Post-Quantum Entropy as a Service for Embedded Systems

Dit paper introduceert een 'Entropy as a Service'-systeem dat kwantum-afgeleide entropie via post-kwantum beveiligde kanalen naar ingebouwde ESP32-systemen levert, waarbij benchmarks aantonen dat volledige post-kwantum authenticatie en sleuteluitwisseling sneller zijn dan klassieke methoden.

De kern

Post-Quantum Entropy als Service voor Ingebouwde Systemen: Een Simpele Uitleg

Stel je voor dat elke digitale sleutel die je gebruikt om je huis te beveiligen, een willekeurig getal nodig heeft om te werken. In de cryptografie noemen we dit "entropie". Als dat getal niet echt willekeurig is (bijvoorbeeld als het te voorspelbaar is), kunnen hackers je slot openbreken.

Het probleem met kleine apparaten, zoals slimme thermostaten of sensoren in de tuin (de "embedded systems"), is dat ze vaak slechte of onbetrouwbare bronnen hebben om die willekeurige getallen te maken. Ze zijn te klein om zware beveiligingssoftware te draaien, maar ze hebben wel goede getallen nodig.

De auteurs van dit paper hebben een oplossing bedacht die ze QEaaS noemen: Quantum Entropy as a Service (Kwantum-Willekeur als Dienst). Hier is hoe het werkt, vertaald naar alledaagse taal:

1. De Bron: De "Kwantum-Goedheer"

In het lab hebben de onderzoekers een speciaal apparaat staan (een Quantis QRNG) dat gebruikmaakt van de vreemde natuurwetten van de kwantumwereld. Denk hierbij aan een munt die in de lucht wordt geworpen, maar dan op een niveau waar zelfs de natuurwetten zeggen: "Dit is echt willekeurig, er is geen manier om te voorspellen waar hij landt."
Dit apparaat produceert een stroom van perfecte, onvoorspelbare getallen.

2. Het Transport: De "Onkraakbare Brievenbus"

Nu moeten die getallen van dat grote apparaat naar de kleine sensoren. Maar hoe stuur je die getallen veilig? Als je ze gewoon via internet stuurt, kunnen hackers ze onderscheppen. En in de toekomst kunnen quantum-computers de huidige versleuteling kraken.

De oplossing? Ze gebruiken een nieuwe, toekomstbestendige versleuteling (Post-Quantum Cryptografie).

• Vergelijking: Stel je voor dat je een brief stuurt. Normale versleuteling is als een brief in een gewone envelop. Een quantum-computer kan die envelop openen zonder het te merken. De nieuwe methode is als een envelop gemaakt van een onkraakbaar materiaal dat zelfs een quantum-computer niet kan openen.
• Ze gebruiken een lichtgewicht protocol genaamd CoAP (voor kleine apparaten) in plaats van zware HTTPS, zodat de kleine sensoren het niet te zwaar vinden.

3. De Ontvangst: Het "Vulstation" op de Sensor

De kleine sensor (een ESP32-chip) ontvangt deze veilige stroom van willekeurige getallen.

• De Oude Manier: De sensor probeerde zelf willekeurige getallen te maken, maar dat was vaak saai of voorspelbaar.
• De Nieuwe Manier: De sensor heeft nu een lokale opslagbak (een "entropy pool") die werkt als een emmer. De server vult deze emmer op met de perfecte kwantum-getallen. De sensor kan dan altijd een handvol willekeurige getallen uit die emmer halen om zijn eigen sloten te maken.
• Analogie: Het is alsof je in plaats van zelf water uit een modderige plas te scheppen (risico op vuil), een pijpleiding hebt die schoon regenwater van een bergtop naar je emmer transporteert.

4. De Verassing: Het Is Sneller dan Ouderwets!

Het meest verrassende deel van dit onderzoek is wat ze ontdekten over de snelheid.
Vaak denken mensen: "Nieuwe, veiligere technologie is altijd langzamer en zwaarder."

