Blockdiagramm der Applied Micro Packet Pro Controller APM 86691/2 .Acal bfi/Applied Micro
Mit der gesetzlichen Verpflichtung seit 2010 bei Neubauten oder bei größeren Sanierungsmaßnahmen digitale Stromzähler einzubauen, war hier am Anfang auch Handlungsbedarf angezeigt. Wissenschaftler der FH Münster hatten an einem einfachen Beispiel, einem Zähler der wohl ersten Generation, demonstriert, welch leichtes Spiel Hacker hier haben, indem sie einfach das Smart Meter vom Internet trennten, durch einen PC ersetzten und anstatt der realen Verbrauchsdaten geänderte Daten an den Energieversorger schickten. Da die Daten nicht verschlüsselt und signiert waren, war dies ein leichtes Unterfangen. Der Hersteller des Testprobanden hat daraufhin eine Verschlüsselung in der nächsten Gerätegeneration nachgerüstet.
Wenn man nun aber bedenkt, dass die ganze Smart Metering- und somit Smart Grid-Thematik darauf abzielt, einmal intelligent Energie bedarfsorientiert dorthin zu verteilen, wo sie benötigt wird, können geradezu apokalyptische Szenarien dargestellt werden, wo Hacker, sei es privater oder institutioneller Natur – Stuxnet lässt grüßen – ganze Versorgungsstrukturen manipulieren und zum Zusammenbrechen bringen könnten. Sicherlich sind hier entsprechende Implementierungen auf der Energieversorger- beziehungsweise Verteilerseite notwendig um dort ein „Eindringen“ zu verhindern.
Die Angreifbarkeit liegt aber auch auf der Verbraucherseite. Wenn es einem Eindringling gelingt Prozesse zu manipulieren oder die Kontrolle zu übernehmen, sind die unterschiedlichsten Szenarien denkbar. Dass dies im Bereich des Möglichen liegt, haben Sicherheitsexperten der US-Firma IO Active aufgezeigt. Ihnen ist es gelungen einen Tojaner mit Root-Rechten auf einem Smart Meter zu installieren. Des Weiteren entwickelte diese Firma auch einen Wurm, der sich selbstständig auf andere intelligente Zähler verbreitet. Wenn sich dann ein bösartiger Wurm auf die Zähler einer bestimmten Region ausbreitet und zum Ziel hat, aktuelle Verbrauchsdaten zu manipulieren, dann könnte das ganze smarte Verbrauchskonzept zum Erliegen kommen, da dann die Energieweiterleitung nicht bedarfsorientiert erfolgen würde und Netze lokal zusammenbrechen könnten.
Schwachstelle ist hier die derzeit fehlende interne Verschlüsselung. So soll zwar die Übertragung übers Internet codiert werden, allerdings ist der Schutz interner Prozesse derzeit laut einem Entwurf des Bundesamtes für Sicherheit in der Informationstechnik (BSI) nicht vorgesehen. Dieser Mangel wird von Experten kritisiert, welche hoffen, dass das BSI hier nachbessert.
Smart Meter angriffssicher machen
Auf der Smart-Meter-Seite, die auch schon unter den Begriff Internet der Dinge fällt, gilt es darum, das System mit den bekannten Verschlüsselungsmöglichkeiten gegen Manipulationen abzusichern. Wie in der Folge gezeigt wird, bieten heutige Embedded-Controller die nötigen Werkzeuge in Form von implementierten Hardwarefunktionsblöcken.
Der angedachte intelligente und geschützte Zähler kann vom Netzwerkstandpunkt aus als Smart Gateway betrachtet werden, das über die Fähigkeit eine gesicherte Verbindung aufzubauen, verfügen muss. Das Blockdiagramm stellt ein kostengünstiges System dar, das auf einem Embedded-PowerPC-Controller APM8018x von Apllied Micro basiert. Auf Basis des bekannten 32-Bit-RISC-Core PPC405 mit einem Standardperipheriemix aus USB + PHY, Gbit-Ethernet, PCIe (80182 2x), Flash-Controller bietet der Controller des Weiteren QoS nach 802.1p und g, time-stamp-Funktion nach IEEE-1588, IPv4 und IPv6 sowie einen look-aside Verschlüsselungsblock, der direkt am lokalen Prozessorbus angeschlossen ist. Dessen Hauptfunktionen gliedern sich in einen Coprozessor für IPSec, SSL/TLS, sRTP, Verschlüsselung nach DES, 3DES, AES, ARC4 sowie HASH Summenbildung entsprechend SHA1, SHA2 oder MD5. Abgerundet wird das Ganze durch einen Displaycontroller mit einer Auflösung von 640 x 480 Pixel mit LVDS-Schnittstelle.
