Skip to content

Commit 15a08c1

Browse files
Anton-DodonovAnton-Dodonov
committed
firmware support
1 parent 03ec219 commit 15a08c1

1 file changed

Lines changed: 31 additions & 2 deletions

File tree

flows/sdd-https-vpn-ciphersuite-th/01-requirements.md

Lines changed: 31 additions & 2 deletions
Original file line numberDiff line numberDiff line change
@@ -1,6 +1,6 @@
11
# ข้อกำหนด: sdd-https-vpn-ciphersuite-th (ชุดรหัสลับสำหรับประเทศไทย)
22

3-
> เวอร์ชัน: 1.1
3+
> เวอร์ชัน: 1.2
44
> สถานะ: ร่าง (DRAFT)
55
> อัปเดตล่าสุด: 2026-05-11
66
@@ -29,7 +29,11 @@
2929
- **Operational Use:** ใช้ Hybrid Ed25519/ECDSA + ML-DSA-65 สำหรับใบรับรองทั่วไป, Control API signing และ Signed config bundles
3030
- **Conservative Trust Anchor:** ใช้ SLH-DSA สำหรับ Root Manifest (Offline), Firmware Signing fallback และ Disaster Recovery keys
3131

32-
3. **ระบบสำรอง (Backup):**
32+
3. **การลงนามเฟิร์มแวร์ (Firmware Signing):**
33+
- **Integrity Protection:** ต้องมีเครื่องมือสำหรับลงนามไฟล์เฟิร์มแวร์ (`h2_firmware`) โดยใช้ SLH-DSA เพื่อป้องกันการแก้ไขจากคอมพิวเตอร์ควอนตัม
34+
- **Multi-layer Signature:** รองรับการลงนามซ้อน (Double signing) ระหว่าง Ed25519 และ ML-DSA-65 สำหรับการตรวจสอบในหลายระดับ
35+
36+
4. **ระบบสำรอง (Backup):**
3337
- ต้องมี HQC (Hamming Quasi-Cyclic) เป็น Backup KEM ในกรณีที่ ML-KEM พบช่องโหว่
3438

3539
### สิ่งที่ควรมี (Should Have)
@@ -61,3 +65,28 @@
6165
- [ ] ตรวจสอบโดย: [ชื่อ]
6266
- [ ] อนุมัติเมื่อ: [วันที่]
6367
- [ ] หมายเหตุ: [ข้อเสนอแนะเพิ่มเติม]
68+
69+
## ข้อจำกัด (Constraints)
70+
71+
- **Performance**: ML-KEM-1024 จะไม่ถูกใช้เป็นค่าเริ่มต้นสำหรับทราฟฟิกที่ไวต่อความหน่วง (Latency-sensitive) เนื่องจากขนาดกุญแจและภาระการประมวลผล
72+
- **Complexity**: การจัดการใบรับรองแบบ Hybrid จะมีความซับซ้อนเพิ่มขึ้นในการจัดการ Trust Chain
73+
74+
## คำถามที่ยังไม่มีคำตอบ (Open Questions)
75+
76+
- [ ] การจัดการขนาด MTU ของ VPN เมื่อใช้ SLH-DSA ซึ่งมีขนาดลายเซ็นที่ใหญ่มาก
77+
- [ ] ความพร้อมของ Library สำหรับ ML-DSA และ SLH-DSA ในเวอร์ชัน Production
78+
79+
## เอกสารอ้างอิง (References)
80+
81+
- FIPS 203: ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism)
82+
- FIPS 204: ML-DSA (Module-Lattice-Based Digital Signature Standard)
83+
- FIPS 205: SLH-DSA (Stateless Hash-Based Digital Signature Standard)
84+
- NIST PQC Project: HQC, Falcon (ongoing research)
85+
86+
---
87+
88+
## การอนุมัติ (Approval)
89+
90+
- [ ] ตรวจสอบโดย: [ชื่อ]
91+
- [ ] อนุมัติเมื่อ: [วันที่]
92+
- [ ] หมายเหตุ: [ข้อเสนอแนะเพิ่มเติม]

0 commit comments

Comments
 (0)