Security Sichere Verbindung zu Amazon Web Services

Sichere Verbindungen für IoT-Geräte in die Amazon-Cloud.
Sichere Verbindungen für IoT-Geräte in die Amazon-Cloud.

Die Sicherheitsrichtlinien von Amazon schreiben gegenseitige Authentifizierung für IoT-Systeme vor, die mit der Amazon-Cloud verbunden werden. Microchip vereinfacht den Umgang mit individuellen Schlüsseln.

Dass IoT-Systeme ihre Daten nicht einfach ungesichert in die Cloud schicken dürfen, bedarf keiner weiteren Erklärung mehr. Deshalb schreibt Amazon auch in seinen neuen Sicherheitsrichtlinien vor, dass sich Systeme, die Daten an die Amazon Web Services (AWS) liefern, authentifizieren müssen. Ebenso muss für die Geräteseite sichergestellt sein, dass die Daten wirklich bei Amazon ankommen und nicht ein "man in the middle" vorgibt, die Amazon-Cloud zu sein. Die Authentifikation geschieht über Schlüssel, wobei die geheimen Schlüssel jeweils beim Eigner bleiben und die öffentlichen Schlüssel auf sichere Art und Weise der Gegenseite übermittelt werden müssen.

Das Problem ist nun: Wenn Hunderte, Tausende ja vielleicht zehntausende Sensoren produziert werden – wie schafft man es, für jedes Gerät individuelle Schlüssel zu erzeugen, auf die Geräte zu übertragen und die Geräte dann bei Amazon anzumelden? – Hier hat Microchip zusammen mit Amazon nun eine Lösung entwickelt. Sie besteht darin, dass auf dem Host-Mikrocontroller eine spezielle Software läuft und die Sicherheitsfunktionen auf einen Krypto-Chip ausgelagert werden, der die individuellen Schlüssel enthält.

Mit der Gesamtlösung können Entwickler sich zunächst in leicht verdaulicher Form vertraut machen, indem sie sich das Entwicklungskit AT88CKECC beschaffen. Das Kit enthält den Krypto-Authentifizierungsbaustein ECC508, der die Sicherheitsstandards des AWS-Authentifizierungsmodells erfüllt und sich automatisch mit der Amazon-Cloud verbindet. Der Krypto-Chip ist über I²C an den Host-Mikrocontroller angeschlossen. Auf diesem läuft ein AWS Software Development Kit (SDK), das den ECC508 für das AWS IoT nutzt. Es müssen dann keine einzigartigen Schlüssel mehr geladen werden und es sind auch keine weiteren Zertifikate für die Authentifizierung während der Fertigung erforderlich. Der AWS-ECC508 ist so vorkonfiguriert dass er ohne Eingreifen durch das AWS erkannt wird. Sämtliche Informationen befinden sich in dem kleinen (3 x 2 mm²), einfach einsetzbaren Verschlüsselungs-Companion-Baustein.

AWS und der ECC508 ergänzen die gegenseitigen Authentifizierungsfunktionen. Der Baustein ist äußerst widerstandsfähig gegen Umgebungseinflüsse und Manipulation. Hinzu kommen Gegenmaßnahmen bei professionellen Ausleseversuchen. Der Chip enthält einen Zufallszahlengenerator, erzeugt sichere einzigartige Schlüssel und automatisiert kostengünstig den Authentifizierungsprozess bei Amazon. Ein übliches IoT-System kommt dadurch mit einem kleinen 8-Bit-Mikrocontroller aus und ist batteriebetrieben. Die Ressourcen sind üblicherweise beschränkt damit ein geringer Stromverbrauch für eine lange Batterielebensdauer gewährleistet ist. Der ECC508 bietet eine stromsparende prozessor-unabhängige Verschlüsselungsbeschleunigung, die kompatibel zu den meisten ressourcenbeschränkten IoT-Systemen ist. Vertrieben wird das Kit unter der Marke Atmel, die seit dem Frühjahr 2016 zu Microchip gehört.