• De Test: Ze lieten de kleine sensor een verbinding maken met de server, eerst met de oude, vertrouwde methode (ECDHE) en daarna met de nieuwe, quantum-veilige methode (ML-KEM + ML-DSA).
• Het Resultaat: De nieuwe, quantum-veilige methode was 35% tot 63% sneller dan de oude methode!
• Waarom? De oude methode doet veel zware wiskunde die de kleine chip niet goed aankan. De nieuwe methode gebruikt een soort wiskunde die juist heel goed werkt op deze specifieke chips. Het is alsof je een zware stalen sleutel probeert te draaien (oud) versus een lichtgewicht plastic sleutel die perfect in het slot past (nieuw).

Samenvattend

De onderzoekers hebben bewezen dat je kleine, goedkope apparaten kunt beveiligen tegen de hackers van de toekomst (quantum-computers) door ze aan te sluiten op een centraal "willekeur-geleveringsbedrijf".

• Het is veilig (gebruikt kwantum-entropie en nieuwe versleuteling).
• Het is licht (werkt op kleine batterijen en kleine chips).
• En het is sneller dan wat we nu gebruiken.

Het is een stap in de richting van een internet dat niet alleen vandaag veilig is, maar ook morgen, wanneer de computers veel krachtiger worden.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Post-Quantum Entropy as a Service for Embedded Systems" in het Nederlands.

Titel: Post-Quantum Entropy as a Service voor Inbedde Systemen

1. Het Probleem

Inbedde cryptografie staat of valt bij de kwaliteit van entropie (willekeurigheid). Kleine IoT-apparaten hebben echter vaak te maken met twee grote uitdagingen:

• Onbetrouwbare bronnen: Ze hebben weinig betrouwbare bronnen voor entropie, en de paden van fysieke ruisbronnen naar software-API's zijn vaak ondoorzichtig of afhankelijk van vendor-specifieke naschakelingen die de kwaliteit kunnen maskeren.
• Beperkte resources: Deze apparaten tolereren geen zware protocollen.
• Toekomstige bedreiging: Bestaande systemen zijn kwetsbaar voor aanvallen met toekomstige kwantumcomputers.

De oplossing ligt in het combineren van externe, hoogwaardige kwantumwillekeurige getallen (QRNG) met post-kwantum cryptografie (PQC) om de distributie te beveiligen. Echter, bestaande "Entropy as a Service" (EaaS) systemen zijn vaak gebaseerd op HTTP/HTTPS en niet geoptimaliseerd voor de beperkingen van ingebouwde systemen (zoals CoAP-gebruik en lage geheugenuitdagingen).

2. Methodologie en Architectuur

De auteurs hebben een Quantum Entropy as a Service (QEaaS) systeem ontworpen dat kwantum-gegenereerde entropie levert aan beperkte apparaten via post-kwantum beveiligde kanalen.

• Server-side Architectuur:

  • Bron: Een Quantis QRNG PCIe-240M apparaat genereert ruwe kwantum-entropie (58 Mbit/s).
  • Toegangspaden: De server biedt twee routes:
    1. Directe toegang: Via een aangepaste OpenSSL-provider.
    2. Gemengde toegang: Via de Linux entropie-pool (waar de QRNG-stroom wordt gemengd met andere systeembronnen via rng-tools).
  • Protocollen: De service exposeert zowel HTTPS als beveiligde CoAP. Een CoAP-HTTP proxy (RFC 7252 compliant) doorstuurt beperkte client-verzoeken naar de HTTP-backend.

• Client-side Architectuur (ESP32):

  • Hardware: ESP32 microcontrollers draaiend op Zephyr RTOS.
  • Software Stack:
    • Uitbreiding van libcoap met Zephyr-ondersteuning.
    • Integratie van wolfSSL voor DTLS 1.3, ondersteunend voor ML-KEM-512 (key encapsulation) en ML-DSA-44 (digitale handtekeningen).
    • Entropie-pool: Een aangepaste BLAKE2s-gebaseerde entropie-pool die de standaard Zephyr-driver vervangt. Deze pool kan externe entropie (van de server) injecteren via een nieuwe API (entropy_add_entropy) terwijl het de standaard extractie-interface behoudt.
  • Optimalisaties: Om geheugenproblemen op de ESP32 te voorkomen, is de wolfSSL-toewijzing omgeleid naar het Zephyr-systeemheaps (105 kB) in plaats van de beperkte newlib heap. Fragmentatie van grote keys (ML-KEM) wordt opgelost via de standaard DTLS 1.3 HelloRetryRequest flow.

