Die Codemeter-Speichergeräte gibt es in verschiedenen Ausführungen...

Die Codemeter-Speichergeräte gibt es in verschiedenen Ausführungen… Wibu-Systems

Egal ob es sich um komplexe Maschinen, Anlagen und Automatisierungssysteme oder um Steuerungen, einzelne Sensoren oder Aktoren handelt – jedes Gerät tauscht mit jedem beliebigen Teilnehmer Daten und Informationen aus. Und zwar entlang aller Prozesse der gesamten Wertschöpfungskette. Dabei kann dieser Datenaustausch horizontal durch die komplette Automatisierungspyramide erfolgen. Außerdem kann sich ein ERP-System eine benötigte Information direkt vom Sensor auf der Feldebene holen – also vertikal durch die Pyramide. Beides funktioniert über den Kommunikationsstandard OPC UA, der gleichzeitig für die in einem Kommunikations-Netzwerk notwendige Security sorgt. Als Basisschutz signiert das Protokoll alle übertragenen Nachrichten digital. Damit ist sowohl die Herkunft aus einer vertrauenswürdigen Quelle als auch die Integrität der Daten – zum Schutz vor Manipulation – gewährleistet. Alle OPC-Geräte und OPC-Anwendungen können sich über offene und etablierte Sicherheitsstandards authentifizieren – beispielsweise über X.509-Zertifikate. Das sind Public-Key-Zertifikate, die die Identität des Inhabers sowie weitere Eigenschaften eines offenen Schlüssels bestätigen. Damit schützen sie vertrauliche Infor­mationen, Authentizität und Integrität von Daten. Bei Bedarf kann die Kommunikation zwischen den Teilnehmern zusätzlich verschlüsselt werden.

Ausweis und Container für digitale Schlüssel

Die Zertifikate spielen eine zentrale Rolle bei den Sicherheitsmechanismen von OPC UA. Sie dienen einerseits als eine Art Ausweis, um Geräte oder Anwendungen zu identifizieren, die über das Protokoll miteinander kommunizieren wollen. Andererseits sind sie der Container für die Schlüssel, welche für die Absicherung der Kommunikation benötigt werden. Beim Verbindungsaufbau zwischen einem Informationsanbieter (OPC-UA-Server) und einem Informationskonsumenten (OPC-UA-Client) tauschen beide Partner die Zertifikate aus und prüfen sie jeweils gegen eine Vertrauensliste: Nur dann kommt ein Verbindungsaufbau zustande. Für den Aufbau und die weitere Kommunikation signieren und verschlüsseln die öffentlichen Schlüssel in den Zertifikaten und die privaten Schlüssel der Kommunikationspartner die Nachrichten.

...passend für verschiedene Anwendungsfälle.

…passend für verschiedene Anwendungsfälle.Wibu-Systems

Jeder Hersteller, der ein OPC-UA-fähiges Gerät oder eine OPC-UA-fähige Software anbietet, bekommt diese Sicherheitsmechanismen über die Entwicklungstools frei Haus geliefert. Lediglich das Verwalten, Verteilen und Aktualisieren der Zertifikate muss ein Administrator lösen.

