Bild 3: Ein USB 3.1 Stick mit integrierter Sicherheit wie der PU-50n DP macht USB als Interface für Wartungsaufgaben sicher gegen Missbrauch.

(Bild: Swissbit)

Welche Sicherheitsfunktionen lassen sich sinnvoll direkt in einem System implementieren? Daten vor unbefugtem Zugriff oder nachträglicher Manipulation schützen, Datenkommunikation vor Ausspähung oder Manipulation bewahren, eine vertrauenswürdige Umgebung schaffen – all dies sind mögliche Anforderungen für die Entwicklung elektronischer Systeme.

Eckdaten

Die neuen Flash-Speicher von Swissbit haben vielfältige Sicherheitsfunktionen integriert. Wechseldatenträger wie Memory-Cards oder USB-Sticks sind damit eindeutig identifizierbar und fälschungssicher. Neben Trusted Boot lassen sich auch Daten verschlüsseln und persistent speichern. So kommen WORM-Flash-Speicher-Karten (Write Once Read Multiple) für signierte Audit-Trails oder Fiskaldaten zum Einsatz. Der USB 3.1 Stick PU-50n DP (Data Protection) hingegen ist in mehrere separater Bereiche aufteilbar, für welche der jeweilige Datenschutz flexibel konfigurierbar ist. Sichere Wechselspeichermedien bieten somit die Vorteile von Nachrüstbarkeit und hoher Flexibilität.

Eine Komponente, die praktisch überall gebraucht wird, ist Speicher – ob zum Booten, als Firmware-Speicher oder zum Daten loggen. Im industriellen Umfeld wählt man hierzu üblicherweise robuste Flash-Speichermedien. Swissbit ist auf besonders langlebige und lang verfügbare Speichermedien für Märkte wie Industrie, Medizintechnik oder Telekommunikation spezialisiert. Die neueste Idee der Memory-Spezialisten integriert die Sicherheitsfunktionen direkt im Speicher.

Eindeutig identifizierbar und fälschungssicher

Ein Flash-Speichermodul, das in wichtigen Geräten zum Einsatz kommt, muss Mindeststandards genügen. Eine eindeutige Identifizierbarkeit und Fälschungsschutz sowie Integritätsschutz sind unerlässlich. Gefälschte Geräte stellen nicht nur ein wirtschaftliches Problem für die Hersteller dar, sie können auch für Anwender zum Risiko werden, zum Beispiel in der Medizintechnik. Ein eindeutig identifizierbarer Datenspeicher stellt sicher, dass die Kombination von Hardware und Software in einem Gerät dem entspricht, was der Hersteller qualifiziert hat.

Des Weiteren soll die Funktion im Feld über den ganzen Lebenszyklus konstant und definiert sein. Es ist wichtig, jederzeit Prüffunktionen anstoßen zu können, um herauszufinden, ob die Firmware im Speichercontroller die erwartete ist. Besonders wichtig ist der Echtheitsschutz, der kryptografisch abfragbar ist. Hier lassen sich baugleiche Speicher unterscheidbar machen, sodass ein Gerätehersteller die Möglichkeit hat, das Ersatzteilgeschäft zu kontrollieren.

Booten mit Geheimnis

Eine andere gerätebezogene Anwendung ist Trusted Boot. Dieses Konzept stellt sicher, dass Software nur auf bestimmter Hardware oder auf Hardwareklassen gestartet werden kann. Der Bootloader verwendet ein Authentifizierungsgeheimnis, das nur in der Boot-Umgebung verfügbar ist. Sobald die erste Stufe gestartet wird, erfolgt in den nächsten Stufen eine Hash-Berechnung für jede darauffolgende Stufe. Ist die Hash-Berechnung korrekt, wird der Entschlüsselungsschlüssel für die nächste Stufe vom Modul bereitgestellt.

Bild 1: In der microSD Memory Card übernimmt der Flash Controller die Sicherheitsfunktionen und verwendet optional Smart-Card-Funktionen.

