~~NOTOC~~
{{wvds:title>L4Re Crypto Service}}

===== L4Re Krypto Service =====

<WRAP center round info 80%>
**Post-Quantum-sichere Kryptografie fuer Edge-Geraete auf L4Re Microkernel**

Version 0.2.0 | OpenSSL 3.6 FIPS Provider | ML-KEM + ML-DSA + AES-256-GCM
</WRAP>

==== Big Picture: Double-Layer Security ====

<code>
                              DOUBLE-LAYER SECURITY
====================================================================================

  +------------+     +-------------------+         +-----------------------+
  |   GERAET   |     |  PQ-EDGE-GATEWAY  |         |      PQ-PROXY         |
  |  (Sensor)  |     | (L4Re Microkernel)|         |  (Cloudflare/Nginx)   |
  |            |     |                   |         |                       |
  | Sensordaten|---->|  Layer 1: Payload |-------->|  Layer 1: bleibt      |
  |            |     |  ML-KEM + AES-GCM |  HTTPS  |  verschluesselt       |
  |            |     |                   |  (443)  |                       |
  |            |     |  Layer 2: Transport|        |  Layer 2: TLS         |
  |            |     |  TLS 1.3 + ML-KEM |         |  terminiert           |
  +------------+     +-------------------+         +-----------+-----------+
                                                               |
                                                               v
                     +-----------------------------------------------------+
                     |                    BACKEND                          |
                     |                                                     |
                     |  +----------+  +----------+  +------------------+   |
                     |  | API      |  | ML/AI    |  | Datenbank        |   |
                     |  | Server   |  | Process. |  | (verschluesselt) |   |
                     |  +----------+  +----------+  +------------------+   |
                     |                                                     |
                     +-----------------------------------------------------+

Warum 2 Layer?
------------------------------------------------------------------------------------
Layer 2 (Transport): Schuetzt vor MITM, aber Proxy sieht Klartext
Layer 1 (Payload):   Ende-zu-Ende, nur Backend kann entschluesseln
                     => Selbst kompromittierter Proxy = kein Datenleck
</code>

==== Was Sie bekommen ====

Der WvdS Crypto Service ist eine **fertige Black-Box**:

  * Sie kompilieren NICHTS
  * Sie konfigurieren NICHTS
  * Der Daemon laeuft, Sie senden Requests - fertig

==== Verfuegbare Operationen ====

| Request-Type | Name | Beschreibung |
| ''0x01'' | AES_ENCRYPT | AES-256-GCM verschluesseln |
| ''0x02'' | AES_DECRYPT | AES-256-GCM entschluesseln |
| ''0x10'' | MLDSA_SIGN | ML-DSA Signatur erstellen |
| ''0x11'' | MLDSA_VERIFY | ML-DSA Signatur pruefen |
| ''0x20'' | MLKEM_KEYGEN | ML-KEM Schluesselpaar generieren |
| ''0x21'' | MLKEM_ENCAPS | ML-KEM Encapsulation |
| ''0x22'' | MLKEM_DECAPS | ML-KEM Decapsulation |

==== Navigation ====

=== Grundlagen ===

  * [[.:glossar|Glossar]] - PQC-Begriffe (ML-KEM, ML-DSA, Nonce...)
  * [[.:architektur|Architektur]] - Two-Daemon System, Shared Memory

=== Integration ===

  * [[.:installation|Installation]] - 3-Schritte OEM-Integration
  * [[.:integration|Integration]] - Code-Beispiele (C/C++)

=== Referenz ===

  * [[.:protokoll|Protokoll]] - Byte-Level Request/Response Format
  * [[.:api|API-Referenz]] - Request-Types + Helper-Funktionen

=== Sicherheit & Compliance ===

  * [[.:sicherheit|Sicherheit]] - Rate Limiting, Nonce-Tracking, Zeroize
  * [[.:compliance|Compliance]] - NIS2, BSI TR-03116-4, FIPS 203/204

----

**Support:** Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH