L4Re Crypto Service [WvdS Doku]

L4Re Crypto Service

Crittografia Post-Quantum sicura per dispositivi edge su L4Re Microkernel

Versione 0.2.0 | OpenSSL 3.6 FIPS Provider | ML-KEM + ML-DSA + AES-256-GCM

Quadro Generale: Sicurezza a Doppio Strato

                              SICUREZZA A DOPPIO STRATO
====================================================================================

  +------------+     +-------------------+         +-----------------------+
  |  DISPOSITIVO|    |  PQ-EDGE-GATEWAY  |         |      PQ-PROXY         |
  |  (Sensore) |     | (L4Re Microkernel)|         |  (Cloudflare/Nginx)   |
  |            |     |                   |         |                       |
  | Dati       |---->|  Strato 1: Payload|-------->|  Strato 1: rimane     |
  | sensore    |     |  ML-KEM + AES-GCM |  HTTPS  |  cifrato              |
  |            |     |                   |  (443)  |                       |
  |            |     |  Strato 2: Trasporto|       |  Strato 2: TLS        |
  |            |     |  TLS 1.3 + ML-KEM |         |  terminato            |
  +------------+     +-------------------+         +-----------+-----------+
                                                              |
                                                              v
                    +-----------------------------------------------------+
                    |                    BACKEND                          |
                    |                                                     |
                    |  +----------+  +----------+  +------------------+   |
                    |  | API      |  | ML/AI    |  | Database         |   |
                    |  | Server   |  | Elaboraz.|  | (cifrato)        |   |
                    |  +----------+  +----------+  +------------------+   |
                    |                                                     |
                    +-----------------------------------------------------+

Perché 2 strati?
------------------------------------------------------------------------------------
Strato 2 (Trasporto): Protegge da MITM, ma il proxy vede il testo in chiaro
Strato 1 (Payload):   End-to-end, solo il backend può decifrare
                      => Anche proxy compromesso = nessuna fuga di dati

Cosa Ottenete

Il WvdS Crypto Service è una black box pronta all'uso:

Non compilate NULLA
Non configurate NULLA
Il daemon gira, inviate richieste - fatto

Operazioni Disponibili

Tipo richiesta	Nome	Descrizione
`0x01`	AES_ENCRYPT	Cifratura AES-256-GCM
`0x02`	AES_DECRYPT	Decifratura AES-256-GCM
`0x10`	MLDSA_SIGN	Creazione firma ML-DSA
`0x11`	MLDSA_VERIFY	Verifica firma ML-DSA
`0x20`	MLKEM_KEYGEN	Generazione coppia chiavi ML-KEM
`0x21`	MLKEM_ENCAPS	Incapsulamento ML-KEM
`0x22`	MLKEM_DECAPS	Decapsulamento ML-KEM

Navigazione

Fondamenti

Glossario - Termini PQC (ML-KEM, ML-DSA, Nonce…)
Architettura - Sistema a due daemon, memoria condivisa

Integrazione

Installazione - Integrazione OEM in 3 passi
Integrazione - Esempi di codice (C/C++)

Riferimento

Protocollo - Formato richiesta/risposta a livello byte
Riferimento API - Tipi di richiesta + funzioni helper

Sicurezza & Conformità

Sicurezza - Rate Limiting, Nonce Tracking, Zeroize
Conformità - NIS2, BSI TR-03116-4, FIPS 203/204

Supporto: Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH