 willkommen zu unserem nächsten Vortrag. Physikalische unklonbare Funktionen, die zukünftige Technologie für physikalisch-sichere Gehäuse. Ja, Software-Sicherheit ist ziemlich nützlos, wenn die Hardware-Sicherheit nicht funktioniert. Also wir sollten natürlich unsere Bildschirme sperren, unsere Nutzer-Accounts sperren, aber wir sollten natürlich auch die Büro- Büro-Türen abschließen. Und der ist ein Nachforscher am Fraunhofer-Institut für angewandte und integrierte Sicherheit und der wird uns mehr über die aktuelle und kommenden Schwierigkeiten und Lösungen kommen. Ja, also bitte einen warm, einen großartigen Applaus für Johannes und bitte enjoyed, bitte genießt diesen Talk. Guten Abend und herzlich willkommen zu meinem Vortrag über Physikal and Unclonable Functions und ob sie die neue Technologie sind für physikalisch-sichere Gehäuse. Ich bin Johannes Obermeier und ich bin ein Forscher in der Sicherheit von eingebetteten Systemen und ich bin angestellt am Fraunhofer-Institut für integrierte Sicherheit und ich bin dabei meine Doktorarbeit fertig zu machen. Ich habe mit einer Arbeitsgruppe zusammengearbeitet, die Technologien entwickelt und ich habe viel mit meinem ehemaligen Kollegen Vincent Hindert zusammengearbeitet habe, hatte aber auch noch andere Kooperation mit zwei anderen Fraunhofer- Instituten dem EMFT und dem EMS. Ja, zuerst möchte ich euch eine kurze Einführung geben in dieser HSM-Technologie, warum wir die überhaupt haben und wofür wir sie brauchen. Ich möchte euch einen kleinen Einblick geben in die Vergangenheit von sicheren Gehäusen und dann möchte ich neue Technologien vorstellen, die auf POFs basieren. Also lasst uns mit dem HSM anfangen. Auf der linken Seite sehen wir ein Beispiel für ein HSM-Modul, wie es viele, viele Jahre in Gebrauch war. Dieses HSM bietet einen sicheren Speicher an für CSPs. CSPs sind kritische Sicherheitsparameter. Also dieses Modul kann speichern für also verschiedene private Schlüsse, speichern alles, was man als vertrauenswürdig bezeichnen würde. Wofür man das braucht, zum Beispiel für Banking, für Online-Banking, für VPN-Netzwerke oder für Zertifikatsautoritäten. Und das ist ein ziemlich interessantes Thema, aber obwohl es so interessant ist, gibt es sehr wenig Informationen online, sehr wenig Publikationen. Aber das wollen wir heute ändern, weil wir wollen mehr dazu publizieren über diese Technologien und wie sie sich entwickeln auch in der nahen Zukunft. Also woher kommt diese Idee vom HSM? Ich habe einen sehr interessanten Artikel gefunden aus 1973. Wurde geschrieben von der NSA und heutzutage ist es schon wieder zurückgezogen, also können wir es jetzt hier lesen. Also ein Minicomputer in einer geschützten Umgebung einzubinden. Diese Umgebung bedient nur eine Funktion, nämlich eine mit hoher Vertrauenswürdigkeit eine Bestrafung auszugeben, wenn sie beeinträchtigt wird. Also irgendwas könnte eine Explosion sein oder ein Alarm an einem entfernten Ort. Also eine Art von Membranen, die Hardware-Zugift erkennt und wenn man irgendwie merkt, dass da eigentlich mal mit rum spielt, dann werden wir einfach das ganze Gerät zerstören. Also wir sprechen hier über ganz kleine, also nicht gefährliche Eingriffe. Das ist eine ganze Weile her, aber damals haben sie das als ziemlich wichtig eingestürzt, eingeschätzt. Also dieses damals schon eingestufte Dokument hat, also diese Technologie darf nur innerhalb von der NSA diskutiert werden, weil sie möchten halt einen technologischen Fortschritt geheimhalten und eine Überraschung damit machen. Sie haben das als sehr, sehr wichtig eingestuft, schon in 1973. Heutzutage hat sich das ein bisschen verändert, weil wir diese HSM einfach frei kaufen können, aber wir werden sehen, wie diese ursprünglichen Ideen immer noch die HSMs beeinflussen, die wir heute haben. Also wie wir schon gesehen haben, eine HSM muss erkennen, wenn jemand an dem Gerät herumfummelt, also physikalische Angriffe erkennen. Wir möchten eben raus, also die erkennen und dann eben auch dagegen agieren. Also brauchen wir halt diese Temper Detection, also die, ja, also wenn man so einen Angreifer erkennt, dann müssen wir halt eine Antwort, also irgendwie damit umgehen. Wir müssen angemessene Handlungen treffen, um die Sicherheit von unserem Gerät weiterhin zu gewährleisten. Normalerweise man halt so Hardware, man möchte halt, also Syrosation bedeutet, dass das Gerät auf dem Modul einfach gelöscht wird oder nicht wieder hergestellt werden kann, nicht mehr zugegriffen werden kann. Also wenn man den Hauptschlüsse wegschmeißt, kann man das auch irgendwie als Zeroisierung oder als