3. Belangrijkste Bijdragen

1. Eind-tot-eind QEaaS Implementatie: Het eerste systeem dat kwantum-entropie levert aan ingebouwde IoT-apparaten via een post-kwantum beveiligd CoAP-protocol.
2. Aangepaste Entropie-pool voor Zephyr: Ontwikkeling van een BLAKE2s-pool voor ESP32 die externe entropie kan mengen met lokale hardware-entropie, met behoud van de standaard API.
3. PQC-integratie op beperkte hardware: Succesvolle implementatie van ML-KEM en ML-DSA in een volledige DTLS 1.3 stack op een ESP32, inclusief oplossingen voor geheugenbeperkingen en MTU-fragmentatie.
4. Gedetailleerde Benchmarking: Een uitgebreide analyse van prestaties, geheugengebruik en latentie voor verschillende PQC-configuraties vergeleken met klassieke methoden.

4. Resultaten

De tests werden uitgevoerd op ESP32-hardware met 100 iteraties per configuratie. De resultaten tonen verrassende prestaties:

• Snelheid van PQC:

  • ML-KEM-512 is sneller dan de klassieke ECDHE P-256.
  • Een DTLS 1.3 handshake met ML-KEM-512 (zonder certificaatverificatie) duurt gemiddeld 313 ms (35% sneller dan ECDHE P-256).
  • Combinatie van ML-KEM-512 + ML-DSA-44 duurt slechts 225 ms.
  • Met volledige certificaatverificatie blijft de PQC-configuratie 63% sneller dan de klassieke ECDHE P-256 + ECDSA-configuratie (249 ms vs 668 ms).

• Verificatie-overhead:

  • Het verifiëren van een certificaat met ML-DSA-44 kost slechts ~17 ms extra.
  • Het verifiëren met ECDSA kost ~194 ms extra.
  • Dit betekent dat certificaatverificatie met ML-DSA-44 ongeveer 12 keer sneller is dan met ECDSA op dit platform.

• Entropie-pool prestaties:

  • Lokale operaties (injectie en extractie) in de BLAKE2s-pool zijn verwaarloosbaar snel (< 0,1 ms), waardoor de netwerk-latentie de enige echte bottleneck is.
  • De totale cyclus (verzoek, antwoord, injectie, extractie) duurt ongeveer 24 ms (voornamelijk door de WiFi/CoAP RTT).

• Geheugengebruik:

  • De volledig post-kwantum configuratie vereist ongeveer 30 kB extra Flash en 31 kB extra piek-geheugen vergeleken met de klassieke baseline, maar dit is binnen de limieten van de ESP32 (piekgebruik van 97 kB op een beschikbare 105 kB).

5. Betekenis en Conclusie

Dit onderzoek weerlegt het idee dat post-kwantum cryptografie te traag of te zwaar is voor ingebouwde systemen.

• Haalbaarheid: Post-kwantum sleuteluitwisseling en authenticatie zijn niet alleen haalbaar op microcontrollers, maar in de geteste configuraties zelfs sneller dan de klassieke ECDHE/ECDSA-baselines.
• Efficiëntie: De combinatie van ML-KEM en ML-DSA presteert beter omdat de matrix-vector bewerkingen van ML-KEM efficiënter zijn op de Xtensa LX6 processor dan elliptische kromme-bewerkingen, en ML-DSA handtekeningen sneller te verifiëren zijn dan ECDSA op deze hardware.
• Toekomstperspectief: Het systeem is geschikt voor duty-cycled knooppunten die wakker worden, hun entropie-pool bijvullen via een beveiligde verbinding en weer gaan slapen. De volgende stappen omvatten het automatiseren van de pool-vulling via het OS en energie-analyses voor batterijgedreven apparaten.

Kortom, dit paper toont aan dat een veilige, kwantum-resistente infrastructuur voor entropiedistributie naar IoT-apparaten niet alleen mogelijk is, maar ook superieure prestaties kan bieden ten opzichte van huidige standaarden.