Hierophant verwendet hardwaregeschützte Schlüssel durch die Nutzung von Trusted Execution Environments (TEEs) oder äquivalenten sicheren Hardware-Enklaven, wenn der Datenaustausch über Mikrocontroller erfolgt. Dieser Ansatz ist entscheidend, da reiner Softwareschutz für Schlüssel gegen hochentwickelte Angreifer, die das Hauptbetriebssystem eines Geräts kompromittieren könnten, unzureichend ist. Durch die Isolierung kryptografischer Schlüssel und Operationen auf Hardwareebene bietet Hierophant eine grundlegende Sicherheitsschicht, die gegen eine Vielzahl von Angriffen resistent ist, einschließlich Malware, Rootkits und sogar starken physischen Manipulationsversuchen.
In der Architektur von Hierophant werden alle kryptografischen Schlüssel ausschließlich innerhalb des TEE eines Benutzergeräts, wie z. B. eines Smartphones oder Laptops, oder innerhalb dedizierter Sicherheitschips auf Mikrocontrollern verwaltet. Diese Schlüssel verlassen diese sichere, isolierte Umgebung niemals in Klartextform.
Entscheidend ist, dass alle sensiblen kryptografischen Operationen – insbesondere die Ver- und Entschlüsselung von Nachrichten – nur innerhalb des TEE durchgeführt werden. Das Hauptbetriebssystem oder andere Anwendungen auf dem Gerät haben keinen direkten Zugriff auf die Schlüssel und führen diese kryptografischen Funktionen auch nicht selbst aus. Stattdessen werden zu verschlüsselnde Daten in das TEE übergeben, dort sicher verarbeitet und der resultierende Chiffretext wird ausgegeben. In ähnlicher Weise wird zu entschlüsselnder Chiffretext in das TEE übergeben, und nur der Klartext wird der autorisierten Anwendungskomponente gegebenenfalls freigegeben.
Diese hardwareerzwungene Trennung stellt sicher, dass selbst bei einer Kompromittierung des primären Betriebssystems des Geräts die kryptografischen Schlüssel vertraulich bleiben und ihre Integrität gewahrt wird. Das TEE fungiert als sicherer Tresor und geschützte Verarbeitungseinheit und stellt sicher, dass der Kern der Sicherheit von Hierophant – seine kryptografischen Garantien – in Hardware verankert ist und eine Verteidigung gegen fortgeschrittene Bedrohungen bietet.