Il PQC secure boot è facile da descrivere e incredibilmente difficile da realizzare in silicio. In questo breve clip di Elektor TV, il relatore affronta il problema dal lato del controller flash: i dispositivi di archiviazione di piccole dimensioni come le schede microSD hanno vincoli di boot-time stringenti, capacità di calcolo limitata e la concreta necessità di verificare le firme del firmware prima di cedere il controllo al resto del sistema. Ciò rende FIPS 204 del NIST e il suo schema di firma ML-DSA qualcosa di più di uno standard astratto: diventa un problema di integrazione hardware.

PQC Secure Boot in un Flash Controller

Il clip parte da una distinzione utile. L'accelerazione AES, l'hashing nel percorso dati e la generazione di numeri casuali veri sono già componenti consolidate nel progetto di controller flash sicuri. Restano importanti, ma non rappresentano la parte problematica della migrazione post-quantistica. L'elemento critico è il coprocessore a chiave pubblica utilizzato dalla mask ROM per verificare l'immagine del firmware durante il secure boot.
 


Sostituire quel blocco a chiave pubblica con il supporto per ML-DSA non è semplicemente una questione di inserire un nuovo blocco IP su un bus AXI. Il relatore punta alle consuete realtà del silicio: domini di clock differenti, clock gating, efficienza energetica, verifica logica, layout fisico, prototipi su wafer multi-progetto, correzioni e infine la generazione delle maschere. Quest'ultimo punto è quello che tende a concentrare l'attenzione, perché i set di maschere sono straordinariamente costosi.

Spostare la Verifica delle Firme in un Secure Element

La soluzione proposta consiste nello spostare la maggior parte delle funzioni di sicurezza in un secure element, mantenendo nel percorso dati flash la cifratura in tempo reale e l'hashing. In questo modello, la mask ROM del controller flash non verifica autonomamente la firma del firmware: invia invece l'header dell'immagine firmware al secure element, che esegue la verifica e consente al controller di avviarsi solo se l'immagine risulta valida.

È anche qui che un protocollo stabile diventa rilevante. Il clip cita ISO/IEC 7816, la famiglia di comunicazione per smart card, come esempio di interfaccia che può rimanere fissa mentre il secure element cambia internamente. Il controller non deve conoscere ogni dettaglio del prossimo algoritmo di firma, purché l'interfaccia dei comandi sia sufficientemente stabile.

Il mondo dell'archiviazione si sta già orientando in questa direzione. Il set di funzionalità lato scheda della SD Association include le funzioni Fast Boot e Secure Boot, mentre Swissbit ha descritto un approccio basato su modulo di archiviazione in cui flash NAND, controller e un security controller di classe secure element collaborano all'interno del prodotto di archiviazione.

Crypto Agility Senza un Nuovo Set di Maschere

Per gli ingegneri, l'espressione chiave è crypto agility, ma qui assume un significato molto concreto. Un secure element più recente può supportare algoritmi differenti, chiavi di dimensioni maggiori, archiviazione delle chiavi più protetta o una migliore resistenza agli attacchi side-channel. Il controller flash può rimanere stabile mentre il componente di sicurezza evolve.

Elektor segue questo cambiamento anche dal punto di vista della progettazione dei dispositivi, con un prossimo webinar Elektor sulla crittografia post-quantistica per prodotti embedded. È il punto che continua a emergere nelle discussioni pratiche sul PQC: la durata del prodotto, i costi di certificazione e i cicli di riprogettazione hardware possono avere un peso pari, se non superiore, all'algoritmo stesso.

La lezione più importante del clip è che la migrazione post-quantistica non è semplicemente un aggiornamento di libreria. Nell'archiviazione embedded, la parte più costosa può essere la riprogettazione fisica necessaria per verificare un nuovo tipo di firma con sufficiente rapidità all'avvio. Il PQC secure boot attraverso un secure element sostituibile non è una soluzione magica, ma rappresenta un approccio pratico per ridurre l'impatto dei cambiamenti crittografici.

Registrazione
Notifica tag: Iscriviti al tag post-quantum cryptography e riceverai un’e-mail non appena un nuovo contenuto a riguardo verrà pubblicato sul nostro sito web!