wolfBoot 2.3.0をリリースしました

wolfBoot 2.3.0をリリースしました。

組み込み向けセキュアブートローダーwolfBootは、新しいプラットフォームへのサポートを拡大し、既存のデバイスとの互換性を改善し、さらに次世代の組み込みシステム向けのセキュアブートを定義するための画期的な新機能を導入しています。

ML-DSAとハイブリッド認証による新時代のセキュアブート

wolfSSL最新リリースでの量子耐性アルゴリズムの導入により、セキュアブートソリューションでの共通鍵暗号の統合が加速されました。
2023年、wolfBoot v2.0.0は署名検証アルゴリズムをハッシュベースの状態を持つ署名LMS（+HSS）とXMSS（^MT）に拡張しました。
wolfBoot v2.3.0では、FIPS-204で規定されているML-DSAを導入し、ファームウェアやその他の重要なコンポーネントの真正性を検証するためのオプションをさらに拡張しています。
wolfBootでのML-DSAサポートは現在、NISTセキュリティカテゴリー2、3、5に対応するML-DSA-44、ML-DSA-65、ML-DSA-87の3つのバリアントで利用可能です。

ハイブリッド認証：ポスト量子と古典的暗号の融合

wolfBoot 2.3.0の最も期待すべき機能として、ハイブリッド認証のサポートが挙げられます。これはポスト量子暗号（PQC）アルゴリズムと、ECCやRSAなどの従来の暗号技術を組み合わせる手法です。量子攻撃に耐性のあるPQCの堅牢性と、古典的アルゴリズムの確立された信頼性を組み合わせることで、セキュリティ性能を強化します。
PQCアルゴリズムとECC521の組み合わせによるハイブリッド暗号は、最高レベルのセキュリティを要求するシステムのためのガイドラインであるCNSA 2.0準拠への道を提供します。
wolfBootのハイブリッド認証は、PQCと従来の暗号の組み合わせでブートイメージに署名・検証することでブートプロセスを保護します。この二重の保護アプローチにより、一方のアルゴリズムが脆弱になってももう一方が耐性を維持します。
量子コンピューティング能力が成長する中で、組み込みシステムに対し将来性のある戦略を提供します。

ブート時間の最適化とパフォーマンスモニタリング

wolfCryptでのARMに対する新しいアセンブリ最適化により、イメージ検証時間が大幅に短縮されました。これらのARM最適化は、すべてのCortex-Mデバイスでデフォルトで有効になっています。
ブート時間、フットプリントサイズ、実行時メモリ使用量、その他のパフォーマンス指標を常時監視できるように、CI/CD環境に新しいベンチマークツールを追加しました。

キーストアとキーボールト管理の改善

wolfBoot 2.3.0から、同じ信頼アンカーに異なるサイズの公開鍵を格納できるようになりました。これは、ハイブリッドモードでの二重署名検証や、ブートチェーンに複数の暗号を同時に含む異種コンポーネントを統合する際の重要な機能です。
PKCS11キーボールトストレージドライバーも改善され、不揮発性メモリに確実にキーを格納し、wolfPKCS11との互換性を確保できるようになりました。

ハードウェアサポート

このバージョンから、サポートするハードウェアプラットフォームとして以下デバイスを追加しました。

Infineon AURIX TriCore TC3xx
Microchip AT-SAMA5D3
Nordic nRF5340

さらに、既存のポーティングについても安定性を改善しました。wolfBoot v2.3.0では、特に以下のデバイスを対象として改善しています。

NXP i.MX-RTシリーズ：製造元が提供する組み込みの高保証ブート（HAB）メカニズムのサポートを含む機能を拡張しました。フラッシュの相互作用が改善され、パフォーマンスを向上させるためにDCACHE無効化が微調整されました。
Renesas RX：フルフラッシュ消去操作の導入、より効率的なフラッシュ管理、ブート時IRQのサポートを改善しました。
Raspberry Pi：UARTドライバーを追加しました。