Ein Angreifer kann Software-IP, das nicht integritätsgeschützt ist, modifizieren.

Bild 1: Ein Angreifer kann Software-IP, das nicht integritätsgeschützt ist, modifizieren. IAR

Bild 2: Das Versiegeln der Software-IP mit einer digitalen Signatur ist ein effizienter Schutz vor Modifikationen durch Angreifer.

Bild 2: Das Versiegeln der Software-IP mit einer digitalen Signatur ist ein effizienter Schutz vor Modifikationen durch Angreifer. IAR

Assistent zur Konfiguration der IP-Schutzfunktion, die die Authentizität und Integrität (Basic Signature Checking) oder den Schutz der Vertraulichkeit (Full Encryption) überprüft.

Bild 3: Assistent zur Konfiguration der IP-Schutzfunktion, die die Authentizität und Integrität (Basic Signature Checking) oder den Schutz der Vertraulichkeit (Full Encryption) überprüft. IAR

Bild 4: Assistent zur Konfiguration der Überprüfung der Versionsnummer, um die Installation einer älteren Firmware-Version durch einen Angreifer zu vermeiden.

Bild 4: Assistent zur Konfiguration der Überprüfung der Versionsnummer, um die Installation einer älteren Firmware-Version durch einen Angreifer zu vermeiden. IAR

Im Markt für Konsumenten kämpfen viele Unternehmen mit Fälschungen und geklonten Produkten. Im Bereich der vernetzten Geräte jedoch haben Chips aus dem sogenannten grauen Markt das Potenzial, der Branche, dem Ansehen der Marke und der Sicherheit der Nutzer noch weitaus größeren Schaden zuzufügen. Das Internet der Dinge (Internet of Things, IoT) bietet zweifellos viele Vorteile: Geschäftsprozesse werden verbessert, die Effizienz gesteigert, Ausfallzeiten reduziert und vieles mehr. Die Tatsache, dass die Geräte über das Internet verbunden sind, bedeutet jedoch auch, dass der Ausfall eines einzelnen Geräts bereits Konsequenzen für die gesamte Infrastruktur haben kann.

Ein großes Problem hierbei ist, dass die Hersteller oftmals keine vollständige Gewissheit über die Authentizität von Geräten und Produkten innerhalb der Lieferkette haben. Bei einer Deloitte-Umfrage aus dem Jahr 2018 unter 500 führenden Beschaffungsverantwortlichen aus 39 Ländern wurde festgestellt, dass die Transparenz der Lieferkette mangelhaft ist: 65 Prozent der Befragten haben einen begrenzten oder gar keinen Einblick in die Lieferkette außerhalb ihrer direkten Lieferanten.

Risiko gefälschte Komponenten

Darüber hinaus stellen gefälschte Komponenten ein Sicherheitsrisiko dar. Denn es kann nicht gewährleistet werden, dass die Software auf dem Endgerät nicht verändert wurde oder dass die zugrunde liegende Hardware die vom OEM spezifizierte Zuverlässigkeit und Robustheit aufweist. Software kann mit betrügerischer Absicht modifiziert werden und dann verborgenen Schadcode enthalten. Die fehlende Integrität von IP führt dazu, dass modifizierte Software vernetzte Infrastrukturen anfällig für Hackerangriffe macht.

Ein gutes Beispiel hierfür ist ein modernes Auto. Wird hier eine geklonte Komponente eingebaut, die nicht den Spezifikationen der Originalkomponente entspricht, kann es sein, dass das Fahrzeug letztlich nicht die erforderlichen Betriebsanforderungen erfüllt. Diese Gefahr besteht vor allem, wenn die gefälschte Komponente äußerlich und funktional dem Original entspricht.

Abhängig vom System oder der Anwendung, die einen gefälschten Chip verwendet, kann das zu vielen verschiedenen Resultaten mit ganz erheblichen unbeabsichtigten Folgen führen. In einem Fahrzeug kann es beispielsweise zu Ausfällen von sicherheitskritischen Funktionen für das autonome Fahren kommen. Schuld an diesen Ausfällen können andere Toleranzgrenzen in der Software des geklonten Chips sein, die nicht sofort ersichtlich sind.

Ein weiterer sensibler Bereich ist Software-IP für das Gesundheitswesen. Medikamente können falsch dosiert werden und einen Patienten schwer schädigen, weil ein Sensor falsche Daten liefert.