Bild 1: In der microSD Memory Card übernimmt der Flash Controller die Sicherheitsfunktionen und verwendet optional Smart-Card-Funktionen. Swissbit

Sobald diese Kaskade durch Manipulation oder Fehler zerbricht, gilt das System als nicht mehr zuverlässig und geht erst gar nicht in Betrieb. Auf diese Weise lässt sich die Qualität eines Gerätes sehr strikt definieren. Mit einer sicheren Flash-Karte lassen sich so Softwarelizenzierungen und Funktionsfreischaltungen regeln. Durch Zugangskontrolle, Code-Verschlüsselung oder digitale Signatur lassen sich Varianten in der Softwareausstattung von Produkten definieren und verwalten.

Daten verschlüsseln und persistent speichern

Auch in ihrer ursprünglichen Funktion als reiner Datenspeicher gewinnt eine Flash-Karte durch ergänzende Sicherheitsfunktionen zusätzliche Anwendungsmöglichkeiten. So benötigen etwa Audit Trails einen vertrauenswürdigen Logging-Mechanismus. Jedes Ereignis, das sicher protokolliert werden muss, wird persistent und unveränderlich gespeichert. Hash-Ketten von Datensätzen in einmalig beschreibbaren Speichern (WORM) stellen sicher, dass jede Manipulation oder Löschung von Datenelementen erkennbar ist.

Exportierte Daten werden durch digitale Signatur versiegelt, die eine perfekte Lösung zur Absicherung von fiskalischen Anwendungen in Registrierkassen darstellt. Asymmetrische Verschlüsselung unter Verwendung des Secure-Elementes kann auch schlicht dem Datenschutz dienen. Die Applikation speichert passwortgeschützt Daten, damit diese nur von autorisiertem Personal oder einem entsprechenden System ausgelesen werden können wie beispielsweise Bilder von Überwachungskameras oder Bodycams.

Bild 2: Das steckbare TPM (Trusted-Platform-Modul) besteht aus SD Memory Cards mit entsprechenden Secure Elementen.

Bild 2: Das steckbare TPM (Trusted-Platform-Modul) besteht aus SD Memory Cards mit entsprechenden Secure-Elementen. Swissbit

Dingen einen Ausweis geben

Gibt das Speichermedium den Anwendungen und Systemen eine eindeutige Identität, kann diese auch auf andere Weise genutzt werden. Im Industrial Internet of Things werden immer mehr Geräte vernetzt und sind aus dem Internet erreichbar. Systeme wie industrielle Steuerungen, die per Remote gewartet werden sollen, sind somit jedoch angreifbar. Vernetzte Systeme müssen daher künftig einen Schutz vor Missbrauch und Identitätsdiebstahl enthalten. Auch der Zugriff auf Daten muss eingeschränkt werden. Eine Verschlüsselung von Daten und die eindeutige Identifizierbarkeit von M2M-Kommunikationsteilnehmern sind die saubersten Lösungen.

Analog zur Absicherung von Internetkommunikation in der IT, wo sich Anwender für eine Zwei-Faktor-Authentisierung mit einem Smartcard Token ausweisen, bieten Speichermodule mit Secure-Element die Möglichkeit, den Teilnehmern in der M2M-Kommunikation einen Ausweis zu geben. So weiß ein Gerät, dass die empfangenen Daten oder Datenabfragen von einem anderen Gerät korrekt sind und die Quelle einer Nachricht wirklich die Systemkomponente ist, die sie vorgibt zu sein. Mit auf Memory Cards integrierten Smartcards erhalten Systeme eine nicht klonbare Identität. Solche Systeme können sich authentisieren und Daten kryptografisch stark gesichert senden und empfangen.

