Softwareschutz & -lizenzierung gemäß CRA
»Wir ermöglichen CRA-Konformität und Lizenzierung«
Der Cyber Resilience Act (CRA) der EU betrifft auch Software-Schutz und -Lizenzierung. Wie lässt sich der CRA diesbezüglich einhalten und sogar ein höheres Schutzniveau erreichen? Und welche Möglichkeiten gibt es zum Schutz echtzeitfähiger Embedded-Anwendungen?
Oliver Winzenried, Vorstand und Gründer von Wibu-Systems, informiert.
Markt&Technik: Der CRA ist am 10. Dezember 2024 in Kraft getreten und gilt ab dem 11. Dezember 2027. Was kann die CodeMeter-Technologie von Wibu-Systems durch Protection, Licensing und Security leisten, um Geräte- und Softwarehersteller bei der Vorbereitung auf den CRA zu unterstützen?
Oliver Winzenried: Zum Thema Sicherheit gibt es aktuell verschiedene Regulierungen. Der CRA verbessert die Security in Produkten mit digitalen Komponenten. CodeMeter setzt für Teile des CRA die Konformität um, etwa bei Maßnahmen zur Wiederherstellung der Konformität, beim Zugriffsschutz sowie bei Vertraulichkeit und Integrität von Daten. CodeMeter bietet durch die Verbindung von Produktsicherheit und Lizenzierung eine ideale Kombination, die einerseits die CRA-Konformität unterstützt und gleichzeitig die Lizenzierung von Produkten mit digitalen Komponenten ermöglicht – eine Investition mit Rückzahlgarantie.
Wie sehen entsprechende Lösungen aus, und wie lassen sie sich implementieren?
CodeMeter-Lösungen gewährleisten einen umfassenden Schutz der Integrität von Software und sensiblen Daten durch den Einsatz fortschrittlicher Kryptografie- und Obfuskations-Methoden sowie Integritätsprüfungen und Anti-Debugging-Maßnahmen. Darüber hinaus tragen wir dem Bedarf an proaktiven Mechanismen zum Schutz vor unberechtigtem Zugriff Rechnung, indem wir Lizenzcontainer mit nach CC EAL 5+ zertifizierten Krypto-Controllern bereitstellen, in denen Zertifikate für starke Authentifizierungszwecke sicher gespeichert werden können. Diese Funktionen stehen im Einklang mit dem Fokus des CRA auf die Verbesserung der Cybersecurity von Produkten auf dem europäischen Markt.
Maßnahmen zur Wiederherstellung der Konformität (Artikel 13 Absatz 21 CRA): CodeMeter-Lizenzen schaffen Transparenz und ermöglichen Herstellern, einen Überblick über im Feld befindliche Produkte zu behalten. Programme oder Funktionalitäten werden durch das Entziehen oder Ersetzen von Lizenzen außer Betrieb genommen oder ersetzt, um die CRA-Konformität wieder herzustellen. Durch den Einsatz der CodeMeter License Central und des CodeMeter License Portals lässt sich die Verwaltung von Lizenzen im Feld problemlos und auch über verschiedene Ebenen wie Hersteller, Distributor, Reseller und Anwender hinweg durchführen.
Zugriffsschutz (Anhang I Teil I (2d)): Neben der generellen Authentisierung und Autorisierung über ausgegebene Lizenzen lassen sich mit CodeMeter auch spezifische Lizenzen vergeben, etwa für verschiedene Software-Versionen, länderspezifisch zur Einhaltung von Exportkontrollen und regionalen Anforderungen oder für bestimmte Nutzergruppen oder Einzelnutzer über Named User Licenses. Durch CodeMeter Certificate Vault lassen sich auch Zertifikate sicher ins Feld bringen und über Standardprotokolle auf Applikationsseite verwenden. Ein Zugriffsschutz auf Basis von CodeMeter ist für Codesys sowie das TIA-Portal von Siemens realisiert. Und Rockwell Automation nutzt die CodeMeter-Technologie für seinen Studio 5000 Logix Designer. Das Unternehmen definiert beispielsweise länderspezifische Lizenzen und schaltet sie bedarfsgerecht frei.
