PKS

PKS ist die Krypto-Server-Lösung von Escrypt für die Produktion (Bild: Escrypt)

Informations- und Kommunikationstechnologie haben heutzutage eine direkte Auswirkung auf die Automobilindustrie. Sowohl die Herstellung als auch der Betrieb der aktuellen Fahrzeuge ist mit IT-Systemen sehr eng verknüpft, und die Anbindung der Kraftfahrzeuge ans Internet ist für viele Menschen eine Selbstverständlichkeit geworden. Automobilhersteller arbeiten daran, die Konnektivität ihrer Produkte zu erhöhen und dadurch ihren Kunden neue interessante Funktionen und Features anzubieten. Das fängt bei Antriebsfunktionen an und dehnt sich weiter bis auf Sicherheits-, Infotainment- und Komfortfunktionen aus. Mit dem passenden Krypto-Server ist dies auch sicher (secure) möglich.

170206_ESCYPT_Grafik_Keyproduction_Deutsch

Bild 1: Der Production Key Server von Escrypt bietet eine flexible Lösungsarchitektur. Escrypt

Zur Anbindung der Automobile an die digitale Außenwelt statten die Autohersteller ihre Fahrzeuge mehr und mehr mit Embedded-Systemen aus, die immer komplexer werden und mehr Funktionen bieten. Die hohe Anzahl an Steuergeräten (ECU) in heutigen Kraftfahrzeugen ist ein Beweis für diesen Trend. Die Firmware, die auf solchen Embedded-Komponenten läuft, muss regelmäßig aktualisiert werden, um neue verbesserte Features integrieren zu können. Neueste Technologien wie Firmware-Updates over-the-air (FOTA) gewährleisten, dass stets aktuelle Softwaremodule auf den Steuergeräten eines Kraftfahrzeugs laufen.

Security durch Krypto-Server

Eckdaten

Die größtmögliche Kompatibilität zu Automotive- und Sicherheitsstandards ist ein wichtiges Merkmal des Production Key Servers. Zudem wird der Krypto-Server ständig weiterentwickelt und mit neuen Nutzungsszenarien sowie Features bereichert. Mit der so gelingenden Integration des Schlüssel-Managements in die Steuergeräteproduktion trägt der PKS wesentlich dazu bei, dass typische Automotive-Anwendungen auch im immer stärker vernetzten Fahrzeug der Zukunft sicher bleiben.

Mit diesen Entwicklungen und der ständigen Vernetzung mit dem Internet ist allerdings auch das Bedrohungspotenzial ganz erheblich gestiegen, denn schließlich gilt es, Firmware und Daten vor nicht autorisierten Zugriffen und Manipulationen zu schützen. IT- und Datensicherheit werden somit zum entscheidenden Erfolgsfaktor der Geschäftsmodelle rund um das vernetzte Fahrzeug.

Um die Integrität, Authentizität und Vertraulichkeit von Software und Daten gewährleisten zu können, muss der digitale Datenaustausch an eine entsprechende Authentifizierung mit kryptografischen Schlüsseln und Zertifikaten gekoppelt sein. Doch sind sowohl die Bereitstellung und Implementierung dieser Schlüssel und Zertifikate in der Produktion, als auch deren Verwaltung über die Gesamtlebensdauer der geschützten Produkte hinweg eine Herausforderung. Das gilt erst recht in Branchen, die wie die Automobilindustrie auf global verteilte Fertigungs- und Lieferketten sowie auf vielfältige Zuliefererstrukturen setzen. Mit einem kryptografischen Schlüsselmanagementsystem und lokalen Krypto-Servern in der Steuergeräteproduktion, die die Steuergeräte vor Ort bei der Herstellung sicher und zuverlässig mit Security-Funktionen versorgen, lässt sich diese Herausforderung meistern.

Sicheres Key-Management in der Fertigung

Ein Krypto-Server in der Steuergeräteproduktion ermöglicht die vertrauliche Handhabung von kryptographischen Daten (Schlüsseln/Zertifikaten) und die effiziente Durchführung von kryptographischen Funktionen, welche als Basis für die Umsetzung unterschiedlicher Sicherheitsmechanismen sowie zur Implementierung verschiedener Sicherheitsprotokolle dienen.

