L4Re Krypto Service [WvdS Doku]

L4Re Krypto Service

Post-Quantum-sichere Kryptografie fuer Edge-Geraete auf L4Re Microkernel

Version 0.2.0 | OpenSSL 3.6 FIPS Provider | ML-KEM + ML-DSA + AES-256-GCM

Big Picture: Double-Layer Security

                              DOUBLE-LAYER SECURITY
====================================================================================

  +------------+     +-------------------+         +-----------------------+
  |   GERAET   |     |  PQ-EDGE-GATEWAY  |         |      PQ-PROXY         |
  |  (Sensor)  |     | (L4Re Microkernel)|         |  (Cloudflare/Nginx)   |
  |            |     |                   |         |                       |
  | Sensordaten|---->|  Layer 1: Payload |-------->|  Layer 1: bleibt      |
  |            |     |  ML-KEM + AES-GCM |  HTTPS  |  verschluesselt       |
  |            |     |                   |  (443)  |                       |
  |            |     |  Layer 2: Transport|        |  Layer 2: TLS         |
  |            |     |  TLS 1.3 + ML-KEM |         |  terminiert           |
  +------------+     +-------------------+         +-----------+-----------+
                                                               |
                                                               v
                     +-----------------------------------------------------+
                     |                    BACKEND                          |
                     |                                                     |
                     |  +----------+  +----------+  +------------------+   |
                     |  | API      |  | ML/AI    |  | Datenbank        |   |
                     |  | Server   |  | Process. |  | (verschluesselt) |   |
                     |  +----------+  +----------+  +------------------+   |
                     |                                                     |
                     +-----------------------------------------------------+

Warum 2 Layer?
------------------------------------------------------------------------------------
Layer 2 (Transport): Schuetzt vor MITM, aber Proxy sieht Klartext
Layer 1 (Payload):   Ende-zu-Ende, nur Backend kann entschluesseln
                     => Selbst kompromittierter Proxy = kein Datenleck

Was Sie bekommen

Der WvdS Crypto Service ist eine fertige Black-Box:

Sie kompilieren NICHTS
Sie konfigurieren NICHTS
Der Daemon laeuft, Sie senden Requests - fertig

Verfuegbare Operationen

Request-Type	Name	Beschreibung
`0x01`	AES_ENCRYPT	AES-256-GCM verschluesseln
`0x02`	AES_DECRYPT	AES-256-GCM entschluesseln
`0x10`	MLDSA_SIGN	ML-DSA Signatur erstellen
`0x11`	MLDSA_VERIFY	ML-DSA Signatur pruefen
`0x20`	MLKEM_KEYGEN	ML-KEM Schluesselpaar generieren
`0x21`	MLKEM_ENCAPS	ML-KEM Encapsulation
`0x22`	MLKEM_DECAPS	ML-KEM Decapsulation

Grundlagen

Glossar - PQC-Begriffe (ML-KEM, ML-DSA, Nonce…)
Architektur - Two-Daemon System, Shared Memory

Integration

Installation - 3-Schritte OEM-Integration
Integration - Code-Beispiele (C/C++)

Referenz

Protokoll - Byte-Level Request/Response Format
API-Referenz - Request-Types + Helper-Funktionen

Sicherheit & Compliance

Sicherheit - Rate Limiting, Nonce-Tracking, Zeroize
Compliance - NIS2, BSI TR-03116-4, FIPS 203/204

Support: Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH