×

SSR-Labs News

Projektstatus Juli 2026: Echte Hardware-Sicherheit ohne Kompromisse

Hardware-Sicherheit aus Duderstadt. Zwei Produkte, kein Cloud-Backend, kein Abo, keine Kompromisse.

Bei SSR-Labs entwickeln wir Sicherheit, die man in der Hand hält — echte Hardware statt wolkiger Cloud-Versprechen. Es ist Zeit für ein ehrliches Status-Update: Was ist fertig, wie funktioniert es unter der Haube und welche Kryptographie steckt tatsächlich drin (verifiziert, ohne Marketing-Zertifikate)?

Produkt 1: SSR-Vault — Der Hardware-Passwortmanager

Der SSR-Vault ist ein USB-Stick, der Zugangsdaten in einem eigenen, isolierten Krypto-Chip speichert. Eine Browser-Erweiterung füllt Logins automatisch aus, während ein schlanker lokaler Dienst auf dem PC lediglich die Kommunikation vermittelt. Die privaten Schlüssel entstehen im Secure Element und bleiben auch dort — sie können nicht ausgelesen oder exportiert werden.

Die Hardware-Basis

  • LilyGO T-Dongle-S3-Secure: ESP32-S3 (inkl. Hardware-AES/SHA/MPI-Beschleuniger), kompaktes Display, USB-A.
  • Microchip ATECC608A: Das dedizierte Secure Element, angebunden über I²C.

Kernfunktionen & Features

  • 🔑 Chip-gebundene Schlüssel: Verlassen den Stick nie.
  • 🧩 Auto-Ausfüllen: Nativ für Chrome, Edge und Firefox. Die Erweiterung ist offiziell im Chrome Web Store sowie im Mozilla Add-on Store verfügbar.
  • 🔒 Hardware-erzwungener PIN-Schutz: Eskalierende Sperrzeit nach Fehlversuchen macht Brute-Force-Angriffe sinnlos.
  • 👥 Multi-Login-Support: Mehrere Accounts pro Domain, farblich in der Erweiterung unterscheidbar.
  • 💾 Sicheres Backup: Verschlüsseltes Backup und Restore über eine SD-Karte.
  • 🔐 Ende-zu-Ende-Verschlüsselung (E2E): Zwischen Stick und Browser-Erweiterung; der lokale Vermittlungsdienst sieht nur einen verschlüsselten Blob.
  • 🌍 International: Fünfsprachig (Deutsch, Englisch, Español, Français, 中文).
  • 🎫 Feld-Upgrades: Lizenz-Stufen (Freebird / Custom / Premium) lassen sich per signiertem Einmal-Code direkt in der Erweiterung freischalten — ohne Reflash des Sticks.
  • 🚫 100% Offline: Kein Cloud-Zwang, kein Abo. WLAN wird in der Firmware nie initialisiert, Bluetooth ist hardwarenah deaktiviert.

Kryptographie (Transparent & Verifiziert)

Wir setzen auf zertifizierte Komponenten und transparente Standard-Kryptographie statt auf Buzzwords:

  • Tresor-Verschlüsselung: Jeder Eintrag ist einzeln mit AES-256-GCM verschlüsselt.
  • Schlüsselableitung: Der AES-Schlüssel je Eintrag wird über die KDF-Funktion des ATECC608A aus einem internen Slot-Geheimnis abgeleitet.
  • Pairing / E2E: ECDH auf NIST P-256 (Trust-On-First-Use).
  • Code-Signaturen: Lizenz-Upgrades und Produktions-Freigaben nutzen RSA-3072 (PKCS#1 v1.5 mit SHA-256) gegen einen hartcodierten öffentlichen Schlüssel.
  • Zertifizierung: Der verbaute ATECC608A liefert nach FIPS 140-3 ESV validierte Hardware-Entropie (NIST-Zertifikat #E46).

Aktueller Entwicklungsstand (v0.6.7)

Wir haben den Weg vom Prototyp (v0.3–0.5) zur Produktionsreife fast abgeschlossen. Die neuesten Meilensteine:

  • Performance-Boost: Der I²C-Bus zum Secure Element läuft nun im Fast Mode (400 kHz), was die Krypto-Pfade signifikant beschleunigt (KDF-Zeit von 63 ms auf 39 ms gesenkt).
  • Produktions-Härtung: Die finale Einrichtung von Secure Boot v2 (RSA-3072) und Flash-Encryption (signierte, verschlüsselte Firmware, Deaktivierung von JTAG/Download-Mode) läuft.

Produkt 2: SSR-Key — Der FIDO2-Sicherheitsschlüssel

Ein robuster Hardware-Schlüssel zum passwortlosen Anmelden (Passkeys / WebAuthn) und für Zwei-Faktor-Authentifizierung (2FA). Ein Tastendruck genügt, um der Website den Besitz des Schlüssels zu beweisen, ohne das Geheimnis jemals preiszugeben.

Die Hardware-Basis

  • Raspberry Pi RP2350: Dual-Core Architektur unter Ausnutzung der nativen Security-Features.

Kernfunktionen & Features

  • 🚀 Passwortlos (WebAuthn): Kompatibel mit allen modernen Passkey-Systemen.
  • 🎣 Phishing-resistent: Die Signatur ist strikt an die echte Website gebunden.
  • 📦 Hohe Kapazität: Speicherplatz für bis zu 128 Passkeys.
  • 🆘 Zwangs-PIN (Duress): Löscht im Ernstfall bei Eingabe den gesamten Speicher, statt ihn zu entsperren.
  • 🔄 Nachhaltig: Signierte Firmware-Updates möglich (kein versiegeltes Wegwerf-Gerät).
  • 🏷️ Enterprise-Ready: Eigene Attestation-Kette zur gezielten Sperrung verlorener Geräte.

(Hinweis: Der SSR-Key nutzt die offenen FIDO2-Standards, durchläuft aber derzeit keine formale FIDO-Zertifizierung).

Unsere Philosophie: Ehrlichkeit bei der Sicherheit

Wir versprechen keine Wunder. Gegen Schadsoftware, Diebstahl und das Auslesen am PC sind die Sticks extrem stark: Geheimnisse sind chip-gebunden verschlüsselt, der Auslese-Pfad ist verriegelt und typische Spannungs-Glitches beim Start sind abgewehrt.

Was nicht geschützt ist: Ein Speziallabor, das den Chip physisch öffnet und unter dem Mikroskop abtastet (Decapping / Microprobing). Das ist teuer, zerstörerisch und lohnt nur bei hochkarätigen Zielen. Dagegen schützt kein handelsüblicher Consumer-Sicherheitsschlüssel — und dafür sind unsere Produkte auch nicht gedacht. Diese Ehrlichkeit ist uns wichtiger als ein glänzendes Datenblatt.

Das hast du vielleicht verpasst