Arm schützt IoT vor physischen Angriffen Neuer Arm Cortex-M35P verbindet TrustZone und Smart-Card-Security

Arm‘s neuer Cortex-M35P-Prozessor ist der erste Cortex-M, der Manipulationssicherheit und robuste Software-Isolation kombiniert - und damit Sicherheit auf Smartcard-Ebene für Anwendungen wie Smart-Metering, smarte Türschlösser und Automotive liefert.

Die IoT-Sicherheit ist ein vielschichtiges Problem mit Milliarden von verschiedenen Geräten, die einen systemweiten Ansatz für ihren Schutz benötigen. Die Vielfalt in diesem Bereich ist eine Herausforderung für jeden Halbleiterhersteller. Arm hat neue Produkte angekündigt, die SoC-Designer in die Lage versetzen, ein höheres Maß an Sicherheit in die wachsende Anzahl von Anwendungen zu integrieren, die Schutz vor physischen Angriffsbedrohungen erfordern.

In der Vergangenheit war es aus wirtschaftlichen Gründen schwierig, den Schutz vor physischen Angriffen über Zahlungsanwendungen hinaus zu rechtfertigen. Doch je mehr Geräte mit hochwertigen Daten verbunden werden, desto attraktiver wird die physische Angriffsfläche für Hacker. Verstärkt wird dies durch die Verfügbarkeit von Werkzeugen, die diese physischen Angriffe billiger und leichter realisierbar machen. Im IoT-Zeitalter  wird ein Schutz gegen physische Attacken nicht nur für Zahlungs- und Identitätsanwendungen erforderlich sein, sondern auch für Anwendungsfälle wie intelligente Beleuchtung, smarte Türschlösser, intelligente Zähler oder Automobilanwendungen.

Definition von "physischen Angriffen" und deren Einordnung in das Bedrohungsspektrum von Geräten

Bei physischen Angriffen handelt es sich um Attacken direkt auf den Chip. Dies unterscheidet sich erheblich von Angriffen wie Mirai, bei denen Standardpasswörter ausgenutzt wurden, oder Schwachstellen wie Spectre und Meltdown, bei denen Malware auf das Gerät geladen werden muss.

Physische Angriffe zielen darauf ab, Schwachstellen auf der Ebene der Silizium-Implementierung auszunutzen, anstatt eine Schwäche auf Software- oder Design-Ebene auszunutzen. Diese physischen Angriffe lassen sich in zwei Hauptkategorien einteilen: invasive Angriffe, die (zumindest) eine Chip-Extraktion aus dem Package erfordern, und nicht-invasive Angriffe, z.B. Side-Channel-Angriffe (SCA), die durch unbeabsichtigte Seitenkanäle aus der Silizium-Implementierung Informationen gewinnen (z.B. durch Beobachtung der Stromaufnahme des Chips oder der elektromagnetischen Emission während einer kryptografischen Operation). Beide Angriffsklassen haben ähnliche Ziele - geheime Informationen, die innerhalb des Chips verarbeitet werden, abzurufen oder sie einfach dazu zu bringen, ein unbeabsichtigtes Verhalten auszuführen, das den Zielen des Angreifers dient.

Bekannte Angriffsszenarien sind u.a.:

  •    Mikrosondierungen, Bohren, Feilen, Einsatz von Lösungsmitteln
  •    Einfrieren des Gerätes
  •    Anlegen von nicht spezifizierten Spannungen oder Überspannungen
  •    Anlegen ungewöhnlicher Taktsignale
  •    Induktion von Softwarefehlern durch Strahlung (z.B. Mikrowellen oder ionisierende Strahlung)
  •    Messung des genauen Zeit- und Leistungsbedarfs bestimmter Vorgänge

Schon länger werden daher z.B. im Bereich der Smart-Cards manipulationssichere Prozessoren wie arm’s SC300 zum Speichern und Verarbeiten von privaten oder sensiblen Informationen, wie z.B. privaten Schlüsseln oder E-Geld-Guthaben, eingesetzt. Der SC300 kombiniert einen Cortex-M3 mit den Sicherheitsmerkmalen der arm SecurCore-Prozessoren, über die – außerhalb der Linzenznehmerschaft auf NDA-Basis – leider keine Detail-Informationen verfügbar sind. Dies ermöglicht eine Zertifizierung für sicherheitskritische Anwendungen. Arm SecurCore Prozessoren sind die weltweit am meisten lizenzierten 32-Bit Prozessoren für Smartcards. Das Programmierer-Modell ist das gleiche wie das des Cortex-M3. So basiert z.B. Infineons Sicherheits-Controller SLE97, der sich u.a. in zahlreichen SIM-Karten findet, auf dem SC300. Um zu verhindern, dass ein Angreifer die Informationen abruft oder verändert, sind diese Chips so konzipiert, dass die Informationen nicht extern zugänglich sind und nur von der eingebetteten Software abgerufen werden können, die die entsprechenden Sicherheitsmaßnahmen enthalten sollte.

Manipulationssichere Chips können so ausgelegt sein, dass sie ihre sensiblen Daten (insbesondere kryptografische Schlüssel) auf Null setzen, wenn sie das Eindringen ihrer Sicherheitskapselung oder nicht spezifikationsgerechte Umgebungsparameter erkennen. Ein Chip kann sogar als "cold zeroisation" eingestuft werden, d.h. die Fähigkeit, sich selbst zu nullstellen, auch wenn seine Stromversorgung gestört ist.