Nullifizierung, könnte man auf Deutsch sagen, betrachten. Und Temperbeweis, also, ja, also man sieht, dass mit diesem Gerät herumgefummelt wurde. Es gibt einen Beweis dafür. Also diese ganzen Module sind auf Batterie, auf Batterien angewiesen und wenn man den Server ausschaltet, ist die muss die Daten, müssen die Daten im HSM immer noch sicher sein. Also haben wir, ja, haben wir für alle drei Sachen Batterie, Batteriestrom, also nicht nur für die Erkennung, sondern auch für die Antwort und für die Behandlung von diesen Eingriffen. Aber wie kann ein Gerät seine eigene physikalische Integrität sicherstellen? Es gibt natürlich andere Ideen, zum Beispiel Überwachung, aber nein, wir wollen das nicht machen. Hier gibt es Standards, es gibt Standards für alles. Zum Beispiel gibt es das FIPS N140-2, das ist der allgemeine Standard für Sicherheit, Sicherheitsmodule. Es gibt den PCI-SHSM-Standard, der wurde von der Kreditkartenindustrie erstellt. Und dann gibt es noch den Common Criteria, also allgemeine Kriterien-Standard. Das ist einfach ein allgemeiner Standard für Sicherheitsziele. Und diese Sicherheitsstandards sind nicht mal unabhängig voneinander, also oft häufig referenzieren sie einander und übernebeneinander. Es hängt halt von deinem Kunden ab, mit welchen Sicherheitsstandards man klarkommen muss. Also lass uns einen kleinen Blick in diesen FIPS N140-2-Standard werfen. Also der bietet vier Ebenen an Sicherheit von Ebene 1 bis Nr. 4 und Ebene 4 ist die höchste Sicherheitsdufe. Ebene 4 ist ein ziemlich kraftvolles Angriffsmodell, man geht davon aus, dass in einem physikalisch ungeschützten Umgebung ist. Also dass jeder darauf zugreifen kann, physikalischen Zugriff erlangen kann und trotzdem wir unsere Daten sicherheiten wollen. Und es bietet einen kompletten Umfeld an Sicherheit. Also man muss sein ganzes Gerät in irgendeine, in eigentlich eines Schutzmembranen umgeben. Also wie das im NSA-Dokument schon viele, viele Jahre zuvor gesagt wurde. Und sobald man halt irgendwelche Modifikationen erkennen, sollte man halt eben die geheimen Schlüsse sofort löschen. Ob es gibt aber auch noch mehr Anforderungen, zum Beispiel muss man auch die Umgebungsbedingungen sicherstellen, zum Beispiel viele von euch wissen, dass man muss auch geschützt sein, indem man die Spannung und die Temperatur in der Umgebung überprüft und überwacht. Also das sind ziemlich, ziemlich hohe Anforderungen, was halt dieses HSM, also dieses Sicherheitsmodul angeht. Jetzt, nachdem ich die euch eine kleine Einführung gegeben habe und die Grundlage der HSMs erklärt habe, möchte ich ein bisschen in der Vergangenheit wühlen und hier ein paar Vergangenheitsmodule vorstellen. Also heute haben wir halt ein paar, einen Blick auf zwei Beispiele, zum Beispiel einmal dieses IBM 4764 HSM. Das ist ein HSM, was den Philips 147-2 Level 4 Standard erfüllt und das hat ein komplettes Gehäuse. Ich habe einen Zier, also wenn ihr Lust habt, könnt ihr später kommen zum Speaker-Desk und dann können wir dann gemeinsam einen Blick drauf werfen. Und weil wir natürlich das Ding analysieren wollen, habe ich das gleiche Modul nochmal auseinandergebaut dabei. Also können wir da einen Blick reinwerfen und wir haben auch einen, wir werden es auch in der Präsentation betrachten und ihr könnt danach nochmal dazukommen. Das zweite, was wir haben, ist das HP Attala HSM. Das ist nur Level 3, aber wir können den Unterschied uns gleich ankern und es geht nur, also es beschützt nur den Deckel. Also wir haben halt ein Brett in der, also ein Platin in der Mitte und wir haben halt Deckel oben und unten und der Rest von dem Server bleibt aber ungeschützt. Also wo kriegen wir diese Hardware her, die wir jetzt auseinander nehmen wollen? Normalerweise kosten HSM über 1000 oder 10.000 Dollar, wenn man die überhaupt kaufen kann. Also wo kriegt man die überhaupt her, vor allen Dingen die alten Technologien? Na, es ist ziemlich einfach, man können die einfach auf eBay kaufen, die sind da ziemlich günstig und wenn man mehr Zeit hat, dann kann man auch natürlich ein günstigeres Angebot bekommen. Das ist ziemlich und dann ist es kein Problem, die einfach auseinander zu nehmen. Also das ist unser erstes HSM, was wir uns anschauen werden, wo wir reinschauen werden sogar. Auf der linken Seite gibt es einen LAN Anschluss und auf der unteren Seite ist es ein PCI-X Anschluss und diese große Sebane Kiste ist das Sicherheitsmodul. Und auf der linken Seite gibt es, also es gibt zwei Batterien rechts und links, Batterie A und Batterie B, also zwei unabhängige Batterien, die hier diese Überwachungsmechanismen betreiben. Und in