Kryptografische Beschleunigungs-Engines, die AES, SHA und ECC, echte Zufallszahlengeneratoren und die Fähigkeit zur Authentifizierung von Software-Images unterstützen, sind gängige Merkmale eingebetteter Systeme wie MCUs und Applikationsprozessoren (Bild 1). Bis vor kurzem waren „Sicherheitselemente“ die einzige Möglichkeit, diese Funktionen in einem Embedded-Design zu implementieren. Zurzeit entsteht eine neue Klasse von Mikrocontrollern (MCU), die die Vorteile eines Sicherheitselements mit einem Host-Prozessor kombiniert.

Bild 1: Für eingebettete Systeme waren Sicherheitselemente bis vor kurzem die einzige Möglichkeit, kryptographische Beschleunigungs-Engines mit AES, SHA und ECC zu implementieren.

Bild 1: Für eingebettete Systeme waren Sicherheitselemente bis vor kurzem die einzige Möglichkeit, kryptographische Beschleunigungs-Engines mit AES, SHA und ECC zu implementieren. Adobe Stock 272482998, Wisut

Diese neuen sicheren MCUs führen dazu, dass immer mehr OEMs eine durch Hardware geschützte Identität in ihren Systemen implementieren und dazu Standard-Frameworks wie die ARM Platform Security Architecture nutzen. Durch die Verwendung sicherer MCUs ist kein externes Sicherheitselement mehr erforderlich. Dies vereinfacht das Design, reduziert den Platzbedarf auf der Platine und senkt die Stücklistenkosten.

Oberflächlich betrachtet klingt dieser Ansatz logisch und ausreichend, aber die Sicherheit muss während des gesamten Lebenszyklus eines Produkts erhalten bleiben. So müssen OEMs beispielsweise die sichere Programmierung eines Bausteins gewährleisten. Eine sichere MCU kann ihre Funktionen nur ausführen, nachdem die Gerätefirmware in die Hardware programmiert und nachdem der Sicherheitsschlüssel installiert wurde. Diese Programmier- und Installationsprozesse sind für verschiedene Arten von Angriffen anfällig. Um nur zwei zu nennen: Ein nicht vertrauenswürdiger Contract Manufacturer könnte ein OEM-Produkt fälschen, indem er die Firmware des OEM in überschüssige Einheiten programmiert, oder ein böswilliger Bediener von Produktionslinien-Programmiergeräten könnte mit Schwachstellen versehene Firmware in die Hardware programmieren und diese nach dem Versand an den Endkunden zu seinem Vorteil nutzen.

Dies bedeutet, dass die Bemühungen eines OEM-Designteams, eine sichere Systemarchitektur und Firmware zu entwickeln, um Sicherheitsfunktionen auf Geräteebene ordnungsgemäß zu implementieren, durch Lücken im Produktionsstadium untergrabbar sind. Deshalb gibt es keine sichere MCU ohne eine sichere Bearbeitung.

Um ein System sicher herzustellen, muss folgendes gewährleistet sein: die sichere Installation in der MCU, die sichere Aufbewahrung und das System darf nur für vertrauenswürde Software zugänglich sein. Notwendig ist hier ein Schutz durch robuste Hardware-Isolation zwischen vertrauenswürdigen und nicht vertrauenswürdigen Elementen der MCU-Architektur.

Existenzielle Bedrohung für Embedded-OEMs

Eck-Daten

Für sichere MCUs und Applikationsprozessoren ist die Kryptographie allein nicht ausreichend. Essenziell ist es, einen sicheren Herstellungsprozess zu gewährleisten. Gerade für kleine und mittelständige Unternehmen ist dies ob der dabei anfallenden hohen Kosten allein nicht realisierbar, besonders wenn das Endprodukt eine IoT-Anwendung mit geringen Stückzahlen ist. Hier kann der sichere Bearbeitungsdienst für PSoC-64-MCUs Abhilfe schaffen. Die standardisierte Plattform-Lösung bietet Herstellern von IoT-Geräten den gleichen Sicherheitsstandard, den beispielsweise Produzenten von Kreditkarten bereits genießen.

Die Notwendigkeit, für Sicherheit während des gesamten Lebenszyklus eines Produkts zu sorgen, stellt kleine oder mittelständische Hersteller von IoT- und IIoT-Anwendungen vor ein Dilemma: Einerseits kann eine Sicherheitslücke in einem IoT-Produkt den Hersteller in den Ruin treiben, denn auf nichts reagiert die Öffentlichkeit so sensibel wie Datenschutzverletzungen und Cyber-Kriminalität.

