Post‑Quanten‑Kryptographie gegen reale physische Angriffe absichern

Zusammenfassung

Der Fortschritt im Bereich des Quantencomputings macht den Übergang zur Post Quanten Kryptographie (PQC) zu einer strategischen Priorität. Gleichzeitig bleiben reale Implementierungen anfällig für physische Angriffe wie Seitenkanalanalyse und Fehlerinjektion. Im Rahmen des SCA4PQC Programms der Cyberagentur leitet BearingPoint das Projekt QUEST, das auf die Entwicklung und Bewertung seitenkanalgehärteter PQC Implementierungen für Embedded  und IoT Systeme abzielt und praxisnahe Open Source Lösungen für sicherheitskritische Einsatzumgebungen bereitstellt.

Absicherung von PQC über mathematische Korrektheit hinaus

Für staatliche Stellen, kritische Infrastrukturen und die Industrie ist die Migration zu Post‑Quanten‑Kryptographie unvermeidlich. Dennoch sind viele PQC‑Verfahren, die theoretisch als sicher gelten, auf Implementierungsebene besonders anfällig für Seitenkanalangriffe (SCA) und Fehlerinjektionsangriffe (FIA). Dabei gewinnen Angreifer geheime Informationen durch die Analyse von Stromverbrauch, elektromagnetischen Abstrahlungen oder durch das gezielte Einbringen von Rechenfehlern.

Diese Herausforderung ist insbesondere bei Embedded‑ und IoT‑Geräten ausgeprägt, die begrenzte Rechenressourcen mit physischer Exposition in realen Einsatzszenarien kombinieren. Konventionelle Sicherheitsbewertungen konzentrieren sich häufig auf algorithmische Eigenschaften, während SCA‑ und FIA‑Risiken, insbesondere bei kombinierten Angriffen, unzureichend adressiert werden. Infolgedessen sehen sich Organisationen mit einer wachsenden Lücke zwischen kryptographischen Standards und deren sicherer Anwendung in der Praxis konfrontiert.

Ganzheitliche Implementierungssicherheit für Embedded PQC

QUEST begegnet diesen Herausforderungen mit einem implementierungsgetriebenen Sicherheitsansatz, der gezielt auf Embedded‑Umgebungen ausgerichtet ist. Das Projekt entwickelt und evaluiert seitenkanal‑ und fehlerinjektionsresistente PQC‑Implementierungen auf weit verbreiteten Plattformen wie Arm Cortex‑M und 32‑Bit‑RISC‑V, die das Rückgrat vieler IoT‑ und sicherheitskritischer Systeme bilden.

Dabei kombiniert QUEST eine kontinuierliche Sicherheitsevaluierung mit einer iterativen Härtung der Implementierungen. Betrachtet werden sowohl standardisierte PQC‑Verfahren (ML‑KEM, ML‑DSA) als auch weniger untersuchte Alternativen (UOV, MAYO), für die bislang nur wenige robuste Open‑Source‑Implementierungen existieren. Eine strukturierte Red‑Team/Blue‑Team‑Methodik stellt die frühzeitige Identifikation von Schwachstellen sowie die systematische Verbesserung von Gegenmaßnahmen sicher.

Die Ergebnisse umfassen gehärtete Open‑Source‑PQC‑Implementierungen, die gegen realistische physische Angriffsszenarien validiert sind, sowie die Entwicklung von Demonstratoren, welche sicherheitsrelevante Implementierungseigenschaften transparent und für Entscheidungsträger bewertbar machen.

Verbindung von industrieller Führung und exzellenter Forschung

QUEST wird durch ein starkes interdisziplinäres und internationales Konsortium umgesetzt, das industrielle Führungsstärke mit akademischer Tiefe verbindet. BearingPoint fungiert als Hauptauftragnehmer und Projektleiter und ist verantwortlich für die übergreifende Koordination, die technische Abstimmung sowie die Zusammenführung der Ergebnisse über alle Arbeitspakete hinweg. Mit ausgeprägter Expertise in quantensicheren Technologien und fundierten Kenntnissen der damit verbundenen notwendigen organisatorischen Transformationen schlägt BearingPoint die Brücke zwischen akademischer Forschung und der angewandten Sicherheitsindustrie und stellt sicher, dass Forschungsergebnisse technisch konsistent und praxisrelevant sind.

Das Projekt  - finanziert durch die Cyberagentur - wird durch spezialisierte Forschungspartner mit komplementärer Expertise unterstützt:

• CHELPIS bringt ausgeprägte Kompetenz im kryptographischen Engineering ein und konzentriert sich auf die Entwicklung geschützter Post‑Quanten‑Kryptographie‑Implementierungen mit Resistenz gegen Seitenkanal‑ und Fehlerinjektionsangriffe.
• Hochschule Darmstadt (HDA) unterstützt das Projekt mit vertieftem Know‑how in Embedded‑Systemen sowie der Optimierung kryptographischer Implementierungen für ressourcenbeschränkte Plattformen.
• Hochschule RheinMain (HSRM) stellt zentrale Expertise in der Seitenkanalanalyse und sicherheitstechnischen Evaluierungbereit und trägt zur systematischen Bewertung von PQC‑Implementierungen bei.
• Nanyang Technological University (NTU) ergänzt das Konsortium durch international anerkannte Expertise in fortgeschrittenen Seitenkanal‑ und Fehlerinjektionsangriffen sowie deren experimenteller Analyse.

Diese Zusammenarbeit stellt sicher, dass offensive und defensive Perspektiven über den gesamten Projektverlauf hinweg integriert sind und realistische Bedrohungsmodelle sowie praxisorientierte Sicherheitslösungen entstehen.

Cyberagentur

Die Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) ist eine deutsche Bundesagentur, die sich der Stärkung der Cybersicherheit durch disruptive, zukunftsorientierte Forschung und Innovation widmet. Ihre Mission ist es, zukünftige Cyberrisiken frühzeitig zu identifizieren und zu minimieren und damit digitale Souveränität, den Schutz kritischer Infrastrukturen sowie die nationale Sicherheit zu unterstützen.

Mit Programmen wie SCA4PQC treibt die Cyberagentur gezielt die Entwicklung ganzheitlich sicherer post‑quantenkryptographischer Technologien voran und stellt sicher, dass zukünftige kryptographische Standards sicher in realen Systemen eingesetzt werden können.     

Links

Cyberagentur: https://www.cyberagentur.de     

 

SCA4PQC Programm: https://www.cyberagentur.de/programme/sca4pqc