Zpět na domů

Android 17: ML-DSA v Verified Boot a PQC

Google integruje ML-DSA do Androidu 17 pro postkvantovou ochranu. Verified Boot, vzdálená atestace a Keystore získají podporu PQC. Vývojáři používají nový SDK s hybridními podpisy v Google Play.

PQC v Android 17: ML-DSA proti kvantovým hrozbám
Advertisement 728x90

Android 17 integruje postkvantovou kryptografii ML-DSA do Verified Boot a Keystore

Google zavádí postkvantovou kryptografii (PQC) do Androidu pro ochranu před kvantovými útoky. Do roku 2029 přejde celá ekosystém na kvantově odolné algoritmy. První změny debutují v beta verzi Androidu 17: integrace ML-DSA do Verified Boot, přechod na PQC-attestaci a aktualizace KeyMint pro řetězce certifikátů.

To zajistí integritu načítání a vzdálenou verifikaci zařízení v postkvantovém prostředí. Vývojáři získají nástroje v Android Keystore a nový SDK pro generování klíčů ML-DSA-65 a ML-DSA-87.

Integrace ML-DSA do Verified Boot

Algoritmus ML-DSA (dříve Dilithium) je přidán do Android Verified Boot pro vytváření digitálních podpisů při načítání. To zabrání modifikaci softwaru kvantovými metodami, jako jsou útoky na RSA a ECC.

Google AdInline article slot

Klíčové změny:

  • Digitální podpisy: ML-DSA generuje podpisy odolné vůči kvantovým útokům pro bootovací obrazy.
  • Hardwareová podpora: Integrace do Trusted Execution Environment (TEE) prostřednictvím KeyMint.
  • Kompatibilita: Hybridní řetězce certifikátů kombinují klasické a PQC algoritmy.

Zařízení budou moci dálkově atestovat stav a potvrdit absenci kompromitace i proti hrozbám typu harvest-now-decrypt-later.

Vzdálená attestace na PQC architektuře

Android 17 přechází na PQC-kompatibilní vzdálenou attestaci. KeyMint aktualizuje řetězce certifikátů pro podporu ML-DSA, což umožní důvěryhodným stranám (službám, OEM) ověřovat integritu.

Google AdInline article slot

Proces:

  • Zařízení generuje atestační výzvu s PQC podpisy.
  • Server ověřuje řetězec prostřednictvím aktualizovaných kořenových certifikátů.
  • Potvrzení stavu TEE a systémových komponent.

To je klíčové pro podnikové aplikace a Zero Trust architektury, kde kvantová rizika rostou.

Podpora vývojářů v Android Keystore a SDK

Android Keystore se rozšiřuje o ML-DSA pro hardware chráněné podpisy. Nový PQC SDK poskytuje API KeyPairGenerator pro ML-DSA-65 (vysoká bezpečnost) a ML-DSA-87 (vyvážení výkonu).

Google AdInline article slot

Příklad generace klíčů:

KeyPairGenerator kpg = KeyPairGenerator.getInstance("ML-DSA-65", "AndroidKeyStore");
kpg.initialize(new KeyGenParameterSpec.Builder("pqc_key", KeyProperties.PURPOSE_SIGN)
    .setKeySize(2560)
    .build());
KeyPair kp = kpg.generateKeyPair();

V Google Play se zavádí automatická generace hybridních podpisů: klasický klíč + ML-DSA. To usnadní migraci APK bez nutnosti přecompilace kódu.

Srovnání s jinými platformami

Google následuje trend: Microsoft integroval ML-KEM a ML-DSA do Windows Server 2025, Windows 11 a .NET 10. PQC algoritmy NIST jsou již standardizovány, kvantové systémy se používají v reálných úkolech.

Tabulka srovnání výkonu (přibližné údaje NIST):

| Algoritmus | Klíče (bit) | Podpis (kB) | Ověření (ms) |

|----------|-------------|--------------|-------------------|

| ML-DSA-65 | 2560 | 2.4 | 0.5 |

| ML-DSA-87 | 3648 | 3.2 | 0.8 |

| ECDSA P-384 | 384 | 0.07 | 0.1 |

PQC zvyšuje réžii, ale zajišťuje odolnost.

Co je důležité

  • Termín migrace: Plný přechod ekosystému Android na PQC do roku 2029.
  • Beta Android 17: První implementace ML-DSA ve Verified Boot a attestaci.
  • Vývojářům: Nový SDK a Keystore API pro ML-DSA-65/87, hybridní podpisy v Play.
  • Architektura: Aktualizace KeyMint pro PQC řetězce certifikátů.
  • Kontext: Ochrana před kvantovými hrozbami typu Shor's algorithm na RSA/ECC.

— Editorial Team

Advertisement 728x90

Číst dál