Architektur für Embedded-Systeme Schwachpunkte ausmerzen

Demonstration auf dem ITF

Sancus, wie die neue Imec-Lösung genannt wird, ist eine Sicherheitsarchitektur für Ressourcen-begrenzte Embedded-Systeme in erweiterbaren Netzwerken, die auf einer soliden Integritätsprüfung beruhen und die Authentizität mit einer minimalen Trusted-Computing-Basis garantieren (Bild 2). Sancus besteht aus dem erweiterten Mikroprozessor und dedizierter Software, die in den Safe-Harbor-Umgebungen läuft, und aus einem C-Compiler, der den Sancus-gesicherten Code generiert.

Sancus ist ein laufendes Projekt, und es ist noch eine Reihe von Aufgaben zu lösen, die in das Projekt integriert werden sollen. Einer dieser Teilaspekte ist die Sicherung der Verfügbarkeit und der Echtzeit-Funktion des von Sancus geschützten Netzwerks.

Die Lösung garantiert, dass alle Meldungen, die in einem Modul ankommen, legitim sind (Bild 3). Doch es ist noch nicht sichergestellt, dass sie wirklich ankommen. Es wäre immer noch möglich, dass ein Angreifer bestimmte Meldungen unterdrückt. Sie werden von dem System zwar entdeckt und dürften in den meisten Fällen nicht zu Gefahrensituationen führen. Denn der Empfangsknoten würde eine Fehlermeldung abgeben und das System auf gesicherte Weise anhalten. Aber das ist natürlich in gewisser Weise ungünstig und lästig.

Ein weiteres noch zu lösendes Problem betrifft den geschützten Betrieb der sicheren Software-Module. Ohne formale Design-Methodik und grundsätzlich sichere Programmiersprachen neigen diese Module zu Verwundbarkeiten, die zu unsicheren Betriebssituationen führen könnten. Doch weil das Imec nun kleine Module mit vertrauenswürdigem Code isoliert, sollte es jetzt auch möglich sein, diese Module in einer formaleren, fehlerfreien Art und Weise zu entwickeln.

Das Imec-Team ist derzeit auf der Suche nach Kollaborationspartnern, um geeignete Hardware/Software-Lösungen zu entwickeln, die auf die vorliegende Aufgabe abgestimmt sind. Auf dem Imec Technology Forum am 16. und 17. Mai 2017 in Antwerpen wurde Sancus demonstriert, als Automotive-Szenario oder als Smart-Metering-Lösung – eine Anwendung, in der eingebettete Prozessoren ebenfalls mehr Sicherheits-Features benötigen. Dabei wurde detailliert dargelegt, wie diese rigiden Sicherheitsaspekte in Embedded-Netzwerke integriert wurden. Das Thema wird immer dringender, wenn die ersten smarten autonomen Fahrzeuge anfangen, mit ihren Umgebungen zu kommunizieren.