Firmware realisiert vielfältige Sicherheitsfunktionen

Die sicheren Flash-Medien, die Swissbit für die beschriebenen Aufgaben anbietet, sind Erweiterungen bewährter SD und microSD Memory Cards für industrielle Anforderungen. Diese gibt es mit extrem langlebigem SLC-Flash oder mit dem kostengünstigeren Durabit-MLC. Hinter diesem Markenbegriff des Herstellers verbergen sich spezielle Firmware-Funktionen, welche Endurance (Lebensdauer des Mediums) und Retention (Lebensdauer der Daten) von MLC-NAND-Chips weit über das sonst mögliche Maß verlängern.

In der Firmware sitzt dann auch ein großer Teil der Sicherheitsfunktionen wie ein integrierter AES-Enkryptor oder die Möglichkeit, das Medium in einen WORM-Modus zu versetzen. Für Anwendungen, die eine eindeutige, nicht fälschbare Identität verlangen, enthält die Speicherkarte dann zusätzlich eine Smartcard als Secure-Element. Dieses übernimmt die Funktion eines Trusted-Platform-Moduls (TPM, Bild 2). Diese Sicherheitsvarianten bewähren sich bereits im breiten Praxiseinsatz wie etwa in abhörsicheren Handys, in Bodycams für Sicherheitsbehörden oder in betrugssicheren Registrierkassen. Die Integration der Karten und ihrer Sicherheitsfunktionen ist denkbar einfach (siehe Kasten).

So funktioniert die Integration

Die Delegierung von Kryptografieaufgaben an diese Memory Cards mit Secure Element erfolgt über PKCS#11-Programmierung (Public-Key Cryptography Standard). Um die API der sicheren Speicherkarten zu nutzen, bietet Swissbit eine PKCS#11-Library. Die API definiert Funktionen, die zum Erstellen, Ändern, Verwenden und Löschen von kryptografischen Objekten auf sicheren Flash-Karten benötigt werden. Diese Objekte können X.509-Zertifikate, RSA-Private-/Public-Key-Paare, elliptische Schlüsselpaare, symmetrische Schlüssel oder Datenobjekte sein.

Mitgeliefert wird ein PKCS#11-Applikationsprogramm, mit dem alle Sicherheitsfunktionen leicht nachvollzogen werden können. Es verwendet die PKCS#11-API und implementiert eine Befehlszeilenschnittstelle (CLI) zur PKCS#11-Bibliothek. Als Schlüssel- und Zertifikatmanagementprogramm kann ein vorhandenes PKCS#11-kompatibles Tool oder auch das Open Source Tool xca zum Einsatz kommen, eine Applikation mit GUI für den Umgang mit X509-Zertifikaten. Mit xca werden über die PKCS#11-API Anfragen zur Zertifikatssignierung auf Basis von geschütztem Schlüsselmaterial auf der Swissbit-Karte erstellt und Zertifikate auf die Karte kopiert. Zusätzlich lassen sich RSA- und ECDSA-Schlüsselpaare auf der Karte erzeugen.

Ein überaus praktischer Aspekt der PKCS#11-Nutzung: Auch Mozilla Firefox nutzt die PKCS#11-API. Die Swissbit-PKCS#11-Bibliothek integriert sich in Firefox und verwendet dabei die X509-Zertifikate zur SSL-Client-Authentisierung. Diese sind auf der Swissbit-Flash-Karte gespeichert und sichern so den Zugang zu und die Kommunikation mit Webseiten. Die PKCS#11-API bietet zudem einen OpenSSL-Engine-Support, sodass OpenSSL direkt auf die Objekte auf der Karte zugreifen kann. Auf diesem Weg sind alltäglich genutzte Sicherheitsmechanismen hochsicher mit den Memory Cards realisierbar. Die Integration in eine Vielzahl von Open-Source-Applikationen zeigt die Standardkonformität der PKCS#11 Schnittstelle.

 

Sicherheit im USB-Stick

Auf der Embedded World Ende Februar stellte Swissbit das jüngste Mitglied seiner Secure-Flash-Speicher vor, den USB 3.1 Stick PU-50n DP (Data Protection). Eine fast logische Konsequenz, denn seit Einführung von USB 3.1 wird diese Schnittstelle auch in industriellen Anwendungen immer beliebter (Bild 3).

