Rutronik News

Speicherkarten im Dienst der Sicherheit - sichere daten mit Swissbit

Wer Datenspeicher für industrielle Einsatzbereiche sucht, sollte robuste, ausfallsichere und langfristig verfügbare Flash-Speichermedien wählen. Ein interessanter Aspekt dabei: Durch spezielle Versionen mit WORM (Write-Once-Read-Multiple)- oder Kryptografie-Funktionalität lassen sich zudem Sicherheitsanforderungen realisieren.

So wie mit dem Internet of Things die Vernetzung immer mehr zunimmt, steigt auch die Bedrohung durch missbräuchliche Nutzung, Sabotage, Datendiebstahl, Fälschung etc. Cyber Security ist in den unterschiedlichsten Bereichen zum Thema geworden - vom Automobil bis zur Smart Factory. Angriffsvektor ist dabei die Software. Um einen umfassenden Schutz zu gewährleisten, können neben reinen Software- auch Hardwarelösungen realisiert werden. Dabei werden beispielsweise ein Trusted-Platform-Modul (TPM) zur Verschlüsselung oder ein Secure Element als manipulationssicherer Speicher und Sicherheitsanker eingesetzt. Um den sicheren Betrieb eines Systems zu garantieren, sollte dabei bereits sein Start lückenlos als Trusted Boot überwacht werden.

Dieses Konzept stellt sicher, dass Software nur auf der spezifizierten Hardware oder Hardwareklasse gestartet werden kann. Der Boot Loader verwendet ein Authentifizierungsgeheimnis, das nur in der Boot-Umgebung (BIOS/UEFI) verfügbar ist. Der Ansatz von Swissbit: Da praktisch jedes System Datenspeicher benötigt, etwa als Boot-Medium oder um Daten zu sammeln, setzt die Lösung hier an. Das Secure Element wird nicht fest mit der Hardware verbunden, sondern austauschbar wie ein Dongle beigesteuert. Sicherheitslösungen werden nachrüstbar.

Dabei ergibt sich eine ganze Reihe neuer Ansätze für Sicherheitslösungen im Bereich von Secure Boot, Datenschutz, Lizenzschutz und der sicheren Identifikation von Teilnehmern einer M2M-Kommunikation. Gleichzeitig behalten Systementwickler ihre Freiheiten in der Hardwareauswahl. Lediglich die Standardschnittstellen für SD-Speicherkarte oder USB werden benötigt. Die Funktionalität eines TPM kann von der Smartcard in der Secure Storage Card als Java Card Applet implementiert werden.

Kopierschutz und Authentisierung

AUDI AG, BMW Group und Daimler AG zahlten 2015 zusammen 2,8 Milliarden Euro, um das Geodatenunternehmen Here von Nokia zu übernehmen. Deutlicher kann man die strategische Bedeutung von Navigationssystemen im Advent des autonomen Fahrens kaum machen. Um Kartendaten in ein Navigationssystem zu laden, werden üblicherweise SD-Speicherkarten verwendet. Swissbit-Karten mit Hardwareverschlüsselung ermöglichen es, das Datenimage zu schützen.

Kontrolle über Navigationssystemdaten zu bekommen und die Einhaltung von Lizenzbedingungen garantieren zu können, sind der unmittelbare Gewinn, den man aus dem Einsatz von Flash-Speichermodulen mit Secure Element ziehen kann. Speicherkarten mit integrierter Smartcard ermöglichen es, dem Fahrzeug eine fälschungssichere Identität als Grundlage für Authentifizierungsanwendungen zu geben. Das Infotainmentsystem des Fahrzeugs wird zukünftig immer wichtiger als Schnittstelle zu ITK-Geräten und zum Internet. Durch die Verwendung eines Secure Elements wird es zur sicheren Plattform, über die beispielsweise kostenpflichtige Dienste angeboten, Medieninhalte bezogen oder Maut abgeführt werden kann. Neue Funktionen können nachgerüstet und zugleich auf höchstem kryptografischen Niveau abgesichert werden.