Ein sicherer Container schafft Abhilfe

Der entscheidende Punkt bei der Nutzung von Zertifikaten ist die sichere Verwahrung der privaten Schlüssel auf den Geräten. Lässt sich der Schlüssel aus der Komponente auslesen, ist das Sicherheitssystem an dieser Stelle gebrochen. Verglichen mit dem IT-Sektor ist eine Industriekomponente ein sehr langlebiges Bauteil. Somit muss auch der Keystore langfristig sicher sein. Deshalb hat Wibu-Systems ihr Schutzsystem Codemeter erweitert und mit dem OPC-UA-Stack verbunden. Die Codemeter-Technologie zur Software-Absicherung für PCs, Embedded-Systeme und Steuerungen basiert unter anderem auf der Nutzung eines Dongles zum sicheren Speichern von Schlüsseln. Die benötigten OPC-UA-Zertifikate und OPC-UA-Schlüssel werden im systemeigenen Cm-Container gespeichert. Dieser kann eine softwarebasierte Cm-Act-License sein – eine verschlüsselte Datei, die individuell an verschiedene Umgebungsparameter wie Chip-IDs, Seriennummern und Systemzustände gebunden ist: Lizenzen und Schlüssel befinden sich in einer eindeutigen rechnergebundenen Lizenzdatei, die erstellt und aktiviert wird. Bequemer in der Handhabung ist allerdings ein Container in Form der hardwarebasierten Variante: eines Dongles, der alle Schlüssel und Lizenzen, in einem speziell gesicherten Chip ablegt. Dieser Cm-Dongle lässt sich über verschiedene Schnittstellen wie USB, (Micro-)SD-Card, CFAST oder CF (Compact-Flash-Karten), aber auch direkt als ASIC (Anwendungsspezifische integrierte Schaltung) in das System einbinden. Muss der Anwender im Servicefall eine Komponente tauschen, steckt er den Cm-Dongle in das Ersatz­gerät und die gesicherte Kommunikation läuft nahtlos weiter.

Die Codemeter License Central erstellt und verteilt Zertifikate für OCP-UA-Geräte.

Die Codemeter License Central erstellt und verteilt Zertifikate für OCP-UA-Geräte.Wibu-Systems

Automatisierte Zertifikatsverwaltung

Gibt es in einer Anlage oder Maschine viele Sensoren, Aktoren, Steuerungen und Anzeigesysteme bis hinauf zum ERP-System, stellt die Verteilung und Aktualisierung der Zertifikate eine Herausforderung dar. Hierfür wurde OPC UA um eine Definition für ein zentrales Management von Zertifikaten und das sichere Verteilen der Zertifikate erweitert. Auf Basis dieser Erweiterung können sich OPC-UA-Anwen­dungen am zentralen System registrieren, neue Zertifikate beantragen und von dort regelmäßig die Vertrauenslisten aktualisieren – ohne zusätzliche Proto­kolle. OPC UA stellt das Kommunikationsprotokoll zur Verfügung, die Codemeter License Central von Wibu-Systems übernimmt das Verwalten und Verteilen der Zertifikate. Diese Software-Lizensierung ist als Desktop-Programm oder Internetversion erhältlich. Mit ihr kann der Anwender lokal angeschlossene Cm-Dongles programmieren und CM-Act-­Licenses erstellen. In der Inter­netversion lässt sich das Erstellen der Lizenz außerdem an ein ERP-System anbinden und das Ausliefern der Software-Lizenzen durch eine Online-Aktivierung automatisieren. Dabei kann der Anlagenbetreiber eigene Zertifikate oder die anderer Zertifizierungsstellen verwenden. Vor allem das Verteilen individueller Zertifikate an jeden Aktor oder Sensor ist komplex: die einzelnen Komponenten können sich auch in mehrere Kilometer weit verzweigten Anlagen oder an schwer erreichbaren Stellen befinden. Codemeter verteilt die Zertifikate in solchen Fällen über das Push-Model an jeden beteiligten OPC-UA-Server und -Client. Dabei erfolgt die Übertragung der Zertifikate wiederum verschlüsselt. Codemeter lässt sich mit der standardisierten PKCS#11-Schnittstelle mit verschiedenen Sicherheitsbibliotheken verwenden. PKCS beschreibt Kryptographiestandards für öffentliche Schlüssel. #11 ist eine API, die eine generische Schnittstelle zu kryptografischen Token spezifiziert. So kombiniert, kann der Systemintegrator die hardwaregebundene Schlüsselspeicherung mit Cm-Containern in Verbindung mit den offenen Industriestandards nutzen.

Hannover Messe 2015
Halle 8, Stand D05