Was nutzt Verschlüsselung, wenn schon die Hardware kompromittiert ist, fragte sich eine Entwicklergruppe nach den Snowden-Enthüllungen. Daraus entstand das CrypTech-Projekt, das jetzt die Alpha-Version seines Open-Source-Hardware-Security-Modules vorlegt.

Etwas mehr als eine kryptographische Aktion pro Sekunde schafft die Alpha-Version des nagelneuen Cryptech-Boards. Am Rande der Internet Engineering Task Force 96 in Berlin unterzog eine Reihe von Alphatestern das erste Open-Source-Kryptomodul einer Prüfung, unter anderem mit der Signierung einer DNS-Zone mit DNSSEC. Neben freier Software und neuen Verschlüsselungsstandards, will das internationale Entwicklerteam damit einen weiteren Grundstein legen für Netze, die auch gegen Angriffe mächtiger staatlicher Akteure gefeit sind.

„Beeindruckend fortgeschritten“

„Noch nicht einsatzreif für das Signieren einer Zone, aber beeindruckend fortgeschritten“, urteilt Alpha-Tester Alexander Mayrhofer, Forschungs- und Entwicklungsleiter bei der österreichischen Registry nic.at. Nach nur zwei Jahren Entwicklungszeit haben die Cryptech-Freiwilligen ein HSM vorgelegt, das funktioniert, so Mayrhofer. Beim Einsatz für DNSSEC erlaubt der Open-Source-Kryptoprozessor das Erzeugen und Speichern eines Rootkeys und das laufende Signieren der Zone. Noch dauert Letzteres mit dem CrypTech-Board jedoch ein bisschen lang. Kommerzielle HSMs schaffen 3000 bis 7000 Signaturaktionen pro Sekunde.

Das 800 US-Dollar teure Board hat zwei USB-Ports, einen für die Administration und einen für Verschlüsselungsaktionen. Als Hauptkomponenten trägt es ein Xilinx-FPGA Artix 7, einen Cortex-M4-Prozessor der STM32-ARM-Reihe und einen AVR-Mikrocontroller ATTiny 828. Der Schlüsselspeicher fasst laut Spezifikation entweder 3000 RSA-8192- oder 6000 RSA-4096-Schlüssel. Wer auf Elliptic Curve-Kryptographie setzt, kann 80.000 ECP-256-Schlüssel ablegen. Ein Panik-Knopf erlaubt das Verwerfen der Schlüssel im Notfall. Auch beim Zufallsgenerator waren die CrypTech-Freiwilligen, die allesamt unentgeltlich arbeiten, erfinderisch: Sie nutzen neben dem Rauschen einer Diode das Lüftergeräusch, um die Qualität der Zufallszahlen zu verbessern.

Einige erste Unterstützer

Angetrieben hat die internationale Gruppe das Ziel, eine Open-Source-Alternative zu den Crypto Engines weniger großer Unternehmen zu schaffen. Jetzt hoffen sie auf möglichst viele Alpha-Tester, die das Board auf Herz und Nieren prüfen, Fehler finden und zusätzliche Hinweise für die Weiterentwicklung geben. Auch kleinere Unternehmen könnten auf der Basis der CrypTech-Arbeit Kryptoprozessoren entwickeln, so die Idee. Die ersten Unterstützer von CrypTech waren das Swedish University Network Sunet und seine norwegische Schwester NorduNet. Inzwischen gehören neben weiteren Forschungsnetzen wie Rhnet oder SurfNet, die Internet Society und zahlreiche Unternehmen zu den Sponsoren.

Quelle: //heise.de/-3276724