Security auf Chip-Ebene Device-Authentifizierung schon ab Losgröße 1

Kernelement für die Programmierung der Sicherheits-Chips ist das Hardware-Sicherheitsmodul (HSM), das in der Entwicklungsumgebung an einen Computer oder – wie hier dargestellt – in der Produktionsumgebung an eine Programmiermaschine angeschlossen wird. Ein solches HSM generiert OEM-Zertifikate, verwaltet Session Keys und meldet Manipulationsversuche.

Authentifizierungs-Chips wie der Optiga Trust E von Infineon sind für Großserien hochwertiger Elektronik entwickelt. EBV macht diese Technologie auch Firmen mit kleineren Serien zugänglich.

Vernetzte Geräte mit hochwertiger Elektronik gibt es heute viele – von Autos und medizinischer Ausrüstung über Kassenterminals und Geldautomaten bis hin zu Prozessleittechnik und SCADA-Systemen für kritische Infrastrukturen. Zum Einsatz kommen in all diesen Geräten immer öfter weitestgehend standardisierte Systeme und Protokolle, da offene Architekturen aus vielerlei Gründen die Kosten senken: Die Standardisierung sichert eine Wiederverwertbarkeit und Langzeitverfügbarkeit, Plattformen werden von mehreren Herstellern zu wettbewerbsfähigen Preisen angeboten, das Know-how ist weit verbreitet, und einzelne Building Blocks können auch von Drittanbietern zugekauft werden, was die eigenen NRE-Kosten reduziert.
Doch diese Standardisierung ist auch eine Herausforderung: Sie erhöht das Risiko des unerlaubten Zugriffs, von IP-Diebstahl und von Fälschungen. Immer mehr Fälle von gehackten Geräten werden bekannt – insbesondere seitdem sie stärker miteinander vernetzt sind (IoT). OEMs müssen deshalb handeln, um die Sicherheit ihrer Systeme weiterhin uneingeschränkt zu gewährleisten. Sicherheit hat deshalb bei Produktdesign und -entwicklung höchste Priorität eingenommen. Dabei müssen viele Aspekte beachtet werden, denn Sicherheitslücken können an vielen Stellen auftreten. Geeignete Maßnahmen sollten deshalb übergreifend in allen relevanten Hardware-, Software-, Netzwerk- und Applikationsschichten implementiert werden. Eine der wichtigsten Aufgaben ist dabei die Implementierung einer eindeutigen Authentifizierung von IoT-Devices, wie Studien von Hewlett Packard herausgefunden haben.

Einfache Chip-Level-Authentifizierung
 
Sie stellt sicher, dass nur verifizierte Komponenten in ein System oder Netzwerk integriert werden können. Sichere Authentifizierungsprozesse überprüfen dabei die Identität eines Devices, Systems oder Anwenders. Kennwörter, Benutzernamen oder biometrische Erkennung per Gesicht, Fingerabdruck oder Sprache sind hierbei die gängigen Methoden für die meisten Systeme, die im allgemeinen Büroalltag zum Einsatz kommen. Sie stellen sicher, dass nur vertrauenswürdige Verbindungen mit den Systemen hergestellt werden können, und ermöglichen ausschließlich den jeweils zulässigen Zugriff. Sind jedoch rein elektronische Komponenten miteinander verbunden, bedarf es zusätzlicher Methoden, die auch ohne menschliche Interaktion funktionieren. Häufig zum Einsatz kommen hier verifizierte Zertifikate oder einmalig genutzte Session Keys mit AES-Verschlüsselung. So können kopierte und gefälschte Produkte leicht identifiziert und ihr Zugriff auf Netzwerke und Services verweigert werden. Besonders wichtig ist das bei Automotive-, Transportation- und Industrie-Applikationen, bei denen die Sicherheit von Mensch und Umwelt gefährdet ist.

Eine sichere Authentifizierung kann sowohl hardware- als auch softwarebasiert implementiert werden. Hardwarebasierte Methoden sind in der Regel jedoch robuster und schwerer auszuhebeln. Reverse Engineering ist zudem nicht möglich, da der private Schlüssel des Geräts in einer sicheren Umgebung erzeugt und in einer speziellen Crypto Hardware gespeichert wird. Ein nachträgliches Auslesen des geheimen Schlüssels ist dann nicht mehr möglich. Darüber hinaus machen es Zufallszahlengeneratoren für die Session Keys und ein zweistufiger Authentifizierungsprozess extrem schwierig für Hacker, in die entsprechend gesicherten Systeme einzudringen. Bezahlbar sind solche Chips ebenfalls: Für weniger als einen Euro bieten Sicherheitschips wie die der Optiga-Trust-Produktfamilie von Infineon individuelle Authentifizierungsfunktionen für jedes einzelne OEM-Produkt. So können Hersteller eindeutige Seriennummern in jeden einzelnen Chip integrieren. Mit sicherem Speicher ausgestattet, bieten sie Anwendern zudem die Möglichkeit, ihre spezifischen Informationen wie Passwörter, geheime Sicherheitsabfragen oder auch Nutzungszähler sicher ablegen zu können.