diesem, ja wir haben halt dieses Modul schon angefasst, es wurde schon modifiziert, aber das spielt jetzt keine Rolle in unserer Analyse in der Hardware-Sicherheit, die wir uns jetzt anschauen werden. Also lass uns mal einen vorsichtigen Blick hineinwerfen. Es wird jetzt nicht explodieren, keine Sorge, aber wir werden ein paar interessante Antimodifizierungsmaßnahmen erkennen oder feststellen müssen. Also nachdem ich dieses Modul vom Brett gerissen habe, von der Platine gerissen habe, haben wir nichts gesehen, weil es gibt immer noch eine Metallhülle und nur ein paar Verbindungsanschlüsse, die mit der Hauptplatine verbunden werden, also für Strom und Datenübertragung. Also bin ich weitergegangen und habe versucht, dieses Metallhülle hier abzuziehen. Und ich habe gesehen, dass außer, dass immer noch so eine blackte schwarze Struktur darunter, es ist immer noch keine Lichtersgehäuse, dann ist es nur ein Füllmaterial, was die Lücken füllt. Also es wurde halt einfach da reingefüllt, um die Lücken zu füllen und Angriffe schwieriger zu machen, weil es ist halt schwarz, man kann nicht irgendwas durchsehen. Und man muss ein Warn, wenn man das versucht, dieses Material stinkt sehr grausam. Also nachdem ich das in dem Raum gemacht habe, wollte ich da mehrere Tage nicht mehr reingehen, weil ich so ein starker gestankt habe. Ja, also ich glaube, es ist nur dieses Gummimaterial, was so stark riecht. Ja, dann bin ich weitergegangen und habe diese Metallhülle abgezogen und da war noch mehr Füllmaterial und ich habe immer noch nichts gesehen, aber ich habe etwas festgestellt, es gibt schwarze Flecken auf dem äußeren Gehäuse. Und ich habe gesehen, ich habe schon in die erste Falle getreten, also sie haben manche Teile des Gehäuses mit dem äußeren Gehäuse zusammengeklebt und als ich das äußere Gehäuse abgerissen habe von diesem Füllmaterial, habe ich halt schon bereits einen Teil von diesem Schutzgehäuse abgezogen und habe mit Sicherheit schon die Modifizierungserkennung ausgelöst drin. Also ich habe es jetzt schon zerstört, dann kann ich jetzt auch größere Teile davon abziehen, dachte ich mir und was ich schön gesagt habe, das ist das innere Metallgehäuse, also noch ein zweites Metallgehäuse, nicht nur ein äußeres, sondern auch ein inneres und hier gibt es Modifizierungssichere oder Modifizierungserkennende Carbonstrukturen, die sind von einem Kohlematerial gefertigt und wir haben hier einen obschen Widerstand und der obsche Widerstand wird von dem Modifizierungssicherung die ganze Zeit in dem HSM überwacht und wenn dieser Widerstand sich verhält, also verändert zum Beispiel, weil ein paar von den Schaltkreisen kurz ließ, dann kann diese Modifizierungserkennung erkennen, dass dann eine Modifikation vorgenommen wurde. Also der obsche Widerstand von diesen Schaltkreisen wird überwacht. Ja, also habe ich mich entschieden einen kleineren Bereich jetzt wegzuziehen und zu überprüfen, was dann passiert. Oh, eine Weitriffhalle, wenn wir diese Bilder vergleichen, dann können wir sehen, dass während ich diese Versucht habe, diese Sachen herunterziehen, habe ich aus Versehen auch die unterliegenden Bereiche entfernt. Das ist ziemlich schwer, es auseinanderzubauen. Ich glaube nicht, dass es einfach möglich ist, selbst wenn man sehr vorsichtig ist, weil diese Kohlefaserwege sehr schwierig sind. Als ich versucht habe, sie mit dem Voltmeter zu messen, dann habe ich sie einfach weggekratzt. Nur wenn man sehr, sehr vorsichtig damit misst, ist es möglich, die Widerstand zu messen. Aber es ist nicht etwas, was man zuverlässig machen kann. Und so dieser Kohlestaub ist sehr guter an die Veränderungserkennung. Wir sehen hier die Schichten hier oben, horizontale und vertikale Schichten. Und wir vermuten, dass es eine, wo unterschiedliche Sachen verbunden werden, sodass man während der Herstellung da Sachen ändern kann. Das heißt, es kann sein, dass jede Umgebung jedes Gehäuse ihre eigenen Layouts hat, dass während der Herstellung konfiguriert wird, wo diese Verbindungen auf- oder abgebaut werden. Wir sind uns auch nicht ganz sicher, aber wir vermuten, dass es zu einem Mechanismus dort vorhanden. Und außerdem kann man noch etwas sehen hier unten, und das ist diese grüne Platine von dem HSM-Modul. Das werden wir so später anschauen. Aber zuallererst schauen wir noch mal zu diesen Kohle-Gabeln. Wir haben vier Schichten insgesamt. Und diese vier Schichten sind, wie ich schon gesagt habe, umgeben von diesem pottingem Material, der R1 und der R2. Sie sind ungefähr rechtwinktlich zueinander, einer von unten links nach oben rechts und einer von oben links zu unten rechts. Und das ist wie ein Schachbrettmuster, und Sie können das auch im weißen Bild unten sehen. Da sind auch ein paar Verbindungen zwischen den beiden. So, da sind noch zwei weitere Schichten, drei und vier. Die laufen mit einem Zickzackverfahren, wenn wir die alle aufeinander auflegen, dann gibt es überhaupt keine Lücken dazwischen. Das heißt, jeder Punkt vor diesem HSM hat mindestens eine Schicht von diesen Kohle-Craces. Und es erscheint ein sehr starker Mechanismus zu sein. Was uns die inneren Arbeitsweise des Moduls anschauen. Um links haben wir den PowerPC, ein FPGR und die cryptografische CHEP, dass viel Strom verbrauchen kann, haben wir auch wärmer Management Werkzeuge. Und unten rechts ist die Veränderungs-Erkennungstechnik. Vielleicht könnt ihr was auf dem Bild schon erkennt, oder vielleicht könnt ihr anhand dessen gut raten, was wir auch in den Standards gesehen haben. Also, was meint ihr? Any ideas? Irgendwelche Ideen? Sorry? Hm? Ja. Was würden wir hier erwarten? Welche Mechanismen könnten hier implementiert sein? Vielleicht könnt ihr sie sogar schon sehen. Sorry? Sorry, so, ich habe einfach mal das Ergebnis gesagt. Hier haben wir ein Lichtsensor. Sobald man ganz vorsichtig dieses Paket öffnet, wenn man nur ein Kritik eines bisschen nicht in dieses Modul hereinscheinen lässt, fängt es sofort an sich zu zerstören. Ein Temperatursensor, der uns gegen manche Bootangriffe schützt. Und wir haben auch hier diesen Überwachungskontroller, der überwacht die Zulieferungsspannung zum HSM und diesen BB-RAM. Das ist ein Batterie-Unterschützter Speicher. Sobald der Strom unterbrochen wird, wird alles, was auf dem Modul gespeichert ist, vollgelöscht. Das heißt, alle Daten, die geröscht werden sollen, werden darauf gespeichert. Das heißt, wenn eine Veränderung festgestellt wird, wird es nicht nur geröscht, sondern auch zu Ground heruntergezogen, um sicherzustellen, dass dort nichts mehr gespeichert ist. Also, soweit im IBM. Und jetzt zum HP-Modul, HP R-Taller. Das hat weder Batterien. Das ist erst, was man sieht, wenn man das Modul auseinander baut. Also, es scheint viel Strom zu verbrauchen. Und jetzt schauen wir uns das Ganze nochmal an. Das Ganze ist nur... Wenn man die Schrauben auseinander baut, dann kann man das Gehäuse entfernen. Während wir das Gehäuse entfernt haben, haben wir das natürlich die Überwachungsalarme ausgelöst. Wir haben hier verschiedene Formen, die auf Pads gedrückt werden. Sobald man das ein bisschen hochzieht, wird das festgestellt und die Daten gelöscht. Es scheint ein relativ einfaches Konzept zu sein, aber es scheint auch gut zu funktionieren. Es ist nur ein Level-3-Modul, weil für Level-4-Module müsste man eine Umgebung um das gesamte Gerät zu haben. Aber in diesem Fall haben wir nur Hüllen. In diesem sicheren Compartment haben wir ein normales Embedded System. Also, da ist nichts Spezielles drin. Aber lasst uns doch mal das Ganze genauer anschauen. Die Hülle, was wir hier sehen können, ist, dass wir einen Widerstandsmesh haben, dass während des Bewerbens auseinanderbauen zerstört wird. Unten rechts im Bild können wir das sehen, wo die Verbindungen fehlen. Das heißt, wenn man da was Kleines doch reinmacht und einen von diesen Traces zerstört, dann wird das auch erkannt oder auch nur die Widerstand verändert. Aber wir müssen auch daran denken, es ist nicht so hoch Sicherheit. Das heißt, es ist viel, nicht nur Fallen wie das vom letzten. Also, was sind die Rückschritte zwischen diesen beiden Modulen, weil sie mit Batterien betrieben werden? Dass sie immer laufen, sind sie sehr, sind sie auf Temperaturveränderungen. Also, zum Beispiel, wenn wir sie versenden, die Verkäufer empfehlen in der Regel, ein Paket zu senden, das thermisch kontrolliert ist, wo Gel-Pakete drin sind, die Temperatur abschützen. Das heißt, wenn man sie im Winter sendet oder im Sommer, kann es sein, dass sie am Ziel schon unterstützt sind, weil sie schon außerhalb von der erlaubten Temperaturbereich sind. Außerdem, wenn wir Batterien haben, dann ist es auch ein bisschen größer und schwerer. Das heißt, wenn man eine sehr kleine Applikation hat, wie zum Beispiel in einem Flugzeug oder sogar im Weltall, dann könnte das eine wirkliche Herausforderung sein, weil Geld dann sehr viel kostet. Und wir haben nicht so viel Platz, nicht verfügbar ist. Und dann müssten Batterien auch noch regelmäßig überprüft werden. Das heißt, wir brauchen Personal, dass diese Batterien ersetzen kann, dass sie weiterlaufen. Und wenn diese Menschen einen Fehler machen, wenn sie die Batterien austauschen, und sie zum Beispiel aus Versehen zwei Batterien