Instruktionssatz-Erweiterungen für Public-Key Kryptografie

Public-Key Kryptografie ist die Basis für Sicherheit und Datenschutz in verteilten Systemen wie dem Internet, für elektronischen Handel, und für so gut wie alle kryptografischen Protokolle. Die meisten Public-Key Kryptosysteme basieren auf sehr rechenintensiven arithmetischen Operationen (z.B. 1024-bit Modulo Potenzierung), was bei Geräten mit geringer Rechnleistung, wie z.B. Chipkarten, zu unakzeptabel langen Rechenzeiten führt. Aus diesem Grund sind die meisten Chipkarten der neuesten Generation mit kryptografischen Ko-Prozessoren ausgestattet. Die Verwendung dieser speziellen Hardware für Public-Key Kryptografie hat jedoch gewisse Nachteile wie z.B. eingeschränkte Skalierbarkeit und keine Möglichkeit, alternative Algorithmen zu verwenden. Public-Key Kryptosysteme verbringen den Grossteil der Rechenzeit in einigen wenigen CodeSegmenten mit genau definierten Eigenschaften (z.B. inneren Schleifen), wodurch sich die Möglichkeit der Spezialisierung des Prozessors eröffnet. Das in diesem Antrag beschriebene Projekt beschäftigt sich mit der Erforschung von Instruktionssatz-Erweiterungen für eingebettete RISC Prozessoren mit dem Ziel, deren Leistung beim Berechnen von kryptografischen Operationen zu steigern. Der Schwerpunkt dieses Projekts liegt im Bereich der grundlegenden arithmetischen Operationen welche in der Public-Key Kryptografie verwendet werden, wie z.B. Addition, Multiplikation, Quadrieren, modulare Reduktion, Invertierung sowie Division in multiplikativen Gruppen oder endlichen Körpern sehr großer Ordnung (160-2048 Bits). Das erste Ziel dieses Projekts sind Entwurf, Prototyp-Implementierung und Test eines SPARC V8 kompatiblen Prozessors mit einem erweiterten und für Public-Key Kryptografie optimierten Instruktionssatz. Das zweite Projektziel besteht darin, anspruchsvolle Mikro-Architektur Erweiterungen für Hochgeschwindigkeits-Kryptografie und verbesserte Sicherheit (d.h. Resistenz gegen Seitenkanal Attacken) zu entwickeln und zu analysieren.

Digitale elektronische Geräte finden sich überall im Alltag. Die Anzahl solcher Geräte wird in Zukunft weiter zunehmen. Es ist anzunehmen, dass wir die meisten dieser Geräte nicht wahrnehmen werden, da diese in gewöhnlichen Gegenständen integriert sein werden. Man spricht dabei von sogenannten "Embedded Systems". Durch die stark ausgeweiteten Verwendungsmerkmale entstehen bei diesen Systemen jedoch auch neue Probleme. Nur wenn man diese auch erkennt und entsprechende Maßnahmen trifft, werden die Vorteile die Nachteile überwiegen. Informationssicherheit ist das wohl vorrangigste Problem im Zusammenhang mit Embedded Systems. Beim Internet, zum Beispiel, hat man zu Beginn Informationssicherheit nicht berücksichtigt. Damit förderte man eine breite Vielfalt von neuen Sicherheitsgefahren. Mit der zunehmenden Vernetzung von Embedded Systems zieht sich die Problematik der Informationssicherheit auch in diesen Bereich. Nur durch die durchgehende Verwendung von Sicherheitsmaßnahmen kann man die Gefährdung von Embedded Systems vermeiden. Die wohl wichtigste Grundlage für Informationssicherheit sind kryptografische Algorithmen. Sofern diese geeignet verwendet werden, können sie als Werkzeuge gegen Gefahren der Informationssicherheit dienen. Die meisten kryptografischen Algorithmen (und insbesondere die wichtige Klasse der asymmetrischen kryptografischen Algorithmen) sind sehr rechenintensiv. Da Embedded Systems üblicherweise stark begrenzte Ressourcen (Rechenleistung, Speichergröße, Energiebedarf) haben, ist die Berechnung von kryptografischen Algorithmen zumeist ein großes Problem. Das Hauptziel dieses Projektes war die Untersuchung eines neuen Ansatzes, um eingebettete Prozessoren für diese Rechnungen zu optimieren und damit die durch Kryptografie verursachte Zusatzarbeit zu verringern. Unter Verwendung eines typischen eingebetteten Prozessors (SPARC V8-kompatibel) haben wir neue Maschineninstruktionen entworfen und eingebaut. Obwohl wir ursprünglich die Vorteile dieser Maßnahmen nur für Public-Key-Algorithmen (RSA, elliptische Kurven) zeigen wollten, haben wir auf Grund der sehr guten Resultate unser Augenmerk auch auf symmetrische Algorithmen (AES) gelegt. Auch dabei gelang es uns, beeindruckenswerte Beschleunigungen nachzuweisen. Wir haben gezeigt, dass Instruktionssatzerweiterungen es erlauben, kryptografische Algorithmen mit recht wenig Rechenleistung, Speicher- und Energiebedarf zu realisieren. Im Kontext der neu aufkommenden konfigurierbaren Prozessoren erweist sich dieser Ansatz als wichtige Technik für den Entwurf sicherer zukünftiger Embedded Systems.