Onkraakbare chip lost één probleem op van een veilig systeem

In dit artikel:

Afgelopen juli kondigden TNO en het Nederlandse bedrijf Fortaegis aan samen te werken aan de verdere ontwikkeling van een zogenoemde onkraakbare chip. Deze stap is van strategisch belang voor de Europese chipmarkt en de digitale autonomie van Europa — mits de ontwikkeling en toepassing in Europa blijven plaatsvinden. Fortaegis zoekt ook financiering in de Verenigde Staten, maar Europese zeggenschap over zowel de chip als het bijbehorende ecosysteem blijft cruciaal.

De kern van de Fortaegis-chip is tweeledig: vertrouwelijkheid en integriteit. De chip is zo ontworpen dat hij niet via zijdelijninformatie (zoals stroomverbruik of elektromagnetische straling) kan worden afgeluisterd en dat röntgenonderzoek weinig oplevert. Daarnaast bevat hij een integriteitsmechanisme: fysieke aanpassingen aan de beschermlaag veranderen interne, toevallige variaties die onderdeel uitmaken van de sleutelgeneratie. Die techniek heet een PUF (physical unclonable function). Als de behuizing wordt doorboord of anderszins beschadigd, raakt de PUF vervormd en wordt de sleutel onbruikbaar — de chip stopt met correcte werking waardoor ingrepen zichzelf ongedaan maken.

Een slimme keuze is het opnemen van de sleutel in de PUF zelf; dat lijkt op hoe TPM-chips in laptops controleren of hardware nog authentiek is. Gekoppeld aan een communicatienetwerk zorgt zo’n chip dat berichten versleuteld en onleesbaar blijven voor derden — zolang de rest van het systeem klopt.

Toch is geen enkel technisch middel absoluut onfeilbaar: bij voldoende middelen en tijd zijn grenzen te verleggen. Praktisch gezien maakt de PUF elke kraakpoging riskant omdat fysieke manipulatie de chip meteen waardeloos maakt. Maar de chip alleen is niet genoeg. Het grootste veiligheidsvraagstuk ligt in het bredere ecosysteem: supply chain, administratie, sleutelbeheer en netwerkintegriteit.

Een veilig ecosysteem vereist strakke administratieve controle: welke chips zijn geleverd, welke apparaten zijn gebouwd, waar bevinden die zich en wie gebruikt ze? Voorraad- of transportverlies kan ertoe leiden dat een werkend exemplaar in vijandige handen valt. Daarom zijn procedures nodig zoals blokkering van ongebruikte of lang niet aangemelde chips (een ‘dodemansknop’) en het zorgvuldig registreren van defecte units zodat ze nooit deel van het netwerk kunnen worden.

Daarnaast is er een betrouwbaar sleutelbeheersysteem nodig. Als meerdere apparaten met elkaar communiceren, moeten sleutels veilig worden uitgewisseld, periodiek vernieuwd en onbruikbaar gemaakt wanneer een apparaat verloren gaat. Zonder zo’n overkoepelend beheer heeft een onkraakbare chip geen idee wat er in het netwerk gebeurt. Daarom vormen beheerplatforms en infrastructuur vaak aantrekkelijkere doelwitten voor aanvallers dan de chip zelf: toegang tot het beheer kan authentieke apparatuur valselijk erkennen of echte apparaten uitsluiten.

Toepassingsgebieden zijn onder meer militaire communicatie, beveiligde radio’s en telefoons, kritische infrastructuur, medische apparatuur en systemen als de politiecommunicatie C2000. Voor al deze toepassingen geldt: de chip is een noodzakelijke bouwsteen, maar pas in combinatie met strakke administratie, veilige supply chains en robuust sleutelbeheer ontstaat echt veilige communicatie.

Dit ingezonden stuk van Fox Crypto benadrukt dat investeren in de chiptechnologie slechts het begin is; Europa moet ook het complete ecosysteem rond zulke chips ontwikkelen en beschermen om daadwerkelijke autonomie en veiligheid te bereiken.