gleichzeitig herausführen oder einen Kurzschluss erstellen, dann werden sie die Tausende oder Zehntausende an Grätschaften zerstellen. Das kann ein sehr großes Problem sein. Hier haben wir hier noch gar nicht darüber reden, dass es ein Produktivsystem eingeschaltet wird. Wir haben immer gehofft, dass es eine Möglichkeit gibt, ohne Batterien zu machen. Und jetzt sind Puffs hinzugefügt oder erschienen. Und jetzt schauen wir uns an, wie Puffs dieses alte System verändert haben. Also, zuallererst, was sind Puffs? Vielleicht kennen einige von euch Puffs. Die anderen erklär ich es kurz nochmal. Ein kurzes Beispiel von physikalisch unkundbaren Funktionen. Also, das Wort besteht aus drei Komponenten. Das erste ist Physik. Das bedeutet, wir haben eine messbare physikalische Quantität. Also, es kann irgendwas sein, es kann Widerstand sein, eine Kapazität, irgendein optisches Element oder Radiowellen, Weiterleitung und so was. In diesem Beispiel haben wir einfach eine kapazitiven Kapazität. Dann brauchen wir diesen Unclonable Teil. Das bedeutet, dass wir ein eindeutigem Herstellungsvariant haben, in der physikalischen Messwert. Und das darf nicht während der Herstellung kontrollierbar sein. Und das führt dazu, dass es nicht klonenbar ist. Für unseren Kapaziter ist das vielleicht Oberflächenstruktur oder die genaue Ort und die genaue Größe von dem Kondensator. Und der letzte Punkt ist, und das ist das Wichtigste, es muss einen Output erstellen nach der Evaluation. Also, man muss es messen können. Und das erklärt uns, dass wir ein Messwertsystem haben und vielleicht ein bisschen nach Bearbeitung von Neuss. Und für unseren Kapaziter müssen wir, wenn man jetzt der 10-Pikofahrrad haben muss, dann hat er vielleicht in diesem Fall 10,05-Pikofahrrad. Und die 0,5-Pikofahrrad ist die Variant und die müssen wir in diesem Fall überprüfen. Also, die Idee kann, wir können diese Puffs in einer Hülle benutzen. Sie nimmt eine Hülle mit vielen kleinen Kapazitoren um das gesamte Embedded-System herum. Das war die erste Idee. Und jedes Mal, wenn wir dieses Hülle erstellen, dann sind kleine Veränderungen. Hier sehen wir ein Beispiel, wenn wir diese Gehäuse hergestellt haben. Die Kapazitoren sind ein bisschen kleiner oder ein bisschen größer. Und da kommen ein sehr individuelles Bild von der hergestellten, von dem hergestellten Gehäuse. Jetzt messen wir das und benutzen ein Key, ein Verschlüsselungskey, der spezifisch für das Gerät ist und das benutzen wir, um die ganzen kryptografischen Daten zu entschlüsseln. Das heißt, jetzt ist die Integrität von unserem Gehäuse der notwendig, um den geheimen Schlüssel zu entschlüsseln. Jedes Gerät hat seinen eigenen individuellen Schlüssel, weil der Variant in der Herstellung dieser eindeutigen Schlüssel erstellt. Lass uns doch mal ein bisschen vergleichen. Batterie-Lösungen müssen immer eine Stromversorgung haben, also in der Regel von Batterien. Zum Beispiel wird das gemacht, dass die Trace Widerstand gemessen wird. Und wenn ja, dann muss ein Alarm erreicht werden. Und diese Alarm muss dazu führen, dass die ganzen Daten gelöscht werden. Das heißt, dafür brauchen wir eine Batterie und wir brauchen spezifische Schritte. Die ganze Erkennungstechnik muss ordentlich funktionieren, um die Daten zu löschen. Wenn ein Schritt fehlt, sind die Daten immer noch da und ein Angreifer könnte Zugang zu gelangen. Bei Puffs ist das ein bisschen komplett anders. Es gibt keine Batterie. Wir brauchen keine Batterie mehr, weil wenn wir das Gerät herunterfahren, dann werden alle CSPs gelöscht. Aber das nächste Mal werden sie wiedergeneriert, dadurch, dass der Schlüssel aus der Gehäuse erstellt wird und die ganzen verschüsselten Daten wieder entschlüsselt. Dieser Schritt funktioniert nur, wenn das Gehäuse immer noch unmanipuliert ist. Das heißt, wenn ein Angreifer dieses Gehäuse verändert, dann wird es auch diese Puff-Werte verändern, die in diesem Gehäuse beinhaltet sind. Das führt zu einem falschen Entschlüsselung oder Verschüsselungspiel. Da der Wert dann falsch ist, können die Daten nicht mehr ent- oder verschlüsselt werden. Bei diesem Puff haben wir eine direkte Konsequenz, dass die Daten unentschlüsselbar werden, sobald wir mit dem Gehäuse rumgespielt haben. Das heißt, es gibt keinen Schritt dazwischen, der einfach schief gehen kann. Das führt dazu, dass Puffs sehr mächtig sind. Wo kommt diese Initial-Idee her? Es gab eine sehr interessante Veröffentlichung vor ungefähr zwölf Jahren, und das war ein Puff, der eine Oberflächenstruktur war. Es ging um einen Chip, den wir schützen wollen. Wir machen diese Beschichtung auf der obersten