Die Tatsache, dass ein Angreifer das Gerät so lange in seinem Besitz hat, wie er will, und vielleicht noch zahlreiche andere Proben zum Testen und Üben erhält, bedeutet jedoch, dass es praktisch unmöglich ist, Manipulationen durch einen ausreichend motivierten Gegner völlig auszuschließen. Aus diesem Grund ist eines der wichtigsten Elemente beim Schutz eines Systems das Design des Gesamtsystems. Insbesondere sollten manipulationssichere Systeme "ausfallen", indem sie sicherstellen, dass ein erfolgreicher Angriff auf ein Gerät nicht das gesamte System gefährdet. Auf diese Weise kann der Angreifer praktisch auf Angriffe beschränkt werden, die weniger kosten als der erwartete Ertrag aus dem Hacken eines einzelnen Geräts. Da die anspruchsvollsten Angriffe schätzungsweise mehrere hunderttausend Euro kosten, können sorgfältig konzipierte Systeme in der Praxis unverwundbar sein.

Bilder: 12

Neue arm-IP für Schutz gegen physische Angriffe auf Chips

Die CPU Cortex-M35P kombiniert vom SecureCore bekannten Anti-Tamper-Schutz mit TrustZone-Technologie vom Cortex-M33.

Der neue Cortex-M35P-Prozessor bietet Schutz gegen physische Chip-Angriffe

In Zukunft werden alle Arm Sicherheits-IPs, die zum Schutz vor physischen Angriffen entwickelt wurden, mit einem "P"-Tag für physische Sicherheit gekennzeichnet. Der Cortex-M35P basiert auf dem bereits ausführlich vorgestellten Cortex-M33 und seiner ARMv8-M-Mikroarchitektur. Hinzugekommen ist die Manipulationssicherheit basierend auf der  Anti-Tamper-Technologie von Arm‘s SecurCore Prozessoren. Wenn funktionale Sicherheit erforderlich ist, kann Cortex-M35P auch ein Sicherheitspaket zur Unterstützung der ISO 26262-Zertifizierung enthalten.

Über die CPU hinaus ist der Cortex-M35P eine Erweiterung des umfassenden Sicherheitsportfolios von Arm nach den Prinzipien der Arm's Platform Security Architecture (PSA), die wir ebenfalls schon ausführlich vorgestellt haben.

Arm CryptoCell-312P und Arm CryptoIsland-300P: Verbesserte Sicherheits-IP mit SCA-Minderung

Zwei weitere IP-Schlüsselkomponenten von Arm, CryptoCell und CryptoIsland (Details hierzu finden Sie hier), sind ab sofort ebenfalls mit einer Technologie zum Schutz vor einer Reihe von SCAs (einschließlich Energie- und elektromagnetischer Analyse) erhältlich. CryptoCell und CryptoIsland adressieren seit geraumer Zeit die Sicherheitsbedürfnisse der verschiedenen Akteure entlang der Wertschöpfungskette. Mit der zusätzlichen physikalischen Angriffsfestigkeit können diese Lösungen eine noch breitere Angriffsfläche adressieren.

Ein sicheres IoT erfordert ein breiteres Spektrum von Angriffen abzuwehren

Da neue IoT-Anwendungsfälle auftauchen, erfordert die physische Sicherheit mehr denn je die Aufmerksamkeit der Industrie. Dieser Schutz wird nicht nur für Zahlungs- und Identitätsanwendungen benötigt, sondern muss auch z.B. in intelligente Beleuchtung, smarte Türschlösser, intelligente Zähler oder Automobilanwendungen integriert werden.

Wenn beispielsweise eine intelligente Straßenleuchte oder ein intelligentes Gebäude gehackt wird, ist das Lichtnetz einer ganzen Stadt oder das gesamte Unternehmen potenziell gefährdet. An ein gehacktes Smart-Grid soll dabei gar nicht gedacht werden, die Auswirkungen eines solchen Angriffs wären unermesslich. Arms Ansatz hierzu sind die Designprinzipien auf Systemebene gemäß der PSA, da die physische Sicherheit einer von vielen kritischen Aspekten ist, die zusammen mit der Technologie zum sicheren Schutz der Kommunikation zwischen dem IoT-Gerät und der Cloud berücksichtigt werden müssen.

Wie bereits erwähnt, folgt das Design des Cortex-M35P den Prinzipien des PSA, die besagen, dass man bei der Definition der Anforderungen an die Gerätesicherheit zunächst die spezifischen Anwendungsfälle für das IoT-Gerät analysieren muss. So kann man die zugehörigen Assets und deren Wert beurteilen, bevor man  die verschiedenen Angriffsflächen definiert, die eine Bedrohung für das neue Gerät darstellen können. Von dort aus können Designer einen mehrstufigen Ansatz für die Implementierung der richtigen Sicherheits- und Gefahrenabwehrtechnologie festlegen.

Die neue IP von Arm ergänzt das bereits existierende Sicherheitsportfolio. Die Kombination der SecureCore- und der in ARMv8-M implementierten TrustZone-Technologie im neuen Cortex-M35P macht es bei richtiger Implementierung („Security by Design“) sicherlich einfacher, sicherheitskritische Anwendungen vor Hackern zu schützen bzw. einen Hack zumindest wirtschaftlich unattraktiv zu machen, da der Aufwand den Ertrag bei weitem übersteigen würde.