Secure Element

Secure Element (SE) bezeichnet einen dedizierten, manipulationsresistenten Mikrochip, der kryptografische Schlüssel und andere hochsensible Daten isoliert vom Hauptprozessor eines Geräts speichert und verarbeitet.

Aufbau und Funktionsweise

Ein SE ist im Kern ein eigenständiges Rechnersystem auf einem einzigen Chip: Er verfügt über eigene CPU, ROM, EEPROM und RAM sowie spezialisierte kryptografische Co-Prozessoren für Algorithmen wie AES, RSA oder DES. Diese Architektur ist entscheidend: Weil der SE seine Berechnungen vollständig intern durchführt, verlässt ein privater Schlüssel den Chip zu keinem Zeitpunkt im Klartext – weder beim Signieren einer Transaktion noch bei einer direkten Abfrage durch den Nutzer. Das Betriebssystem des Host-Geräts erhält lediglich das fertige Ergebnis der kryptografischen Operation.

Zusätzlich schützt der Chip aktiv gegen physische Angriffsmethoden. Bei sogenannten Side-Channel-Attacks versuchen Angreifer, durch Auswertung von Stromschwankungen oder elektromagnetischen Abstrahlungen während einer Berechnung Rückschlüsse auf den Schlüsselinhalt zu ziehen. Ein SE begegnet solchen Angriffen durch hardware-seitige Gegenmaßnahmen wie Rauschen auf dem Versorgungsstrom, Zufalls-Taktjitter und physische Abschirmung.

Einsatz in der Praxis

Die Technologie ist nicht kryptospezifisch, sondern weit verbreitet: EMV-Chips auf Bankkarten, biometrische Reisepässe und SIM-Karten setzen auf denselben Prinzipien auf. Bei mobilen Bezahldiensten generiert der SE bei jeder Transaktion einen einmaligen kryptografischen Token, ohne die eigentliche Kartennummer an das Terminal zu übermitteln.

In Hardware Wallets übernimmt der SE die Rolle des einzigen Orts, an dem der private Schlüssel jemals existiert. Die Wallet-Software auf dem Computer oder Smartphone kommuniziert mit dem Gerät, das Gerät kommuniziert mit dem SE – der Schlüssel selbst bleibt hinter dieser Grenze. Selbst wenn der angeschlossene Rechner vollständig kompromittiert ist, kann ein Angreifer ohne physischen Zugriff auf den SE keine gültigen Transaktionen autorisieren. Dieser Ansatz unterscheidet Hardware Wallets grundlegend von Software-Lösungen wie Hot Wallets, die Schlüssel im allgemeinen Arbeitsspeicher halten.

Wer seine Recovery Phrase (Seed) sichert, schützt gleichzeitig den Zugang zu den im SE verwurzelten Schlüsseln für den Fall eines Geräteverlusts – der Chip selbst ist nicht das einzige Backup, sondern die Phrase ist es.

Verwandte Begriffe

• Hardware Wallet
• Cold Wallet
• Air-Gapped Wallet
• Hardware-Wallet-Recovery