Schicht. Der Form-Chip. Wir haben diese Partikel, die P heißen, die sind so zufällig verteilt. Dann messen wir den Kapazitiv zwischen diesen beiden Elektroden, E1 und E2. Abhängig davon, wie die Partikel auf dem Chip liegen, können wir größere oder kleinere Kapazitative Werte messen. Diese Daten können wir benutzen, um ein Puff zu erstellen. Dann können wir davon ein Entschlüsselungs- und Verschlüsselungs-Key erstellen. Das funktioniert auch praktisch, aber leider gibt es keine Abschutz von Off-Chip-Komponenten. Das heißt, wenn irgendwelche Daten außerhalb des Chips gespeichert werden, kann z.B. jemand diese externen Daten anhören. Meistens haben wir mehrere Chips, und dann kann diese Funktion nicht angewendet werden. Aber das ist ein sehr interessanter Start. Und dann noch eine andere Idee. Ein Polymer-Wavelight-Puff. Das ist einer der optischen Puffs. Wir haben eine LED, hier unten, die Licht in ein Polymer-Wellen-Liter sendet. Das wird rumgeschickt. Wir haben ein Bild, eine Kamera, und die erstellt und abhängig davon, wo es trifft, wo der Key erstellt. Das funktioniert in Praxis, aber leider ist die Rückseite nicht beschützt. Es schützt nur die vordere Seite. Wir waren auch nicht dabei, irgendwelche statische Zuverlässigkeitsdaten oder Angriffstaten zu erlangen. Es ist sehr interessant, aber es muss immer noch weiter erforscht werden. Eine weitere Idee, die vor ein paar Jahren veröffentlicht wurde, es war auch ein interessanter Konferenzvortrag darüber im letzten Jahr auf dem Kongress. Das ist die File-Sack-Puff. Also die Weiterleitung von elektromagnetischen Werfen. Die haben mehrere Transive und Emitter in einer Kiste getan, die geschützt wurde. Und die unklare Aluminium-Polie, die drauf ist, führt dazu, dass es unterschiedliche Werte sind. Sie konnten das öffentlich darstellen. Man kann es sich anschauen, aber leider gibt es keine detaillierte stochastischen Modelle, wie gut es funktioniert. Außerdem glaube ich, dass es sehr sensitiv gegen Vibration und Temperaturen ist, weil Weltenpropagationen sehr interessanter Situation ist. Selbst bei kleinen Bewegungen können dazu eine Veränderung führen. Aber unabhängig davon ist es eine sehr interessante Idee. Und jetzt schauen wir ein der Gehäuse oder in der Lösung an, die wir in unserem Institut entwickelt haben. Und das nennt sich B-Trapped. Das sieht aus wie ein der alten HSMs. Das hat einen Duff-basierten Full-Enclosure. Das heißt, ganze Gehäuse ist umgeben. Anstelle von vier Schichten haben wir nur zwei Schichten. Dieses Modul ist basiert auf einem kapazitiven Puff, der zwischen diesen beiden Elektronen-Layern Schichten gemessern wird. Das ist auch ein zwei Schritt Sicherheitsmodul. Das heißt, während des Boots überprüfen wir, dass das Puff das Daten erstellt. Während es läuft, können wir immer noch die Pfaden überprüfen. So dass die haben zwei Elemente. Das heißt, unsere Sicherheit ist insgesamt relativ gut. Diese Pfaden sind auch sehr klein. Und es ist auch sehr schwer, mit ihnen zu verändern. Und es ist sehr schwer. Vielleicht kann man ein bisschen dran machen, aber es ist nicht sehr robust. Das heißt, es ist einfach kaputt zu machen. Unmöglicherweise haben wir alles veröffentlicht. Wenn ihr noch mehr Interesse an dieser Technologie habt, wir haben ein schochastisches Modul und Angreife und wie gut es funktioniert. Hier ist auch ein Beispiel von wie dieses Gehäuse aktuell aussieht, wie das heißt M-Casing aussieht, wenn wir unser gesamtes Gehäuser, das gesamte Element in das Gehäuser... Es ist eine sehr interessante Technologie, die aktuell noch von keinem kommerziellen Hersteller benutzt wird. Also wurde eine spezielle Technologie benutzt, um unser Gehäuser zu erstellen. Wir müssen es natürlich auch messen. Und dafür habe ich Messerwerte entwickelt. Hier oben ist das Gehäuse eingeschlossen. Das kann zu Femtoverrats messen. Das ist 10 noch minus 15. Mit einer sehr kleinen Varianz in der Kapizativität, die wir hier messen müssen, das Platine kann auch die Integrität des Gerätes messen. Es ist ein eigenes, ein komplett eigenes Platine, die wir entwickelt haben. Auf der Software Seite benutzen wir aktuell Free Artors, weil das sehr gut zu dem passt, was wir machen wollen. Jetzt zeige ich euch ein kleines Beispiel, wie wir unser Daten aussehen. Jeder blaue Stern hat ein Kapizativert von einem einzelnen Kondensator. In unserem Beispiel hatten wir 128 von ihnen, und sie können innerhalb von 100 Millisekunden gemessen werden. Wir haben eine Varianz, die plus-minus ein Single-Digit Femtoverrat sind. Das funktioniert auch recht gut. In der roten Kiste hatten wir einen