Auf Basis einer solchen Grundplattform, die über die Schnittstellen zusätzlich über entsprechende Connectivity-Module wie WLAN oder ZigBee in ein lokales Netz eingebunden werden kann, ist ein in erster Näherung geschützter Zähler realisierbar. Geht man aber einen Schritt weiter und stellt sich vor, jemand mit entsprechendem Wissen hat es geschafft, sich Zugang zum Inneren des Smart Meters und somit zum Embedded Linux zu verschaffen, sind Manipulationen denkbar, die so weit führen können, dass der Angreifer sich in den Datenverkehr einklinkt. Um das zu verhindern, müsste das Programm ebenfalls verschlüsselt sein und komplett gekapselt ablaufen. Solch ein Sicherheitserfordernis benötigt allerdings einen etwas größer geschnittenen Baustein, mit Strukturen, wie sie Bausteine der Packet-Pro-Familie bieten.
APM 86692 Black Mamba
Anstatt einfach zahlreiche CPUs vom Typ stand-alone auf einen Chip zu integrieren, hat Applied Micro einen modifizierten Weg eingeschlagen und es derzeit beim Dual Core belassen und dafür dedizierte Funktionsblöcke dem APM86682 Black Mamba ins Silizium gegossen, von denen jeder seinen Teil dazu beiträgt, die Aufgaben, die ein System am meisten fordert, zu übernehmen.
Um einen Vergleich zur täglichen Arbeitswelt zu ziehen: Das Konzept Packet Pro entlastet die CPUs vom Tagesgeschäft, damit sich diese sinnvolleren Aufgaben, wie der eigentlichen Applikation, widmen können.
Der Umstand, dass die Packet-Pro-Familie, die auf einem überarbeiteten 440er PowerPC-Core basiert, codekompatibel zu bestehenden PowerPC-Produkten ist, ermöglicht die Mitnahme all dessen an Software und Tools, was man bis dato geschaffen oder angeschafft hat.
Mit den Dual- und Single-Core-Versionen handelt es sich hier um eine Familie von Bausteinen, die vom Konzept her für Ethernet-Paketverarbeitung ausgelegt ist. Für den Anwendungsfall Smart Meter trifft es zwar sicherlich zutrifft, aber vom Workload her dürfte der Baustein nicht ausgelastet sein. Für das Problem Systemsicherheit verfügt der Baustein aber über eine Funktion, die im Blockdiagramm durch ein Vorhängeschloss symbolisiert wird. Nachdem der Arbeitsanfall überschaubar sein dürfte, sollte die Single-Core-Version APM86681 reichen.
In einem Trusted Management Module (TMM) werden Funktionen dargestellt, die genau die Sicherheitsbedürfnisse für das Smart Meter adressieren. Ein Secure Boot ermöglicht eine Entschlüsselung beim Booten beziehungsweise eine Authentifizierung der Echtheit der Software. Hierbei wurde vor allem dem Wunsch nach Kopierschutz von Systemsoftware und damit dem Schutz gegen Plagiate Rechnung getragen. Genauso ließe sich hiermit aber auch ein System, dass vermeintlich gekapert wurde, sicher neu starten.
Wichtig für möglicherweise notwendige Updates, die der Energieversorger durchführen möchte, ist die Möglichkeit, damit neue Images zu authentifizieren. Runtime-Software-Iintegritätschecks überwachen das System, um eventuelle Integritätsverletzungen zu erkennen, um dann entsprechende Maßnahmen zu ergreifen. Eine Hardware-Authentifizierung überwacht die Signaturen anderer Komponenten im System und vergleicht diese mit den erwarteten Werten, um Schlüsse über die Hardware-Integrität zu ziehen.
Selbstredend stehen für die dargestellten Lösungsansätze die kompletten Ecosysteme zur Designunterstützung zur Verfügung, die bis zum Designreview durch Applied Micro reichen.
Klaus Vogel
(jj)
