM-Familie. Nach Angaben des Konzerns ist es das erste TPM der Branche, das einen Firmware-Update-Mechanismus mit einer Schlüssellänge von 256 Bit und einer zusätzlichen Prüfung auf Basis von PQC einsetzt. „Mit diesem starken und vertrauenswürdigen Update-Mechanismus kann das OPTIGA TPM SLB 9672 auch dann noch aktualisiert werden, wenn die Standard-Algorithmen nicht mehr vertrauenswürdig sind“, teilt Infineon mit.

Sein Design sei auf eine verbesserte Rechenleistung ausgelegt und verfüge über ausfallsichere Funktionen, die den Auswirkungen einer beschädigten Firmware entgegenwirken sollen. Integrierte Sicherheitsfunktionen ermöglichen laut Hersteller beispielsweise die Wiederherstellung der TPM-Firmware in Übereinstimmung mit den NIST SP 800-193 Platform Firmware Resiliency Guidelines.

Unabhängige Stellen garantieren Sicherheit

Das TPM hat außerdem einen erweiterten nichtflüchtigen Speicher, um neue Funktionen wie zusätzliche Zertifikate und kryptografische Schlüssel zu speichern. Die Sicherheitsevaluierung und -zertifizierung wird nach Angaben von Infineon von unabhängigen Stellen gemäß den Common Criteria- und FIPS-Anforderungen durchgeführt. „Darüber hinaus erfüllt das neue TPM die Anforderungen der Trusted Computing Group (TCG) (TPM 2.0-Standard Version 1.59) und ist nach dem neuesten TPM 2.0-Standard zertifiziert.“

Mit einer standardisierten Vertrauensbasis sowie verschiedenen Tools zur Unterstützung von Design-Aktivitäten (Software/Demo-Boards) ermöglicht das TPM eine einfache Integration mit der Host-Software, gibt Infineon an. Ferner unterstütze es die neuesten Versionen von Windows und Linux. Ein erweiterter Temperaturbereich von –40°C bis 105°C zählt bei einem solchen Chip quasi zum guten Ton.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Infineon hat sich zudem zu einer langfristigen Verfügbarkeit des Optiga TPM SLB 9672 für mindestens zehn Jahre verpflichtet, maßgeschneiderter Support und Wartung laufen über das Infineon Security Partner Network (ISPN).

(ID:48013327)