kaputten Trace, und er wurde erfolgreich von der Gehäuse erkannt, oder von unserem Platine erkannt. Wir haben auch eine alternative, die zusammenarbeit mit einer singapurischen Firma, also die Organisation entwickelt wurde, es basiert auch auf einem Puff, basiert ein Hülle, die oben und unten auf dem Modul sind, und das wird auf einem kommerziellen 6-Schicht Flex der Tatine aufbauen. Es gibt viele Hersteller, die das schon herstellen können, aber da es flexibel PCB ist, ist es relativ teuer. Es ist ähnlich in unserem statistischen Modell, wie Beattrapid, und die Messwerte funktionieren in eine ähnlichen Art und Weise. Dieses Konzept wurde praktisch angewendet und viele Details wurden veröffentlicht. Während einer aktuellen Konferenz, wenn ihr euch das interessiert, könnt ihr auch auf dem Link da unten die Daten bekommen. Jetzt ist die Frage, warum hat der Vortrag diesen Namen, warum wird Beattrapid noch nicht benutzt? Es gibt immer noch Forschung, zum Beispiel wir haben eine sehr geringe mechanische Flexibilität. Aktuell geht die Platine kaputt, wenn wir versuchen sie zu biegen, weil ein paar der Pfade zerbrochen werden. Wir suchen nach alternativen Materialien, die flexibler sind. Außerdem dann natürlich noch Cost, aber ich glaube, dass das Ganze gelöst werden kann, dadurch dass wir einfach die Herstellung verbessern, dass wir mehr Erfahrung haben, und dass es dann endlich besser funktioniert. Außerdem, wie ihr gesehen habt, der Messwert ist relativ groß und zu groß, um es in ein HSM-Modul einzubauen. Das heißt, wir brauchen ein kleiner Messwertsystem, und darum arbeitet das Frauenhofer IMS, dieses Messwertsystem in ein Plattparzell, in ein Chip, der weniger als einen Quadratzenten mit der Platz auf benutzt. Dann haben wir immer noch ein paar Effekte von Temperaturen und der aktuellen Luftfeuchtigkeit, und wir brauchen viele Algorithmen, um diese Werte herauszurechnen. Das sind doch ein paar technische Probleme, die wir haben. Also zum Beispiel Kosten, Sensitivität und Zuverlässigkeit. Wenn wir eine sehr hohe Sensitivität haben, dann wird die Zuverlässigkeit heruntergehen, weil wir zwischen unterschiedlichen Temperaturen, Indizierten, Variationen haben, oder Variationen, die durch einen Angreifer kommen. Also muss immer schauen, wie viel Zuverlässigkeit haben, wie viel Sensitivität wir haben wollen. Dann ist natürlich auch noch die Größe. Wenn wir ein größeres Gehäuse einschließen können, dann können wir auch für andere, wenn es klein genug ist, kriegen wir auch anderen. Außerdem fehlen aktuell noch Standards, weil PAFs in Hardware Security-Modulen immer noch eine neue Idee ist. Und es gibt noch keine Standards, wie sie überprüfend werden. Wie gut sind unsere PAFs? Wie gut muss es sein, damit es als Sicherheitsmechanismus benutzt wird? Zum Beispiel als Level 4 HSM. Dann gibt es noch viele unterschiedliche PAF-Technologien. Zum Beispiel haben wir optische PAFs gesehen, kapazitiv PAFs, RF-basierte PAFs. Die müssen alle erst einmal in einem Standard aufgelistet werden. Das ist auch sehr schwierig. Es gibt auch sehr spezifische Angriffe, die unterschiedliche PAFs angreifen. Wenn ich jetzt einen optischen PAF angreife, ist es anders als ein Angriff gegen einen kapazitiven PAF. Und außerdem müssen wir noch ein paar Regeln für Schlüsselgenerationen haben. Wie können wir einen Schlüssel von den PAFs-Variationen ableiten? Wir brauchen auch Regeln, die richtige Entropie abzuschätzen. Also zuletzt müssen wir auch immer noch den sozialen Aspekt analysieren. Weil es scheint so, als seien da viele Leute, die sie nicht so sehr mögen. Skeptische Forscher und auch Clients sagen, PAFs sind ein toter Einwandstraße. Reviewers mögen diese Idee von PAFs nicht besonders und sagen, hey, PAFs ist ein falscher Weg. Wir mögen das Paper überhaupt nicht, bevor es überhaupt ordentlich durchgelesen hat. Und es gibt auch andere Aspekte, die in meiner Meinung nach diskutiert werden muss. PAFs können auch für Digital Rights Management benutzt werden. Und weil PAFs eine sehr gute Technologie sind und konfidenzielle Daten zu schützen, könnte das auch zweifache Benutzung, mehrere Benutzungsmöglichkeiten haben. Forscher wollen manchmal das noch gar nicht genau anschauen, weil sie Angst haben, dass sie etwas unterstützen, was sie grundlegend nicht mögen. Und das ist etwas, was wichtig ist und was wir ernst nehmen müssen. Und da müssen wir darüber reden. Und aktuell reden wir über künstliche Intelligenz. Wir diskutieren, ob diese mit Doden limitiert werden müssen. Brauchen wir Gesetze, um sie zu kontrollieren. Ein ähnlicher Punkt kann auch bei PAFs benutzt