Mit dem Production Key Server (PKS) bietet Escrypt einen Krypto-Server, der dem Produktionswerk ein lokales Schlüsselmanagementsystem zur Verfügung stellt, das sich durch Verlässlichkeit, Verfügbarkeit und gute Wartbarkeit auszeichnet. Die flexible Lösungsarchitektur (Bild 1) zur Absicherung verteilter Fertigungsstätten für Steuergeräte sorgt für eine hohe Verfügbarkeit, geringe Latenzzeiten und entsprechenden Schutz der eingesetzten kryptografischen Daten.

Als standardisiertes Modul für Server-Racks verfügt der PKS über einen eigenen Stromanschluss sowie mehrere Gigabit-Ethernet-Schnittstellen; er wird mit vorinstallierter Security-Software ausgeliefert. Der Server lässt sich relativ schnell und unkompliziert installieren und konfigurieren, denn für die Konfigurationsarbeiten gibt es entsprechende Werkzeuge sowie klare Prozesse und eindeutige Richtlinien. Der PKS ist mit lokalen Datenbanken und einem Hardware Security Modul (HSM) zur vertraulichen Speicherung der kryptographischen Daten sowie zur sicheren und effizienten Ausführung von kryptographischen Operationen ausgestattet.

170207_ESCRYPT_Grafik_fuer_Fachartikel

Bild 2: Kanal-in-Kanal Konfiguration zum Schutz der Datenübertragung zwischen den HSM von PKS und Backend. Escrypt

In regelmäßigen Abständen synchronisiert sich der PKS mit einem Schlüsselmanagement-Server im Backend. Die Synchronisierung dient der Bereitstellung von Schlüsseln an die Produktionsumgebung und erlaubt darüber hinaus eine zentrale Überwachung, Protokollierung, Fernadministration und Neukonfiguration. Der Key-Management-Server im Backend ist selbst ebenfalls mit einem HSM ausgestattet. Um die Kommunikation zwischen PKS und Backend im größtmöglichen Maße zu sichern, wird ihre Verbindung durch einen TLS-Tunnel geschützt. Außerdem werden die kryptographischen Materialien an jedem Ende (PKS oder Backend) innerhalb des jeweiligen HSMs verschlüsselt. Die Daten lassen sich ausschließlich auf dem HSM des anderen Endes entschlüsseln, sodass der Transport der sensitiven kryptographischen Materialien zusätzlich zu der TLS-Verbindung zwischen PKS und Backend durch ein kryptographisches Protokoll zwischen den beiden HSM gesichert ist. Diese „Kanal-in-Kanal“- Verschlüsselung (Bild 2) gewährleistet Authentizität, Integrität und Vertraulichkeit der Daten während der Übertragung von einem HSM zu dem anderen.

Solange einem Krypto-Server (PKS) genügend kryptografische Materialien in den lokalen Datenbanken zur Verfügung stehen, kann er die Clients in Produktionsstätten unabhängig vom Backend bedienen. Datenaustausch und Synchronisierung mit dem Backend kann zu einem späteren Zeitpunkt erfolgen. Diese Eigenschaft macht den PKS netzwerkausfallsicher und unterscheidet ihn von anderen Lösungen, die beim Ausfall ihrer Verbindung zum Backend funktionsunfähig sind. Weiterhin sind alle anfallenden Produktionsdaten, welche temporär im PKS gespeichert werden, durch die zentrale Verwaltung im Backend vor Verlust geschützt.

PKS

PKS ist die Krypto-Server-Lösung von Escrypt für die Produktion Escrypt

Darüber hinaus wird das PKS-Kontingent an kryptographischem Material durch ein Limit begrenzt. Das Limit bestimmt, wie viele Male ein bestimmtes kryptographisches Material zu verwenden ist. Wenn das Limit erreicht ist, muss der PKS beim Backend ein neues Kontingent anfragen. Das Schlüsselverwendungs-Limit ist ein Schutzmechanismus, der gewährleistet, dass dieser Krypto-Server im Falle eines Diebstahls schnell nutzlos wird, weil das ganze Kontingent aufgebraucht ist und das Backend sich verweigert, dem gestohlenen PKS neues kryptographisches Material zur Verfügung zu stellen.

