Anwendungsbeispiel ARM-Cortex
MobiCore-Betriebssystem für sichere In-Car-Systeme
Fortsetzung des Artikels von Teil 2
Sicherheit für Automobilsysteme
Für die Kommunikationsmodule von Automobilen stellt MobiCore zusätzliche Sicherheit bereit, die sich auf die Zuverlässigkeit vorteilhaft auswirkt. Basierend auf einer gründlichen Sicherheitsanalyse der Automobilsysteme durch G&D bietet MobiCore viele Vorteile. Zunächst ist ein sicherer Boot-Vorgang möglich. Der Start des Betriebssystems wird ohne Beeinträchtigung durch nicht vertrauenswürdigen Code ausgeführt. Der Start des Betriebssystems wird nicht als Teil von MobiCore ausgeführt, sondern als Bestandteil der Sicherheit für das Gesamtsystem und wird daher ebenfalls von G&D entwickelt und implementiert.
Desweiteren gibt es eine sichere Kommunikation zwischen normaler und sicherer Ausführungsumgebung. Natürlich birgt die Kommunikationsschnittstelle zwischen "normaler" und "sicherer Welt" das Risiko des Datenverlusts und bösartiger Angriffe. Daher umfasst MobiCore ein Sicherheitsmodell zur Eindämmung dieser Risiken. Überdies entspricht die Effektivität des Isolationsmechanismus in diesem Sicherheitsmodell den Anforderungen einer Common-Criteria-Sicherheitsprüfung oder -zertifizierung.
Wichtig ist ebenfalls ein sicherer Speicherzugriff. Es treten Fälle auf, in denen ein Speicher verwendet werden muss, der nicht dem exklusiven Zugriff durch sichere Prozesse zugeordnet ist. Dies gilt für den eventuellen Einsatz eines konventionellen Arbeitsspeichers, der durch die Software der "normalen Welt" (z.B. für gemeinsam genutzten Speicher) verwaltet wird, und im Besonderen für alle Daten der "sicheren Welt", die im konventionellen Dauerspeicher gespeichert werden sollen. Die Lösung für dieses Problem liefert der Integritätsschutz durch automatisierte Berechnung und Überprüfung von Hash-Werten für jeden konventionellen Speicherzugriff oder -- für zusätzliche Vertraulichkeit -- die automatische Verschlüsselung bzw. Entschlüsselung mit Hilfe eines nur MobiCore bekannten Geheimschlüssels.
Sichere Trustlets und sicherer Trustlet-Zugriff sind dadurch möglich, dass der Code sowie die Daten von Trustlets vor Lese- und Schreibzugriff durch die Software der "normalen Welt" geschützt werden. Dies wird durch die eigentliche TrustZone-Sicherheitsfunktion erreicht, wenn der für MobiCore und dessen Trustlets verwendete Speicher exklusiv dem sicheren Modus zugeordnet wird. Trustlets verwenden sensible Daten wie kryptografische Schlüssel. Diese sensiblen Daten müssen vor nicht autorisiertem Zugriff aus der "normalen Welt" und durch andere Trustlets geschützt werden. Folglich stellt die Trennung der Speicher zwischen den Trustlets einen Bestandteil von MobiCore dar.
Besonders gemein sind busbasierte Angriffe. Die zugrunde liegende MobiCore-Hardware-Sicherheit der TrustZone baut weitgehend auf der Speicherverwaltungseinheit (MMU, Memory Management Unit) auf. Bus-Master-Geräte können die MMU vollständig umgehen. Um in einem solchen Fall Sicherheit garantieren zu können, ist es wichtig, dass kein bösartiger oder fehlerhafter Bus-Master-Treiber auf dem entsprechenden System vorhanden ist. Nicht vertrauenswürdigen Bus-Mastern wird der Zugriff auf die "sichere Welt" verwehrt.
Fortgeschrittene Angreifer könnten sogar Geheiminformationen abfangen oder den MMU-Schutz über Methoden umgehen, bei denen der Bus gesucht wird. Es liegen Use-Cases von MobiCore vor, die eine Verarbeitung von Geheiminformationen enthalten, für die ein Angriff als lohnenswert in Betracht gezogen werden könnte. Somit könnten die Ziel-Hardware-Plattformen, auf denen MobiCore implementiert ist, einen ausgewählten Teil des Arbeitsspeichers zur Verfügung stellen, der sich auf dem SoC (System on Chip) befindet und für "Bus Probing" daher nicht erreichbar ist. MobiCore bietet eine Option, mit deren Hilfe dieser Speicher zur exklusiven Nutzung zugeordnet und somit vor "Bus Probing" geschützt ist. Bei der Entwicklung von MobiCore wurde besonderes Augenmerk darauf gelegt, derartig sensiblen Code und sicherheitsrelevante Daten sowie alle weiteren Faktoren, die MMU-Einstellungen betreffen, im Arbeitsspeicher des SoCs zu platzieren. Daher gewährleistet MobiCore ein höheres Sicherheitsniveau, gerade im Vergleich mit Lösungen, die lediglich auf Paravirtualisierung basieren.
Jobangebote+ passend zum Thema
- MobiCore-Betriebssystem für sichere In-Car-Systeme
- Das MobiCore-Betriebssystem
- Sicherheit für Automobilsysteme