Im Allgemeinen birgt eine verteilte Lieferkette das Risiko, dass Software-IP von Hackern abgefangen und modifiziert werden kann, um Schadcode einzuschleusen.

Funktionale Sicherheit und IP-Schutz

C-Trust von Secure Thingz bietet einen effizienten Schutz von Software-IP auf der Grundlage von Kryptographie. Eine automatisch erstellte digitale Signatur gewährleistet Integrität und Authentizität der Software. Die Verifikation dieser Signatur erfolgt durch einen von Secure Thingz bereitgestellten, sicheren Bootmanager (Secure Boot Manager, SBM). Der SBM wird mit Hardware-Sicherheitsmechanismen auf dem Chip vor Modifikationen geschützt und durch eine eigene Sicherheitsumgebung (Secure Desktop Provisioner, SDP) personalisiert. Der SDP ermöglicht eine Chip-individuelle Integritätssicherung, die mit einer Verschlüsslung der Software kombiniert werden kann.

Diese Verschlüsselung dient dem Schutz der Vertraulichkeit von Software-IP. Damit lassen sich Reverse Engineering und der Diebstahl der Software-IP verhindern. Die dabei eingesetzte Ende-zu-Ende-Verschlüsselung erstreckt sich von der Entwicklungsumgebung (IAR Systems Embedded Workbench mit C-Trust) bis zu dem Moment, in dem die Software auf dem Chip gebootet wird.

IP-Schutz mit C-Trust

Eine wichtige Anforderung seitens Entwickler an C-Trust ist die Vereinfachung der Integration von Sicherheitsfunktionen. Um eine Anwendung mit einem IP-Schutz auszustatten, müssen Entwickler keine Kryptographie-Experten sein oder Kenntnisse über die Verwaltung von kryptographischen Schlüsseln haben. Mit einem Assistenten in der Entwicklungsumgebung kann die IP-Schutzfunktion ganz einfach in wenigen Schritten konfiguriert werden. Beispielsweise sind für den IP-Schutz verschiedene Einstellungen möglich, wie zum Beispiel das Basic signature checking. Diese schützen die Software-IP vor Änderungen und erlauben nur das Booten von authentifizierter Firmware. Die Funktion kann erweitert werden, indem Entwickler eine Full encryption für die Firmware auswählen – sie bietet einen zusätzlichen Schutz gegen Reverse Engineering und IP-Diebstahl.

Eine weitere Konfigurationsmöglichkeit ist der Schutz vor einem Firmware-Downgrade auf eine ältere Version, auch bekannt als Anti-Rollback. Die Funktion „Version number check“ verhindert, dass bei Firmware-Updates ältere Versionen mit später erkannten Sicherheitslücken verwendet werden und Angreifer diese Sicherheitslücken in der veralteten Firmware-Version ausnutzen können.

In vielen Unternehmen ist der Anteil von Software-IP in der Wertschöpfung über die letzten Jahre kontinuierlich gestiegen. Deshalb wird der Schutz dieses geistigen Eigentums immer wichtiger. Der Entwicklungsaufwand für eine neue Software bedeutet oft eine erhebliche Investition und die Einführung eines neuen Produkts mit einer komplexen Software kann einen entscheidenden Marktvorteil darstellen. Unternehmen können auf einfache Weise diese Investition in Software absichern, indem sie mit C-Trust grundlegende Sicherheitsmaßnahmen treffen.

Infokasten

C-Trust ist eine Erweiterung der Entwicklungs-Toolchain IAR Embedded Workbench von IAR Systems. Mit ihren Security-Context-Profilen können Entwickler auch ohne Kryptographie-Kenntnisse auf einfache Weise Security-Merkmale in ihre Anwendung integrieren. Ein Profil definiert die Konfiguration der vertrauenswürdigen Ausführungsumgebung, indem es die Sicherheitsumgebung beschreibt, die zum Schutz einer Anwendung erforderlich ist. Dazu gehören kryptographische Schlüssel und Zertifikate, die Secure-Boot-Konfiguration, die Prozessorsicherheit, der Aktualisierungsprozess für die Applikation und die Richtlinien sowie das Layout des Speichers. Die neueste Version 1.40 von C-Trust enthält auch Profile für die Produktionskontrolle zur Verhinderung von Fälschungen und Klonen.