Insbesondere als Interface für Wartungsaufgaben, wie einer Datenübernahme oder Update-Einspielung an Geräten, ist USB sehr komfortabel. In der IT-Sicherheit hat USB bisher einen eher zweifelhaften Ruf. Aber gerade die schlechten Erfahrungen aus der Vergangenheit sind ein Argument für den Einsatz der neuen Swissbit-USB-Flash-Drives. Eine einfache Sicherheitsroutine in dem mit USB-Schnittstelle versehenen Gerät und der Zugriff über die Schnittstelle ist für USB-Sticks, die nicht das verlangte Authentifizierungsgeheimnis bieten, gesperrt.

Dieser spezielle USB-Stick bietet zusätzliche Optionen für die Speichernutzung, die auf SD Memory Cards in dieser Form nicht möglich sind. So lässt sich der Speicher des USB-Sticks in verschiedene logische Bereiche aufteilen, wobei sich jeder Abschnitt als separater Massenspeicher mit einer frei konfigurierbaren Datensicherheitsrichtlinie darstellt. Der jeweilige Datenschutz ist dann flexibel steuerbar.

Effiziente Schutzmechanismen auch gegen Angriffe

Als Zugriffsrichtlinien sind für jede Partition CD-ROM-Emulation, private Partition, öffentliche Partition und versteckter WORM-Speicher verfügbar. Die CD-ROM-Funktion kann schreibgeschützte Daten wie Boot-Medien, Software-Installer oder andere Daten bereitstellen, die nicht überschrieben werden dürfen. Die private Partition verschlüsselt und schützt Daten – sie wird durch eine PIN-Anmeldung freigeschaltet. Im WORM-Bereich lassen sich Daten loggen und vor Manipulation schützen (Bild 4). Die Public Partition schließlich kann wie ein handelsüblicher USB-Stick genutzt werden.

Bild 4: Flash-Memory-Karten kommen als WORM-Speicher (Write Once Read Multiple) für signierte Audit-Trails und Fiskaldaten zum Einsatz.

Bild 4: Flash-Memory-Karten kommen als WORM-Speicher (Write Once Read Multiple) für signierte Audit-Trails und Fiskaldaten zum Einsatz.Swissbit

Natürlich bietet der USB-Standard eine Vielzahl von Möglichkeiten, birgt aber auch Risiken in sich, die als Bad-USB-Angriffe bekannt sind. Ein betroffener USB-Stick verfügt dann über versteckte Funktionen, die nach unautorisiertem Firmware-Update dazu führen, dass der Host des Nutzers kompromittiert wird. Auch hier sind Echtheits-, Fälschungs- und Integritätsschutz die effiziente Lösung gegen diese Angriffe.

Starke Argumente für integrierte Sicherheit

Flash-Speicherchips altern selbst bei reinem Lesebetrieb, wodurch es in industriellen Applikationen mit gefordertem langen Lebenszyklus durchaus sinnvoll ist, Speicher als einfach austauschbar zu gestalten. Selbst hochwertige Speicherprodukte sind letztlich Verbrauchsmaterial. Wenn es darum geht, Sicherheitsfunktionen in bestehenden Systemen nachzurüsten, sind wechselbare Speichermedien mit integrierter Sicherheit eine gute Wahl. Und auch im ewigen Wettlauf der Cybersecurity sollten Module für eine Sicherheitslösung austauschbar sein, um bei Bedarf auf einfache Weise erweiterbar zu sein (Stichwort Post-Quanten-Kryptografie).

Hubertus Grobbel

Leiter des Geschäftsbereichs Security Products bei Swissbit

(jwa)

Sie möchten gerne weiterlesen?

Unternehmen

Swissbit AG

Industriestrasse 4
9552 Bronschhofen
Switzerland