Andererseits ist der Markt für IoT-Geräte hart umkämpft. An Ideen für intelligente, vernetzte Geräte mangelt es nicht. Es mangelt auch nicht an klugen und erfahrenen Ingenieuren, die cloudbasierte Versionen von ehemals eigenständigen Geräten wie Türklingeln oder Lampen entwickeln können. Die Barriere für Hersteller sicherer IoT-Bausteine sind die Investitionskosten: Die Ausrüstung um sichere MCUs herzustellen und mit kundenspezifischer Software zu programmieren, ist an sich schon teuer. Das Ganze muss aber auch noch einer abgesicherten Umgebung erfolgen, deren Unterhalt und Wartung noch zusätzlich viel Geld kostet.

Nicht am falschen Ende sparen

Die meisten OEMs konzentrieren sich auf die Stückkosten als primären Kostentreiber. Dies birgt jedoch das Risiko, dass die Kosten für eine sichere Produktionsumgebung entlang der Lieferkette übersehen werden. Es gibt viele Beispiele für ehrgeizige Produkte mit hervorragender Technologie und einer penibel gemanagten Stückliste, die gescheitert sind, weil die Gesamtkosten des Produkts die Gesamtrentabilität beeinträchtigt haben. Bislang wurden die vorhandenen sicheren Bearbeitungsmethoden für die Programmierung von Schlüsseln für Produkte entwickelt, die in sehr hohen Stückzahlen anfallen, so zum Beispiel für Kreditkarten. Hier hängen Transaktionen im Wert von mehreren Milliarden US-Dollar täglich von der Integrität der eingebetteten Sicherheitsschlüssel ab.

Die hohen Kosten für die Anschaffung sicherer, qualifizierter Programmiergeräte und die Bereitstellung einer zertifizierten sicheren Einrichtung für benutzerdefinierte Firmware-Programmierprozesse amortisieren sich über Millionen von Einheiten, weshalb die Stückkosten sehr gering sind. Im Gegensatz zum Kreditkartenmarkt ist der IoT-Markt stark fragmentiert, und einzelne Geräte werden in der Regel in jährlichen Stückzahlen von Tausenden statt von Millionen hergestellt. Die Frage für Embedded-OEMs ist, wie die ultrahohe Sicherheit des Bearbeitungsprozesses erreichbar ist, den Banken bei ihren Zahlungskarten haben, ohne ihre Produkte mit zu hohen Produktionskosten zu belasten. Eine Antwort darauf gibt Cypress Semiconductor mit der Einführung eines sicheren Bearbeitungsdienstes für seine PSoC-64-MCUs.

Standardisierte Plattform-Lösung

Bild 2: Der sichere Bearbeitungsprozess von Cypress, Sentrix und Arrow.

Bild 2: Der sichere Bearbeitungsprozess von Cypress, Sentrix und Arrow. Cypress

Cypress stellt einen sicheren Bearbeitungsdienst für IoT-Geräte zur Verfügung. Der Service bietet Herstellern den gleichen Sicherheitsstandard, den die Produzenten von Kreditkarten bereits genießen. Die Plattform besteht aus drei Elementen: die PSoC-64-Secure-MCU, die Sentrix-Plattform von Data I/O und die mit der Sentrix-Plattform ausgestatteten sicheren Programmiergeräte, betrieben von Arrow Electronics. Die Sentrix-Plattform basiert auf der PSV7000-Technologie, der Lumen-X-Programmiertechnologie, der Connex-Smart-Progamming-Software und der Secure-Thingz-Secure-Deploy-Plattform von Data I/O. Sie ist die Grundlage für Sicherheit und Authentifizierung in der Fertigung und ist so Teil einer sicheren Lieferkette für sichere Bausteine.

Alle drei Elemente sind durch sichere kryptografische Prozesse miteinander verbunden. Infolgedessen nähert sich das Sicherheitsniveau der Plattform dem der Hersteller von Bankkarten. Es kann jedoch aus zwei Gründen für geringe Stückzahlen zu einem Bruchteil der sonst üblichen Kosten für benutzerdefinierte Bearbeitungsprozesse angeboten werden. Erstens handelt es sich um ein Plattformangebot, das jedem OEM-Kunden standardmäßig zur Verfügung steht. Dies bedeutet, dass die Kosten für die Sentrix-Ausrüstung und die sicheren Programmiereinrichtungen aufteilbar sind.