Datensicherheit und funktionale Sicherheit

Die immer stärkere Vernetzung innerhalb des Fahrzeugs und nach außen - Stichwort Car2Car Communication - hat in den vergangenen Jahren Security im Sinne der Abwehr von Cyberattacken zum Thema gemacht. Dies passierte vor allem vor dem Hintergrund möglicher Einflüsse auf die funktionale Sicherheit (Safety). Die Kommunikation von ECUs über Bussysteme könnte verschlüsselt werden, wenn an Knotenpunkten zum Beispiel eine eMMC (embedded Multi Media Card) mit Secure Element die Funktion eines TPM übernimmt. Das heißt, die Gefahr von Manipulationen der fahrzeuginternen Kommunikation würde dadurch abgewendet, dass diese ein Authentisierungsmerkmal nutzt.

 

Manipulationssichere Aufzeichnungen

Der Bedarf an Sicherheitslösungen wird stark steigen. Nicht nur bei Embedded-Systemen für das industrielle Internet of Things, sondern auch in ganz alltäglichen Anwendungen, wenn es um eine Sicherung von Aufzeichnungen oder Ereignissen geht. Das sind beispielsweise im Smart-Meter-Bereich Zählerstände oder Log-Dateien in industriellen Systemen. Auch die derzeitige Fiskalisierung der Registrierkassen fällt in diesen Bereich. Für E-Mobility-Ladesäulen wird zukünftig Ähnliches nötig werden, um Abrechnungsprozesse abzusichern. Spätestens wenn der Rückgang der Mineralölsteuer eine verbrauchsbezogene Besteuerung der E-Mobilität notwendig macht, müssen auch hier fiskalische Prozesse entwickelt werden. Die Lösung: Eine revisionssichere Aufzeichnung wird durch WORM(Write-Once-Read-Multiple)-Speicherfunktion erreicht, die sicherstellt, dass Daten nur einmal geschrieben und nicht mehr gelöscht werden können. Für den Export sind die Daten aus dem WORM-Speicher an eine digitale Signatur gebunden. Diese stellt Authentizität und Integrität der Daten sicher.

Aufbau

Die Sicherheitsspeicherkarten von Swissbit bestehen aus einem vom Wafer an auf industrielle Anforderungen hin produzierten und getesteten Flash-Speicherchip und werden mit einer speziellen Version der durabit-Firmware mit integriertem AES-256-Bit-Enkryptor betrieben. In der Version DP (data protection) werden sämtliche Daten verschlüsselt und auf verschiedene Arten geschützt (CD-ROM-Modus, PIN-Schutz, versteckter Speicher, WORM-Modus). Die Standard Edition für Authentisierungs- und PKI-Anwendungen, die Voice Edition mit Elliptische-Kurven-Kryptografie für Mobilfunkanwendungen und die Premium Edition mit symmetrischer und asymmetrischer Verschlüsselung sind mit einem Infineon/NXP Smart Card Chip CC EAL 5+/6+ ausgestattet. Für Anwendungen, die den FIPS (Federal Information Processing Standard) -Anforderungen unterliegen, kann zudem eine Variante mit NXP Smart Card Chip FIPS 140-2 Level 3 als Secure Element realisiert werden. Die Swissbit-Speicherkarten in den genannten Versionen sind zudem in verschiedenen Flash-Typen - MLC (Multi Level Cell), pSLC (pseudo Single Level Cell) und SLC (Single Level Cell) - und verschieden Größen erhältlich. Ein SDK und eine PKCS#11-Library zur Nutzung der API stehen für die Applikationsentwicklung zur Verfügung.

Fazit

Die genannten Beispiele lassen erahnen, wie vielfältig die Szenarien sind, in denen die Anforderung, Daten zu speichern, und die Anforderung einer Absicherung von Zugriff oder Kommunikation in einem Zug erfüllt werden können. Weil die Flash-Speichermodule mit Sicherheitsfunktionen von Swissbit extrem robust und langlebig sind, eigenen sie sich für anspruchsvolle Anwendungen mit langen Lebensdauer- und Wartungszyklen. Die Nutzung von Standardspeicherschnittstellen hat zudem den Vorteil, dass man nach- und aufrüstbare Anwendungen entwickeln kann. Wenn man bedenkt, dass Cybersicherheit ein ewiger Wettlauf zwischen Angreifern und Verteidigern bleibt, ist ein austauschbares Sicherheitsmodul sogar bei neuen Produkten eine Versicherung für die Zukunft.

Komponenten gibt es auf www.rutronik24.de.

Bleiben Sie auf dem Laufenden, indem Sie unseren Newsletter abonnieren.