Crittografia Post-Quantum sicura per dispositivi edge su L4Re Microkernel
Versione 0.2.0 | OpenSSL 3.6 FIPS Provider | ML-KEM + ML-DSA + AES-256-GCM
SICUREZZA A DOPPIO STRATO
====================================================================================
+------------+ +-------------------+ +-----------------------+
| DISPOSITIVO| | PQ-EDGE-GATEWAY | | PQ-PROXY |
| (Sensore) | | (L4Re Microkernel)| | (Cloudflare/Nginx) |
| | | | | |
| Dati |---->| Strato 1: Payload|-------->| Strato 1: rimane |
| sensore | | ML-KEM + AES-GCM | HTTPS | cifrato |
| | | | (443) | |
| | | Strato 2: Trasporto| | Strato 2: TLS |
| | | TLS 1.3 + ML-KEM | | terminato |
+------------+ +-------------------+ +-----------+-----------+
|
v
+-----------------------------------------------------+
| BACKEND |
| |
| +----------+ +----------+ +------------------+ |
| | API | | ML/AI | | Database | |
| | Server | | Elaboraz.| | (cifrato) | |
| +----------+ +----------+ +------------------+ |
| |
+-----------------------------------------------------+
Perché 2 strati?
------------------------------------------------------------------------------------
Strato 2 (Trasporto): Protegge da MITM, ma il proxy vede il testo in chiaro
Strato 1 (Payload): End-to-end, solo il backend può decifrare
=> Anche proxy compromesso = nessuna fuga di dati
Il WvdS Crypto Service è una black box pronta all'uso:
| Tipo richiesta | Nome | Descrizione |
0x01 | AES_ENCRYPT | Cifratura AES-256-GCM |
0x02 | AES_DECRYPT | Decifratura AES-256-GCM |
0x10 | MLDSA_SIGN | Creazione firma ML-DSA |
0x11 | MLDSA_VERIFY | Verifica firma ML-DSA |
0x20 | MLKEM_KEYGEN | Generazione coppia chiavi ML-KEM |
0x21 | MLKEM_ENCAPS | Incapsulamento ML-KEM |
0x22 | MLKEM_DECAPS | Decapsulamento ML-KEM |
Supporto: Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH