SSR-Labs News
Projektstatus Juli 2026: Echte Hardware-Sicherheit ohne Kompromisse
Hardware-Sicherheit aus Duderstadt. Zwei Produkte, kein Cloud-Backend, kein Abo, keine Kompromisse.
Bei SSR-Labs entwickeln wir Sicherheit, die man in der Hand hält — echte Hardware statt wolkiger Cloud-Versprechen. Es ist Zeit für ein ehrliches Status-Update: Was ist fertig, wie funktioniert es unter der Haube und welche Kryptographie steckt tatsächlich drin (verifiziert, ohne Marketing-Zertifikate)?
Produkt 1: SSR-Vault — Der Hardware-Passwortmanager
Der SSR-Vault ist ein USB-Stick, der Zugangsdaten in einem eigenen, isolierten Krypto-Chip speichert. Eine Browser-Erweiterung füllt Logins automatisch aus, während ein schlanker lokaler Dienst auf dem PC lediglich die Kommunikation vermittelt. Die privaten Schlüssel entstehen im Secure Element und bleiben auch dort — sie können nicht ausgelesen oder exportiert werden.
Die Hardware-Basis
- LilyGO T-Dongle-S3-Secure: ESP32-S3 (inkl. Hardware-AES/SHA/MPI-Beschleuniger), kompaktes Display, USB-A.
- Microchip ATECC608A: Das dedizierte Secure Element, angebunden über I²C.
Kernfunktionen & Features
- 🔑 Chip-gebundene Schlüssel: Verlassen den Stick nie.
- 🧩 Auto-Ausfüllen: Nativ für Chrome, Edge und Firefox. Die Erweiterung ist offiziell im Chrome Web Store sowie im Mozilla Add-on Store verfügbar.
- 🔒 Hardware-erzwungener PIN-Schutz: Eskalierende Sperrzeit nach Fehlversuchen macht Brute-Force-Angriffe sinnlos.
- 👥 Multi-Login-Support: Mehrere Accounts pro Domain, farblich in der Erweiterung unterscheidbar.
- 💾 Sicheres Backup: Verschlüsseltes Backup und Restore über eine SD-Karte.
- 🔐 Ende-zu-Ende-Verschlüsselung (E2E): Zwischen Stick und Browser-Erweiterung; der lokale Vermittlungsdienst sieht nur einen verschlüsselten Blob.
- 🌍 International: Fünfsprachig (Deutsch, Englisch, Español, Français, 中文).
- 🎫 Feld-Upgrades: Lizenz-Stufen (Freebird / Custom / Premium) lassen sich per signiertem Einmal-Code direkt in der Erweiterung freischalten — ohne Reflash des Sticks.
- 🚫 100% Offline: Kein Cloud-Zwang, kein Abo. WLAN wird in der Firmware nie initialisiert, Bluetooth ist hardwarenah deaktiviert.
Kryptographie (Transparent & Verifiziert)
Wir setzen auf zertifizierte Komponenten und transparente Standard-Kryptographie statt auf Buzzwords:
- Tresor-Verschlüsselung: Jeder Eintrag ist einzeln mit AES-256-GCM verschlüsselt.
- Schlüsselableitung: Der AES-Schlüssel je Eintrag wird über die KDF-Funktion des ATECC608A aus einem internen Slot-Geheimnis abgeleitet.
- Pairing / E2E: ECDH auf NIST P-256 (Trust-On-First-Use).
- Code-Signaturen: Lizenz-Upgrades und Produktions-Freigaben nutzen RSA-3072 (PKCS#1 v1.5 mit SHA-256) gegen einen hartcodierten öffentlichen Schlüssel.
- Zertifizierung: Der verbaute ATECC608A liefert nach FIPS 140-3 ESV validierte Hardware-Entropie (NIST-Zertifikat #E46).
Aktueller Entwicklungsstand (v0.6.7)
Wir haben den Weg vom Prototyp (v0.3–0.5) zur Produktionsreife fast abgeschlossen. Die neuesten Meilensteine:
- Performance-Boost: Der I²C-Bus zum Secure Element läuft nun im Fast Mode (400 kHz), was die Krypto-Pfade signifikant beschleunigt (KDF-Zeit von 63 ms auf 39 ms gesenkt).
- Produktions-Härtung: Die finale Einrichtung von Secure Boot v2 (RSA-3072) und Flash-Encryption (signierte, verschlüsselte Firmware, Deaktivierung von JTAG/Download-Mode) läuft.
Produkt 2: SSR-Key — Der FIDO2-Sicherheitsschlüssel
Ein robuster Hardware-Schlüssel zum passwortlosen Anmelden (Passkeys / WebAuthn) und für Zwei-Faktor-Authentifizierung (2FA). Ein Tastendruck genügt, um der Website den Besitz des Schlüssels zu beweisen, ohne das Geheimnis jemals preiszugeben.
Die Hardware-Basis
- Raspberry Pi RP2350: Dual-Core Architektur unter Ausnutzung der nativen Security-Features.
Kernfunktionen & Features
- 🚀 Passwortlos (WebAuthn): Kompatibel mit allen modernen Passkey-Systemen.
- 🎣 Phishing-resistent: Die Signatur ist strikt an die echte Website gebunden.
- 📦 Hohe Kapazität: Speicherplatz für bis zu 128 Passkeys.
- 🆘 Zwangs-PIN (Duress): Löscht im Ernstfall bei Eingabe den gesamten Speicher, statt ihn zu entsperren.
- 🔄 Nachhaltig: Signierte Firmware-Updates möglich (kein versiegeltes Wegwerf-Gerät).
- 🏷️ Enterprise-Ready: Eigene Attestation-Kette zur gezielten Sperrung verlorener Geräte.
(Hinweis: Der SSR-Key nutzt die offenen FIDO2-Standards, durchläuft aber derzeit keine formale FIDO-Zertifizierung).
Unsere Philosophie: Ehrlichkeit bei der Sicherheit
Wir versprechen keine Wunder. Gegen Schadsoftware, Diebstahl und das Auslesen am PC sind die Sticks extrem stark: Geheimnisse sind chip-gebunden verschlüsselt, der Auslese-Pfad ist verriegelt und typische Spannungs-Glitches beim Start sind abgewehrt.
Was nicht geschützt ist: Ein Speziallabor, das den Chip physisch öffnet und unter dem Mikroskop abtastet (Decapping / Microprobing). Das ist teuer, zerstörerisch und lohnt nur bei hochkarätigen Zielen. Dagegen schützt kein handelsüblicher Consumer-Sicherheitsschlüssel — und dafür sind unsere Produkte auch nicht gedacht. Diese Ehrlichkeit ist uns wichtiger als ein glänzendes Datenblatt.