Zweitens nutzt die Plattform die Authentifizierungssoftware, die in jeder PSoC-64 Secure-MCU integriert ist, sodass die Sentrix-Programmierausrüstung die Authentizität jeder PSoC-64-Einheit validieren kann, bevor sichere Firmware darin programmiert wird. Auf diese Weise ist es nicht nötig, benutzerdefinierte Authentifizierungsprotokolle für jeden Kunden zu entwickelt und zu implementieren. Die sichere Programmierfunktion von Arrow kann einen Standardprozess für die Programmierung und Schlüsselgenerierung für jedes Kundenprodukt implementieren, sofern dieser auf einem PSoC 64 basiert (Bild 2).

Integrität aufrechterhalten

Die sichere Bearbeitung über die PSoC-64-Plattform schützt vor dem Klonen und der Programmierung schädlicher Software. Wenn versucht wird, einen authentischen PSoC 64 mit nicht autorisiertem Programmiergerät oder nicht autorisierter Firmware zu programmieren, wird dies vom PSoC 64 verhindert. Ebenso ist das Klonen oder Fälschen unmöglich, da der Benutzercode vor Diebstahl geschützt und nur er in der sicheren Programmiereinrichtung von Arrow gespeichert ist.

Der Benutzercode lässt sich nicht aus programmierten PSoC-64-Geräten extrahieren, da er hinter sogenannten eFuses isoliert ist, die vor dem Versand in der sicheren Arrow-Umgebung „scharf“ geschalten wurden. Die PSoC-64-Bearbeitungsplattform schließt damit eine Lücke in der Sicherheitskette: Da der Bearbeitungsprozess des OEM nicht anfällig für Angriffe ist, kann er programmierte PSoC 64-Geräte sicher an jeden „nicht sicheren“ Vertragshersteller und von dort an den Endanwender senden – und das mit dem Wissen, dass sein geistiges Eigentum und die Privatsphäre, Daten oder das Geld des Endanwenders durch End-to-End-Sicherheit geschützt sind.

Erweiterte Rolle für MCU-Hersteller

Cypress bietet OEMs an, die Sicherheitsstandards der Bearbeitungsplattform zu prüfen. Der Halbleiterhersteller ist überzeugt, dass das neue Angebot nicht nur ein großes Interesse bei den OEMs wecken wird, sondern vielleicht in Zukunft zu einem wichtigen Bewertungskriterium für MCU-Hersteller wird. Bislang erfolgt die Bewertung der MCU-Hersteller weitgehend nach Design- und Qualitätskriterien: Entwickler interessieren sich für die Spezifikationen, Merkmale und Leistung der MCU sowie die Erfolgsbilanz des Herstellers in Bezug auf Qualität und Verfügbarkeit. Sicherheit stellt die MCU-Hersteller jedoch vor eine Reihe neuer Aufgaben, da sie ein Prozess ist und nicht nur eine Reihe von Merkmalen, die in ein IC integriert sind.

Der OEM muss dem Endanwender umfassende und lebenslange Sicherheit bieten, von der ersten Auslieferung über die Onboarding-Funktion und Software-Updates bis hin zur eventuellen Außerbetriebnahme. Wie bei der sicheren Bearbeitung erfordert dies die Implementierung komplexer technischer Prozesse über die gesamte Lebensdauer des Endprodukts: Kleine oder mittlere OEMs können diese Prozesse häufig nicht im Alleingang implementieren. Nach Ansicht von Cypress ist der MCU-Hersteller in einer exponierten Position, um Anwendern die Implementierung von lebenslanger Sicherheit zu erleichtern.

Durch die Unterstützung von standardmäßigen Edge- und Cloud-Sicherheitsdiensten und -plattformen sowie die sichere Bearbeitung der PSoC-6-Bausteine ermöglicht es Cypress Anwendern, alle Sicherheitsanforderungen für ihre Geräte einfacher und kostengünstiger zu erfüllen als sie es alleine könnten. Dies bedeutet, dass MCU-Anbieter nicht nur für ihre Halbleiter beurteilt werden, sondern im Laufe der Zeit die Servicefähigkeit entlang des Produktlebenszyklus immer wichtiger wird.