Vertraulichkeit und Integrität von Daten (Anhang I Teil I (2e, 2f)): Die Nutzung von Verschlüsselung und die Verwendung von Signaturen auf Basis von kryptografischen Schlüsseln in CodeMeter-Lizenzen geben die CodeMeter API und die CodeMeter Protection Suite dem Hersteller alle Mittel an die Hand, um diese Anforderungen zu erfüllen. Mit der CodeMeter License Central ist die sichere Verteilung der Schlüssel gewährleistet.
Welche Möglichkeiten eröffnet die CodeMeter-Technologie zur Lizenzierung von Software, und was bedeutet in diesem Zusammenhang CmReady?
CodeMeter ermöglicht Herstellern von Software und intelligenten Geräten, sowohl ihre wertvolle Software vor Piraterie und Reverse Engineering zu schützen als auch Software, Firmware und vertrauliche Daten mittels vielseitigen Lizenzierungsmodellen zu monetarisieren. Darüber hinaus dient CodeMeter der sicheren Authentifizierung für Menschen und Maschinen gleichermaßen. Die vertraulichen digitalen Daten werden in der Schutzhardware CmDongle, in der Aktivierungsdatei CmActLicense oder in CmCloudContainern in der Cloud gespeichert.
CmReady steht für Speicherkarten, die Sicherheitsmerkmale mitbringen und sich damit zum Speichern und Binden aktivierungsbasierter CmActLicenses eignen.
Welchen Nutzen hat die Bindung von Berechtigungen oder Lizenzen an CmReady-konforme Speicherkarten für Anwender?
Praktisch bedeutet dies, dass eine mobile Speicherkarte für Anwender zum Dongle wird, mit dem die Lizenzen oder Berechtigungen problemlos mitgenommen werden können, sprich: einfach ins Zielsystem gesteckt werden. Dabei kann die Lizenz zuvor auch von einem normalen PC in die Karte gespeichert worden sein. Natürlich könnten Anwender gleich einen CmDongle nutzen, der auch noch höhere Sicherheit durch einen dedizierten Cryptocontroller bietet. Vorteile der Nutzung von CmReady-Speichermedien liegen in der Kombination von Massenspeicher mit einer großen Vielfalt von Speichergrößen und Qualitäten sowie CmActLicense-Speicherung in einem kostengünstigen Device. Dabei ist CmReady Plug-and-Play ins CodeMeter-Ecosystem integriert.
Wie funktioniert die Bindung von Berechtigungen oder Lizenzen an CmReady-konforme Speicherkarten technisch?
CmActLicenses werden normalerweise an einen Hardware-Fingerabdruck des Zielsystems gebunden. Dazu haben wir das patentierte SmartBind-Verfahren entwickelt, das eine hohe Sicherheit bei gleichzeitiger Toleranz gegen kleine Änderungen am Zielsystem bietet. Bei CmReady wird die CmActLicense an die Speicherkarte gebunden, die dazu eine eindeutige manipulationsgeschützte Seriennummer, einen sicheren nichtrücksetzbaren monotonen Zähler und einen per API zugreifbaren sicheren Speicherbereich aufweisen muss. Der Hersteller der CmReady-konformen Speicherkarte bietet dazu ein »Vendor-Plugin« an, das die benötigten Funktionen für CodeMeter bereitstellt.
Swissbit bietet mit seinen industriellen Speicherkarten PS-66 DP die ersten CmReady-zertifizierten SD- und MicroSD-Karten an. Infos gibt es bei Swissbit, Halle 1-510 und SD Association, Halle 3A-327 auf der embedded world.
Am 29. September 2024 veröffentlichte Linus Torvalds die Kernel-Version 6.12-rc1, die Linux zu einem Echtzeit-Betriebssystem macht. »Die PREEMPT_RT-Echtzeitkonfiguration wurde in den Mainline-Kernel aufgenommen und ermöglicht Echtzeit-Scheduling für x86, ARM64 und RISC-V auf dem unveränderten Original-Linux-Kernel - Linux ist jetzt ein RTOS«, erläutert die Website des OSADL (Open Source Automation Development Lab). Wie lässt sich Linux auf Basis des 6.12-rc1-Kernels (und wie lassen sich Anwendungen auf Basis dieser Linux-Version) mit CodeMeter absichern?