werden, wenn PAFs gut und stark werden. Und es ist die Frage, soll die Gesellschaft überall PAFs haben? Oder welche Bereiche wollen wir, wo keine PAFs verwendet werden? Das sind wichtige Punkte, die diskutiert werden müssen, die technischen und die Standardisierungspunkte. Das ist mehr Forschung und technische Sachen, die gemacht werden müssen. Aber wir müssen auf diese zahlen Aspekte diskutieren, weil das habe ich nirgendwo sonst bisher gesehen. Und jetzt, wo PAFs weiter und weiter vorankommen müssen, wird das ein wichtiger Punkt. Vielen Dank. Das sind auch wir aus der Übersetzerkabine. Wir sind Franz T. Lukaro, wenn ihr Feedback habt, könnt ihr uns das geben auf Twitter unter dem Hashtag C3T oder auf dem Account at C3Lingo. Danke. Ja, wir haben Mikrofonenge hier im Raum. Also geht bitte zu den Mikrofonenge, wenn ihr Fragen habt. Ja, die erste Frage aus dem Saal, bitte. Was die PAFs angeht, die auf Kondensatoren basieren. Wie weit habt ihr probiert, die anzugreifen, wenn ihr das auseinander nehmt, habt ihr immer noch viel von dem alten Schlüsselmaterial und es könnte möglich sein, den vollen Schlüssel davon zurückzurechnen. Ja, das ist ein sehr interessanter Punkt, weil normalerweise, wenn man ein Teil von dem Gehäuse wegbohrt, würde man vielleicht ein, zwei, drei Bits vom Schlüssel verlieren, aber nicht genug, um den Schlüssel als zerstört anzusehen. Das ist wirklich eine Frage, die wir noch lösen müssen, auch was das Layout angeht, auf dem wir unsere Nachforschung basiert haben. Bei unserem Layout war es so, dass man mindestens 16 Elektronen zerstört hat in einer Richtung und zwei Elektronen in die andere Richtung, also zwei in die eine, zwei in die andere. Es war ungefähr mehrere Zehenfach, also mehrere Zehnelektronen, mehrere Zehnenkondensatoren, die verändert wurden insgesamt. Man würde jetzt nicht nur ein Kondensator zerstören, sondern mehrere, aber natürlich könnte man immer noch versuchen, wieder anzuschließen. Das ist halt auch noch ein Problem, mit dem wir uns auch noch beschäftigen im Moment, wie nach dem, also um anschauen, wie viel von dem Puff wieder hergestellt werden können, wenn man die danach wieder anschließt. Also in meiner persönlichen Meinung, müssen wir das eher auf der Materialebene lösen. Also wir brauchen Materialien, auf die man nicht drauf löten kann, also dass diese Rückverbindung danach nicht möglich ist. Ja, vielen Dank. Wir haben eine zweite Frage von diesem Mikrofon. Ja, du hast ein bisschen über die Temperatur gesprochen und du hast gesagt, ja, Kondensatoren verändern ihren Wert ziemlich stark im Laufe der Jahre. Also ist es da bestätig, die Gefahr, den Schlüssel zu verlieren? Also du fragst über die Alterung von dem Puffmodul. Ja, Alterung ist etwas, was wir noch nicht angeguckt haben bisher. Also es ist etwas, wo wir halt erstmal voll funktionale Prototypen brauchen für, weil wenn man das Gehäuse da herum biegt, dann können dann natürlich Effekte von entstehen. Also wir müssen erst da aber uns Gedanken machen, wie wir die beschützen können. Normalerweise haben HSMI eine Eigenschaft und die verändern sich sehr, sehr langsam. Also wenn dieser Puffwert sich sehr, sehr, sehr langsam über die Jahre verändert, dann könnte man sich damit vielleicht anpassen, weil man würde sich wahrscheinlich nicht die Mühe machen, den Puff über viele, viele Jahre zu verändern. Also da kann man immer noch unterscheiden, ob es manueller Eingriff ist oder ob das ein natürlicher Effekt ist. Also ich denke, das könnte ein guter Weg sein, aber ja, wie gesagt, auch da müssen wir noch Nachforschung anstellen. Vielen Dank noch Fragen vom anderen Mikrofon. Ich würde gerne fragen, wie kann man den Schlüssel sichern, wenn es halt nicht multiplizierbar ist oder klonbar ist. Normalerweise in dieser Art und Weise möchte, klug man den privaten Schlüssel in dieses HSM. Also man hat den privaten Schlüssel, lädt ihn in das HSM rein und der wird verschlüsselt mit diesem nicht duplizierbaren Schlüssel. Also der unplizierbare Schlüssel ist quasi ein Master Schlüssel, ein Haupt Schlüssel, der halt, sagen wir mal, Unterschlüsse innerhalb der HSM verschlüsselt. Natürlich muss man erstmal seine Schlüsse, die man benutzen möchte, in das Modul reinspeichern. Man könnte halt irgendwas wie so ein Einbauvorgang machen, aber danach kann man diesen HSM verwenden. Vielen, vielen Dank für alle Fragen. Vielen, vielen Dank auch für Hannes, dass er sie beantwortet hat. Ich denke, wir haben zwar keine Zeit mehr, aber ich denke, alle Fragen wurden beantwortet. Also bitte nochmal einen großen Applaus für diesen sehr, sehr interessanten Vortrag.