Automatisierungshersteller können ihre Steuerungssoftware ab der Entwicklungsumgebung Codesys V3.5 mit der Security-Technologie Codemeter von Wibu-Systems schützen, da diese Technologie fest in diese SPS integriert wurde. Sobald ein Hersteller seinen Code erzeugt hat, kann er ihn vor dem Transfer auf die Steuerung verschlüsseln und somit verschlüsselt auf einen Datenträger übertragen. Danach lässt sich der Code nur mit passender Lizenz entschlüsseln und nutzen. Diese Lizenz befindet sich im Cmdongle. Den Dongle gibt es in den Bauformen Cmstick für die USB-Schnittstelle oder als Einsteckkarte Cmcard für die SD-, MicroSD- oder CF-Schnittstelle. Sie sind für den harten Fabrikalltag mit Staub, Feuchtigkeit oder starken elektrischen und magnetischen Feldern geeignet und funktionieren bei extremen Temperaturen. Die Codesys Runtime im Speicher der Steuerung entschlüsselt automatisch die Automatisierungssoftware. Durch die Ver- und Entschlüsselung mit Schlüsselvergabe ist diese Software sicher vor Reverse-Engineering und unautorisiertem Vervielfältigen.

Dafür kann der Anwender zwei verschiedene Schutzstufen wählen: die ‚einfache Verschlüsselung‘ oder die ‚Verschlüsselung mit Lizenzmanagement‘. Für Hersteller bietet der Anbieter von Codesys, der Firma 3S-Smart Software Solutions, vorprogrammierte Cmdongles, die zusammen mit dem verschlüsselten Code an den Maschinen- oder Anlagenbauer geliefert werden. Da jede Maschine oder Anlage mit genau einem passenden Dongle funktioniert, ist ein hoher Schutzgrad gegeben.

Mit der Verschlüsselung mit Lizenzmanagement ist der Hersteller direkt mit Wibu-Systems in Kontakt und erwirbt dort die Grundausstattung zur Ver- und Entschlüsselung. Zum Starten werden ein Master-Dongle zur Programmierung und leere Cmdongles benötigt: jetzt kann der Hersteller die gewünschten Parameter setzen und so auf Kundenwünsche reagieren. Zu den Parametern gehören ‚Feature-on-Demand‘ und ‚Pay-per-Use-Mechanismen‘. Bei ‚Feature-on-Demand‘ kann der Anwender zu einem beliebigen Zeitpunkt unterschiedliche Funktionen freischalten. Somit können Hersteller die Leistungsmerkmale ihrer Maschine individuell und auch nachträglich verkaufen. Bei ‚Pay-per-Use-Mechanismen‘ wird eine bestimmte Anzahl von Lizenzen für das Zielsystem verkauft oder die Nutzung bestimmter Funktionen wird gemessen und somit die Nutzung abgerechnet. Der Hersteller stellt somit sicher, dass er seine Zahlungen abhängig von der Nutzungsart bekommt. Diese Funktionen nutzt auch 3S-Smart Software Solutions selbst. Für den Codesys-Anwender sind diese Lizenzen im Lizenz-Manager sichtbar. Jede Lizenz ist farblich markiert – nach gültige Lizenz, ungültige Lizenz oder keine Lizenz.

Schutz von Embedded-Software für VxWorks

Wibu-Systems arbeitet mit Wind River an der Integration von Codemeter in das Echtzeitbetriebssystem VxWorks zusammen. Denn Wind River gehört mit seiner Lösung VxWorks zu den weltweit führenden Anbietern für Echtzeitbetriebssysteme. Das Ziel der Zusammenarbeit ist, Embedded-Software auch in diesem Bereich zu schützen und dabei besondere Anforderungen wie die kurzen Antwortzeiten trotz eines Schutzes zu berücksichtigen sind. Zum Schutz der Embedded-Software kommen die Tools Codemeter License Central zur Lizenzverwaltung und Axprotector und Ixprotector zur Verschlüsselung zum Einsatz. Die Tools sind in die Wind River Eclipse basierte Workbench integriert. Mit dem Axprotector können ohne Quellcode-Modifikation Downloadable Kernel Module (DKM) und Real-Time-Prozesse (RTP) geschützt werden. Die Codemeter License Central ermöglicht dem Hersteller, die Lizenzerstellung in seine Vertriebsprozesse zu integrieren. Das funktioniert für beliebige Backendsysteme wie SAP oder MS-Dynamics über eine Web- oder SOAP-Schnittstelle.

Die Ebene der Betriebssystem-Funktionen – die sogenannten OS Services – der Codemeter Compact Runtime liefert Funktionen zur Ver- und Entschlüsselung, Lizenzabfrage, Integritätsprüfung sowie zur Aktualisierung von Lizenzen. Somit lassen sich Funktionen nachträglich freischalten. Das Compact Runtime entspricht, funktionell identisch, einer Teilmenge der Funktionen des Standard Codemeter Runtimes und kann kundenspezifisch modular kompiliert werden. Somit werden Ressourcen wie Programmspeicher und RAM geschont und nur benötigte Funktionen integriert. Über den ANSI-C-Quellcode lässt sich der Schutz auf beliebigen Zielplattformen einsetzen. Darüber hinaus steuert das Runtime den entfernten Zugriff auf Lizenzen bei vernetzten Embedded-Systemen.

Der modifizierte Codemeter Secure VxWorks Loader, den es für den Bereich VxWorks Core OS und Kernel gibt, wird nur die vom Hersteller korrekt signierten Komponenten laden und abhängig von der vorhandenen Lizenz entschlüsseln, zur Ausführung bringen und somit Schadcode aussperren. Die Verwendung starker Kryptographie mit symmetrischen und asymmetrischen Verfahren sowie die gegenseitige Authentifizierung von Software- und Hardwarekomponenten bedeuten einen hohen Schutzgrad für die Embedded-Software. Unterstützt wird standardmäßig VxWorks 6.8 und höher sowie die Wind River Hypervisor Virtualisierungstechnologie. Alle Lizenzinformationen sind in Dateien der software-basierten Lösung Cmactlicense oder der Codemeter-Schutzhardware gespeichert: aktuell sind dies die Bauformen für USB, SD, MicroSD und CF. Nutzt ein Hersteller Cmactlicense, kann er flexibel mithilfe der Codemeter Binding-Extension erzeugte Lizenzen an eigene, sichere Merkmale seines Zielsystems binden, beispielsweise an ein TPM-Chip, ohne zusätzlich eine Schutzhardware von Wibu-Systems kaufen zu müssen. Wibu-Systems spricht mit weiteren Anbietern, um Codemeter für weitere Betriebssysteme zu erweitern, sodass die Software aller Art und für beliebige Systeme geschützt werden kann.

Oliver Winzenried

: Vorstand der Wibu-Systems AG und Vorsitzender des Vorstands der VDMA-Arbeitsgemeinschaft Produkt- und Know-how-Schutz.

(mf)

Sie möchten gerne weiterlesen?