Zurück zur Startseite

Android 17: ML-DSA in Verified Boot und PQC

Google integriert ML-DSA in Android 17 für Post-Quantum-Schutz. Verified Boot, remote Attestation und Keystore erhalten PQC-Unterstützung. Entwickler nutzen das neue SDK mit hybriden Signaturen in Google Play.

PQC in Android 17: ML-DSA gegen Quantenbedrohungen
Advertisement 728x90

Android 17 integriert Post-Quanten-Kryptographie ML-DSA in Verified Boot und Keystore

Google integriert Post-Quanten-Kryptographie (PQC) in Android, um vor Quantenangriffen zu schützen. Bis 2029 wechselt das gesamte Ökosystem auf quantensichere Algorithmen. Die ersten Änderungen erscheinen in der Android-17-Beta: Integration von ML-DSA in Verified Boot, Umstellung auf PQC-Attestierung und Updates für KeyMint hinsichtlich Zertifikatsketten.

Dies gewährleistet Boot-Integrität und remote Geräteverifizierung in einer Post-Quanten-Umgebung. Entwickler erhalten Tools im Android Keystore und ein neues SDK zur Erzeugung von ML-DSA-65- und ML-DSA-87-Schlüsseln.

Integration von ML-DSA in Verified Boot

Der ML-DSA-Algorithmus (ehemals Dilithium) wird in Android Verified Boot integriert, um digitale Signaturen während des Boots zu erstellen. Dies verhindert Softwaremanipulation durch Quantenmethoden, wie Angriffe auf RSA und ECC.

Google AdInline article slot

Wichtige Änderungen:

  • Digitale Signaturen: ML-DSA erzeugt quantensichere Signaturen für Boot-Images.
  • Hardware-Unterstützung: Integration in die Trusted Execution Environment (TEE) über KeyMint.
  • Kompatibilität: Hybride Zertifikatsketten kombinieren klassische und PQC-Algorithmen.

Geräte können ihren Zustand remote attestieren und bestätigen, dass keine Kompromittierung vorliegt – selbst gegen Harvest-Now-Decrypt-Later-Bedrohungen.

Remote Attestierung auf PQC-Architektur

Android 17 wechselt auf PQC-kompatible remote Attestierung. KeyMint aktualisiert Zertifikatsketten zur Unterstützung von ML-DSA, sodass vertrauenswürdige Parteien (Dienste, OEMs) die Integrität prüfen können.

Google AdInline article slot

Ablauf:

  • Das Gerät erzeugt eine Attestierungsherausforderung mit PQC-Signaturen.
  • Der Server verifiziert die Kette über aktualisierte Root-Zertifikate.
  • Bestätigung der TEE- und Systemkomponentenzustände.

Dies ist entscheidend für Enterprise-Apps und Zero-Trust-Architekturen, wo Quantenrisiken zunehmen.

Unterstützung für Entwickler im Android Keystore und SDK

Android Keystore erweitert die Unterstützung für ML-DSA bei hardwaregeschützten Signaturen. Das neue PQC-SDK bietet eine KeyPairGenerator-API für ML-DSA-65 (hohe Sicherheit) und ML-DSA-87 (Ausgleich zwischen Leistung und Sicherheit).

Google AdInline article slot

Beispiel zur Schlüsselgenerierung:

KeyPairGenerator kpg = KeyPairGenerator.getInstance("ML-DSA-65", "AndroidKeyStore");
kpg.initialize(new KeyGenParameterSpec.Builder("pqc_key", KeyProperties.PURPOSE_SIGN)
    .setKeySize(2560)
    .build());
KeyPair kp = kpg.generateKeyPair();

Google Play führt automatische Erzeugung hybrider Signaturen ein: klassischer Schlüssel + ML-DSA. Dies vereinfacht die APK-Migration ohne Code-Neubau.

Vergleich mit anderen Plattformen

Google folgt dem Trend: Microsoft hat ML-KEM und ML-DSA in Windows Server 2025, Windows 11 und .NET 10 integriert. NIST-PQC-Algorithmen sind bereits standardisiert, und Quantensysteme werden in realen Anwendungen eingesetzt.

Leistungsvergleichstabelle (approximative NIST-Daten):

| Algorithmus | Schlüssellänge (Bits) | Signatur (KB) | Verifizierung (ms) |

|-------------|-----------------------|---------------|--------------------|

| ML-DSA-65 | 2560 | 2.4 | 0.5 |

| ML-DSA-87 | 3648 | 3.2 | 0.8 |

| ECDSA P-384| 384 | 0.07 | 0.1 |

PQC bringt Overhead mit sich, gewährleistet aber Resilienz.

Was wichtig ist

  • Migrationszeitplan: Vollständiger Wechsel des Android-Ökosystems auf PQC bis 2029.
  • Android-17-Beta: Erste Umsetzung von ML-DSA in Verified Boot und Attestierung.
  • Für Entwickler: Neues SDK und Keystore-API für ML-DSA-65/87, hybride Signaturen in Play.
  • Architektur: KeyMint-Updates für PQC-Zertifikatsketten.
  • Kontext: Schutz vor Quantenbedrohungen wie Shors Algorithmus auf RSA/ECC.

— Editorial Team

Advertisement 728x90

Weiterlesen