Ein anderes nützliches Feature des PKS ist seine Clustering-Fähigkeit. Es ist möglich, mehrere PKS- Instanzen einem Cluster zuzuordnen und dadurch dieselben Use-Cases mit ihrem jeweiligen spezifischen kryptographischen Material auf mehrere Instanzen zu verteilen. Mit mehreren PKS-Instanzen lässt sich zudem auf der Netzwerk-Ebene ein Lastenausgleich erzielen. Der Production Key Server stellt seinen Nutzern viele Services über standardisierte Schnittstellen wie zum Beispiel ein webbasiertes GUI (Graphical User Interface), SOAP (Simple Object Access Protocol) und REST (Representational State Transfer ) zur Verfügung. Das ermöglicht einen unkomplizierten Zugriff auf die PKS-Services und die leichte Entwicklung von Client-Applikationen zum Aufruf verfügbarer PKS-Funktionen.

Unterstützte Nutzungsszenarien

Dieser Krypto-Server deckt viele sicherheitsbezogene Einsatzfälle ab, die bei der Fertigung der Embedded-Systeme (zum Beispiel von Steuergeräten) im Produktionswerk erforderlich sind. Der PKS verfügt außerdem über eine flexible Softwarearchitektur, welche seine Erweiterung durch die Einführung weiterer Nutzungsszenarien ermöglicht.

PKS unterstützt folgende typische Einsatzfälle im Automotive-Umfeld:

  • Sicheres Booten von Mikrocontrollern
  • Abschließen von Diagnoseschnittstellen
  • Einbringen von (a)symmetrischem Schlüsselmaterial inklusive Unterstützung von Secure Hardware Extension (SHE)
  • Einbringen von TLS-Zertifikaten (TLS: Transport-Layer-Security)
  • Bereitstellung lokaler Puffer an verschiedenen Schlüsseln und Passwörtern von OEM und anderen dritten Parteien zum Einsatz im digitalen Rechtemanagement (DRM)
  • Einbringen von Vertrauensankern für die Software-Updates
  • Einsatz als lokaler Authentifizierungsserver für den sicheren Zugriff sowie zum Aufschließen von Steuergeräten bei den End-of-Line-Sicherheitstests und den späteren Rückläuferanalysen
  • Einbringen von Gerätezertifikaten für die M2M-Kommunikationen (Machine-to-Machine)

Kompatibilität

Derzeit entwickeln führende Automobilhersteller ihre globalen Spezifikationen und Sicherheitsanforderungen an die Steuergerätesoftware mit Blick auf die oben genannten Nutzungsszenarien. Für die Geschäftsmodelle der Zulieferer ist es selbstverständlich von entscheidender Bedeutung, mit ihren Produkten und Lösungen diesen Anforderungen zu genügen. Der PKS unterstützt solche Spezifikationen zum Beispiel für den Fall, dass symmetrische Schlüssel in die Steuergeräte eingebracht werden sollen.

Laut Spezifikation müssen die ECUs während der Produktion mit Passwörtern versorgt werden, damit diese sich nachher mit den eingebrachten Passwörtern ab- und aufschließen lassen können. Für diesen Zweck wird das „SHE Memory Update“-Protokoll benutzt. SHE (Secure Hardware Extension) ist eine industrielle Norm, welche von der Herstellerinitiative Software (HIS) definiert wurde und eine kostengünstige Hardwareerweiterung beschreibt. Mit dieser Hardware lassen sich wesentliche Sicherheitsfunktionalitäten wie beispielsweise der Schutz von kryptographischen Schlüsseln, kryptographischen Funktionen, Secure Boot und weitere Sicherheitsanwendungen für Standard-Automotive-Mikrocontroller realisieren. Das Protokoll „SHE Memory Update“ basiert auf symmetrischer Kryptographie und beschreibt einen sicheren und zuverlässigen Mechanismus zur Aktualisierung des Arbeitsspeichers eines Steuergerätes mit neuen Daten. Die Aktualisierungsdaten können beispielsweise steuergerätespezifische kryptographische Schlüssel sein.

Hiva Mahmoodi

Security Engineer bei der Escrypt

(av)

Sie möchten gerne weiterlesen?