CodeMeter ermöglicht sowohl den Schutz als auch die Lizenzierung von Kernel-Komponenten und Echtzeit-Anwendungen.
Was kann CodeMeter hier durch Protection, Licensing und Security leisten?
Schutz für Kernel und Treiber: Mit CodeMeter lassen sich wichtige Kernel-Module signieren und lizenzieren. Das ist besonders relevant, wenn Treiber für Echtzeit-Hardware entwickelt und genutzt werden, weil sich damit unautorisierte Änderungen verhindern lassen.
Anwendungsschutz mit CodeMeter: Für die Absicherung von Echtzeit-Anwendungen bietet CodeMeter verschiedene Sicherheitsmaßnahmen an. Erstens Schutz des Programmcodes: Anwendungen, die Echtzeitaufgaben wie industrielle Steuerungen oder Automatisierungen übernehmen, können durch CodeMeter verschlüsselt und lizenziert werden. Zweitens Laufzeit-Integritätsprüfung: CodeMeter überwacht die Integrität der laufenden Anwendung. Manipulationen oder unerwünschte Änderungen werden erkannt und verhindert. Und drittens POSIX-kompatibler Schutz: Anwendungen, die auf POSIX-Threads und -Mechanismen beruhen, bleiben durch CodeMeter geschützt und dennoch performant. Der Schutz wirkt auf Programmcode-Ebene, ohne das Betriebssystem direkt zu beeinflussen.
Sicherheit und Echtzeitfähigkeit in Balance: Damit eine Echtzeit-Anwendung sicher bleibt, ohne dabei an Performance zu verlieren, muss eine präzise Balance zwischen Sicherheit und Echtzeitfähigkeit gefunden werden. Hierbei spielen besonders die Minimierung von Latenzen und die Synchronisation der Threads eine Rolle. CodeMeter lässt sich so konfigurieren, dass zeitkritische Aufgaben wie etwa Lizenzprüfungen außerhalb des Haupt-Threads abgewickelt werden. Harte Echtzeitanforderungen werden nicht gestört. Die Lizenz- und Schutzoperationen laufen nicht blockierend im Hintergrund ab.
Plattformübergreifender Schutz: Mit dem PREEMPT_RT-Patch für den Linux 6.12-rc1-Kernel lassen sich Echtzeit-Anwendungen jetzt auf mehreren Architekturen wie x86, ARM64 oder RISC-V betreiben. CodeMeter unterstützt diese Architekturen mit passenden Integrations-APIs und bietet Schutz und Lizenzierung plattformübergreifend.
Technologie für sichere Echtzeitanwendungen: Mit Lösungen wie CodeMeter Embedded lassen sich Schutzmaßnahmen nahtlos in Echtzeitanwendungen integrieren – und das, ohne die deterministischen Anforderungen zu verletzen. Dank unserer neuen Compile-Time-Protection-Technologie mit AxProtector CTP können wir Anwendungen vor Reverse Engineering schützen, die sehr hohen Echtzeitanforderungen unterliegen.
Das Ergebnis ist ein System, das sowohl zuverlässig arbeitet als auch sicher vor Manipulationen und unbefugtem Zugriff geschützt ist.
Was erwartet die Besucher bei Wibu-Systems auf der embedded world 2025?
Wir stellen am OSADL-Stand aus und beraten zu allen obigen Themen sowie rund um Software-Schutz, -Lizenzierung und -Security. Daneben zeigen wir CodeMeter Embedded, das jetzt auch das Ausleihen von Lizenzen (CodeMeter License Borrowing) und Windows 11 auf ARM unterstützt. Außerdem informieren wir über Themen wie automatisierte Schwachstellenerkennung und Behebung, sogenannte Vulnerabilities, SBOMs (Software Bill of Materials), Security-Nachrüstung für Systeme im Brownfield oder Funktionskonfiguration durch Lizenzierung in kleinen Embedded-Systemen wie Sensoren und Aktoren.
Die Fragen stellte Andreas Knoll.
Wibu-Systems auf der Messe embedded world 2025: Halle 4, Stand 168 (OSADL)
Lesen Sie mehr zum Thema
