Parallel Hardware Security Module (PALLAD/IO)

Im Vorhaben PALLAD/IO (Parallel Hardware Security Module) soll ein innovatives Kryptomodul entwickelt werden, das als parallel arbeitendes Hardware-Sicherheitsmodul im Vergleich zu aktuellen Marktlösungen eine deutlich schnellere und preislich günstigere Verarbeitung vertrauenswürdiger Dokumente ermöglicht.

Problemstellung: Rechenzentren, Infrastrukturbetreiber und Cloudhoster müssen Daten rechtskonform sowie mit hohem Durchsatz, geringer Latenz und hoher Sicherheit verarbeiten. Der limitierende Faktor für Verschlüsselun-
gen sind dabei nicht die Systemressourcen, sondern die zur vertrauenswürdigen und Handhabung der Daten notwendigen Hardware-Security-Module (HSM). Diese halten die Schlüsselsätze vor und führen kryptografische Operationen durch. Insbesondere KMUs stehen dabei vor der Herausforderung, dass HSMs hohe Anschaffungs-
kosten, eine hohe Komplexität sowie unzureichende Updatefähigkeiten besitzen. Hinzu kommt, dass HSM nicht skalieren, das heißt mehrere Datenströme von unterschiedlichen Kunden gleichzeitig verarbeiten können. Dies ist jedoch unabdingbar, um beispielsweise im Rahmen der unverfälschten (beweiswerterhaltenden) Archivierung von vertrauenswürdigen Dokumenten von Anwälten, Ärzten oder Ämtern gleichzeitige Zugriffe mit hohen Sicherheitsgarantien zu ermöglichen. Ein anderes Szenario ist das Umschlüsseln von Dokumenten z. B. für den Datentransport oder zur Erhöhung der Sicherheit des Archivs, wobei die hierbei eingesetzten HSM an ihre Leistungsgrenzen geraten.

Lösungsansatz: Im Projekt sind HSMs so weiterzuentwickeln, dass sie ökonomisch preislichen sowie sicherheitsspezifischen Anforderungen von KMUs in den Anwendungsbereichen Cloud, Server-, Infrastruktur- und Archivbereich genügen. Als technologische Ausgangsbasis kommen Hard- und Softwarekomponenten der Projektbeteiligten aus dem IT-Sicherheitsbereich zum Einsatz. Bezüglich der Hardware baut das Projekt auf eine Smarten Netzwerkkarte (SmartNIC) auf. Diese verfügt über rekonfigurierbare Halbleiterbausteine (Field-programmable Gate Arrays, FPGAs), deren Schaltlogik nach der Fertigung umgestaltet werden kann. Im Rahmen des Projekts wird die Karte um Mechanismen eines HSMs erweitert: (1) Absicherung der Netzwerkverbindung zum zentralen Cloudspeicher; (2) Sicherer Schlüsselspeicher; (3) Parallele Nutzung kryptografischer Operationen; (4) Unterstützung einer transparenten Entschlüsselung zur Abrufzeit der Daten (Decryption at Rest). Hinsichtlich der Software sind Treiberkomponenten für Windows und Linux bereitzustellen, die es den jeweiligen Subsystemen der Betriebssysteme (z. B. dem Krypto- oder Netzwerkstack) erlauben, die neuen HSM-Funktionen der Karte anzusprechen. Daneben sind Schnittstellen zur Einbindung in bestehende Kryptosubsysteme sowie Anwendungserweiterungen für Cloud-Dienste und Vor-Ort-Installationen (On-Premise) zu entwickeln.

Laufzeit
09/2023-11/2024